News
Bußgeld der italienischen Datenschutzbehörde im Zusammenhang mit einem Hinweisgebersystem
Die italienische Datenschutzaufsichtsbehörde hat gegen den Betreiber des Flughafens Bologna ein Bußgeld in Höhe von 40.000 EUR verhängt (siehe hier). Dem Bußgeld liegt ein Sachverhalt zu Grunde, in dem es um ein vom Flughafenbetreiber eingerichtetes Hinweisgebersystem geht.
Für dieses System hatte der Verantwortliche keine Datenschutz-Folgenabschätzung (DSFA) durchgeführt und sich dafür entschieden, Daten während der Speicherung und Übertragung im Netz nicht zu verschlüsseln. Die Implementierung einer Verschlüsselung von Daten hätte den Kauf einer zusätzlichen Komponente beim Anbieter des Systems erfordert und es wurde argumentiert, dass hiermit unverhältnismäßig hohe Implementierungskosten verbunden gewesen wären. Zudem wurde auch darauf abgestellt, dass nur wenig Daten mit dem System verarbeitet werden, weil Hinweise nur sehr selten erteilt wurden.
Für Unternehmen ist dieses Bußgeld deswegen interessant, weil die Umsetzungsfrist der europäischen Whistleblowing-Richtline 2019/1937 für nationale Gesetzgeber immer näher rückt und eine Vielzahl von Unternehmen hierunter verpflichtet sind, ein Hinweisgebersystem einzurichten. Die italienische Behörde hat in ihrem Bußgeldbescheid betont, dass von der Datenverarbeitung in Hinweisgebersystemen grundsätzlich ein hohes Risiko ausgeht. Das ist angesichts der grundlegenden sensiblen Natur von Hinweisen zu potenziellen Gesetzesverstößen auch stimmig. Der Umstand, dass Hinweise häufig Mitarbeiter des Verantwortlichen betreffen und diese als besonders schutzwürdige Personen gelten und in Hinweismeldungen enthaltene Vorwürfe bei tatsächlich erfolgten Verstößen arbeitsrechtliche Konsequenzen nach sich ziehen können, stützen diese Annahme. Unternehmen sollten daher genau prüfen, ob sie wirklich nicht einer Pflicht zum Durchführen einer DSFA aus Art. 35 DSGVO unterliegen. Hierzu ist eine Schwellwertanalyse durchzuführen. In der Regel wird es schwer sein, gegen das Vorliegen einer solchen Pflicht zu argumentieren.
Des Weiteren wird anhand des Bußgelds auch deutlich, dass aufgrund des hohen Risikos auch stärkere Sicherheitsmaßnahmen erforderlich sind. Im Rahmen der Bestimmung des Umfangs der nach Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen sind zwar auch Implementierungskosten zu beachten. Für die italienische Behörde war jedoch das von der Datenverarbeitung ausgehende Risiko und die Pflicht des Verantwortlichen, die Geeignetheit der Maßnahmen nachweisen zu können (Art. 5 Abs. 2 DSGVO, Art. 24 DSGVO), ausschlaggebend für die Verhängung des Bußgelds. Der Verantwortliche hat mit Verweis auf die Implementierungskosten und die geringe Anzahl an Datenverarbeitungen im Hinweisgebersystem die Behörde nicht überzeugen können. Beachtlich ist in diesem Kontext auch, dass nach Ansicht der italienischen Aufsichtsbehörde Daten in Hinweisgebersystemen zwangsläufig mit einer starken Verschlüsselung gespeichert und genauso bei der Übertragung gesichert werden müssen.
Für Unternehmen ist die Schnittmenge zwischen den datenschutzrechtlichen Vorgaben und den (in Deutschland ins nationale Recht noch umzusetzenden) Regelungen der Whistleblowing-Richtlinie mit Herausforderungen verbunden. Dabei ist nicht nur das im Zentrum des Bußgelds stehende hohe Risiko aufgrund der Sensibilität der Daten an sich relevant. Insbesondere die Einhaltung der Informationspflichten aus Art. 13 DSGVO und Art. 14 DSGVO sowie die Betroffenenrechte stellen Unternehmen vor Schwierigkeiten bei der Umsetzung in der Praxis. Die Durchführung einer DSFA sollte in dem Kontext nicht allzu sehr als Last und mehr als eine Chance gesehen werden, in einem Schwung alle datenschutzrechtlich relevanten kritischen Themen zu betrachten und Lösungen für die Umsetzung zu finden. So kann die Rechenschaftspflicht aus Art. 5 Abs. 2 DSGVO auch gleichzeitig mit den Vorgaben aus Art. 35 DSGVO erfüllt werden.
News
LDA Brandenburg: BSI-Vorgaben zur IT-Sicherheit als „Stand der Technik“ nach Art. 32 DSGVO
Die Landesbeauftragte für den Datenschutz und für das Recht auf Akteneinsicht Brandenburg (LDA) hat am 10. November 2021 gegen einen Website-Betreiber eine Verwarnung nach Art. 58 Abs. 2 lit. b) DSGVO ausgesprochen. Grund für die Verwarnung war insbesondere die Bereitstellung einer Upload-Funktion für Bilder, die nicht ausreichend gesichert war und über die es Angreifern möglich gewesen war, eine Kundendatenbank auszulesen.
Die Behörde sah darin eine Verletzung der Art. 25 Abs. 1 und Art. 32 Abs. 1 lit. b) DSGVO. Interessant an der Behördenentscheidung ist auch, dass diese einen Zusammenhang zwischen Art. 25 und Art. 32 DSGVO (Stand der Technik) und dem BSI-Grundschutz herstellt (hierzu sogleich mehr).
EuGH hat wieder zum Auskunftsanspruch entschieden – Zusammenfassung des Urteils in der Rs. C-307/22 vom 26. Oktober 2023
Während das Urteil in der Rs. C‑307/22 sich zwar mit dem speziellen Arzt-Patienten-Verhältnis beschäftigt, sind darin dennoch auch zahlreiche Aussagen enthalten, die allgemein für Erfüllung des Auskunftsanspruchs durch Unternehmen relevant sind. Das Urteil wird bereits munter in der Datenschutz-Szene diskutiert. Das ist auch deshalb verständlich, weil der EuGH einige hoch umstrittene Aspekte zum besonders praxisrelevanten Betroffenenrecht geklärt hat. In diesem Newsbeitrag finden Sie eine Zusammenfassung der aus unserer Sicht relevantesten Aussagen in der Entscheidung des EuGH sowie eine kurze Einschätzung zu den Folgen für die Praxis.
Der FOCUS zeichnet Piltz Legal erneut als eine der TOP - Wirtschaftschaftskanzleien aus
Im aktuellen Heft des FOCUS wurde Piltz Legal wieder als eine der TOP-Wirtschaftkanzleien 2023 im Bereich Datenschutz ausgezeichnet.
Der Digital Services Act – Überblick zu den einzelnen Adressaten und deren Pflichten
Der am 16. November 2022 in Kraft getretene Digital Services Act (Verordnung (EU) 2022/2065, „DSA“) wird ab dem 17. Februar 2024 vollständig gelten. Einige Pflichten, wie die Angabe der monatlichen Zahl der aktiven Nutzer durch Online-Plattformen, gelten bereits seit dem Inkrafttreten.
Der kommende EU Digital Services Act – Pflicht zu Melde- und Abhilfeverfahren für Hosting-Dienste
Der vollständige Geltungsbeginn des Digital Services Act (DSA) am 17. Februar 2024 rückt stetig näher. Und mit ihm auch die Verpflichtung zahlreicher Unternehmen. Wichtig: der DSA gilt, anders als oft öffentlich wahrgenommen, nicht nur für die „Großen“. Nachfolgend wird deshalb die Pflicht von Hostingdiensteanbietern vorgestellt, die ein Melde- und Abhilfeverfahren nach dem DSA implementieren müssen.
Wichtige Änderungen des TTDSG durch das deutsche DSA-Umsetzungsgesetz in Sicht
Der (vollständige) Geltungsbeginn des Digital Services Act (DSA), der teilweise auch als „Grundgesetz des Internets“ bezeichnet wird, rückt näher. Erste Vorschriften der europäischen Verordnung gelten bereits jetzt, wozu u. a. die Verpflichtung von Anbietern für Online-Plattformen und -Suchmaschinen zur Nennung ihrer durchschnittlichen monatlichen Nutzeranzahl in der EU gehört. Nähere Informationen zum DSA und dessen Inhalt können auch unserer EU-Digitalgesetzgebungsübersicht entnehmen werden.