Datenschutz News 18.12.2020

Spanien: AEPD verhängt Geldstrafe von 5 Mio. € gegen BBVA wegen Versäumnissen bei der GDPR-Information und Einwilligung

Die spanische Datenschutzbehörde (AEPD) hat am 11. Dezember 2020 einen Beschluss im Verfahren PS/00070/2019 erlassen, mit dem gegen Banco Bilbao Vizcaya Argentaria, SA (BBVA) eine Geldstrafe in Höhe von 2 Mio. € wegen eines Verstoßes gegen Artikel 13 der Allgemeinen Datenschutzverordnung und 3 Mio. € wegen eines Verstoßes gegen Artikel 6 der DSGVO verhängt wurde. Insbesondere wird in der Entschließung hervorgehoben, dass BBVA in Bezug auf den ersten Verstoß eine ungenaue Terminologie zur Definition der Datenschutzrichtlinie verwendet und unzureichende Informationen über die Kategorie der verarbeiteten personenbezogenen Daten bereitgestellt hat, insbesondere in Bezug auf Kundendaten, die u. a. durch Produkte, Dienstleistungen und Kanäle gewonnen wurden. Darüber hinaus sieht die Entschließung in Bezug auf den zweiten Verstoß vor, dass BBVA es versäumt hat, die Zustimmung vor dem Versand von Werbe-SMS an einen Kunden einzuholen und keinen spezifischen Mechanismus für die Einholung der Zustimmung durch Kunden und Kundenbetreuer eingerichtet hat.

AEPD, 14.12.2020

EU: Rat nimmt Resolution zu Verschlüsselung und Sicherheit an

Der Europäische Rat hat am 14. Dezember 2020 eine Entschließung angenommen, die sich mit der Sicherheit durch Verschlüsselung und der Notwendigkeit von Sicherheit trotz Verschlüsselung befasst. In der Entschließung wird insbesondere hervorgehoben, dass ein Gleichgewicht zwischen dem Einsatz von Verschlüsselung zum Schutz der Grundrechte und der digitalen Sicherheit der Bürger und der Gesellschaft und dem Zugriff der Strafverfolgungsbehörden und der Justiz auf elektronische, nicht verschlüsselte Daten zur Gewährleistung der Strafverfolgung und der Strafjustiz im Cyberspace gewahrt werden muss. Insbesondere wird in der Entschließung darauf hingewiesen, dass die Verschlüsselung in einigen Fällen den Zugriff auf den Inhalt der Kommunikation und deren Analyse unmöglich macht und dass es daher wichtig ist, die Befugnisse der zuständigen Behörden im Bereich der Sicherheit und der Strafjustiz zu wahren, indem ein rechtmäßiger Zugang zu den Daten ermöglicht wird, und sie in die Lage zu versetzen, die gesetzlich vorgeschriebenen Aufgaben auszuführen. Darüber hinaus betont die Entschließung die Notwendigkeit der Zusammenarbeit mit der Tech-Industrie sowie, dass alle technischen Lösungen für den Zugriff auf verschlüsselte Daten den Grundsätzen der Rechtmäßigkeit, Transparenz, Notwendigkeit und Verhältnismäßigkeit entsprechen müssen, neben dem Schutz personenbezogener Daten durch Design und Standard.

Europäische Rat, 15.12.2020

Polen: UODO verhängt Geldstrafe von 1,9 Mio. PLN gegen Virgin wegen unzureichender technischer und organisatorischer Maßnahmen

Die polnische Datenschutzbehörde (UODO) gab am 14. Dezember 2020 ihre Entscheidung bekannt, Virgin Mobile Polska nach einer im Unternehmen durchgeführten Inspektion eine Geldstrafe in Höhe von 1,9 Mio. PLN (ca. 427.000 €) aufzuerlegen, weil das Unternehmen keine angemessenen technischen und organisatorischen Maßnahmen ergriffen hat, was zu einem Verstoß gegen die in der Allgemeinen Datenschutzverordnung festgelegten Grundsätze der Vertraulichkeit und Rechenschaftspflicht führte. Insbesondere wird in dem Beschluss hervorgehoben, dass Virgin es versäumt hat, regelmäßige und umfassende Bewertungstests seiner technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit personenbezogener Daten durchzuführen und nur bei Verdacht auf eine Schwachstelle oder im Zusammenhang mit organisatorischen Änderungen Maßnahmen ergriffen hat. Konkret wird in der Entscheidung dargelegt, dass Virgin eine Überprüfung geeigneter Parameter verwendete, nach denen Daten zwischen Anwendungen im IT-System ausgetauscht werden sollten, die vor ihrer Implementierung nicht getestet worden war. Infolgedessen wurde die Schwachstelle in diesem Prozess von einer unbefugten Person ausgenutzt, um an Daten zu gelangen, und erst nach diesem Vorfall wurden geeignete Maßnahmen ergriffen, um die oben genannte Funktionalität im IT-System des Unternehmens zu reparieren.

UODO, 15.12.2020

EU: EDPB verabschiedet Strategie 2021-2023, Leitlinien zu GDPR, PSD2 und Einschränkung der Betroffenenrechte in 43. Plenarsitzung

Der Europäische Datenschutzausschuss (EDPB) gab am 16. Dezember 2020 die Ergebnisse seiner 43. Plenarsitzung bekannt. Insbesondere hob der EDSB hervor, dass er unter anderem seine Strategie für den Zeitraum 2021-2023 angenommen hat, in der die strategischen Ziele des EDSB dargelegt sind, eine Erklärung zum Ende der Brexit-Übergangszeit sowie einen Informationsvermerk zu Datenübermittlungen gemäß der Allgemeinen Datenschutzverordnung nach dem Brexit herausgegeben hat, sowie verabschiedete Leitlinien zu Einschränkungen der Rechte der betroffenen Personen gemäß Artikel 23 der GDPR und die endgültige Fassung ihrer Leitlinien zum Zusammenspiel zwischen der GDPR und der Zahlungsdienstrichtlinie ((EU) 2015/2366) (PSD2). Insbesondere in Bezug auf die Einschränkung der Rechte der betroffenen Personen betonte der EDSB, dass bei jeder Einschränkung die Art des einzuschränkenden Rechts zu beachten ist und dass weitreichende Einschränkungen, die die Grundrechte auf den Schutz personenbezogener Daten erheblich untergraben, nicht gerechtfertigt werden können. Darüber hinaus wies der EDSB darauf hin, dass diese Leitlinien zur Einschränkung von Betroffenenrechten acht Wochen lang öffentlich konsultiert werden. Darüber hinaus gab der EDSB eine Erklärung zum Schutz personenbezogener Daten im Zusammenhang mit der Bekämpfung von Geldwäsche und Terrorismusfinanzierung (AML/CFT) ab, in der er feststellte, dass AML/CFT-Maßnahmen mit den Rechten auf Privatsphäre und Datenschutz, dem Grundsatz der Notwendigkeit und der Rechtsprechung des Gerichtshofs der Europäischen Union (EuGH) vereinbar sein sollten.

EDPB, 17.12.2020

Großbritannien: ICO leitet Verfahren ein, um 250.000 £ Bußgeld von Pownall Marketing Limited zurückzufordern

Das Information Commissioner’s Office (ICO) gab am 16. Dezember 2020 bekannt, dass es am 14. Dezember 2020 ein Bußgeld in Höhe von 250.000 £ gegen Pownall Marketing Limited wegen belästigender Marketinganrufe verhängt hat und dass die Financial Recovery Unit (FRU) des ICO ein Verfahren eingeleitet hat, um das Bußgeld von PML zurückzufordern, das inzwischen ein aufgelöstes Unternehmen ist. Im Einzelnen führte das ICO aus, dass es festgestellt habe, dass zwischen dem 1. Januar und dem 18. Mai 2019 365.369 Anrufe ohne Zustimmung der Empfänger getätigt worden seien. Darüber hinaus erklärte das ICO, dass die FRU den Antrag von PML, sich aus dem Companies House Register zu löschen, dreimal blockiert hat. Darüber hinaus erklärte das ICO, dass die FRU, falls PML die Geldstrafe nicht bezahlt, geeignete Maßnahmen ergreifen wird, um die Schulden einzutreiben, wozu auch Anträge auf Auflösung des Unternehmens und die Ausübung der vollen Rechte des ICO als Gläubiger bei einer Insolvenz gehören können.

ICO, 17.12.2020

Verwandte Beiträge