Datenschutz News 08.04.2018

Spanien: AEPD verhängt Geldstrafe von 100.000 € gegen Kutxabank wegen Versagens des Rechts auf Löschung

Die spanische Datenschutzbehörde (AEPD) hat im April 2021 in dem Verfahren PS/00473/2020 eine Entscheidung erlassen, mit der gegen die Kutxabank SA eine Geldbuße in Höhe von 100.000 € verhängt wurde, weil sie es versäumt hat, das Recht auf Löschung gemäß Artikel 17 der Allgemeinen Datenschutzverordnung  wie gefordert auszuüben. In der Entscheidung wird insbesondere hervorgehoben, dass der für die Verarbeitung Verantwortliche gemäß Artikel 32 des Organgesetzes 3/2018 vom 5. Dezember 2018 über den Schutz personenbezogener Daten und die Gewährleistung digitaler Rechte (LOPDGDD) verpflichtet ist, die Daten nach einem Antrag auf Löschung zu “sperren” und gleichzeitig technische und organisatorische Maßnahmen zu ergreifen, um ihre Verarbeitung zu verhindern. Im Gegensatz dazu stellt die Entscheidung fest, dass die Kutxabank es versäumt hat, die Daten gemäß Artikel 32 der LOPDGDD zu sperren, und von den Kunden verlangte, eine Erklärung zu unterschreiben, mit der sie das zuvor ausgeübte Recht auf Löschung widerrufen und die Freigabe der Daten erlauben, obwohl die DSGVO nicht vorsieht, dass das Recht auf Löschung widerrufen werden kann. Als Ergebnis wird in der Entscheidung hervorgehoben, dass ein Bußgeld in Höhe von 100.000 € verhängt wurde, wobei die Möglichkeit besteht, zwei Ermäßigungen in Anspruch zu nehmen, wodurch das Bußgeld auf 60.000 € reduziert wird.

Aepd.es, 08.04.2021

EU: BEUC veröffentlicht Positionspapier zum Data Governance Act

Die Europäische Verbraucherorganisation (BEUC) veröffentlichte am 29. März 2021 ihr Positionspapier zum Data Governance Act (DGA). Insbesondere betonte das BEUC, dass der Erfolg der DGA von ihrem Zusammenspiel mit anderen EU-Rechtsvorschriften abhängt, einschließlich der Allgemeinen Datenschutzverordnung der Richtlinie über offene Daten und die Weiterverwendung von Informationen des öffentlichen Sektors, der Richtlinie über den Schutz der Privatsphäre und die elektronische Kommunikation sowie mit allen künftigen Rechtsvorschriften, die die gemeinsame Nutzung personenbezogener Daten regeln, wie dem geplanten Datengesetz.

Beuc.eu, 29.03.2021

Dänemark: Datatilsynet veröffentlicht Leitfaden zu Akkreditierungsanforderungen für Zertifizierungsstellen

Die dänische Datenschutzbehörde (Datatilsynet) hat am 30. März 2021 ihre ergänzenden Akkreditierungsanforderungen für Zertifizierungsstellen veröffentlicht. Die Datatilsynet hat insbesondere hervorgehoben, dass Zertifizierungsprogramme, die nur von zugelassenen akkreditierten Zertifizierungsstellen ausgestellt werden können, verwendet werden können, um nachzuweisen, dass eine Organisation mit der Allgemeinen Datenschutzverordnung konform ist. Die ergänzenden Akkreditierungsanforderungen umreißen die allgemeinen Anforderungen für die Akkreditierung, die den Nachweis der Konformität sowohl mit der DSGVO als auch mit der Norm ISO 17065 beinhaltet. Darüber hinaus befassen sich die ergänzenden Akkreditierungsanforderungen unter anderem mit dem Antragsverfahren, den Zertifizierungsentscheidungen und der Dokumentation, der Überwachung, den internen Audits sowie den Korrektur- und Präventivmaßnahmen. Die Datatilsynet stellte fest, dass es derzeit keine zugelassenen Datenschutz-Zertifizierungssysteme in Dänemark oder Europa gibt.

Datatilsynet.dk, 30.03.2021

Japan: Initiatives Co. Ltd. adressiert Datenschutzverletzung, die 65.000 Kunden und Mitarbeiter betrifft

Initiatives Co., Ltd. gab am 24. März 2021 eine Erklärung ab, in der sie sich zu einer Datenschutzverletzung äußerte, die möglicherweise die persönlichen Daten von bis zu 65.000 Kunden und Mitarbeitern betraf. Insbesondere bestätigte Initiatives, dass das Datenleck auf den unbefugten Zugriff auf ihren Server durch eine dritte Partei zurückzuführen ist, was zum Durchsickern von u. a. Adresse, Name, Telefonnummer und Bankkontoinformationen führte. Darüber hinaus betonte Initiatives, dass keine sekundären Schäden, wie z.B. eine unautorisierte Nutzung der betroffenen Informationen, bestätigt wurden. Als Ergebnis des Vorfalls stellte Initiatives fest, dass eine detaillierte Untersuchung von den Systemanbietern durchgeführt wird und dass sie eine weitere Verstärkung der Sicherheitsmaßnahmen in Betracht ziehen und sich bemühen werden, eine Wiederholung zu verhindern.

Initio.co.jp, 24.03.2021

Italien: Garante verhängt Geldstrafe von 4,5 Mio. € gegen Fastweb wegen unerwünschter Telefonmarketing-Aktivitäten

Die italienische Datenschutzbehörde (Garante) gab am 2. April 2021 bekannt, dass sie Fastweb, S.p.a. mit einem Bußgeld in Höhe von 4,5 Millionen Euro belegt hat, weil das Unternehmen die persönlichen Daten von Millionen von Nutzern für Telemarketingzwecke verarbeitet hat, ohne deren Zustimmung einzuholen. Insbesondere hob Garante hervor, dass sie eine komplexe Untersuchung durchgeführt hatte, nachdem Hunderte von Berichten und Beschwerden über ständige unaufgeforderte Werbeanrufe und Internetdienste von Fastweb eingegangen waren. Unter anderem stellte Garante die Verwendung von fiktiven oder nicht im Register der Kommunikationsbetreiber (RCO) registrierten Nummern sowie das Fehlen angemessener Sicherheitsmaßnahmen für die Kundenverwaltungssysteme fest. Infolgedessen wies Garante Fastweb an, ihre Telemarketing-Verarbeitungsaktivitäten anzupassen, um nachzuweisen, dass ihre Dienste über Nummern angeboten werden, die beim RCO registriert sind, ihre Sicherheitsmaßnahmen zu verstärken, um eine unbefugte Weitergabe zu verhindern, und nur die persönlichen Daten von Personen zu verwenden, die ihre spezifische, freie und informierte Zustimmung zur Verwendung dieser Daten durch Dritte gegeben haben.

Garanteprivacy.it, 04.02.2021

Verwandte Beiträge