Bußgeld bei fehlerhaften E-Mail-Versand

Aus dem Sachverhalt – Urteil des BVG Österreich vom 26.03.2024 - W 1 3 7 2 2 4 1 6 3 0 - 1 / 4 8 E

Mitarbeiterinnen einer Bank hatten irrtümlich persönliche Kundendaten in einer Excel-Liste via E-Mail versandt.

Konkret sollte eine Mitarbeiterin ein Mailing an Kunden vornehmen, diese sandte aber die gesamte Excel-Liste mit Datensätzen von 5971 Kundinnen und Kunden zweier Filialen sowie deren Betreuern an 234 Kundinnen und Kunden. Die Bank reagierte umgehend und nahm technische Maßnahmen zur Rückholung der versendeten Emails vor, sowie veranlasste auch eine direkte Kontaktaufnahme mit den Emailempfängern und forderte diese auf die E-Mail zu löschen sowie dies zu bestätigen.

Die Datenpanne durch die Bank wurde an die Datenschutzbehörde gemäß Art. 33 DSGVO gemeldet. Eine betroffene Kundin reichte Beschwerde ein, da ihre persönlichen Daten ungeschützt versendet worden waren. Daraufhin wurde die Bank zur Rechtfertigung aufgefordert, wobei diese argumentierte, die Datenpanne sei auf menschliches Versagen zurückzuführen und keine Straftat nach DSGVO-Vorgaben.

Die Behörde erweiterte später den Tatvorwurf, indem sie die mangelnde Kontrolle durch zwei Vorstandsmitglieder der Bank anführte. Im weiteren Verlauf gab es mehrere Rechtfertigungsversuche seitens der Bank, die das Vorliegen einer Straftat weiterhin abstritten und auf technische und organisatorische Sicherheitsmaßnahmen hinwiesen, die bereits vor dem Vorfall implementiert waren.

Die Behörde verhängte ein Bußgeld in Höhe von 4 Millionen Euro, da die Vorstandsmitglieder fahrlässig gehandelt und die DSGVO-Regeln nicht eingehalten hatten. Die Bank legte gegen die Strafe Beschwerde ein und argumentierte unter anderem gegen die Bemessungsgrundlage der Strafe und die rechtliche Bewertung der Integrität. Das Verfahren wurde durch Anfragen an den EuGH zeitweise ausgesetzt, um die Rechtmäßigkeit der Geldbußen zu klären.

Das Wichtigste aus der rechtlichen Würdigung

Unmittelbar verantwortlich für die Verbreitung der Liste waren die Filialleiterin und eine Filialmitarbeiterin, welche die Versendung der verfahrensgegenständlichen E-Mailnachrichten einleiteten bzw. durchführten. Auf Basis … der Entscheidung des EuGH vom 05.12.2023 (C-807/21) ist eine juristische Person (wie die Beschwerdeführerin) direkt als Beschuldigte im Verfahren heranzuziehen.

Die Datei wurde vor dem Vorfall auf einem passwortgeschützten Laufwerk gehalten, war jedoch nicht weitergehend gesichert oder pseudonymisiert. Nach dem Vorfall wurde die Datei von den Filiallaufwerken gelöscht und durch eine vollständig pseudonymisierte Version ersetzt. Weder Vorstände noch Datenschutzbeauftragte hatten die technische Ausgestaltung der Datei als Sicherheitsrisiko identifiziert. Die Möglichkeit, die Datei sicherer zu gestalten, bestand bereits vor dem Vorfall. à Datenschutzverstoß

„Die Beschwerde wird gemäß § 28 Abs. 2 VwGVG iVm Art. 5 Abs. 1 lit f und Art. 32 iVm Art. 83 Abs. 4 lit a DSGVO mit der Maßgabe als unbegründet abgewiesen, dass die Geldstrafe gemäß § 30 DSG mit EUR 50.000 (fünfzigtausend) bestimmt wird.“ (Urteil, S. 1)

Stand: 15.05.2024

Urteil zum Thema irreführende Werbung und Offenlegung von Sicherheitslücken

Aus dem Sachverhalt – Urteil des LG Bochum vom 20.10.2023 (AZ 14 O 14/23)

Das Landgericht Bochum hat die Firma Bauhaus verurteilt, es zu unterlassen, bestimmte Türschlösser der Firma ABUS mehr mit einem STIFTUNG-WARENTEST-Urteil „GUT“ zu bewerben. Dies sei irreführend, weil STIFTUNG-WARENTEST vorher das Testurteil aufgrund einer Warnung des BSI zurückgezogen hatte.

Diese Entscheidung folgte auf eine Klage des Verbraucherzentrale Bundesverbandes (vzbv) und eine vorherige Sicherheitswarnung des Bundesamtes für Sicherheit in der Informationstechnik (BSI), die im August 2022 publik wurde.

Die Sicherheitswarnung des BSI betraf die Möglichkeit, dass Kriminelle die Funktürschlösser von Abus aus der Nähe entriegeln und sich Zutritt zu Gebäuden verschaffen könnten. STIFTUNG WARENTEST hatte daraufhin sein Testurteil zurückgezogen. 

Aus dem Sachverhalt – Urteil des LG Bochum vom 13.11.2023 (AZ  I-8 O 26/23)

Das Landgericht Bochum hat die Firma Abus verurteilt, ihre Kunden umfassender als bisher über Sicherheitsmängel bei bestimmten Tür- und Fensterschlössern zu informieren. Diese Entscheidung folgte auf eine Klage des Verbraucherzentrale Bundesverbandes (vzbv) und eine vorherige Sicherheitswarnung des Bundesamtes für Sicherheit in der Informationstechnik (BSI), die im August 2022 publik wurde.

Die Sicherheitswarnung betraf die Möglichkeit, dass Kriminelle die Funktürschlösser von Abus aus der Nähe entriegeln und sich Zutritt zu Gebäuden verschaffen könnten. Trotz der Warnung blieben die Produkte weiterhin im Handel erhältlich, ohne dass potenzielle Käufer in Läden oder Onlineshops ausreichend über dieses Risiko aufgeklärt wurden. Abus hielt einen Hinweis auf ihrer Webseite für ausreichend, was das Gericht als ungenügend und rechtswidrig bewertete.

Aus den Urteilsgründen – Urteil des LG Bochum vom 13.11.2023 (AZ  I-8 O 26/23)

Das Urteil betont, dass Verbraucher das Recht haben, über wesentliche Produktmängel informiert zu werden, insbesondere wenn diese Mängel die primäre Funktion des Produkts, nämlich den Einbruchschutz, beeinträchtigen. Da viele Kunden die Produkte im Einzelhandel oder über Onlineshops und nicht direkt über die Abus-Website kaufen, sei es erforderlich, dass solche Informationen dort und nicht nur auf der Unternehmenswebsite zur Verfügung stehen.

Stand: 08.05.2024

„Datenschutz in der Praxis – die wichtigsten Punkte zur Umsetzung der DSGVO

Online-Vortrag von Rechtsanwältin Sabine Sobola zum Thema "Datenschutz in der Praxis – die wichtigsten Punkte zur Umsetzung der DSGVO" im Rahmen einer Veranstaltung der Hans Lindner Regionalförderung am 29.04.2024.

Gastzugang bei Online-Shops

Müssen Online-Shops immer einen Gastzugang anbieten?

EuGH-Urteil zum Thema Werbung und immaterieller Schaden

Aus dem Sachverhalt – (C‑741/21)

Der Fall betrifft einen selbständigen Rechtsanwalt, der juristische Dienste von der Firma juris GmbH, einem Anbieter einer juristischen Datenbank, in Anspruch nahm. Nachdem der Anwalt feststellte, dass seine personenbezogenen Daten unrechtmäßig für Direktwerbung verwendet wurden, widersprach er dieser Nutzung explizit und widerrief alle entsprechenden Einwilligungen, mit Ausnahme des Empfangs von Newslettern.

Trotz seines Widerspruchs erhielt er weiterhin Werbematerialien, die persönliche Daten enthielten und seine Geschäftsadresse ansprachen. Er forderte daraufhin Schadenersatz gemäß Art. 82 DSGVO, da er einen Verlust der Kontrolle über seine personenbezogenen Daten erlitten habe. juris GmbH lehnte die Haftung ab, argumentierend, dass die verspätete Berücksichtigung der Widersprüche auf menschliches Versagen oder auf die prohibitiven Kosten der Berücksichtigung dieser Widersprüche zurückzuführen sei.

Das Landgericht Saarbrücken, das den Fall verhandelt, hat dem Europäischen Gerichtshof (EuGH) mehrere Fragen zur Vorabentscheidung vorgelegt, die sich um die Auslegung des immateriellen Schadens, die Haftung des Verantwortlichen bei menschlichem Versagen, die Anwendung der Bemessungskriterien für Geldbußen auf Schadenersatzansprüche, und die Bewertung mehrfacher DSGVO-Verstöße konzentrieren.

Der EuGH entschied (zum wiederholten Male), dass für einen Schadensersatz nach Art. 82 Abs. 1 DSGVO ein tatsächlicher Schaden erforderlich ist. Damit bleibt der EuGH bei seiner Linie, die besagt: kein Schadensersatz ohne tatsächlichen Schaden. Dann hilft es auch nicht, wenn der Kläger vorher bestätigt bekommen hat, dass ein Datenschutzverstoß vorliegt.
 

Wörtlich aus dem Urteil: „Insofern muss die Person, die auf der Grundlage von Art. 82 Abs. 1 DSGVO den Ersatz eines immateriellen Schadens verlangt, nicht nur den Verstoß gegen Bestimmungen dieser Verordnung nachweisen, sondern auch, dass ihr durch diesen Verstoß ein solcher Schaden entstanden ist.“

Idee:
Die Einführung einer „Schmerzensgeldtabelle“, aus der man den immateriellen Schadensersatz (ähnlich wie das Schmerzensgeld nach Unfällen) errechnen kann. Sonst läuft fast jeder Anspruch leer.

Stand: 24.04.2024

Bußgeld wegen datenschutzwidriger Pflicht der Offenlegung von Krankheitstagen

Im Berichtszeitraum 2023 verhängte der Hamburger Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) ein Bußgeld in Höhe von 75.000 Euro gegen ein Unternehmen aufgrund von Verstößen gegen die Datenschutz-Grundverordnung (DSGVO), insbesondere gegen Artikel 32 und Artikel 9. Die Verstöße betrafen die unzulässige Handhabung krankheitsbedingter Abwesenheitsmeldungen durch das Unternehmen.

Ein Abteilungsleiter veranlasste, dass Mitarbeiter ihre krankheitsbedingten Fehlzeiten über einen E-Mail-Verteiler mit 25 Empfängern, darunter Kollegen und Vorgesetzte, die nicht direkt involviert waren, kommunizieren mussten.

Diese Praxis führte dazu, dass sensible Gesundheitsdaten ohne Notwendigkeit breit geteilt wurden, was einen klaren Verstoß gegen den Grundsatz der Datensparsamkeit und den Schutz besonderer Kategorien personenbezogener Daten darstellt.

Der Abteilungsleiter nutzte die Daten nicht nur zur Kenntnisnahme, sondern listete die Fehltage eines Beschwerdeführers anprangernd in einer weiteren E-Mail auf, was zur Bloßstellung des Mitarbeiters vor Kollegen führte.

Diese Handlungen wurden als nicht erforderlich und rechtswidrig eingestuft, da sie weder zur Ausübung von Rechten noch zur Erfüllung rechtlicher Pflichten aus dem Arbeitsverhältnis dienten.

Neben dem Bußgeld arbeitete das Unternehmen umfassend mit der Aufsichtsbehörde zusammen, um die Missstände zu beheben und zahlte dem Beschwerdeführer zur Wiedergutmachung Schmerzensgeld.

Es wurde festgestellt, dass eine Beschränkung der Datenübermittlung auf den direkten Vorgesetzten und die personalverantwortliche Stelle ausgereicht hätte, um die Rechte und Pflichten des Arbeitgebers zu wahren.

Dieser Fall unterstreicht die Bedeutung des sorgfältigen Umgangs mit sensiblen Gesundheitsdaten und den Grundsätzen der Datensparsamkeit und Notwendigkeit im Rahmen der DSGVO. Das Unternehmen akzeptierte das Bußgeld und verzichtete auf einen Einspruch, was die Ernsthaftigkeit und Akzeptanz der festgestellten Datenschutzverstöße zeigt.

Mehr Infos, S. 130 ff.

Stand: 24.04.2024

DSGVO aktuell: Bußgelder, Gerichtsurteile und Vorgaben der Aufsichtsbehörden

Online-Seminar von Rechtsanwältin Sabine Sobola zum Thema „DSGVO aktuell: Bußgelder, Gerichtsurteile und Vorgaben der Aufsichtsbehörden“ im Rahmen einer Veranstaltung der Ulmer Akademie für Datenschutz und IT-Sicherheit (udis) am 23.04.2024.

IT-Sicherheitsrecht 3.0 gemäß NIS2-Richtlinie, NIS2UmsuCG, Kritis-DachG und Cyber Resilience Act

Online-Vortrag von Rechtsanwältin Sabine Sobola zum Thema „IT-Sicherheitsrecht 3.0 gemäß NIS2-Richtlinie, NIS2UmsuCG, Kritis-DachG und Cyber Resilience Act" im Rahmen einer Veranstaltung der ComConsult GmbH am 11.04.2024.

IT-Sicherheit im Jahr 2024 - die neuen gesetzliche Anforderungen

Online-Vortrag von Rechtsanwältin Sabine Sobola zum Thema "IT-Sicherheit im Jahr 2024 - die neuen gesetzlichen Anforderungen" im Rahmen einer Veranstaltung der INES AG am 19.03.2024.

IT-Sicherheitsrecht 3.0 nach NIS-2-Richtlinie, NIS2UmsuCG und Cyber Resilience Act

Online-Seminar von Rechtsanwältin Sabine Sobola zum Thema "IT-Sicherheitsrecht 3.0 nach NIS-2-Richtlinie, NIS2UmsuCG und Cyber Resilience Act" im Rahmen einer Veranstaltung der LiiDU GmbH am 14.03.2024.