Aufsichtsbehörden verhängen Bußgelder in den Bereichen Cookies und Einwilligungen

DSGVO Bußgeld

Vodafone Italien muss 12,25 Mio. Strafe zahlen – für aggressives Telemarketing

Im November diesen Jahres verhängte die italienische Aufsichtsbehörde ( Grante per la protezoni die dati personali) gegen Vodafon Italien ein Bußgeld in Höhe von 12,25 Mio. Euro. Grund hierfür war im Kern Werbeanrufe an eine Vielzahl von Vodafone-Kunden, denen keine wirksame Einwilligung zu Grunde lag. Außerdem wirft die Aufsichtsbehörde sehr aggressives Telemarketing vor. Das kritische dabei sei gewesen, dass Vodafone die Daten über Dritte eingeholt hat, wofür überwiegend keine Einwilligung vorlag.
So arbeitete Vodafone mit einer Vielzahl an Callcentern zusammen, um diese Werbestrategie durchzuführen. Was generell nicht ungewöhnlich ist, wurde nun aber zum Problem: denn viele dieser Callcentern wunden nicht von Vodafone direkt für diese Werbeanrufe autorisiert. Hierbei handelte es sich daher um unrechtmäßige Verarbeitungsvorgänge.

Neben dem Bußgeld legte die Behörde einige Maßnahmen fest, die Vodafone Italien nun ergreifen muss um die nationalen und europäischen Datenschutzvorschriften einzuhalten.
So müssen unter anderem die Sicherheitsmechanismen zur Verhinderung von unerlaubtem Zugriff auf und unrechtmäßige Verarbeitung von Kundendaten gestärkt werden und Auftragsverarbeiter sorgfältiger ausgewählt werden.
Denn obwohl der Verantwortliche beim Auftragsverarbeiter Regress nehmen kann, haftet der Verantwortliche gegenüber dem Betroffenen gem. Art. 32 Abs. 1 DSGVO in voller Höhe. Außerdem ist der entstandene Imageschaden deutlich gravierender zu bewerten als das verhängte Bußgeld der Behörde.

Verstoß gegen die Informationspflicht gemäß Art. 13 DSGVO

Weitere Verstöße gegen die elementaren Rechte der Betroffenen stellte die französische Aufsichtsbehörde (CNIL) bei Europas zweitgrößtem Einzelhandelsunternehmens Carrefour France und Carrefour Banque fest. Bei den Ermittlungen, die bereits im Sommer 2019 begannen, ergab sich, dass die Webseiten von Carrefour die notwenigen Informationen nach Art. 13 DSGVO nicht transparent genug darstellt hatten. Konkret ging es hierbei um personenbezogene Daten, die über das Treueprogramm verarbeitet worden sind.
Die Behörde stellte fest, dass die nötigen Informationen nicht nur schwer zugänglich, sondern auch schwer verständlich waren. Außerdem genügten die Datenschutzhinweise nicht dem Transparenzgebot aus Art. 5 Abs. 1 DSGVO.

Auf Cookies auf der Webseite richtig hinweisen

Was genau beim Setzen von Cookies zwingend erforderlich ist, ist zwar durch die Planet 49 Entscheidung des EuGH rechtlich klar definiert, denn das Setzen von nicht unbedingt erforderlichen Cookies bedarf stets einer aktiven Einwilligung des Webseitenbesuchers. Trotzdem bereitet die Umsetzung den Unternehmen aber immer wieder Schwierigkeiten.

Verstöße gegen die Grundprinzipien des Datenschutzes und damit der Verletzung der elementaren Rechte von Betroffenen, stuft der europäische Gesetzgeber als besonders schwer ein.
Mit einem Verstoß gegen Art. 6 und Art. 7 DSGVO in Bezug auf die Einwilligung können sich Unternehmen schnell das „große Bußgeld“ nach Art. 83 Abs. 5 DSGVO einhandeln. Dieses Bußgeld ist der Höchstsatz and erteilbaren Strafen und kann sich auf bis zu 20 Mio. Euro oder 4% des Konzernjahresumsatzes belaufen.

Die oberste Datenschützerin Niedersachsens, Frau Barbara Thiel, startete kürzlich hierzu eine kleine Untersuchung.  Kleine und mittelständische Unternehmen aus Niedersachsen wurden gebeten, einen Fragebogen auszufüllen und zu beantworten, wie Sie Cookies einsetzen und darauf Hinweisen. Ebenfalls erfragt wurde die Einbindung von Diensten von Drittanbietern.
„Viele der geprüften Webseiten zeigten in diesem Bereich Mängel. Einige davon waren so erheblich, dass sie zur Unwirksamkeit der Einwilligung führten“, so Thiel zur Auswertung der Umfrage.

Am häufigsten kam es vor, dass mittels optischer Hilfsmittel, wie die bewusste Einbindung von Farben der Ablehnen- und Zustimmen- Buttons der Webseitenbesucher unterbewusst beeinflusst wurde und somit keine echte Wahl habe. Fehlerhafte Voreinstellungen waren ebenfalls auffällig oft vertreten.

Das Nutzen von optischen Hilfsmitteln, oder auch „Nudging“ genannt, stellt weitgehend eine rechtliche Grauzone dar. Im Einzelfall bewerten hier die Aufsichtsbehörden und Gerichte, ob sie den datenschutzrechtlichen Anforderungen genügen.

Das Positive an den oben genannten Fällen und Bußgeldbescheiden bleibt jedoch folgendes: alle lassen sich leicht im Vorfeld verhindern.
Unser Rat:
Seien Sie bedacht bei der Wahl der Auftragsverarbeiter und wählen Sie diese sorgfältig nach Vertrauenswürdigkeit und transparentem Agieren aus.
Sensibilisieren Sie das Webseite betreibende Personal und lassen Sie sich in jeder Phase der Implementierung von Neuerungen datenschutzrechtlich absichern.

WhatsApp ändert Datenschutzrichtlinien

Neue Regeln bei Whatsapp

Warum Whatsapp und co. für Firmen ungeeignet sind und welche Alternativen Sie datenschutzkonform nutzen können

Was früher vom Nutzer abgelehnt werden konnte, ist ab Februar 2021 verpflichtend: So werden künftig alle Daten aus Whatsapp an Facebook und zu Facebook gehörigen Unternehmen übermittelt. Wer dem nicht zustimmt, kann die App ab dem 15.2.2021 nicht mehr nutzen.

Zukünftig könnte man also kontextbezogene Vorschläge von Whatsapp erhalten, wie zum Beispiel in einem harmlosen Fall, beim aus tauschen von Rezepten auf Whatsapp einen Vorschlag chefkoch.de zu besuchen.
Whatsapp möchte damit erreichen, neue Dienste entwickeln zu können, wie etwa eine Bezahlfunktion über Facebook Pay oder die Möglichkeit plattformübergreifend chatten zu können.

Laut Aussage von WhatsApp gelten die neuen Datenschutzbestimmungen erstmal nicht in Europa. Die neuen Datenschutzbestimmungen müssen aber trotzdem von Europäern akzeptiert werden.

Die Nutzung von Whatsapp für die Kundenkommunikation ist schon seit Inkrafttretens der DSGVO 2018 kritisch. Insbesondere ohne die Nutzung von Whatsapp Business.

Besonders kritisch ist das Nutzen von Whatsapp als Unternehmenschat oder zur Kommunikation mit Kunden nach außerkraftsetzen des Privacy Shield (Schrems II) im Juli 2020. Seit dem ist für das Nutzen von Whatsapp eine ausdrückliche Genehmigung der Kunden einzuholen. Außerdem ist das hohe Risiko für Hackerangriffe,  insbesondere das Einschleusen von Trojanern, nicht zu unterschätzen.

Wer das nicht möchte und wessen Gespräche ausschließlich privat oder Unternehmensintern  belieben sollen, hat nun keine Wahl mehr und muss dem Messenger-Dienst gänzlich den Rücken kehren. Mittlerweile gibt es unzählige Whatsapp-Alternativen wie Signal, Telegram oder Threema.

Erstere gewann durch einen Tweet von Elon Musk, der zu dessen Nutzung aufrief, einen hohen Nutzerzuwachs. Doch Vorsicht: obwohl Signal deutlich sicherer zu sein scheint, als Whatsapp, nutzt auch dieser Messenger-Dienst externe Server für seine Dienste, wie zum Beispiel die Google Cloud oder Amazon AWS. Hier taucht auch das Schrems II Problem wieder auf.

Von Telegram ist gänzlich abzuraten. Der Dienst nutzt keine End-zu-End-Verschlüsselung , speichert sämtliche Nachrichtenverläufe, Kontakte, Gruppen und Nutzerprofile auf fremden Servern und ist nicht DSGVO konform.

Unsere Empfehlung  ist Threema: denn der Dienst lässt sich anonym ohne Angaben von personenbezogenen Daten nutzen und ist Ende-zu-Ende-verschlüsselt. Alle Dienste laufen ausschließlich auf der eigenen Server-Hardware und Nachrichtenverläufe werden sofort nach Zustellung vom Server gelöscht. Die Nutzerdaten werden nicht zu Werbezwecken genutzt und der App-Quellcode ist öffentlich einsehbar, sodass sich verifizieren lässt, dass ob die App sicher ist und welche Server Verbindungen haben.

Die Nutzung von Threema auch im Unternehmen ist daher datenschutzkonform und allen anderen Messengern vorzuziehen. Wer dennoch im direkten Kundenkontakt nicht auf Whatsapp verzichten kann oder will, muss sich die schriftliche Einverständniserklärung seiner Kunden zur weiteren Nutzung einholen und auf die Risiken nach Schrems II hinweisen.

Frohe Weihnachten von DSBOK

2020 hat uns einiges gelehrt. Vor allem aber, dass Gesundheit das wertvollste Gut ist. Wir alle haben gelernt dankbar für das zu sein, was wir haben und es mehr wertzuschätzen.

Wie jedes Jahr verzichten wir auch 2020 auf Weihnachtsgeschenke für unsere Kunden und spenden dieses Jahr an den Weltfriedensdienst e.V. in Berlin, der sich seit 1959 für Frieden, Menschenrechte und nachhaltige Entwicklung einsetzt.

 

 

 

 

 

 

Allein im Jahr 2019 hat der Weltfriedensdienst in 22 Ländern mit 42 Projekten zehntausende Menschen – Kinder, Frauen und Männer – unterstützt.

Besonders beeindruckend fanden wir folgendes:
Aus dem Jahresbericht 2019 geht hervor, dass nur 5,9% der in diesem Jahr gesammelten Spenden für Verwaltung, Öffentlichkeitsarbeit und Werbung genutzt wurde. So können wir sicher sein, dass unsere Spende auch wirklich da ankommt, wo sie hin soll: zu den Menschen die dringend Hilfe brauchen.

In diesem Sinne wünschen wir Ihnen und Ihrer Familie dieses Jahr zu Weihnachten eine besinnliche Zeit zusammen, Glück und vor allem Gesundheit. Und einen guten Rutsch ins neue Jahr.

Ihr DSBOK Team,
Violetta Krause, Chantal Krause, Philipp Krause, Oliver Krause, Michael Bense

 

DSGVO Regeln Videoüberwachung

Regeln für Videoüberwachung

Die Videoüberwachung an nicht-öffentlichen Stellen greift täglich in die Rechte und Freiheiten von Personen ein. Bereits einfachste Überwachungsanlagen verarbeiten erheblich personenbezogene Daten, wie an welchem Tag, um wie viel Uhr, wie lange und an welchem Ort sich die betroffene Person aufhält.
Doch werden Kameras nicht nur zur Sicherheit genutzt, sondern auch eingesetzt um das äußere Erscheinungsbild und Gefühlsregungen oder das Einkaufverhalten von Personen zu analysieren.
Die erfassten Informationen werden in Sekundenbruchteilen erfasst, ausgewertet und vervielfältigt. Sie können in Echtzeit eingesehen und fast unbegrenzt gespeichert werden.
Betroffene haben meist kaum Einfluss auf diese Verarbeitung ihrer personenbezogenen Daten und erfahren selten, welche Daten überhaupt verarbeitet werden und was mit ihnen geschieht.

Die DSK hat zu diesem Thema nun eine Orientierungshilfe erstellt, die die DSGVO Regeln für die Videoüberwachung an nicht-öffentlichen Stellen erläutert. Dabei wurden die Leitlinien 3/2019 des Europäischen Datenschutzausschusses zur Verarbeitung personenbezogener Daten durch Videogeräte, Version 2.0, angenommen am 29. Januar 2020, berücksichtigt. Neu hinzugekommen sind die Abschnitte zur Videoüberwachung in der Nachbarschaft und zur datenschutzrechtlichen Bewertung von Tür- und Klingelkameras, Drohnen und Wildkameras sowie Dashcams.

Betroffene und Verantwortliche erhalten in der DSGVO Hilfe für Videoüberwachung  Informationen für die datenschutzgerechte Videoüberwachung in unterschiedlichen Bereichen, sowie Muster für Hinweisschilder. Darüber hinaus wird eine Checkliste mit den wichtigsten Prüfungspunkten im Vorfeld einer Videoüberwachung bereitgestellt.

Die wichtigsten Schritte, die bei der Videoüberwachung zu erledigen sind:

  1. Protokollierung der Verarbeitungstätigkeit
  2. Auditierung der Videoanlage
  3. Datenschutzfolgeabschätzung für die Videoüberwachung
  4. Informationspflicht nach DS-GVO nachkommen

Für alle Schritte sind Muster auf Anfrage bei uns erhältlich.

Die DSGVO Richtlinien zur Videoüberwachung der DSK können Sie hier herunterladen.