Einleitung<\/p>\n\n\n\n
Immer wieder liest man, dass in Frage gestellt wird, inwieweit man sich eigentlich den Aufwand zur Implementierung der Anforderungen der DSGVO antun sollte. Doch ist es angebracht, sich in Gelassenheit und Sicherheit zu wiegen? Dies vor allem in Anbetracht des immer wachsenden Bewusstseins und der Aufmerksamkeit der breiten Bev\u00f6lkerung und der damit einhergehenden Motivation, sich an die europ\u00e4ischen Datenschutzbeh\u00f6rden und einschl\u00e4gigen Organisationen (allen voran noyb) mit Verdachtsf\u00e4llen zu wenden.<\/p>\n\n\n\n
Man sollte sich in diesem Sinne vor Augen f\u00fchren, dass die DSGVO EUR 10 Mio. oder 2 Prozent des weltweiten Vorjahresumsatzes und in schwerwiegenden F\u00e4llen sogar EUR 20 Mio. oder 4 Prozent des weltweiten Vorjahresumsatzes als Strafma\u00df f\u00fcr Datenschutzverletzungen vorsieht. Wir m\u00f6chten in diesem Blogbeitrag anhand von interessanten Entscheidungen unseren Beitrag zur \u201eGDPR Awareness\u201c leisten.<\/p>\n\n\n\n
\u00d6sterreich<\/p>\n\n\n\n
EUR 2 Mio. gegen den \u201ej\u00f6 Bonus Club\u201c verh\u00e4ngt<\/p>\n\n\n\n
Die 100-prozentige REWE \u00d6sterreich Tochter Unser \u00d6-Bonus Club GmbH (<\/strong>im Folgenden \u201ej\u00f6 Bonus Club\u201c)<\/strong>, die den j\u00f6 Bonus Club betreibt, wurde von der \u00f6sterreichischen Datenschutzbeh\u00f6rde am 26.07.2021 mit einer Strafe von EUR 2 Mio. belegt. Hintergrund ist die Registrierung von 2,3 Mio. Nutzern zum genannten Pr\u00e4mienprogramm im Zeitraum zwischen Mai 2019 und Februar 2020. Im Zuge der Registrierung sei die Einwilligung zum Profiling (automatisierte Verarbeitung personenbezogener Daten) der betroffenen Nutzer nicht DSGVO-konform erfolgt. Konkret beanstandet die Datenschutzbeh\u00f6rde die Formatierung auf der Website des j\u00f6 Bonus Club sowie auf Anmeldeformularen. Eine Einwilligung zum Profiling soll nicht immer eindeutig ersichtlich gewesen sein. Das habe der j\u00f6 Bonus Club auch eingesehen und ge\u00e4ndert \u2013 die Daten von 2,3 Mio. Personen seien aber weiterverwendet worden.<\/p>\n\n\n\n Grunds\u00e4tzlich ist Profiling per se nicht unzul\u00e4ssig, der Betroffene muss jedoch dazu seine Einwilligung (u.a. freiwillig, bestimmt, informiert, und unmissverst\u00e4ndlich) erteilen.<\/p>\n\n\n\n Das Profiling des J\u00f6 Bonus Club funktioniert folgenderma\u00dfen: Alle Nutzungsdaten zum Einkaufsverhalten des jeweiligen Nutzers werden geb\u00fcndelt und es wird auf Basis der Daten ein Profil des Nutzers erstellt. Das Profil dient dazu, den Kunden in Kategorien einzustufen, wie etwa \u201eBio- oder Diskontaffinit\u00e4t\u201c. Jemand der gern Bio kauft, w\u00fcrde daraufhin von s\u00e4mtlichen am Pr\u00e4mienprogramm teilnehmenden H\u00e4ndlern entsprechende Angebote per Post, Newsletter oder in der j\u00f6 Bonus Club-App bekommen. Neben den REWE-Konzernt\u00f6chtern (wie etwa Billa, Penny und Bipa) nehmen u.a. die BAWAG PSK, die Allianz, Mjam, Pearle, Pagro und die OMV am Pr\u00e4mienprogramm teil.<\/p>\n\n\n\n Laut Vertretern des j\u00f6 Bonus Club konnten die Nutzer das Profiling auch im von der Datenschutzbeh\u00f6rde beanstandeten Zeitraum ablehnen. Bem\u00e4ngelt wurde seitens j\u00f6 Bonus Club auch, dass die Strafe auf Grundlage des Konzernumsatzes der Muttergesellschaft REWE International Dienstleistungsgesellschaft mbH berechnet wurde. Es wurde daher eine Bescheidbeschwerde an das Bundesverwaltungsgericht erhoben (zumindest wurde eine solche angek\u00fcndigt).<\/p>\n\n\n\n EUR 525.000,00 gegen die Plattform Locate Family verh\u00e4ngt<\/p>\n\n\n\n An sich ist der Zweck der kanadischen Onlineplattform Locate Family ein recht l\u00f6blicher und anst\u00e4ndiger, zumal sie dazu beitr\u00e4gt, den verlorenen Kontakt zwischen Familienmitgliedern und anderen Bekannten wiederherzustellen.<\/p>\n\n\n\n Die niederl\u00e4ndische Datenschutzbeh\u00f6rde Autoriteit Persoonsgegevens <\/em>hat jedoch auf zahlreiche Beschwerden hin, die Praktiken der Onlineplattform untersucht und am 12.05.2021 festgestellt, dass Locate Family weltweit Kontaktinformationen (Adressen, teilweise Telefonnummern) ohne Wissen und ohne Zustimmung der jeweiligen Personen sammelt und f\u00fcr jeden, der \u00fcber einen Account auf der Plattform verf\u00fcgt, zug\u00e4nglich macht. Allein in den Niederlanden sind davon 700.000 Personen betroffen.<\/p>\n\n\n\n Die Onlineplattform verf\u00fcgte \u00fcber keinen EU-Vertreter und steht daher nach Ansicht der niederl\u00e4ndischen Datenschutzbeh\u00f6rde kein einfacher Mechanismus zur Durchsetzung von Betroffenenrechten (insbesondere die Daten effektiv l\u00f6schen zu lassen) zur Verf\u00fcgung. Unternehmen ohne Sitz in der EU, die in der EU Waren oder Dienstleistungen anbieten, sind n\u00e4mlich gem\u00e4\u00df Art. 27 iVm Art. 3 Abs. 2 DSGVO verpflichtet einen EU-Vertreter (mit Sitz in der EU) namhaft zu machen.<\/p>\n\n\n\n Betrachtet man den vermeintlich geringen Versto\u00df, den Locate Family zu vertreten hat (die fehlende Benennung eines EU-Vertreters), ist das Unternehmen mit einer doch empfindlichen Strafe belegt worden.<\/p>\n\n\n\n Erw\u00e4hnens- und in der Praxis begr\u00fc\u00dfenswert ist in diesem Zusammenhang auch die Bu\u00dfgeldordnung der niederl\u00e4ndischen Datenschutzbeh\u00f6rde (stcrt-2019-14586_0.pdf (autoriteitpersoonsgegevens.nl<\/strong><\/a>)<\/a>.<\/p>\n\n\n\n EUR 750.000,00 \u00fcber TikTok verh\u00e4ngt<\/p>\n\n\n\n Die niederl\u00e4ndische Datenschutzbeh\u00f6rde hat am 22.07.2021 eine EUR Strafe in H\u00f6he von 750.000,00 \u00fcber die mittlerweile wohl weltweit am h\u00e4ufigsten heruntergeladene Social-Media-Plattform TikTok verh\u00e4ngt.<\/p>\n\n\n\n Dies mit der Begr\u00fcndung, dass die den niederl\u00e4ndischen Nutzern (in gro\u00dfer Anzahl Kinder) zur Verf\u00fcgung gestellte Datenschutzerkl\u00e4rung nur auf Englisch abgefasst wurde und somit nicht leicht verst\u00e4ndlich ist. Dadurch hat TikTok es verabs\u00e4umt, seine User \u00fcber die Sammlung, Verarbeitung und Nutzung von Daten rechtm\u00e4\u00dfig aufzukl\u00e4ren. Dies stellt einen Versto\u00df gegen einen wesentlichen datenschutzrechtlichen Grundsatz, n\u00e4mlich das Transparenzgebot, dar.<\/p>\n\n\n\n Dazu kommt, dass Kinder naturgem\u00e4\u00df sich der Konsequenzen ihres Handelns weniger bewusst sind und somit die Bedeutung und Reichweite der Weitergabe pers\u00f6nlicher Daten in sozialen Medien nicht verstehen. Aus diesem Grund werden Kinder datenschutzrechtlich st\u00e4rker gesch\u00fctzt.<\/p>\n\n\n\n Die niederl\u00e4ndische Datenschutzbeh\u00f6rde konnte den Sachverhalt deshalb untersuchen, da TikTok bis dato seinen Hauptsitz in der Volksrepublik China hatte. F\u00fcr Unternehmen, die keinen Hauptsitz in der EU haben, kann sich n\u00e4mlich jeder EU-Mitgliedstaat f\u00fcr zust\u00e4ndig erkl\u00e4ren. Da TikTok mittlerweile seinen Hauptsitz nach Irland verlegt hat, ist die irische Datenschutzbeh\u00f6rde f\u00fcr zuk\u00fcnftige (weitergehende) Untersuchungen zust\u00e4ndig. <\/p>\n\n\n\n Nachdem im Oktober 2020 die niederl\u00e4ndische Datenschutzbeh\u00f6rde dem Unternehmen den Untersuchungsbericht vorlegte, hat TikTok zahlreiche \u00c4nderungen vorgenommen, um ihre App sicherer f\u00fcr Kinder unter 16 Jahren zu gestalten. Ein ungel\u00f6stes Problem bleibt jedoch, dass Kinder im Zuge der Erstellung eines Accounts weiterhin angeben k\u00f6nnen, \u00e4lter zu sein und sich dadurch selbst einem gr\u00f6\u00dferen Risiko aussetzen.<\/p>\n\n\n\n Seit der \u00c4nderung besteht f\u00fcr Eltern die M\u00f6glichkeit, die Privatsph\u00e4re-Einstellungen der Accounts ihrer Kinder \u00fcber ihr eigenes Konto und die Funktion family pairing<\/em> zu verwalten.<\/p>\n\n\n\n Gegen die Geldstrafe selbst hat TikTok ein Rechtsmittel erhoben.<\/p>\n\n\n\n Rekordstrafe f\u00fcr Amazon in H\u00f6he von EUR 746 Mio.<\/p>\n\n\n\n Die luxemburgische Datenschutzbeh\u00f6rde (Commission nationale pour la protection des donn\u00e9es<\/em>, kurz \u201eCNPD<\/strong>\u201c) hat am 16.07.2021 die bislang h\u00f6chste jemals verh\u00e4ngte DSGVO-Strafe gegen\u00fcber Amazon S.\u00e0.r.l ausgesprochen. Initiiert wurde die Strafe aufgrund von Beschwerden der franz\u00f6sischen B\u00fcrgerrechtsorganisation La Quadrature du Net<\/em>, die sich f\u00fcr die Verteidigung von fundamentalen Freiheiten in der digitalen Welt einsetzt. N\u00e4here Details der Strafentscheidung sind bislang nicht bekannt. In der Pressemitteilung der CNPD<\/strong><\/a> hei\u00dft es, dass das luxemburgische Datenschutzgesetz es verbietet bis zur Rechtskraft der Entscheidung \u201eindividuelle F\u00e4lle detailliert zu kommentieren<\/em>\u201c. Laut Amazons Quartalsbericht <\/strong><\/a>der US-B\u00f6rsenaufsicht (United States Securities and Exchange Commission<\/em>) wurde die Strafe deshalb verh\u00e4ngt, weil Amazons Datenverarbeitung nicht im Einklang mit der DSGVO steht. Amazon erachtet die Strafe als unbegr\u00fcndet und k\u00fcndigte bereits an, sich dagegen energisch (vigorously<\/em>) zu verteidigen.<\/p>\n\n\n\n EUR 225 Mio. \u00fcber WhatsApp verh\u00e4ngt<\/p>\n\n\n\n Die irische Datenschutzbeh\u00f6rde (Data Protection Commission<\/em>, kurz \u201eDPC<\/strong>\u201c) hat am 02.09.2021 \u00fcber den Messenger Dienst WhatsApp eine Strafe in H\u00f6he von EUR 225 Mio. verh\u00e4ngt.<\/p>\n\n\n\n Im Wesentlichen bem\u00e4ngelte die DPC, dass (i) WhatsApp personenbezogene Daten nicht rechtm\u00e4\u00dfig, nach Treu und Glauben und auf transparente Weise verarbeitet hat, (ii) die Nutzer nicht in knapper, transparenter, verst\u00e4ndlicher Form unter Verwendung einer klaren und einfachen Sprache informiert hat, und (iii) es verabs\u00e4umte einer betroffenen Person die erforderlichen Informationen \u00fcber die von ihr erhobenen personenbezogenen Daten zur Verf\u00fcgung zu stellen. Auch hat WhatsApp Personen nicht dar\u00fcber aufgekl\u00e4rt, dass personenbezogene Daten von dritter Seite (Facebook) erhoben worden sind.<\/p>\n\n\n\n Erw\u00e4hnenswert ist auch der Verfahrensablauf: Im Dezember 2018 wurde mit den Ermittlungen begonnen, woraufhin die DPC als federf\u00fchrende Datenschutzbeh\u00f6rde im Dezember 2020 einen Entscheidungsentwurf an alle betroffenen EU-Datenschutzbeh\u00f6rden (darunter auch Deutschland) gem\u00e4\u00df Art 60 DSGVO \u00fcbermittelte. Da es von den anderen Datenschutzbeh\u00f6rden eine Reihe von Einw\u00e4nden gab (allen voran bezogen auf die mit zun\u00e4chst EUR 30 \u2013 50 Mio. festgesetzte Geldstrafe), leitete die DPC am 03.06.2021 ein sogenanntes Streitbeilegungsverfahren gem\u00e4\u00df Art 65 DSGVO ein. Am 28.7.2021 hat der Europ\u00e4ische Datenschutzausschuss (EDSA<\/strong>) eine rechtsverbindliche Entscheidung <\/strong><\/a>getroffen, welche eine eindeutige Anweisung an die DPC enthielt, die von ihr vorgeschlagene Strafe erneut zu bewerten und aufgrund einer Reihe von Faktoren zu erh\u00f6hen.<\/p>\n\n\n\n Zus\u00e4tzlich zur verh\u00e4ngten Strafe muss WhatsApp nunmehr innerhalb von drei Monaten seine Datenverarbeitungsvorg\u00e4nge in Einklang mit den einschl\u00e4gigen Vorschriften der DSGVO bringen.<\/p>\n\n\n\n Dieser Blog stellt lediglich eine allgemeine Information und keine rechtsanwaltliche Beratung dar. Schindler Rechtsanw\u00e4lte GmbH \u00fcbernimmt keine Haftung f\u00fcr die Richtigkeit, Vollst\u00e4ndigkeit und Aktualit\u00e4t des Blogs. Der Blog kann eine individuelle Rechtsberatung nicht ersetzen.<\/p>","protected":false},"excerpt":{"rendered":" Immer wieder liest man, dass in Frage gestellt wird, inwieweit man sich eigentlich den Aufwand zur Implementierung der Anforderungen der DSGVO antun sollte. Doch ist es angebracht, sich in Gelassenheit und Sicherheit zu wiegen?<\/p>","protected":false},"author":2,"featured_media":5812,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[32],"tags":[],"class_list":["post-5806","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-blog"],"acf":[],"_links":{"self":[{"href":"https:\/\/www.schindlerattorneys.com\/de\/wp-json\/wp\/v2\/posts\/5806","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.schindlerattorneys.com\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.schindlerattorneys.com\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.schindlerattorneys.com\/de\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.schindlerattorneys.com\/de\/wp-json\/wp\/v2\/comments?post=5806"}],"version-history":[{"count":0,"href":"https:\/\/www.schindlerattorneys.com\/de\/wp-json\/wp\/v2\/posts\/5806\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.schindlerattorneys.com\/de\/wp-json\/wp\/v2\/media\/5812"}],"wp:attachment":[{"href":"https:\/\/www.schindlerattorneys.com\/de\/wp-json\/wp\/v2\/media?parent=5806"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.schindlerattorneys.com\/de\/wp-json\/wp\/v2\/categories?post=5806"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.schindlerattorneys.com\/de\/wp-json\/wp\/v2\/tags?post=5806"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}
Niederlande<\/p>\n\n\n\n
Luxemburg <\/p>\n\n\n\n
Irland<\/p>\n\n\n\n
DISCLAIMER<\/p>\n\n\n\n