Schwere Missachtung des Beschäftigten-Datenschutzes: 35 Millionen € Bußgeld

Ende Januar 2020 eröffnete der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit gegen die bekannte Modekette H&M ein Bußgeldverfahren wegen Verstöße gegen den Beschäftigtendatenschutz. Nach umfangreichen Ermittlungen verhängte er nun gegen das Modehaus wegen der jahrelangen schwerwiegenden strukturellen Missachtung des Beschäftigtendatenschutzes das bisher höchste deutsche Bußgeld in Höhe von über 35 Millionen Euro. Das Wichtigste in Kürze Mitarbeiter des Unternehmens am Standort Nürnberg sammelten bei Gesprächen mit ihren Angestellten in großem Umfang private Informationen über diese. Die umfangreichen Datensätze mit detaillierten Informationen zum Gesundheitszustand und Beziehungsleben der Mitarbeiter existierten spätestens seit 2014 und waren bis zu deren Entdeckung im Oktober 2019 bis zu 50 Führungskräften zugänglich. Die betroffenen Mitarbeiter hatten keine Kenntnis davon, dass diese Daten gesammelt wurden. Durch einen Konfigurationsfehler war der Ordner im [...]

Hackerangriff auf Universitätsklinikum Düsseldorf – so wichtig sind die TOMs

In den letzten Jahren häufen sich immer mehr Meldungen von Unternehmen und öffentlichen Einrichtungen, die Opfer einer Cyberattacke geworden sind. Die Täter suchen in der Regel gezielt nach bestehenden Sicherheitslücken und nutzen diese aus, um die betreffenden Computersysteme mit Schadsoftware zu infizieren. Die derzeit wohl am weitesten verbreitete Methode der Hacker ist der Einsatz von Verschlüsselungstrojanern, die beispielsweise in manipulierten E-Mails versteckt sind. Mithilfe der Schadsoftware (engl.: Malware) werden Daten, die auf den infizierten Computern gespeichert sind, verschlüsselt. Anschließend fordern die Hacker Lösegeld (engl.: ransom), gegen dessen Bezahlung sie den Schlüssel zur Wiederherstellung der Daten herausgeben wollen. Eine Studie der US-amerikanischen Temple University kam zu dem Ergebnis, dass die Frequenz an (öffentlich bekannten) Ransomware-Attacken dieses Jahr auf dem Höchststand seit 2013 liegt. Je nach [...]

Datenschutz-Urteile des BGH: Cookies & Abmahnungen

Der Bundesgerichtshof (BGH) musste zwei interessante datenschutzrechtliche Entscheidungen treffen. Beide Fälle waren juristisch noch nach den Vorschriften vor 2018 und damit vor der DS-GVO zu beurteilen. Trotzdem sind beide Entscheidungen wegweisend für das heutige Datenschutzrecht auf Basis der DS-GVO. Im ersten Fall geht es um die Gestaltung von Cookie-Bannern zur Einholung einer datenschutzrechtlichen Einwilligung, im zweiten Fall um die Abmahnfähigkeit von Datenschutzverstößen. Was sind Cookies? Cookies sind kleine Textdateien, die von einer Website, die der Nutzer besucht, auf dessen Endgerät wie z. B. dem Computer oder Handy gespeichert werden. Sie sind z. B. für nutzerfreundliche Funktionen von Webseiten, zur Analyse des Userverhaltens, zur Auswertung von Seitenperformances oder dem Speichern der Cookieeinstellungen notwendig und sollen den Nutzern dadurch das Surfen im Internet erleichtern. Abhängig von [...]

Frankreich: Bußgeld wegen unangemessener Informationen im CRM-System

Systeme zum Customer-Relationship-Management (CRM) sind für die meisten Unternehmen heute gar nicht mehr wegzudenken. Das Angebot an CRM-Software ist vielfältig und die Funktionen der Systeme werden stets verbessert und ausgebaut. Was bei vielen Produkten und bei der Arbeit mit CRM-Systemen allerdings nur wenig oder gar nicht beachtet wird, ist der Datenschutz. Die datenschutzrechtlichen Vorgaben sind nämlich nicht nur mit einem gewissen technischen und arbeitsintensiven Aufwand verbunden, sie widersprechen zum Teil auch den Zielen der Unternehmen. Aus Sicht der Unternehmen sollen nämlich möglichst viele Informationen über die eigenen Kunden und die Kundenhistorie an einer Stelle gesammelt werden und bei Bedarf abrufbar sein. Das gilt nicht nur für Kontaktdaten oder Angaben mit Bezug auf die Geschäftsbeziehung. In vielen Fällen werden auch über die Dauer des Geschäftsverhältnisses [...]

Konfigurationsfehler bei Back-up-Server – Millionen Kundendaten im Netz

Stand: 13.05.2022 Die DS-GVO enthält vier Schutzziele, die bei der Verarbeitung personenbezogener Daten beachtet werden müssen – Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit. Um diese Ziele zu erreichen, müssen eine Reihe von Maßnahmen zum Schutz personenbezogener Daten getroffen werden, die sogenannten Technisch-Organisatorischen Maßnahmen (TOMs). Dass diese Schutzziele zusammenspielen und bei der Umsetzung in Form von TOMs nicht getrennt voneinander betrachtet werden sollten, zeigt eine Datenpanne bei einem der größten Autovermieter in Deutschland. Um die Verfügbarkeit zu gewährleisten, erstellte das Unternehmen täglich ein Back-up der Daten. Die Back-up-Dateien wurden auf einem angemieteten Cloud-Rechner gesichert. Das Problem dabei war, dass aufgrund eines Konfigurationsfehlers des Servers die Dateien offen im Internet für jedermann abrufbar waren. Die personenbezogenen Daten konnten über mehrere Wochen hinweg von Internetusern ohne großen Aufwand [...]

EuGH-Urteil zu Cookies: Ohne aktive Zustimmung keine Einwilligung

Die Verwendung von Cookies auf Homepages ist hoch umstritten und viel diskutiert. Was muss beim Setzen von Cookies beachtet werden? Ist eine Einwilligung des Users notwendig? Welche Voraussetzungen werden an eine wirksame Einwilligung gestellt? – Alles Fragen, für die es bisher nur unterschiedliche Ansichten und sehr strenge Leitlinien von Seiten der Aufsichtsbehörden gibt. Mit seinem heutigen Urteil hat der EuGH zur Gestaltung von Einwilligungserklärungen zum Setzen von Cookies klar Stellung bezogen: Auf Informationen, die im Endgerät eines Nutzers gespeichert sind, darf nur zugegriffen werden, wenn der betreffende Nutzer auf der Grundlage von klaren und umfassenden Informationen, seine Einwilligung gegeben hat Es spielt keine Rolle ob es sich bei den gespeicherten Informationen um personenbezogene Daten handelt, oder nicht Der Nutzer muss vor Erteilung seiner Einwilligung [...]

Absolutes Koppelungsverbot durch die DS-GVO – oder doch nicht?

– Neues Urteil des OLG Frankfurt – Vor Inkrafttreten der DS-GVO haben viele Marketingverantwortliche gern darauf zurückgegriffen, ihren Kunden oder Nutzern auf Websites oder in Onlineshops „kostenfrei“ Freebies wie E-Books oder die Teilnahme an Gewinnspielen anzubieten. Im Gegenzug mussten die Nutzer ihre E-Mail-Adresse oder Telefonnummer angeben und zustimmen, Newsletter oder Angebote zu erhalten. Dieses Vorgehen war sowohl wettbewerbsrechtlich als auch datenschutzrechtlich zulässig, solange die Einwilligung klar und verständlich formuliert war. Im Zuge der DS-GVO kam eine große Unsicherheit bei den Zuständigen auf, ob diese Werbemethode noch erlaubt ist oder nicht. Eine weitläufige Auffassung ist, dass eine Einwilligung gem. Art. 7 DS-GVO nicht wirksam erteilt wird, wenn von ihr der Erhalt kostenfreier Leistungen abhängig gemacht wird. Eine solche Koppelung würde die Anforderungen des Art. 7 [...]

EuGH-Urteil: Datenschutzrechtliche Verantwortung für den Like-Button

Beim bekannten Sozialen Netzwerk „Facebook“ gehen in puncto Datenschutz weder die Skandale zu Verletzungen des Datenschutzes, noch die Streitfragen zur Verantwortlichkeit für den Datenschutz aus. Nachdem das oberste europäische Gericht, der EuGH in Luxemburg, bereits letztes Jahr entschieden hat, dass Unternehmen bei der Nutzung des Fanpage-Angebots des Sozialen Netzwerks eine Mitverantwortung für den Datenschutz tragen, hat er heute klargestellt, dass diese auch bei der Verwendung von Plugins wie dem Facebook-Like-Button gilt. Nach der heutigen Entscheidung des EuGH bewegen sich Unternehmen bei der Verwendung des Like-Button von Facebook, oder ähnlich funktionierender Plugins, datenschutzrechtlich auf dünnem Eis. Damit das Plugin datenschutzkonform eingebunden ist, müssen drei zentrale Aspekte beachtet werden: Vereinbarung über gemeinsame Verantwortung mit Facebook nach Art. 26 DS-GVO ist Pflicht Transparente Information der Homepagenutzer über [...]

Nach oben