Aktuelle Urteile und Bußgelder

Seit dem Inkrafttreten der DS-GVO sind fast zwei Jahre vergangen, weshalb es mittlerweile zu einigen Fragestellungen des Datenschutzes gerichtliche Urteile gibt. Dieser Artikel gibt einen Überblick über aktuelle datenschutzrechtliche Gerichtsentscheidungen zu Themen wie der Datenschutzpolitik von Facebook, der Arbeitszeiterfassung mittels Fingerabdruck, der Abmahnfähigkeit von DS-GVO-Verstößen, der Reichweite des Auskunftsanspruchs, zu datenschutzrechtlichen Schadensersatzansprüchen oder zu der Einwilligung beim Einsatz von Cookies sowie über aktuell verhängte interessante Bußgelder aus Bonn, Berlin, Österreich, Frankreich, Ungarn, England, Dänemark, Griechenland und Rumänien. Der Strauß der sanktionierten Pflichtverletzungen ist bunt und reicht von der Missachtung der Betroffenenrechte über Sicherheitslücken, mangelhafte TOMs und falsche Rechtsgrundlagen bis hin zu Verletzungen der Löschpflichten. Zusätzlich gab es in Deutschland und Norwegen zwei interessante Datenschutzverstöße wegen Ausspionieren der Mitarbeiter bzw. wegen unerlaubten Werbetrackings. Urteil des [...]

Frankreich: Bußgeld wegen unangemessener Informationen im CRM-System

Systeme zum Customer-Relationship-Management (CRM) sind für die meisten Unternehmen heute gar nicht mehr wegzudenken. Das Angebot an CRM-Software ist vielfältig und die Funktionen der Systeme werden stets verbessert und ausgebaut. Was bei vielen Produkten und bei der Arbeit mit CRM-Systemen allerdings nur wenig oder gar nicht beachtet wird, ist der Datenschutz. Die datenschutzrechtlichen Vorgaben sind nämlich nicht nur mit einem gewissen technischen und arbeitsintensiven Aufwand verbunden, sie widersprechen zum Teil auch den Zielen der Unternehmen. Aus Sicht der Unternehmen sollen nämlich möglichst viele Informationen über die eigenen Kunden und die Kundenhistorie an einer Stelle gesammelt werden und bei Bedarf abrufbar sein. Das gilt nicht nur für Kontaktdaten oder Angaben mit Bezug auf die Geschäftsbeziehung. In vielen Fällen werden auch über die Dauer des Geschäftsverhältnisses [...]

Konfigurationsfehler bei Back-up-Server – Millionen Kundendaten im Netz

Die DS-GVO enthält vier Schutzziele, die bei der Verarbeitung personenbezogener Daten beachtet werden müssen – Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit. Um diese Ziele zu erreichen, müssen eine Reihe von Maßnahmen zum Schutz personenbezogener Daten getroffen werden, die sogenannten Technisch-Organisatorischen Maßnahmen (TOMs). Dass diese Schutzziele zusammenspielen und bei der Umsetzung in Form von TOMs nicht getrennt voneinander betrachtet werden sollten, zeigt eine Datenpanne bei einem der größten Autovermieter in Deutschland. Um die Verfügbarkeit zu gewährleisten, erstellte das Unternehmen täglich ein Back-up der Daten. Die Back-up-Dateien wurden auf einem angemieteten Cloud-Rechner gesichert. Das Problem dabei war, dass aufgrund eines Konfigurationsfehlers des Servers die Dateien offen im Internet für jedermann abrufbar waren. Die personenbezogenen Daten konnten über mehrere Wochen hinweg von Internetusern ohne großen Aufwand heruntergeladen werden, [...]