News
Bußgeld der italienischen Datenschutzbehörde im Zusammenhang mit einem Hinweisgebersystem
Die italienische Datenschutzaufsichtsbehörde hat gegen den Betreiber des Flughafens Bologna ein Bußgeld in Höhe von 40.000 EUR verhängt (siehe hier). Dem Bußgeld liegt ein Sachverhalt zu Grunde, in dem es um ein vom Flughafenbetreiber eingerichtetes Hinweisgebersystem geht.
Für dieses System hatte der Verantwortliche keine Datenschutz-Folgenabschätzung (DSFA) durchgeführt und sich dafür entschieden, Daten während der Speicherung und Übertragung im Netz nicht zu verschlüsseln. Die Implementierung einer Verschlüsselung von Daten hätte den Kauf einer zusätzlichen Komponente beim Anbieter des Systems erfordert und es wurde argumentiert, dass hiermit unverhältnismäßig hohe Implementierungskosten verbunden gewesen wären. Zudem wurde auch darauf abgestellt, dass nur wenig Daten mit dem System verarbeitet werden, weil Hinweise nur sehr selten erteilt wurden.
Für Unternehmen ist dieses Bußgeld deswegen interessant, weil die Umsetzungsfrist der europäischen Whistleblowing-Richtline 2019/1937 für nationale Gesetzgeber immer näher rückt und eine Vielzahl von Unternehmen hierunter verpflichtet sind, ein Hinweisgebersystem einzurichten. Die italienische Behörde hat in ihrem Bußgeldbescheid betont, dass von der Datenverarbeitung in Hinweisgebersystemen grundsätzlich ein hohes Risiko ausgeht. Das ist angesichts der grundlegenden sensiblen Natur von Hinweisen zu potenziellen Gesetzesverstößen auch stimmig. Der Umstand, dass Hinweise häufig Mitarbeiter des Verantwortlichen betreffen und diese als besonders schutzwürdige Personen gelten und in Hinweismeldungen enthaltene Vorwürfe bei tatsächlich erfolgten Verstößen arbeitsrechtliche Konsequenzen nach sich ziehen können, stützen diese Annahme. Unternehmen sollten daher genau prüfen, ob sie wirklich nicht einer Pflicht zum Durchführen einer DSFA aus Art. 35 DSGVO unterliegen. Hierzu ist eine Schwellwertanalyse durchzuführen. In der Regel wird es schwer sein, gegen das Vorliegen einer solchen Pflicht zu argumentieren.
Des Weiteren wird anhand des Bußgelds auch deutlich, dass aufgrund des hohen Risikos auch stärkere Sicherheitsmaßnahmen erforderlich sind. Im Rahmen der Bestimmung des Umfangs der nach Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen sind zwar auch Implementierungskosten zu beachten. Für die italienische Behörde war jedoch das von der Datenverarbeitung ausgehende Risiko und die Pflicht des Verantwortlichen, die Geeignetheit der Maßnahmen nachweisen zu können (Art. 5 Abs. 2 DSGVO, Art. 24 DSGVO), ausschlaggebend für die Verhängung des Bußgelds. Der Verantwortliche hat mit Verweis auf die Implementierungskosten und die geringe Anzahl an Datenverarbeitungen im Hinweisgebersystem die Behörde nicht überzeugen können. Beachtlich ist in diesem Kontext auch, dass nach Ansicht der italienischen Aufsichtsbehörde Daten in Hinweisgebersystemen zwangsläufig mit einer starken Verschlüsselung gespeichert und genauso bei der Übertragung gesichert werden müssen.
Für Unternehmen ist die Schnittmenge zwischen den datenschutzrechtlichen Vorgaben und den (in Deutschland ins nationale Recht noch umzusetzenden) Regelungen der Whistleblowing-Richtlinie mit Herausforderungen verbunden. Dabei ist nicht nur das im Zentrum des Bußgelds stehende hohe Risiko aufgrund der Sensibilität der Daten an sich relevant. Insbesondere die Einhaltung der Informationspflichten aus Art. 13 DSGVO und Art. 14 DSGVO sowie die Betroffenenrechte stellen Unternehmen vor Schwierigkeiten bei der Umsetzung in der Praxis. Die Durchführung einer DSFA sollte in dem Kontext nicht allzu sehr als Last und mehr als eine Chance gesehen werden, in einem Schwung alle datenschutzrechtlich relevanten kritischen Themen zu betrachten und Lösungen für die Umsetzung zu finden. So kann die Rechenschaftspflicht aus Art. 5 Abs. 2 DSGVO auch gleichzeitig mit den Vorgaben aus Art. 35 DSGVO erfüllt werden.
News
Rechtswidrige Datenübermittlung zwischen EU und USA und weitere Verstöße: Der EDSB erlässt Unterlassungsanordnung gegen das Europäische Parlament
Anfang Januar veröffentlichte der Europäische Datenschutzbeauftragte (EDSB) eine Entscheidung, nachdem die Vereinigung noyb (none of your business bzw. European Centre for Digital Rights) bereits vor einem Jahr im Namen von sechs Mitgliedern des Europäischen Parlaments eine Beschwerde bzgl. einer Webseite des Europäischen Parlaments eingereicht hatte. In seiner Entscheidung geht der EDSB davon aus, dass die COVID-Testseite des Europäischen Parlaments gegen mehrere Datenschutzvorschriften verstößt. Kritisiert wurden in der Beschwerde von noyb insbesondere irreführende Cookie-Banner, vage und unklare Datenschutzinformationen und die illegale Übermittlung von personenbezogenen Daten in die USA. Der EDSB überprüfte den Fall und stellte einen Verstoß gegen die Verordnung (EU) 2018/1725 (nachfolgend „Verordnung)“, die zwar nur für EU-Institutionen gilt, der DSGVO jedoch sehr ähnelt, fest. Eine detaillierte Auflistung der einzelnen Verstöße sowie ihrer korrespondierenden Vorschriften in der Verordnung (EU) 2016/679 „EU-DSGVO“ finden Sie unter Nummer 4.
Musterverträge für internationale Geschäfte
Bei dem Münchner Verlag C.H.Beck ist die erste, von unserem Partner Prof. Dr. Burghard Piltz herausgegebene Edition zu Musterverträgen für das internationale Handels- und Vertriebsrecht erschienen.
Neue Orientierungshilfe der Datenschutzkonferenz zum Einsatz von Cookies und ähnlichen Technologien
Heute am 21. Dezember 2021 wurde von der Datenschutzkonferenz (DSK) die neue Orientierungshilfe für Anbieter:innen von Telemedien ab dem 1. Dezember 2021 (OH Telemedien 2021) veröffentlicht. Durch die Orientierungshilfe versucht die Datenschutzkonferenz, zahlreiche Fragen zu klären, die sich vor allem im Bezug auf die Anwendung des § 25 TTDSG stellen, der den Umgang mit Cookies und ähnlichen Tracking-Technologien regelt. Auch wenn uns das Papier in den kommenden Wochen und Monaten noch vielseitig beschäftigen wird, möchten wir Ihnen im Folgenden einen kurzen Überblick zu den aus unserer Sicht wichtigsten Aussagen geben:
Österreichisches BVwG: Wechsel der Rechtsgrundlage der Datenverarbeitung ist zulässig
Kann sich ein Verantwortlicher auf eine andere Rechtsgrundlage als Rechtfertigung für die Datenverarbeitung berufen, nachdem die zugrundeliegende Einwilligungserklärung von einer Behörde für ungültig erklärt wurde?
Die 3G-Pflicht am Arbeitsplatz kommt! – Datenschutzrechtliche ToDos
Heute am Mittwoch, den 24. November 2021, ist es soweit: Die 3G-Regel (geimpft, genesen, getestet), die uns seit Monaten im täglichen Leben begleitet, gilt auch am Arbeitsplatz. Die Umsetzung der neuen Regeln werfen selbstverständlich auch einige datenschutzrechtliche Fragen auf. Anhand der FAQs zum betrieblichen Infektionsschutz des Bundesministeriums für Arbeit und Soziales (BMAS) haben wir den folgenden Beitrag zum neuen Infektionsschutzgesetz (IfSG) und die daraus resultierende 3G-Nachweispflicht am Arbeitsplatz für Sie zusammengefasst.
Webinar von Piltz Legal: Der neue § 25 TTDSG – Dos and Don'ts
Achtung: nur noch Plätze auf der Warteliste verfügbar
Piltz Legal organisiert am 22.11.2021 ein weiteres Webinar zu einem der aktuell wichtigsten datenschutzrechtlichen Themen: dem am 1.12.2021 in Kraft tretenden TTDSG. Wir freuen uns, bei diesem Webinar Frau Dr. Herbort von der Berliner Beauftragten für Datenschutz und Informationsfreiheit als Gast und Diskussionsteilnehmerin begrüßen zu dürfen.