„Immer häufiger werden sensible Gesundheits- und Kundendaten durch Datenlecks öffentlich.“
Zitat von Warren Buffett, CEO und Chairman, Berkshire Hathaway (Februar 2019)

Hochwertiges Wissen rund um das spannende Thema Datenschutz.

DSGVO-Check

Wir unterstützen Kunden bei der optimalen Einhaltung der EU-Datenschutzgrundverordnung (DSGVO) und E-Privacy-Verordnung (EPVO). Weitere Informationen und einen ersten kurzen DSGVO-Check bieten wir Ihnen in einem persönlichen Gespräch.

Recht

Ist unser Recht auf Sicherheit vergleichbar mit dem Recht auf Datenschutz? Das Recht auf ein Auto mit Sicherheitsgurt kann ein Autokäufer nicht aufgeben. Wir sollte nicht zulassen, dass unser Recht auf Privatsphäre für einen kostenlosen Service aufgegeben werden kann.

Datenschutz im Kanton Zürich

Der Datenschutzbeauftragte (DSB) vom Kanton Zürich beaufsichtigt die Datenbearbeitungen der kantonalen Verwaltung und Gemeinden sowie der öffentlichen Einrichtungen. Er überprüft mittels Kontrollen (Datenschutzreviews), ob die Anforderungen des Datenschutzes in rechtlicher, organisatorischer und sicherheitstechnischer Hinsicht eingehalten werden.

Seine Organisation hilft bei Fragen zu Datenschutz:

Datenschutz im Kanton Zürich

Der Datenschutzbeauftragte (DSB) vom Kanton Zürich beaufsichtigt die Datenbearbeitungen der kantonalen Verwaltung und Gemeinden sowie der öffentlichen Einrichtungen. Er überprüft mittels Kontrollen (Datenschutzreviews), ob die Anforderungen des Datenschutzes in rechtlicher, organisatorischer und sicherheitstechnischer Hinsicht eingehalten werden. Seine Organisation hilft in Sachen Datenschutz:

Die Praxis zeigt, dass Datenschutz und Datensicherheit wichtig sind. Doch Organisationen stellen weit mehr Ressourcen für Kommunikationsaktivitäten bereit als für den Datenschutz.

Datenschutz - Theorie und Praxis

DSGVO ist die geläufige Abkürzung für die Datenschutz-Grundverordnung. Damit hat die EU einen einheitlichen Rechtsrahmen für die Verarbeitung und Speicherung personenbezogener Daten geschaffen. Das bedeutet jedoch auch, dass Unternehmen erhöhte Dokumentationspflichten haben. Daraus folgt ebenfalls, dass sie in der Lage sein müssen, die Rechtmässigkeit ihrer Datenverarbeitungstätigkeiten gegenüber Aufsichtsbehörden nachzuweisen.

Die Einhaltung der DSGVO ist eine fortlaufende Aufgabe. Sie brauchen einen Aktionsplan für die DSGVO und ebenfalls Dokumentation darüber, was und wie gemacht wurde, um die Risiken zu minimieren und den Datenschutz zu verbessern.

Vorteile: Konsumenten haben ein Recht auf ihre eigenen Daten und deren Löschung.
Nachteile: Administrativer Aufwand ist teuer für kleinere Firmen.

To-do: Unbedingt die interaktive Infografik der EU-Kommission zur DSGVO anschauen. Danach ist jeder schlauer!

Die Datenschutz-Grundverordnung sieht bei einem Verstoss gegen den Datenschutz Bussgelder bis zu 20 Millionen Euro oder aber bis 4 Prozent des weltweiten Jahresumsatzes eines Unternehmens vor (mehr Infos zu Bussgelder hier).

Vorteile: Bei Verstoss hat es finanzielle Konsequenzen für das Unternehmen.
Nachteile: Nachforschungen sind aufwendig für das Unternehmen und die Busse kompensiert den Konsumenten für den Schaden nicht.

Die CCPA gibt den kalifornischen Verbrauchern das Recht, Informationen zu sehen, die ein Unternehmen über sie besitzt. Sie können die Löschung fodern oder den Weiterverkauf verbieten.

Sieh auch „CCPA m Detail“ im Reiter rechts.

Vorteile: Konsumenten haben ein Recht auf ihre Daten, Reputationsschaden bei Verstoss für Firmen.
Nachteile: Administrativer Aufwand ist teuer für kleinere Firmen.

Der kalifornische Generalstaatsanwalt kann bis zu 7.500 Dollar pro Person für jeden allgemeinen Verstoss gegen die Regeln verlangen, wenn vorsätzlich gehandelt wurde. Aber im Falle eines Hacks können Einzelpersonen für bis zu 750 $ pro Person klagen, auch wenn kein Schaden verursacht wird, oder für tatsächliche Schäden, je nachdem, welcher Betrag höher ist.

Vorteile: Bei Verstoss hat es finanzielle Konsequenzen für das Unternehmen.
Nachteile: Die Klagesumme pro geschädigten Konsument ist mit USD 75 relativ bescheiden. Nachforschungen nach einem Hack sind aufwendig für das Unternehmen und die Busse bis 7.500 pro Person je Verstoss hilft Konsumenten nur indirekt aber entschädigt sie nicht für den erlittenen Schaden.

Ob DSGVO oder CCPA, Verantwortliche und Auftragsverarbeiter (z.B. Cloud Provider oder externe Lohnbuchhalter) stehen in der Pflicht, im Zweifel die Rechtmässigkeit der Datenverarbeitung nachzuweisen (sog. „Rechenschaftspflicht“). Dies bedingt die Führung von Verarbeitungsverzeichnissen nach Art. 30 DSGVO.

Vorteile: Bei Verstoss hat es finanzielle Konsequenzen für das Unternehmen.
Nachteile: Nachforschungen sind aufwendig für das Unternehmen und die Busse kompensiert den Konsumenten für den Schaden nicht.

Klar ist, dass grosser Ehrgeiz bei der Dokumentation aller datenschutzrelevanten Vorgänge auch zu einem hohen Dokumentations- bzw. Verwaltungsaufwand führt. Dieser ist mit Kosten verbunden. Wichtig sind ebenfalls die notwendigen Ressourcen wie externes oder internes Fachpersonal, was wiederum Kosten verursacht.

Seit März 2018 ist der  Clarifying Lawful Overseas Use of Data (CLOUD) Act in den USA in Kraft. Er stärkt die Befugnisse der US-Regierung, im Ausland gespeicherte Daten zu erhalten. Der Cloud Act regelt den Zugriff von US-Behörden auf Daten, die bei Cloud-Service-Providern mit US-Bezug liegen (z.B. US-Firmen wie Amazon oder EU-Firmen mit einer Niederlassung oder Tochtergesellschaft in den USA).

Diese Regulierung gilt unabhängig davon, ob der Server in den USA, Deutschland oder der Schweiz liegt. Nur die UK hat bis heute ein „executive agreement“ (bilaterales Rechtshilfeabkommen). Ohne dieses muss sich ein Cloud-Service-Provider vor einem US-Gericht verantworten. Die Vergangenheit hat gezeigt, dass die USA den US-Bezug sehr grosszügig auslegen, wenn es darum geht, an die gewünschten Daten zu kommen.

Digitalisierung von Prozessen und Abläufen wird immer wichtiger. Zum Beispiel kann es darum gehen, wie Steuerdaten in der Cloud gespeichert werden. Auch die Polizei nutzt Daten z.B. für die automatische Erkennung von Nummernschildern bei Autos und Motorrädern.

Überall bei solchen Applikationen von öffentlicher Hand oder auch von privaten Firmen müssen Datenschutzfragen abgeklärt werden. Hinter dem Begriff „Datenschutz by Design“ steht „Datenschutz durch Gestaltung der Prozesse und Technik“.

Wir müssen also bei der Analyse der Prozesse und der Erarbeitung neuer technisch-integrierter Prozesse oder der Überprüfung bereits bestehender Prozesse sicher stellen, dass der Datenschutz und die Datensicherheit sichergestellt sind.

Welche Schutzmassnahmen das genau sind, lässt die DSGVO weitestgehend offen. Ein Beispiel das genannt wird, ist die Pseudonymisierung. Konkretisierungen werden wenn überhaupt sehr vage gehalten. Trotzdem dürften aber die an anderer Stelle im Gesetz genannte Verschlüsselung sowie die Anonymisierung der Daten zu den möglichen Schutzvorkehrungen zählen. Ebenfalls ist die Nutzerauthentifizierung und die technische Umsetzung des Widerspruchsrechts Pflichtprogramm. Natürlich muss darauf geachtet werden, dass die Implementierungskosten im voraus kalkuliert und budgetiert werden.

Der Datenschutzbeauftragte kontrolliert die Anwendung der rechtlichen, technischen und organisatorischen Vorschriften über
den Datenschutz und die Informationssicherheit durch das Unternehmen oder eine öffentliche Organisation.

Dazu führt er Datenschutzreviews, Kontrollen auf Anlass sowie technische Kontrollen durch.

Im Darknet verkaufen Kriminelle Informationen und Hacker-Dienstleistungen schon ab USD 4. Weitere zweifelhafte Angebote:

  • USD 15-20 für gestohlene Kreditkarteninformationen
  • USD 225 und aufwärts für Ransomware zur Durchführung erpresserischer Hackerangriffe
  • USD 60 pro Stunde für DDoS-Attacken (Denial-of-Service-Attack) zur Lahmlegung von Websites und Servern
  • USD 4-6 für komplette personenbezogene Datensätze mit Namen, Geburtsdatum und Adresse, welche für den Diebstahl von Identitäten genutzt werden können
  • USD 65 zusätzliche Kosten, wenn zu personenbezogenen Daten auch noch Bank und Finanzinformationen geliefert werden
  • USD 175 dazu, wenn Zugangsdaten für ein Girokonto mit einem Verfügungsrahmen von Euro 7’000 geliefert werden
  • USD 25 kostet es, wenn es sich um ein Bankkonto in den USA handelt mit einem Verfügungsrahmen von USD 10’000
  • USD 13 kostet es, um Social-Media Konten-Information zu bekommen
  • USD 8 kostet ein Netflix login


Mehr Informationen unter Ressourcen rechts.

Auf Social Media gilt es aufzupassen, dass nicht versehentlich Kundendaten preisgegeben werden, welche laut DSGVO nicht an die Öffentlichkeit gelangen dürfen.
Beispiel: DB macht Greta Thunberg’s personengebundende Fahrgastdaten („Erste Klasse“!) öffentlich, nachdem sie über ihre Zugfahrt getwittert hat (siehe Images unten).

Nebenbei verletzte die Bahn noch die Greta persönlich, indem die DB insinuierte sie sei eine Blenderin und Heuchlerin. Was nicht stimmte, sie ist von Basel SBB (nachdem ein Zug ausgefallen ist) bis Göttingen in 2 DB Zügen auf dem Boden gesessen. Erst danach hatte sie einen Sitzplatz in der 1. Klasse.

2 x #bigfail für die Bahn und ein PR disaster.

Vorgesetzten oder Inhabern eines mittelständischen Unternehmens, Freelancern oder Handwerksbetrieben erklären wir die Sache so:

  • Wenn sie Daten von Mitarbeitern oder Kunden erfassen, speichern und bearbeiten (z.B. Lohndaten) betrifft sie die DSGVO.
  • Wenn sie einen Newsletter versenden oder aber Nutzer-Tracking auf der Webseite betreiben, betrifft sie die DSGVO.


Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) bietet einen Online-Test an, mit dem Unternehmen herausfinden können, ob sie von der DSGVO betroffen sind oder nicht. Ein sehr interessantes Tool.

Beispiele, Rechtliches

Wenn wir uns schnell schlau machen wollen, mit welchen Daten wir es zu tun haben oder wo wir bei einem Datenschutzreview beginnen sollen, müssen wir uns zunächst einen Überblick verschaffen.

Hier empfiehlt es sich die folgenden Fragen zu stellen und die Antworten schriftlich festzuhalten:

  1. Welche persönlichen Daten (PD) besitzen wir?
    Email, Natel Nummer, Postadresse….
  2. Wie sammeln wir die PD?
    Anmeldung z.B. für eine Mitgliedschaft im Club, für Produktinformationen an einer Messe, für eine Veranstaltung oder beim Online Shop.
  3. Wo und wie speichern wir die PD?
    Geschieht dies z.B. im Betrieb, in der Cloud (siehe auch oben, Cloud Computing Act)? Sind die Daten pseudonymisiert, anonymisiert und nutzen wir Nutzerauthentifizierung wie auch Verschlüsselung dieser Daten?
  4. An welche Organisationen transferieren wir diese Daten?
    Benötigen externe Dienstleister die Daten um Arbeit für uns zu erledigen wie z.B. die Buchhaltung oder die Salesforce für das Customer Relationship Management oder ein Newsletter-Anbieter zur Versendung von Email Newsletter an Kunden und Interessenten?
  5. Was ist der Grund zu diesem Austausch / Übermittlung der PD?
    Die Aufbewahrung der Daten, Abrechnung mit der Sozialversicherung, Pensionskasse oder vielleicht effektivere Zusammenarbeit mit Lieferanten?
  6. Wer arbeitet mit den PD und aus welcher Notwendigkeit?
    Beispielsweise die externe Buchhalterin, Steuerbehörde, IT Spezialist und andere.

Diese Fragen und weitere nutzen wir beim drkpi® Datenschutz Schnelltest, welcher Ihnen einen Überblick verschafft, welche Daten in Ihrer Organisation wie genutzt werden.

Guter Datenschutz ist Teil von einem exzellenten Kundenservice im B2C wie auch im B2B Geschäft.

Schon 2013 wurden im EU Parlament bei den Diskussionen zur Datenschutzgrundverordnung von den Parlamentariern folgende Daten zur Kenntnis genommen:

  • 74% der Europäer sehen es als unvermeidbar an, persönliche Daten preiszugeben.
  • 43% der Internetnutzer in der EU finden, sie müssen mehr Infos preisgeben als notwendig.
  • 75% der EU-Bevölkerung fordern das Recht, persönliche Daten zu jeder Zeit und von jedweder Webseite löschen zu können.

Die Brandenburgische Landeszentrale für politische Bildung hat auf Instagram folgende Definition für den Datenschutz gepostet:

Darunter wird allgemein der Schutz persönlicher Daten vor Missbrauch verstanden. Ziel ist es, das Grundrecht auf informationelle Selbstbestimmung sicherzustellen. (Ed.) Das heisst, jeder Mensch sollte entscheiden können, wenn er wann und wie welche Angaben preisgibt und wie diese Daten verwendet werden dürfen. Geregelt ist das alles in der Datenschutz-Grundverordnung und dem Bundesdatenschutzgesetz.

Mehr Informationen mit ein wenig zur Geschichte des Datenschutz als Recht wird vom BLPB hier angegeben.

Die E-Privacy-Verordnung (EPVO) – wir auch als verschärfte Datenschutz-Gesetzgebung beschrieben – lässt weiterhin auf sich warten.

Eine nochmals abgeschwächte EPVO geht möglicherweise gar nicht mehr viel weiter als die DSGVO. Auch hier scheint das die EPVO von den Marktentwicklungen überholt wird. Beispielsweise, das Cookie-Zeitalter scheint sich langsam seinem Ende zu nähern.

Der Firefox Browser (in Deutschland mit 36% Marktanteil auf dem Desktop) blockiert Third Party Cookies  (z.B. ein Cookie von Google auf der drkpi-Seite). Bis anhin war von. Google mit seinem Chrome Browser wenig zu befürchten. Als Dominator im Online-Werbegeschäft – rund 94% der Einnahmen kommen von daher – wäre dies auch gar nicht im Interesse von Google.

Ein weitreichendes Tracking ist ohne Third Party Cookies nur möglich, wenn es eine gemeinsame Advertising-ID gibt.

Dies bieten NetID, The Trade Desk, das Advertising ID Consortium und Digitrust, ein Projekt des Interactive Advertising Bureau (IAB). Doch Firefox wird schon bald auch die Digitrust-ID (ein Cookie) des IAB blockieren.

Auf Anfrage des Deutschen Bundesgerichtshofs hat der Europäische Gerichtshof entschieden, dass man die Einwilligung zur Cookie-Verwendung nicht über ein vorangekreuztes Auswahlkästchen einholen darf. Vielmehr muss der Webseitenbetreiber aktiv die Einstimmung vom Nutzer einholen. Ob die Einwilligung überhaupt notwendig ist, wurde vom EuGH nicht behandelt!

Wie bei der DSGVO wird es auch bei der EPVO eine Übergangsfrist geben. Das sollte reichen, um die notwendigen Änderungen rechtzeitig vornehmen zu können.

 

Im April 2021 hat Apple (siehe unten) jedoch informiert, dass seine iPhone Nutzer das Tracking von Daten mit Hilfe der Advertising ID für Apps verweigern können.

2021-06-02 hat Google nun nachgezogen.  Es informierte mit einer EMail an Play Store-Entwickler, in der es schrieb, dass es Android „Nutzern mehr Kontrolle über ihre Daten geben und dabei helfen möchte, die Sicherheit und Privatsphäre zu stärken“.

Nach der Überarbeitung werden Entwickler, die versuchen, auf die Werbe-IDs derjenigen zuzugreifen, die sich abgemeldet haben, „eine Reihe von Nullen anstelle der Kennung erhalten“, fügte Google hinzu.

Seit dem 1. Januar 2020 gilt im US Staat Kalifornien ein ähnliches Datenschutz-Gesetz wie das DSGVO. Es nennt sich California Consumer Privacy Act (CCPA).

In den föderal organisierten USA fällt der Bereich des Datenschutzes bis heute primär in den Aufgaben- und Zuständigkeitsbereich der Bundesstaaten. Zur Zeit existiert auf Bundesebene kein mit der Datenschutz-Grundverordnung (DSGVO) vergleichbares Gesetz zur umfassenden Regelung des Datenschutzes.

Der Bundesstaat Kalifornien nimmt hier eine Vorreiterrolle ein. Der California Consumer Protection Act (CCPA) gibt den Verbrauchern ein bis dato für die USA unbekanntes Datenschutzniveau. In Kraft trat dieses Gesetz zum 1. Januar 2020.

DSGVO wie auch CCPA haben zum Ziel, den Datenschutz von Privatpersonen zu schützen und die Datensicherheit zu verbessern. Zentrales Ziel der CCPA ist die Herstellung und Erhöhung von Transparenz im Bereich der Datenverarbeitung. Interessant ist, dass das Gesetz von einer Bürgerinitiative ausging.

Nach dem CCPA hat der Verbraucher das Recht auf einen Widerruf (Opt-out). Gemäss Section 1798.135 (a) (1) muss das Unternehmen einen deutlich sichtbaren Link auf ihrer Webseite mit dem Titel „Do Not Sell My Personal Information“ (Verkaufen Sie meine personenbezogenen Daten nicht) anbieten, der den Verkauf der personenbezogenen Daten untersagt.
Auch Cookies (First-Party und Third-Party-Cookies) sind laut CCPA personenbezogene Daten. Durch die gesetzlich vorgeschriebene Opt-out-Möglichkeit kann der Verbraucher verhindern, dass Werbetreibende mithilfe von Tracking passende Produktplatzierungen anzeigen können.

Für mehr Informationen inkl. Checkliste, kontaktieren Sie uns.

Warum hat Datenschutz viel mit Big Data zu tun?

Ich mag Fragebögen, seltsam vielleicht. Aber in der Zeit vor Corona hatte ich gefühlt Stunden damit verbracht, Anfragen nach Bewertungen und Reviews auszufüllen oder abzuwehren. Übereifrige Airbnb-Hosts, nutzlose Versorgungseinrichtungen, Post-Kuriere, familiengeführte Hotels mit TripAdvisor-Besessenheit, Fluggesellschaften und Restaurants wollen Feedback. Alle wollen, dass ich meine Zufriedenheit zeige.

Solche Review-Aufrufe bedingen, dass die Datenerhebung korrekt gemacht wird und die Daten anonymisiert gespeichert, oder aber zumindest vertraulich behandelt werden. Alles Dinge, welche in der DSGVO vorgeschrieben sind und dokumentiert werden müssen.

Unten habe ich ein Beispiel einer eMail als Screenshot vom Motel One mit der Aufforderung, das Motel zu bewerten.

Motel One will eine Bewertung: Wer nimmt sich die Zeit? Sehr zufriedene Kunden und solche die wirklich unzufrieden waren. Ist das eine repräsentative Stichprobe? Wohl kaum...
Motel One will eine Bewertung: Wer nimmt sich die Zeit? Sehr zufriedene Kunden und solche die wirklich unzufrieden waren. Ist das eine repräsentative Stichprobe? Wohl kaum.

Sind solche Fragebogen, wie die von Motel One von Gästen zwei Tage nach deren Abreise gesammelt, von hoher Qualität? Wir erklären es unten.

Durch was zeichnet sich gute Datenqualität aus

Wenn ein Unternehmen von seinen Kunden Daten sammelt, muss die Stichprobe die breite Palette der Kunden sehr gut repräsentieren. Das heisst gemäss Geschlecht, Altersgruppe, Land, Einkommensgruppe, usw. müssen die gesammelten Daten diejenigen der wirklichen Kunden genau widerspiegeln.

Man kann Datenqualität aber auch etwas formaler beschreiben. Grundsätzlich spielen sicherlich 4 Faktoren eine wichtige Rolle ob unsere Big Data Sammlung von guter Qaulität ist oder eben nicht:

  • Richtigkeit (Veracity) der Daten
    Sind die Daten für das Problem oder die gestellten Fragen angemessen?
  • Zuverlässigkeit (Reliability) der Daten
    Inwiefern kommen z.B. 2 Personen zur gleichen Beurteilung eines Mitarbeiters oder eines Hotels?
  • Gültigkeit (Validität) der Daten
    Sind die Daten valide und messen diese, was sie messen sollen, mit hoher Qualität?
  • Beständigkeit (Volatilität) der Daten
    Wie lange sind die Daten noch aktuell bei einer Voraussage einer Grippenepidemie, eines Verkehrsstaus oder Vulkanausbruches?

Leider ist aber Big Data typischerweise von den folgenden fehlerhaften Charakteristiken gekennzeichnet:

  • observational,
  • ohne Kontroll-Daten,
  • scheinbar vollständig,
  • aus dritter Hand und oft
  • zusammengemischt.

Wir müssen die Datenerfassung verstehen, d.h. wie diese vorgenommen wurde muss uns klar sein bevor wir den Resultaten vertrauen können. Beispielsweise, was ist die Verteilung der Geschlechter, Altersgruppen, Einkommen usw. der erhaltenen Fragebögen mit Kundenevaluationen? Erlauben diese Rückschlüsse auf alle Gäste oder nur auf bestimmte Gruppen? Oder basieren unsere Rückschlüsse auf schlechten Daten, was die gesamten Ergebnisse in Frage stellt?

Qualität geht hier klar vor Quantität. Analysen mit Big Data können z.B. im Gesundheitswesen kontrollierte klinische Studien ergänzen, aber nicht ersetzen.

Im Beispiel unten von der Bruno Wickart AG werde ich aufgefordert, wenn mein Einkaufserlebnis positiv war, schnellstens die Firma zu bewerten.  Um es mir noch ein wenig attraktiver zu machen, bekomme ich einen Gutschein für meinen nächsten Einkauf.

Aus diesem Grunde sind solche Bewertungen oft mit Vorsicht zu geniessen, da sie nicht die Meinung aller Kunden widerspiegeln. Meistens sind die Daten weder repräsentativ, zuverlässig noch valide (siehe oben). Bei Wickart bedeutet dies, wahrscheinlich nur zufriedene Kunden haben eine Bewertung abgeben, oder aber solche, die unbedingt den Gutschein wollten.

Bruno Wickart AG Zug - so bringen Kundenevaluationen wenig bis gar nichts
Bruno Wickart AG Zug – so bringen Kundenevaluationen wenig bis gar nichts

Ein Dankeschön für die Bewertung zu bekommen ist sicherlich lobenswert. Nur werden so die Bewertungen beeinflusst. Somit bieten sie den neuen Kunden, welche sich informieren wollen, keine Möglichkeit ein valides, objektives und faires Bild über die Qualität und den Service vom Unternehmen zu bekommen.

Gleiches passiert auch auf Airbnb oder anderen Plattformen. Auch hier zeigen Studien über die Airbnb Bewertungen, dass die meisten Bewertungen von Vermietern und Mietern positiv sind. Von 600,000 Mietobjekten, welche in die Studie einbezogen wurden, hatten fast alle positive Bewertungen zwischen 4.5 und 5 Punkten/Sternen. Fast keine bekam unter 3.5 Sternen.

Wenn die Erfolgsrate 70% oder mehr beträgt, ist die Bewertung, die „wirklich einen Unterschied macht“, etwas niedriger. Denn schlechte Noten können ein Mietobjekt auf Airbnb „unvermietbar“ machen, einen Fahrer bei Uber auf Bewährung setzen und möglicherweise für einen Angestellten die Kündigung zu Folge haben.

Doch eben, solche Datensets sind oft weder ein Spiegelbild der tatsächlichen Kundenerfahrungen, noch entsprechen sie der Wahrheit. Die Resultate solcher Übungen werden durch Voreingenommenheit der Teilnehmer und Diskriminierung beeinflusst, was einige Forscher als „idosyncratic rater effect“ bezeichnen.

Für Messen und andere Veranstaltungen, an denen Sie teilnehmen, hängt der Erfolg der Datensammlung oft von der Menge ab. Auch die Qualität der Leads spielt eine wichtige Rolle. Anders läuft es bei Veranstaltungen, die man selber durchführt. Hier kann der Erfolg stark von der Markenbekanntheit abhängen, d.h. eine bekannte Marke wird auch Teilnehmerleads generieren, die von hoher Qualität sind.

Was immer Sie tun, seien Sie vorsichtig was die Daten betrifft. Zum Beispiel, an einem Kongress muss sichergestellt sein, dass ein Häkchen gemacht wird, welches es zum Beispiel dem Veranstalter erlaubt, die gesammelten Daten an Dritte weiterzureichen. Ein Beispiel: Der Marketing Club Lago soll Teilnehmeradressen aus der Region Bodensee erhalten. Er erhält damit die Möglichkeit, diese Personen für zukünftige Veranstaltungen einzuladen. Ebenfalls kann er diese Leute zur Rekrutierung von neuen Mitgliedern ansprechen. Doch dies muss eindeutig bewilligt werden, beispielsweise mit einem Satz und einem einzufügenden Häkchen des Teilnehmers:

  • ich gebe dem DMV das Recht meine Daten dem lokalen Marketing Club zu übermitteln, welcher diese für meine Einladungen an zukünftige Events nutzen kann.

Der obige Satz zeigt auch auf, für welchen Zweck man die Daten nutzen darf und für welchen nicht.  Alternativ kann man auch eine Liste aushändigen (oder vorher bereits bei der Anmeldung online schalten), wo man sein Einverständnis geben kann.

Hier finden Sie eine laufend aktualisierte Liste von Fällen zum Thema Datenschutz. Primär sind dies EuGH Entscheidungen.

Das EuGH gewährleistet, dass EU-Recht in allen EU-Mitgliedsländern auf die gleiche Weise angewendet wird und sorgt dafür, dass Länder und EU-Institutionen das EU-Recht einhalten.

Bussgeldberechnung standardisieren: Wie die Höhe von Schadensersatz und Schmerzensgeld berechnet werden soll muss klarifiziert werden. Einen wichtigen Schritt verdanken wir dem Obersten Gerichtshof in Österreich. Dieser hat am 16. April 2021 den EuGH um eine Vorabentscheidung gemäss Artikel 267 AEUV über die Voraussetzungen für die Zuerkennung von Schadensersatz bei Verstössen gegen die DSGVO ersucht. Ebenfalls erfragt das Gericht um Klärungen in der Bemessung eines solchen Schadens gemäss Artikel 82 der DSGVO. Die Antwort vom EuGH wird die faire und transparente Durchsetzung der DSGVO in allen 27 Mitgliedstaaten vereinfachen.

Die Hintergründe und Auswirkungen zu Schrems II haben wir besprochen. Die schwierigste Herausforderung zur Zeit ist die faire und transparente Umsetzung. Dabei muss Recht und Bussgeldhöhe in 27 Ländern gleich interpretiert und festgesetzt werden.

Interessant ist auch, dass der Datenschutz oder der Missbrauch von Personendaten im Wettbewerbsrecht eine Rolle spielt.

France: 2021-06-07 verhängte Frankreich  eine Geldstrafe von €220 Mio. gegen Google wegen Missbrauchs der „dominanten“ Anzeigenposition im Online-Werbemarkt.

Insbesondere untersuchte die französische Wettbewerbsbehörde die enge Beziehung zwischen Googles AdX Exchange, dem Marktplatz, auf dem Anzeigen versteigert werden, und Googles Ad Manager, einer Anzeigenverkaufsplattform, die aus der 3,1 Milliarden Dollar teuren Übernahme von Doubleclick im Jahr 2008 hervorging.

Ein Vorwurf war wenn Firmen in der Vergangenheit ihre Werbeplätze über Google-Anzeigenservice anboten, habe es in den Gebotsverfahren die eigenen Anzeigenkunden bevorzugt. Dadurch seien konkurrierende Werbedienstleister benachteiligt worden. 

Google hat seine Doppelrolle genutzt um Preisinformationen über Konkurrenten von Ad Manager an AdX weiterzugegeben. Dies verschaffte AdX einen Vorteil gegenüber anderen Auktionshäusern.

Das Beispiel zeigt, nationale Kartellbehörden stehen den Internetkonzernen nicht machtlos gegenüber. Schon Ende 2019 hatten die Wettebwerbshüter in Frankreich eine Straffe von €150 Mio. ausgesprochen. Grund, Google hatte seine beherrschende Marktposition bei der Suchmaschinenwerbung missbraucht. 

PS: Google akzeptiert die Busse (siehe Blogeintrag) 

PPS: Isabelle de Silva, Vorsitzende der französischen Wettbewerbsbehörde, wird in der Pressemitteilung wie folgt zitiert:  „Die Entscheidung, mit der Google sanktioniert wird, ist besonders bedeutsam, weil es sich um die weltweit erste Entscheidung handelt, die die komplexen algorithmischen Gebotsprozesse untersucht, nach denen Online-Display-Werbung funktioniert.“

Ein Algorithmus kann als eine Reihe von Schritten definiert werden, die befolgt werden, um ein mathematisches Problem zu lösen oder einen Computerprozess abzuschliessen.

Kartellrechtliche Untersuchung: 2021-06-04 – EU Kommision verdächtigt Facebook wegen möglichen Machtmissbrauchs. Konkret ist die Befürchtung der Kommission, wenn Konkurrenzunternehmen von Facebook in dessen sozialem Netzwerk für ihre Dienste werben, gelangt Facebook möglicherweise in den Besitz wirtschaftlich wertvoller Daten. 

Prinzipiell geht es neben dem Wettbewerbsrecht auch um die DSGVO und ob vertrauliche Daten vom Datenverarbeiter wiederrechtlich zum eigenen Vorteil genutzt werden. 

PS: Facebook ist im Kleinanzeigengeschäft international die Nummer 3 in Sachen Reichweite, nach Ebay und Amazon. 

Extraterritorialität – Klare Leitlinien sind gefragt: Das Europäische Parlament hat am 21. Mai 2021 von der Kommission verlangt, dass diese Leitlinien erstellt, um den Datentransfer zwischen der EU und den USA mit Schrems II konform zu machen. Das würde diese Problematik und die Risiken für Firmen welche US Firmen z.B. im Cloudbereich nutzen minimieren.

Google wird beschuldigt, gegen die DSGVO-Regeln der EU zu verstossen

2020-03-16 Brave Browser April 2021 – limit AD tracking or reset Advertising IDs – AD-Tracking einschränken oder Werbe-IDs zurücksetzen hat bei der Irish Data Protection Commission geben Google Beschwerde eingereicht.

Before the Data Protection Commission between Dr. John Ryan versus Google Ireland Limited and Google LLC – Ground of Complaint to the Data Protection Commission (PDF Datei der eingereichten Beschwerde).

Die Beschwerde macht Google den Vorwurf gegen Artikel 5(1)b der DSGVO zu verstossen welcher verlangt, dass Daten für festgelegte, eindeutige und rechtmäßige Zwecke erhoben und nicht in einer Weise weiterverarbeitet werden, die mit diesen Zwecken unvereinbar ist.

Genau geht es darum das Google personenbezogenen Daten der Nutzer zwischen seinen Produkten wie YouTube, Google Maps, Gmail, usw. austauscht. Dies tut Google gemäss eingereichter Beschwerde, ohne die ausdrückliche Zustimmung dazu einzuholen. Damit würde das Unternehmen gegen Grundprinzipien des DSGVO verstossen.

Speziell heisst es in von Google veröffentlichten Dokumenten und Nutzungsbedingungen:

„Location History saves where you go with your devices. This data is saved even when you aren’t using a specific Google service, such as Google Maps or Search… This data may be saved and used in any Google service where you are signed in {and}… helps Google give you more personalised experiences … both on and off Google.“  

„Location History“ speichert, wohin Sie mit Ihren Geräten gehen. Diese Daten werden auch dann gespeichert, wenn Sie keinen bestimmten Google-Dienst wie Google Maps oder die Suche verwenden… Diese Daten können in jedem Google-Dienst gespeichert und verwendet werden, bei dem Sie angemeldet sind {und}… hilft Google, Ihnen personalisierten Service zu bieten … sowohl bei Google als auch ausserhalb von Google“.

Die Beschwerde weisst daruf hin das Google keine rechtliche Handhabe hat für solche und weitere Datenerfassungen oder wie es diese Nutzerdaten einsetzt.  Diese Informationen hat Brave Browser (ein kleiner Konkurrent von Google Chrome) in mehr als 100 veröffentlichten Dokumenten und Nutzerbedingungen von Google zusammengetragen.

Google Einstellungen verbessern

Um Ihre Einstellungen einzusehen und zu ändern, gehen Sie folgendermaßen vor:
  1. Rufen Sie diese Seite auf.
  2. Melden Sie sich an.
  3. Öffnen Sie den Bereich „Persönliche Daten & Privatsphäre“.
  4. Klicken Sie auf „Privatsphärecheck“.
  5. Dort können Sie Ihre Einstellungen zur Privatsphäre individuell einstellen. Arbeiten Sie die Punkte der Reihe nach ab, angefangen bei YouTube-Shares über Ihre Einstellungen bei Google Fotos bis hin zur relevanten Werbung.
Sie können also bis zu einem bestimmten Maß darüber entscheiden, welche Informationen Sie freigeben und wie Google Informationen nutzt. Dank dieser Optionen können Sie Ihr Google-Konto mit gutem Gewissen nutzen.

Apple hat im April mitgeteilt, dass es Werbetreibenden es erschweren wird, Apple Nutzer zu verfolgen, wenn sie sich zwischen Apps bewegen. Hiermit versucht das Unternehmen sein Image als bester Verwalter persönlicher Daten zu etablieren. entgegenzuwirken.

In Änderungen, die einen neuen Schlag für die fast 400 Milliarden Dollar schwere digitale Werbeindustrie bedeuten, hat Apple zusätzliche Schutzmassnahmen für iPad und iPhone Nutzer eingeführt. Das verunmöglicht es Vermarktern, Nutzer zu verfolgen, wenn sie von einer App zur nächsten wechseln.

Mehr im Apple Press Release: 2021-04-20 – Details wie iPhone Nutzer getrackt werden

Ein Anbieter teilte seinen Kunden jedoch 2021-06 mit, dass es ihm gelungen sei, weiterhin Daten über mehr als 95 % der iOS-Benutzer zu sammeln, indem er Geräte- und Netzwerkinformationen wie IP-Adressen sammelte, um festzustellen, wer ein Benutzer ist.

Diese heimliche Taktik, ist als „Fingerprinting“ bekannt. Apple verbietet Fingerprinting, aber die Richtlinie wird nicht durchgesetzt.

Das „probabilistische Matching“ oder die Wahrscheinlichkeits-Methode der Identifizierung gruppiert Benutzer nach Verhalten und gleicht diese Gruppen dann ab.

Die obigen Ausführungen zeigen, dass Apple sehr schlau ist, indem es seine Datenschutzbemühungen clever vermarktet, ohne sie zum Schutz der Benutzer richtig durchzusetzen.

PS. Inwiefern hier das Nachziehen von Google (siehe Google Android Tab) Apple dazu zwingt die Regeln umzusetzen ist unklar. Dies könnte bis Juli 2021 zu einer Welle von App-Ablehnungen durch Apple während des App-Überprüfungsprozesses führen.

PPS. Eine Art ‚Mauer‘ für persönliche Daten zu errichten, um Dritte fernzuhalten, bedeutet, dass sich alle sensiblen Daten nun hinter der Mauer befinden – die im Besitz von Google oder Apple sind. Dabei wird dem Nutzer seine Privatsphäre geschützt, Amazon, Google, Apple oder Facebook wissen immer noch alles über den Nutzer. Somit können sie diese Information zum eigenen Vorteil nutzen (siehe EU verdächtigt Facebook, Google unter EU- Kommission).

Google stärkt den Schutz der Privatsphäre von Android-Nutzern. Bis Ende 2021 wird Google es Werbetreibenden  erschweren, Nutzer zu verfolgen, wenn sie sich zwischen Apps bewegen. Hiermit versucht das Unternehmen, Apple’s Image als besserer Verwalter persönlicher Daten entgegenzuwirken.

In Änderungen, die einen neuen Schlag für die fast 400 Milliarden Dollar schwere digitale Werbeindustrie bedeuten, wird Google zusätzliche Schutzmaßnahmen für Android-Nutzer einführen, die sich gegen die Weitergabe ihrer „Werbe-ID“ entscheiden – eine Gerätekennung, die es Vermarktern ermöglicht, sie zu verfolgen, wenn sie von einer App zur nächsten wechseln.

Android-Nutzer haben bereits die Möglichkeit, das Anzeigen-Tracking einzuschränken oder ihre Werbe-IDs zurückzusetzen, aber Entwickler konnten diese Einstellungen umgehen, indem sie alternative Gerätekennungen nutzten, gegen die Google nun vorgeht.

Google kündigte die Änderungen am 2021-06-02 Mittwoch in einer E-Mail an Play Store-Entwickler an, in der es schrieb, dass es „den Nutzern mehr Kontrolle über ihre Daten geben und dabei helfen möchte, die Sicherheit und Privatsphäre zu stärken“.

Nach der Überarbeitung werden Entwickler, die versuchen, auf die Werbe-IDs derjenigen zuzugreifen, die sich abgemeldet haben, „eine Reihe von Nullen anstelle der Kennung erhalten“, fügte Google hinzu.

PS. Eine Art ‚Mauer‘ für persönliche Daten zu errichten, um Dritte fernzuhalten, bedeutet, dass sich alle sensiblen Daten nun hinter der Mauer befinden – die im Besitz von Google oder Apple ist. Dabei wird dem Nutzer seine Privatsphäre geschützt, Amazon, Google, Apple oder Facebook wissen jedoch immer noch alles über den Nutzer. Somit können sie diese Information zum eigenen Vorteil nutzen (siehe EU verdächtigt Facebook unter Kommission).

2021-06-04 hat die EU-Kommission eine förmliche Untersuchung gegen Facebook wegen des Verdachts auf Wettbewerbsverstösse beim Kleinanzeigendienst „Facebook Marketplace“ gestartet. Die EU-Kommission will nach eigenen Angaben klären, ob Facebook seine Stellung auf anderen Märkten für diesen Dienst wettbewerbswidrig ausnutzt. Wenn Konkurrenzunternehmen bei Facebook für ihre Dienste Werbung trieben, könnte Facebook in Besitz wirtschaftlich wertvoller Daten gelangen und diese dann gegen Wettbewerber nutzen, lautet der Verdacht. Auch hier ist der Datenschutz indirekt mit im Spiel.

2021-06-04 – EU Kommision verdächtigt FAcebook wegen möglichen Machtmissbrauchs

PS. Eine Art ‚Mauer‘ für persönliche Daten zu errichten, um Dritte fernzuhalten, bedeutet, dass sich alle sensiblen Daten nun hinter der Mauer befinden – die im Besitz von Google oder Apple ist. Dabei wird dem Nutzer seine Privatsphäre geschützt, Amazon, Google, Apple oder Facebook wissen immer noch alles über den Nutzer. Somit können sie diese Information zum eigenen Vorteil nutzen (siehe EU verdächtigt Facebook unter Kommission).

Hier eine laufend aktualisierte Liste von Forschungsresultaten, White Papers, usw. zum Thema Datenschutz. Neue Publikationen werden nach Erhalt von den Angaben von uns aufgeführt:

Butler, Laura (2019-02-26) . Cybercriminals raking in over $3bn a year from social media crime. Aufgerufen 22. Dezember, 2019 auf https://www.surrey.ac.uk/news/cybercriminals-raking-over-3bn-year-social-media-crime

Europäische Union (2019-06-14). Datenschutz und Privatsphäre im Online-Umfeld. Aufgerufen 22. Dezember, 2019 auf https://europa.eu/youreurope/citizens/consumers/internet-telecoms/data-protection-online-privacy/index_de.htm

Gattiker, Urs E. , Temmen, Taina und Sinistra, Patrizia (Jan/Feb, 2018). DMV Szene EU-Datenschutzgrundverordnung (DSGO): Was ist Sache für Marketing-Manager, Geschäftsleitung und Vorstand? Absatzwirtschaft, 1/2. Aufgerufen 9. Dezember, 2019 auf https://test.drkpi.ch/en/portfolio-item/gdpr-for-the-board/

Gattiker, Urs E. , Temmen, Taina und Sinistra, Patrizia (Juni 2018, 2 Auflage). EU-Datenschutzgrundverordnung (DSGO): Was ist Sache für Marketing-Manager, Geschäftsleitung und Vorstand? Aufgerufen am 9. Dezember, 2019 auf https://test.drkpi.ch/en/portfolio-item/gdpr-for-the-board/

Ewiger, Chris und Gattiker, Urs E. (April 2019) Check-in. Diskutiert doch mal … die DSGVO als USP Europas. Absatzwirtschaft, 4. Aufgerufen am 9. Dezember, 2019 auf https://test.drkpi.ch/portfolio-item/artikel-dsgvo-debatte/

Wenn Sie eine Arbeit hier aufgelistet sehen möchten, kontaktieren Sie uns mit den Details, wir nehmen den Bericht, Master-Doktorarbeit oder White Paper dann gerne hier in die Liste auf.

Sie finden alle Bussgeldentscheiden zu DSGVO in der EU hier. Unsere Liste ist nur eine Auswahl.

EUR 10.000,– DSGVO-Strafe für „Kleinstunternehmen“

Datenschutzbehörde: Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BFDI), Bonn
Urteil/Verweis:  2019-12-09
Busse/Strage: EUR 10.000

Die Telekommunikationsanbieterin Rapidata GmbH hat trotz Verpflichtung und Aufforderung keinen Datenschutzbeauftragten bestellt.

Dies ist jedoch nach Artikel 37 der DSGVO eine gesetzlich Auflage. Das Unternehmen hat trotz mehrmaliger Aufforderung keinen betrieblichen Datenschutzbeauftragten benannt.

Der BfDI teilte mit, dass bei der Höhe der Geldbuße von 10.000 Euro berücksichtigt wurde, dass es sich hierbei um ein Unternehmen aus der Kategorie der Kleinstunternehmen handelt.

Mainzer Uniklinik

Datenschutzbehörde: Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI)
Urteil/Verweis:  2019-12-03
Busse: EUR 105.000

Hier geht es um die Verwechslung eines Patienten bei der Aufnahme. Im Zusammenhang damit ist es laut Mitteilung vom Rheinland-Pfälzischen Datenschutzbeauftragten zu mehreren Verstössen gegen die Datenschutz-Grundverordnung gekommen. So wurde beispielsweise eine Rechnung an die falsche Adresse geschickt.

Die Panne habe „strukturelle technische und organisatorische Defizite des Krankenhauses beim Patientenmanagement“ offenbart, so der Datenschutzbeauftragte.

Mehr Infos hier:  https://www.datenschutz.rlp.de/de/aktuelles/detail/news/detail/News/geldbusse-gegen-krankenhaus-aufgrund-von-datenschutz-defiziten-beim-patientenmanagement/

Österreichische Post AG

Datenschutzbehörde: Österreichische Datenschutzbehörde
Urteil/Verweis:  2019-10-23
Busse: EUR 18 Mio (noch nicht rechtskräftig)

Die Österreichische Post AG (zur Hälfte im Besitze des Staates) verstiess gegen die DSGVO indem sie von 2,2 Millionen Menschen in Österreich Daten zu deren Parteiaffinität gesammelt hat.

Rechtsverletzung sah die Datenschutzbehörde auch wegen der Weiterverarbeitung von Daten über die Paketfrequenz. Ebenfalls war die Datensammlung zur Häufigkeit von Umzügen zum Zweck des Direktmarketings nicht rechtens. Diese Weiterverarbeitungen finden keine Deckung in der DSGVO.

Die österreichische Post informierte Investoren wie folgt:

Nicht inkludiert ist eine Rückstellung für eine Verwaltungsstrafe in Höhe von 18 Mio EUR, die die Datenschutzbehörde gegen die Österreichische Post wegen Verwendung von Marketingdaten ausgesprochen hat. Das Straferkenntnis ist nicht rechtskräftig, die Österreichische Post wird gegen diesen Bescheid erster Instanz Rechtsmittel ergreifen.

Weitere Informationen werden folgen.

Weitere Infos in der Pressemitteilung:  https://www.ots.at/presseaussendung/OTS_20191029_OTS0095/strafverfahren-gegen-oesterreichische-post-ag von der https://www.dsb.gv.at/

Oberschulbehörde in Skelleftå, Nordschweden

Datenschutzbehörde: Datainspektionen (DPA)
Urteil/Verweis: DI-2019-2221, 2019-08-20
Busse: SEK 200.000, ca. EUR 16.500

Datainspektionen (DPA) verhängte zum ersten Mal eine Geldbusse. Grund war die Nutzung von Gesichtserkennungssoftware für die Schüleranwesenheitskontrolle welche in einem dreiwöchigen Pilotprojekt genutzt wurde.

Die DPA sah dies als ein Verstoss gegen die EU-Datenschutzgrundverordnung (DSGVO). Die DPA erachtete die Einwilligung der Eltern der Schüler im vorliegenden Fall wegen des Abhängigkeitsverhältnisses als nicht freiwillig erteilt.

Ebenfalls fand der Regulator, dass die Schule eine vorgängige Datenschutz-Folgenabschätzung nicht durchgeführt habe obwohl dies laut DSGVO notwendig sei.

Mehr Infos hier: https://www.datainspektionen.se/globalassets/dokument/beslut/beslut-ansiktsigenkanning-for-narvarokontroll-av-elever-dnr-di-2019-2221.pdf

PWC Griechenland

Datenschutzbehörde: Hellenic Data Protection Authority (DPA)
Urteil/Verweis: 26/2019   2019-07-30
Busse: EUR 150.000

PricewaterhouseCoopers Business Solutions SA (PwC BS) wurde gebüsst weil das Unternehmen sich für die  die Verarbeitung von Mitarbeiterdaten auf eine falsche Rechtsgrundlage abstützte. Der Fall illustriert, dass die korrekte Umsetzung der DSGVO von grosser Wichtigkeit ist. Zum Beispiel war die Einwillung zur Verarbeitung von persönlichen Daten Teil des Arbeitsvertrages. Das heisst, die Einwilligung wurde im Rahmen des Arbeitsverhältnisses abgegeben. Dies könne laut der Hellenic DPA aufgrund des offensichtlichen Ungleichgewichts der Parteien nicht als freiwillig angesehen werden.

Auch fand der Regulator, dass PwC BS seine Rechenschaftspflicht verletzt (Accountability-Grundsatz) habe. Dies weil keine interne Dokumentation über die Wahl der Rechtsgrundlage eingereicht und damit kein Nachweis der Rechtmässigkeit der Datenverarbeitung erbracht werden konnte.

Somit wurden die personenbezogenen Daten seiner Mitarbeiter widerrechtlich entgegen den Bestimmungen von Artikel 5(1)(a) Einzug Text (a) der DSGVO verarbeitet, da sie eine unangemessene Rechtsgrundlage verwendet hat.

Die Hellenic DPA ordnete Massnahmen an, um die Konformität mit der EU-Datenschutzgrundverordnung (DSGVO) herzustellen.

Mehr Information auf Englisch inklusive das Urteil auf griechisch hier: https://edpb.europa.eu/news/national-news/2019/company-fined-150000-euros-infringements-gdpr_en

Die DSGVO beansprucht eine sogenannte extra-territoriale Wirkung, d.h. sie kann auch für Schweizer Unternehmen Anwendung finden. Diesen neuen Massstäben kann der verantwortliche Regulator mit hohen Bussen Nachdruck verleihen.

Firmenname unbekannt – Schweizer Firma

Datenschutzbehörde: Österreichische Datenschutzbehörde
Urteil/Verweis:  2019-08-22
Aufforderung: Richtigstellung in 4 Wochen

Das betroffene Schweizer Unternehmen betreibt eine Website mit der Länderdomain .at und erbringt Dienstleistungen und betreibt Hotels in Österreich.

Die Datenschutzbehörde sah Art. 3 Abs. 2 lit. a DSGVO als erfüllt an (Angebotsausrichtung). Sodann habe der schweizerische Verantwortliche Personendaten über ein Kontaktformular „erhoben“, weshalb Art. 13 DSGVO anwendbar war.

Erforderliche Angaben waren auf einer Webseite verfügbar. Jedoch hat der Verantwortliche nicht darauf hingewiesen. Auch wurden bis zum Abschluss des Verfahrens nicht alle erforderlichen Informationen nachgereicht. Insbesondere war die Angabe eines „Datenschutzverantwortlichen“ ungenügend, weil die DSGVO diesen Begriff nicht kennt.

Mehr Infos hier:  https://www.ris.bka.gv.at/Dokumente/Dsk/DSBT_20190822_DSB_D130_206_0006_DSB_2019_00/DSBT_20190822_DSB_D130_206_0006_DSB_2019_00.pdf

PS. Leider informiert die Österreichische Datenschutzbehörde auf deren Webseite nicht, ob der Fall zu ihrer Zufriedenheit von der Schweizerischen Firma geklärt wurde. Emailanfragen wurden von der Behörde im Gegensatz zu anderen Ländern nicht beantwortet.

PPS. Auch ein Regulator ist nicht von Unwissen gefeit, z.B. wusste die Österreichische Datenschutzbehörde nicht, was ein „betrieblicher Datenschutzverantwortlicher“ ist und fragte deshalb beim CH Unternehmen nach (siehe pdf Dok. oben).  Mit dem revidierten Datenschutzgesetz in der Schweiz wird dann diese Rolle von einer von der Führung unabhängigen Person übernommen, welche den Titel „Datenschutzberater“ hat. Hoffentlich werden das die AT Behörden verstehen.

DOWNLOAD WHITE PAPER

 

Erfahren Sie mehr über die DSGVO und die optimale Anwendung im B2C sowie B2B Bereich wie z.B. im Marketing, Direct Marketing und für E-Shops.

PS. Erhalt der Bestätigungsmail für den Download Link kann einige Minuten dauern.

DOWNLOAD WHITE PAPER

Erfahren Sie mehr über die DSGVO und die optimale Anwendung im B2C sowie B2B Bereich wie z.B. im Marketing, Direct Marketing und für E-Shops.

PS. Erhalt der Bestätigungsmail für den Download Link kann einige Minuten dauern.

Download Informationen

 

Erfahren Sie in diesem Leitfaden wie sich DSGVO und CCPA gleichen und welche wichtigen Unterschiede sie beinhalten.

Wenn Ihr Schweizer Unternehmen DSGVO erfüllt, heisst das nicht, dass Sie auch CCPA compliant sind.

Unser Leitfaden hilft Ihnen, sich vor den Risiken eines Gerichtsfalles in Kalifornien zu schützen.

PS. Erhalt der Bestätigungsmail für den Download Link kann einige Minuten dauern.

Download Informationen

DSGVO und CCPA - was ist gleich, was ist anders?

Erfahren Sie in diesem Leitfaden, wo sich die DSGVO und CCPA gleichen und wo unterscheiden. Wenn Ihr Schweizer Unternehmen DSGVO erfüllt, heisst das nicht, dass Sie auch CCPA-konform sind.

Unser Leitfaden hilft Ihnen, sich vor den Risiken eines Gerichtsfalles in Kalifornien zu schützen.

PS. Erhalt der Bestätigungsmail für den Download Link kann einige Minuten dauern.

Erhalten Sie jetzt unseren Newsletter!