Art. 22 DSGVO Archive - VINQO Rechtsanwälte

5 Datenschutzverletzungen im Alltag inkl. Bußgelder

admin — Thu, 11 Jan 2024 13:21:34 +0000

Datenschutz ist aus Sicht von Unternehmen ein lästiges und aufwändiges Thema. Zwar hat seit Einführung der DSGVO das Bewusstsein für Datenschutz durch unzählige Cookie-Banner und Einwilligungen zugenommen, im Arbeitsalltag kommt es trotzdem noch zu unzähligen kleinen und großen Datenschutzverstößen.

Wir zeigen 5 typische Datenschutzverstöße im Alltag – und was sie für Unternehmen für wirtschaftliche Folgen haben können.

1. E-Mail an falschen Empfänger

Im hektischen Büroalltag kann es schnell passieren: eine E-Mail wird an den falschen Empfänger versendet, in der E-Mail oder dem Anhang sind personenbezogene Daten von Kunden oder Mitarbeitenden enthalten.

Man hofft, dass das Missgeschick nicht auffällt. Doch wenn es auffällt, wird es für Unternehmen teuer:

3.000,00 € Bußgeld (das auf 1.800,00 € herabgesetzt wurde) musste ein spanisches Unternehmen zahlen, weil es von knapp 75 Personen betriebsintern die personenbezogenen Daten zur Verifizierung teilte.
74.000,00 € Schmerzensgeld (also ca. 1.000,00 € pro Person) könnte als wirtschaftliches Risiko hinzutreten.

Eine einzige E-Mail hat damit einen Schadenspotential von knapp 80.000,00 € verursacht.

Aber auch wenn nur eine einzige Person von der falschen E-Mail betroffen ist, kann es für Unternehmen zu hohen Zahlungen kommen:

50.000,00 € Bußgeld musste die spanische Vodafone-Gesellschaft wegen zwei Rechnungen, die an eine falsche Person versendet worden ist. Das Callcenter reagierte auf Nachfrage nicht. Das Bußgeld konnte durch freiwillige Zahlungen auf 40.000,00 € reduziert werden.
2.000,00 € Bußgeld wurde gegen ein deutsches Inkassounternehmen wegen der unzulässigen Weitergabe von Personendaten per E-Mail festgesetzt.

Damit zeigt sich: auch bei einem vermeintlich kleinen Verstoß drohen erhebliche Bußgelder und Schadenersatzansprüche

2. Newsletter und Werbemails

Für Unternehmen ist der enge Kontakt zu bestehenden und potentiellen Neukunden von großer wirtschaftlicher Bedeutung und wird schon aufgrund der kaum entstehenden Kosten gerne und häufig genutzt.

Dabei übersehen Unternehmen in der Praxis häufig, dass E-Mails mit (vermeintlich) interessanten Produktinhalten schnell als Werbe-Mail klassifiziert werden, für die eine Einwilligung des Kunden notwendig ist.

Fehlt diese oder wird auf Abmeldeversuche oder Widersprüche nicht oder nicht rechtzeitig reagiert, reagieren Aufsichtsbehörden mit nachdrücklichen Bußgeldern:

1.24 Mio. € Bußgeld gegen die AOK Baden-Württemberg wegen der werblichen Nutzung von 500 Personendatensätzen.
500.000,00 € Schmerzensgeld als Schadenpotential der betroffenen Teilnehmer zzgl. Verfahrenskosten.
75.000,00 € Bußgeld musste ein Unternehmen wegen unzulässiger Werbemails nebst Tracking zahlen.
40.000,00 € Bußgeld musste ein der Landesbeauftragten für Datenschutz von Baden-Württemberg unterstelltes Unternehmen für unzulässiges E-Mail-Marketing zahlen.

3. Überwachungskameras

Überwachungskameras werden von Privatpersonen wie Unternehmen gleichermaßen gerne eingesetzt. Dabei übersehen insbesondere Privatpersonen häufig: Das Filmen ohne Beschilderung von Privatgeländen bzw. von öffentlichen Bereichen ist dabei regelmäßig datenschutzwidrig und kann zugleich eine Vielzahl an Personen betreffen.

Deshalb ergehen hierzu Bußgelder mit auffälliger Regelmäßigkeit europaweit:

3.000,00 € Bußgeld gegen einen italienischen Einzelhändler, weil dieser Überwachungskameras ohne Einwilligung bzw. Beschilderung installierte.
3.000,00 € Bußgeld gegen eine Privatperson wegen zwei Kameras mit Bewegungsmelder, die auch die öffentliche Straße mit filmte.
2.000,00 € Bußgeld gegen einen deutschen Gastronom wegen unzulässiger Überwachungskameras im Gastbereich.

4. Schlechte IT-Sicherheit

Auch wenn im Grunde jedes IT-System erfolgreich angreifbar ist, müssen Unternehmen und Behörden technisch-organisatorische Maßnahmen ergreifen, die die IT- und damit Datensicherheit wahren.

Dies hat auch der EuGH noch einmal festgestellt und dabei unterstrichen, dass eine Datenpanne zu der widerlegbaren Vermutung führt, dass die IT-Sicherheit nicht den Anforderungen der DSGVO entsprach.

Dabei reagieren Datenschutzbehörden mit empfindlichen Bußgeldern bei schlechter Datensicherheit:

45.000,00 € Bußgeld gegen eine zyprische Universität wegen unzureichender technisch-organisatorischer Maßnahmen zum Schutz der Personendaten.
10.000,00 € Bußgeld musste ein polnisches Unternehmen aufgrund mangelnder IT-Sicherheit nach einem Ransomware Angriff zahlen.
2.244,00 € Bußgeld gegen ein rumänisches Unternehmen nach einer Ransomware Attacke wegen mangelnder IT-Sicherheit. Hierbei ist die länderspezifische Kaufkraft zu berücksichtigen.

Die mangelnde Datensicherheit birgt nach erfolgreichen Hacker- und Ransomware-Angriffen damit ein erhöhtes Bußgeld für betroffene Unternehmen.

Neben den erhöhten Bußgeldern drohen insbesondere massenhafte Schadenersatzforderungen von Betroffenen. Denn zumeist sind die gesamten Kundendatenbanken nach Ransomware-Attacken verschlüsselt.

5. Anfragen ignorieren

Anfragen, die per E-Mail oder Telefon bei Unternehmen oder Behörden zum Thema Datenschutz eingehen, werden zumeist initial vom Sekretariat, First-Level-Support oder der regulären Sachbearbeitung bearbeitet, ohne besondere Sensibilisierung für die „Brisanz“ simpler Anfragen, die z.B. wie folgt lauten können:

„Löschen Sie endlich meine Daten!“
„Ich will keine E-Mails von Ihnen mehr erhalten!“
„Woher haben Sie überhaupt meine Daten?!“

Solche Anfragen sind allesamt als datenschutzrechtliche Erklärungen zu sehen (Löschung, Widerruf einer Einwilligung, Auskunft).

Besteht kein Prozess für solche Anfragen oder werden diese schlicht ignoriert und der Aufsichtsbehörde durch den Betroffenen zugleitet, drohen ebenfalls Bußgelder:

300.000,00 € Bußgeld aufgrund von mehreren Beschwerden von Privatpersonen. Diese hatten Schwierigkeiten gehabt, ihre Rechte auf Zugang zu und Löschung ihrer personenbezogenen Daten auszuüben.
15.000,00 € Bußgeld. Eine Privatperson verlangt Auskunft und Löschung von einem Unternehmen. Das Unternehmen teilte der Privatperson jedoch zunächst mit, dass seine E-Mail-Adresse gelöscht worden sei und er daher keine weiteren E-Mails mehr erhalten werde. Auf den Auskunftsantrag erhielt die Person keine Antwort.
5.000,00 € Bußgeld gegen ein deutsches Unternehmen, das den Widerspruch und die Löschungsaufforderung einer Privatperson ignorierte.

Ihnen wird ein Datenschutzvorfall vorgeworfen?

Wir beraten und vertreten Unternehmen, Behörden und öffentlich-rechtliche Körperschaften nach Datenschutzvorfällen mit unserer Taskforce aus Rechtsanwälten und Informatikern.

Es wird noch teurer

Während die in datenschutzrechtlichen Bußgeldverfahren verhängten Bußgelder schon jetzt teilweise nicht unerheblich sind, gibt es bereits europäische Bestrebungen, die Bußgeldverfahren gem. Art. 83 DSGVO auszubauen. Unter dem Titel

„Data protection: Commission adopts new rules to ensure stronger enforcement of the GDPR in cross-border cases“

sind Verschärfungen zu Lasten von Verantwortlichen wie Unternehmen und Behörden geplant, sodass die Bußgeldverfahren nach Datenschutzvorfällen – neben den Massenverfahren durch die Betroffenen selbst – immer größere, auch wirtschaftliche Relevanz haben werden.

Dabei sollten Vorstände, Geschäftsführer und leitende Beamte mit Vermögensbetreuungspflichten frühzeitig die kritischen Datenschutzverfahren durch eine externe Taskforce für Datenschutzrecht führen lassen.

Wir beraten Unternehmen, Behörden und öffentlich-rechtliche Körperschaften nach Datenschutzvorfällen mit einem interdisziplinären Team aus Rechtsanwälten für Datenschutzrecht und Informatikern, um eine ganzheitliche Betrachtung aus rechtlichen und technischen Blickwinkeln sicherstellen zu können.

Der Beitrag 5 Datenschutzverletzungen im Alltag inkl. Bußgelder erschien zuerst auf VINQO Rechtsanwälte.

EuGH: Was das Schufa-Urteil mit ChatGPT & KI zu tun hat – und was Unternehmen jetzt wissen müssen

admin — Thu, 21 Dec 2023 13:52:01 +0000

Der Europäische Gerichtshof (EuGH) hat in diesem Jahr gleich mehrfach zur DSGVO geurteilt und sich dabei insbesondere mit dem Schmerzensgeld nach Datenschutzverstößen gem. Art. 82 DSGVO beschäftigt – mit teilweise dramatischen Haftungsrisiken für Unternehmer.

Mit den „SCHUFA“ Urteilen des EuGH vom 07.12.2023 – der EuGH hat zwei Urteile zu insgesamt drei Vorlagen entschieden – setzt der EuGH zusätzliche Leitplanken für die automatisierte Entscheidungsfindung, die auch Auswirkungen für den Einsatz von KI-Lösungen wie ChatGPT in Unternehmen haben.

Wir erklären, worauf Unternehmen aufgrund des SCHUFA Urteils nun im Arbeitsalltag achten müssen.

Wenn Algorithmen entscheiden

Der Sachverhalt des ersten SCHUFA Verfahrens ist einfach:

Die unfreiwilligen „Kunden“ der SCHUFA verlangten die Löschung ihrer Bonitätsdaten, hier hinsichtlich der s.g. Restschuldbefreiung nach einem Insolvenzverfahren, was die SCHUFA verweigerte.

Auch die Landesdatenschutzbehörde war der Auffassung, dass die Verarbeitung durch die SCHUFA nicht rechtswidrig war. Hiergegen gingen die Betroffenen gerichtlich vor. Das zuständige Verwaltungsgericht legte die rechtlichen Grundsatzfragen hinsichtlich der DSGVO dem EuGH vor.

Dabei ging es um zwei zentrale Punkte:

Durfte die SCHUFA Informationen aus öffentlichen Registern über Schuldnerdaten länger speichern, als das Register selbst?
Darf die SCHUFA derartige Daten „auf Vorrat“ speichern, um diese bei einer Bonitätsabfrage dann zur Verfügung zu stellen?

In der zweiten Entscheidung des EuGH vom 07.12.2023, C‑634/21, zur SCHUFA wurde dem Betroffenen aufgrund einer „negativen SCHUFA“ ein Kredit verwehrt.

Auch hier wurde die Landesdatenschutzbehörde eingeschaltet – auch hier ohne Erfolg.

Dabei ging es um die Frage:

Liegt eine automatisierte Entscheidung gem. Art. 22 DSGVO vor, wenn der automatisiert erstellte SCHUFA-Score durch die anfragenden Unternehmen wie Banken faktisch ohne weitere Prüfung übernommen werden?
Ist dies rechtlich zulässig?

EuGH: Datenschutz first

Der EuGH stellte in der ersten Entscheidung fest, dass die Daten nicht länger in eigenen Datenbanken gespeichert werden dürfen, als dies in öffentlichen Registern zulässig sei. Andernfalls könne der Schutzzweck eines finanziellen „Neustarts“ nicht gewährleistet werden.

Die SCHUFA hatte bereits Monate vor dem Urteil angekündigt, diese Daten zu löschen – eine Reaktion auf die Schlussanträge des Generalanwalts.

An dem automatisierten Scoring hielt die SCHUFA jedoch fest. Es sei keine automatisierte Entscheidungsfindung, denn man liefere den Unternehmen nur eine automatisiert erstellte Einschätzung zur Bonität an, auf der Grundlage jedes Unternehmen dann eigenständig und damit nicht automatisiert entscheide, ob ein Kredit vergeben werde oder ein Mobilfunkvertrag abgeschlossen wird.

Doch der EuGH stellte fest:

„Eine „automatisierte Entscheidung im Einzelfall“ im Sinne dieser Bestimmung vorliegt, wenn ein auf personenbezogene Daten zu einer Person gestützter Wahrscheinlichkeitswert in Bezug auf deren Fähigkeit zur Erfüllung künftiger Zahlungsverpflichtungen durch eine Wirtschaftsauskunftei automatisiert erstellt wird, sofern von diesem Wahrscheinlichkeitswert maßgeblich abhängt, ob ein Dritter, dem dieser Wahrscheinlichkeitswert übermittelt wird, ein Vertragsverhältnis mit dieser Person begründet, durchführt oder beendet.“

Denn Art. 22 Abs. 1 DSGVO sieht vor, dass die betroffene Person das Recht hat, nicht

einer ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen zu werden, die
ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt.

Dies gilt auch dann, wenn eine dritte Person den automatisierten Scoring-Wert einsetzen und hiervon das Eingehen von Verträgen abhängig machen wollen.

Ob für die Auskunftei eine deutsche Vorschrift in der BDSG ausnahmsweise doch eine rechtmäßige Datenverarbeitung ermöglicht, musste der EuGH offen lassen, hat aber bemerkenswert deutliche Zweifel angemerkt.

Vereinfacht bedeutet dies: eine automatisierte Entscheidung, die durch Dritte weiterverwendet wird, um eine rechtliche Entscheidung (z.B. über einen Vertragsschluss) zu treffen, kann „zusammengezogen“ und insgesamt als automatisierte Entscheidung betrachtet werden, die grundsätzlich unzulässig ist.

EuGH Urteil als PDF herunterladen

Den Volltext des Urteils können Sie in deutscher Sprache herunterladen (C‑634/21 vom 07.12.2023, ECLI:EU:C:2023:957)

Praxisprobleme ohne Ende

Was die im Sinne der „Effektivität“ der DSGVO getroffene Entscheidung des EuGH zur SCHUFA fernab von Bonitätsfragen im Alltag von Unternehmen bedeutet, wird schmerzlich anhand einfacher Beispiele deutlich:

Ein Kunde stellt eine Anfrage. Der Account-Manager lehnt die Anfrage nach einer kurzen Google Suche ab.
Mit ChatGPT sollen Kundenanfragen mithilfe von Formulierungsvorschlägen beantwortet werden.
Ein Algorithmus soll finanz- und versicherungsrelevante Daten zur Bestimmung der Versicherungsprämie ermitteln.

Eigentlich würde man bei all diesen Beispielen intuitiv einwenden, dass die Ergebnisse – ob Google Recherche, Formulierungsvorschlag oder Prämienberechnung – noch einmal durch einen Menschen genutzt wird und deshalb keine grundsätzlich unzulässige automatisierte Entscheidung mit rechtlicher Wirkung vorliegt.

Der EuGH sieht dies aber anders, wenn der Mensch nur ein automatisiert erstelltes Endergebnis weiterverwendet.

Hierzu hat sich auch der Hamburger Datenschutzbeauftragte geäußert und genau diese Ableitungen für KI Lösungen in der taggleichen Pressemitteilung unterstrichen:

„Wird künstliche Intelligenz beispielsweise eingesetzt, um Bewerbungen vorzusortieren oder um für medizinische Einrichtungen zu analysieren, welche Patien:innen sich besonders für eine Studie eignen, sind die Ergebnisse nur auf den ersten Blick reine Vorschläge.
Wenn diese vorbereitenden Darstellungen aber auf Basis kaum nachvollziehbarer, von der KI eigenständig entwickelter Kriterien entstanden sind, ist die Nähe zur Wirkweise einer Auskunfteien-Bewertung im Sinne des EuGH-Urteils groß. Was also für Schufa-Scores gilt, gilt dann auch für den Output einer künstlichen Intelligenz. Dem Urteil entsprechend müssen solche KI-basierte Bewertungen mit einer menschlichen Beurteilung verknüpft werden.
Das stellt Anwendende vor einige Herausforderungen, denn die letztentscheidende Person benötigt Sachkunde und genug Zeit, um die maschinelle Vorentscheidung hinterfragen zu können. Nach den neuen Maßstäben des EuGH ist genau das aber jetzt essenziell: die involvierte Logik nachvollziehen und gegebenenfalls übersteuern zu können, die hinter dem computergenerierten Vorschlag steckt.“

Was Unternehmen jetzt tun müssen

Unternehmen müssen reagieren und die eigenen Datenverarbeitungsprozesse überprüfen. Hierzu empfiehlt sich ein interdisziplinärer Datenschutzaudit um rechtliche und technische Aspekte gemeinsam berücksichtigen zu können.

Hierbei von hoher Bedeutung: Eine ausführliche Dokumentation und eine differenzierte Abwägung der Prozesse.

Zusätzlich müssen wirksame ausdrückliche Einwilligungen erfasst, formuliert, dokumentiert und gespeichert werden, da dies gem. Art. 22 Abs. 2 lit. c) DSGVO noch Grundlage einer automatisierten Entscheidungsfindung sein kann.

Unternehmen, die trotz der EuGH Rechtsprechung automatisierte Entscheidungsfindungen rechtswidrig betreiben, müssen wegen eines anderen EuGH Urteils mit massenhaften Schadenersatzansprüchen nach einem Datenschutzverstoß rechnen.

Der Beitrag EuGH: Was das Schufa-Urteil mit ChatGPT & KI zu tun hat – und was Unternehmen jetzt wissen müssen erschien zuerst auf VINQO Rechtsanwälte.