News

Archiv

Für diese Datenschutzverstöße wurde 2015/2016 in Bayern Bußgeld erhoben

Im Zeitraum 2015/2016 hat das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) laut eigenem Bericht 173 Bußgeldvorgänge bearbeitet. Das sind 56 mehr als im letzten Berichtszeitraum. Davon wurde in 52 Fällen ein Bußgeld erlassen und in einem Fall eine Verwarnung ausgesprochen. Von den festgesetzten 52 Geldbußen waren 34 im dreistelligen Bereich, also bis maximal 999 Euro. Im vierstelligen Bereich wurden in den letzten zwei Jahren 13 Bußgelder festgelegt, im fünfstelligen Bereich insgesamt 5.

MIT BUSSGELD BELEGTE VERGEHEN

Unter den 52 mit Bußgeld bestraften Vergehen, fanden sich die folgenden Sachverhalte:

anlassloses Filmen im Straßenverkehr mit Hilfe von Dashboard Kameras aus Fahrzeugen heraus (mehrere Fälle);
unzulässige Übermittlung der IP- Adressen von Webseitennutzern durch den Einsatz von Tracking-Tools;
Verwendung einer E-Mail-Adresse für werbliche Zwecke trotz Werbewiderspruchs (mehrfach);
fehlender Hinweis auf das Werbewiderspruchsrecht;
Versendung einer E-Mail mit offenem E-Mail-Verteiler (mehrfach);
nicht rechtzeitige Auskunft nach § 34 BDSG an einen Betroffenen (mehrfach);
unrichtige Auskunft nach § 38 Abs. 3 BDSG an die Datenschutzaufsichtsbehörde (mehrfach);
unzulässige Beschaffung von Patientendaten für nichtdienstliche Zwecke durch Mitarbeiterin einer Arztpraxis bei einer anderen Arztpraxis;
Aushang von Krankheitslisten von Mitarbeitern am „Schwarzen Brett“;
Einsatz von Auftragsdatenverarbeitungsverträgen, die nicht den Anforderungen gem. § 11 Abs. 2 Satz 2 BDSG entsprachen;
wiederholte Faxversendung an unrichtigen Empfänger durch eine Arztpraxis;
Verkauf/Ankauf (Übermittlung) von Kundendaten (auch Nicht-Listendaten) im Zuge eines Asset Deal ohne vorherige Einräumung einer Widerspruchsmöglichkeit für die Kunden;
Zusendung eines Faxbriefs mit ärztlichem Befundbericht durch Klinik an eine zentrale Faxeinlaufstelle einer Behörde statt an die Beihilfestelle;
Mitteilung des Kontostands durch Bankmitarbeiter an einen Unbefugten;
zweckändernde Nutzung von Anleger-Adressdaten für anwaltliche Werbung;
Zusendung eines anwaltlichen Schreibens mit personenbezogenen Daten an eine „vermutete“ anwaltliche Vertreterin;
unberechtigte Einholung einer Bonitätsauskunft für private Zwecke;
Mitteilung offener Forderungen durch eine Kfz-Werkstatt an die Mutter der Lebensgefährtin des Kunden;
Übermittlung einer ärztlichen Diagnose durch Arzt an die Mutter des Patienten ohne Einwilligung;
Bestellung eines Datenschutzbeauftragten, der einer Interessenkollision unterliegt;
Übermittlung von Bestands- und Nutzungsdaten von Nutzern eines Telemediendienstes an einen anderen Telemediendienst ohne Einwilligung der Nutzer.

ACHTUNG BEI ASSET DEALS

Aus dieser Übersicht wird deutlich, dass die Ahndungen mit Geldbuße eine breite Palette von Verstößen aus den unterschiedlichsten Lebenssachverhalten betrafen. Besonders erwähnenswert war dem Landesbeauftragten aber zwei Fälle, der erste im Rahmen eines Asset Deals:

„Hier hatte der Betreiber eines Online-Shops seinen Shop an ein anderes Unternehmen derselben Branche veräußert und hierbei auch die Daten der Kunden übermittelt, darunter die E-Mail-Adressen und die Kaufhistorie. Die Kunden waren vorher über den geplanten Verkauf nicht informiert worden. Wir vertreten nach wie vor die Auffassung, dass Kundendaten – jedenfalls soweit sie über die in § 28 Abs. 3 Satz 2 BDSG genannten sog. Listendaten hinausgehen – auch im Zuge einer Geschäftsveräußerung nicht an einen anderen Rechtsträger übergeben werden dürfen, ohne den Kunden vorher zumindest eine Widerspruchsmöglichkeit gegen die Übermittlung ihrer Daten einzuräumen.“

GENAUE ANGABEN ZU DEN TOM IN ADV-VERTRÄGEN

Der zweite in Zusammenhang mit Auftragsdatenverarbeitung, bei dem die Mitarbeiter des BayLDA ein Bußgeld „gegen ein Unternehmen festgesetzt haben, das mehrere Dienstleister als Auftragsdatenverarbeiter engagiert hatte, hierbei jedoch die im Gesetz geregelten inhaltlichen Anforderungen an einen schriftlichen Auftrag zur Auftragsdatenverarbeitung nicht erfüllt hat. Insbesondere fehlten den schriftlichen Aufträgen detaillierte, spezifische und auf den konkreten Auftragsdatenverarbeiter bezogene Festlegungen zu den technischen und organisatorischen Maßnahmen zum Schutz der personenbezogenen Daten gemäß § 9 BDSG und der Anlage zu § 9 BDSG, obwohl solche Regelungen gemäß § 11 Abs. 2 Satz 2 Nr. 3 BDSG im schriftlichen Auftrag zwingend zu treffen sind.“ Ein Wiederholen des Gesetzeswortlauts zu den einzelnen Punkten ist laut dem Landesbeauftragten hier ganz klar unzureichend.