DSGVO: Mögliche Millionenstrafe gegen Deutsche Wohnen

Im Rechtsstreit um ein DSGVO-Bußgeld in Höhe von 14,5 Millionen Euro gegen den Immobilienkonzern Deutsche Wohnen, der seit 2021 zu Vonovia gehört, gibt es Entwicklungen. Der Europäische Gerichtshof (EuGH) hat die Position der Berliner Datenschutzbehörde gestärkt. Nach dem Urteil des EuGH geht es wie folgt weiter.

Der Immobilienkonzern Deutsche Wohnen, der gegen einen Bußgeldbescheid von 14,5 Millionen Euro aufgrund eines Datenschutzverstoßes gemäß der Datenschutz-Grundverordnung (DSGVO) kämpft, den die unabhängige oberste Landesbehörde Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI) im Oktober 2020 erlassen hatte, befindet sich im Rechtsstreit. Der Verstoß bezog sich auf das Speichern von Mieterdaten.

Der EuGH hat nun festgestellt, dass nur ein schuldhafter Verstoß – sei es vorsätzlich oder fahrlässig – gegen die DSGVO zu einer Geldbuße führen kann. Die Höhe der Geldbuße kann sich am Umsatz des Unternehmens oder der Muttergesellschaft orientieren.

Dieses Urteil folgte unter anderem einer Vorlage (Art. 267 AEUV) des Berliner Kammergerichts, das die Frage aufwarf, ob DSGVO-Bußgeldverfahren direkt gegen Unternehmen gerichtet werden können. In diesem Fall betraf es die Deutsche Wohnen SE. (EuGH, Urteil v. 5.12.2023, Az. C-807/21)

Das Berliner Landgericht hat vorerst das Verfahren gegen die Deutsche Wohnen eingestellt, da der Bußgeldbescheid im Februar 2021 als unwirksam erklärt wurde. Diese Entscheidung beruhte darauf, dass der Bescheid keine Angaben zu konkreten Tathandlungen eines Organs des Unternehmens enthielt (LG Berlin, Beschluss der 26. Großen Strafkammer v. 18.2.2021, Az. 526 AR).

Die Staatsanwaltschaft legte dagegen Beschwerde ein, und das Kammergericht Berlin muss nun als nächsthöhere Instanz diese Entscheidung überprüfen. Das dortige Verfahren (Az. 3 Ws 250/21) wurde ausgesetzt, da rechtliche Fragen zur Klärung dem EuGH mit Beschluss vom 6.12.2021 vorgelegt wurden, wie ein Gerichtssprecher im Januar 2022 mitteilte.

Im EuGH-Verfahren ging es um die grundlegende Frage, ob eine juristische Person in Deutschland, die ein Unternehmen betreibt, nach den Grundsätzen des EU-Rechts direkt für Verstöße gegen die Datenschutz-Grundverordnung (DSGVO) sanktioniert werden kann, ohne dass eine Ordnungswidrigkeit einer natürlichen und identifizierten Leitungsperson festgestellt werden muss. Der EuGH entschied, dass Verstöße durch Vertreter ausreichen, und bestätigte somit die Rechtsauffassung der Datenschutzbehörde. Das Berliner Kammergericht wird nun auf Basis dieses EuGH-Urteils abschließend im Fall „Deutsche Wohnen“ entscheiden müssen.

Am 27. April 2023 legte Generalanwalt Manuel Campos Sánchez-Bordon seine Schlussanträge in der Rechtssache C‑807/21 (Deutsche Wohnen SE gegen Staatsanwaltschaft Berlin) vor. Er kam zu dem Schluss, dass die Behörden bei Verstößen von Mitarbeitern direkt Bußgelder nach der Datenschutz-Grundverordnung (DSGVO) gegen ein Unternehmen verhängen können, wenn diesen ein vorsätzliches oder fahrlässiges Handeln nachgewiesen werden kann. Der Europäische Gerichtshof (EuGH) hat sich somit der Rechtsauffassung von Sánchez-Bordon angeschlossen.

Die Berliner Datenschutzbehörde erhob konkrete Vorwürfe gegen die Deutsche Wohnen, indem sie behauptete, dass das Unternehmen es zwischen Mai 2018 und März 2019 versäumt habe, ausreichende Maßnahmen zur regelmäßigen Löschung nicht mehr benötigter Mieterdaten zu implementieren. Zu diesem Zeitpunkt soll es möglich gewesen sein, im Archiv des Konzerns auf persönliche Daten der Mieter zuzugreifen und diese zu verarbeiten. Hierzu gehörten Informationen über Sozial- und Krankenversicherung, Arbeitsverträge sowie Details zu finanziellen Verhältnissen.

Erstmals wurde die Deutsche Wohnen der Behörde im Juni 2017 auffällig. Zu diesem Zeitpunkt stellte die Behörde fest, dass personenbezogene Daten von Mietern in einem Archivsystem gespeichert wurden, in dem nicht mehr erforderliche Daten nicht gelöscht werden konnten. Da dieser Zustand bis März 2019 unverändert blieb, griff die Behörde zu drastischen Maßnahmen. Es ist zu beachten, dass die verschärfte Regelung der Datenschutz-Grundverordnung (DSGVO) erst am 25. Mai 2018 in Kraft trat.

Neben der Sanktionierung des strukturellen Verstoßes verhängte die Behörde weitere Bußgelder gegen die Deutsche Wohnen. Die unzulässige Speicherung von personenbezogenen Daten von Mietern in 15 konkreten Fällen soll allein zwischen 6.000 und 17.000 Euro kosten.

Gemäß der EU-Verordnung können bei DSGVO-Verstößen Zwangsgelder von bis zu 20 Millionen Euro oder bis zu vier Prozent des Gesamtumsatzes verhängt werden. Der zugrunde gelegte Umsatz der Deutsche Wohnen im Jahr 2018 hätte ein Bußgeld von insgesamt bis zu 28 Millionen Euro erlaubt.

Es gibt Handlungsbedarf bei Wohnungsunternehmen in Sachen Datenschutz.
Im Juli 2019 beispielsweise wurde beim Wohnungsunternehmen LEG vorübergehend ein Mieterportal deaktiviert, nachdem ein Informatikstudent Sicherheitslücken öffentlich gemacht hatte. Ein Bericht des Westdeutschen Rundfunks (WDR) betonte, dass keinerlei besondere Computerkenntnisse erforderlich waren, um auf sämtliche Daten anderer Mieter zuzugreifen. Die damalige Berliner Datenschützerin Maja Smoltczyk erklärte in einem Interview mit dem „Tagesspiegel“ im November 2019, dass die umfangreiche Datenspeicherung häufig vorkomme und Unternehmen oft wenig darüber nachdächten, ob die Daten tatsächlich gespeichert werden müssten.

Obwohl Wohnungsunternehmen Vorhaltepflichten hätten, seien sie verpflichtet, Löschfristen für personenbezogene Mieterdaten zu beachten. Zur Unterstützung bei der Umsetzung der Datenschutz-Grundverordnung hat die Gesellschaft für Datenschutz und Datensicherheit (GDD) Praxishilfen veröffentlicht, die auch von Branchenverbänden, insbesondere in der Immobilienbranche, genutzt werden können.

Weitere Informationen finden Sie hier:
https://www.haufe.de/immobilien/wirtschaft-politik/deutsche-wohnen-wehrt-sich-gegen-bussgeld-wegen-dsgvo-verstoss_84342_503486.html

Über 6.000 Konten sicherheitshalber blockiert nach Hacker-Angriff auf die Targobank

Derzeit haben Tausende Kund:innen der Targobank keinen Zugriff auf ihre Konten, da die Bank eine Sperre für die betroffenen Konten durchgeführt hat. Dies erfolgte aufgrund eines zuvor stattgefundenen Hackingversuchs, der jedoch von den Sicherheitssystemen der Bank erkannt wurde. Wie zuerst von Heise berichtet, soll der Angriff bereits vor einigen Tagen stattgefunden haben, als erste Berichte von Menschen eingingen, die Schwierigkeiten hatten, sich beim Onlinebanking anzumelden.

Um einen größeren Schaden zu verhindern, sperrte die Bank die gefährdeten Konten. Ein Sprecher äußerte sich gegenüber Heise zuversichtlich, dass der Versuch erfolgreich abgewehrt wurde. Die betroffenen Kund:innen erhalten in den kommenden Tagen eine schriftliche Benachrichtigung, die auch neue Zugangsdaten enthalten soll.

Es häufen sich Vorfälle, bei denen Hacker gezielt auf Banken abzielen. Im vergangenen Sommer war die Deutsche Bank mit ihren Tochtergesellschaften Opfer eines erheblichen Datendiebstahls. Dabei wurden über eine Sicherheitslücke beim Kontowechsel-Dienstleister Majorel die Daten von Tausenden Personen öffentlich zugänglich gemacht.

Weitere Informationen finden Sie hier:
https://www.onlinehaendler-news.de/digital-tech/cyberkriminalitaet/139110-targobank-gehackt-konten-blockiert-insolvenzen-sparkasse-payback?utm_source=newsletter&utm_medium=email&utm_campaign=ohn

Facebook und Instagram: Verbot von personalisierter Werbung

Im Juli hatte die norwegische Datenschutzbehörde bereits Facebook die personalisierte Werbung untersagt, und nun folgt die gesamte EU diesem Schritt. Die EU-Datenschutzbeauftragten haben die irische Datenschutzbehörde aufgefordert, das Verbot auf den gesamten Europäischen Wirtschaftsraum auszuweiten.

In einem Eilantrag hat der Europäische Datenschutzausschuss (EDSA) entschieden, dass Meta auf seinen Plattformen keine Werbung mehr anzeigen darf, die auf der Überwachung und dem Erstellen von Nutzerprofilen basiert. Die irische Datenschutzbehörde Data Protection Commission (DPC), zuständig für Meta, muss nun innerhalb der nächsten zwei Wochen entsprechende Maßnahmen einreichen.

Bereits im Juli hatte Norwegen eine ähnliche Entscheidung getroffen. Beide Entscheidungen werden mit der unzulässigen Datensammlung durch Meta begründet. Meta sammelt Daten über WhatsApp, Instagram und Facebook hinweg und erstellt Profile, um personalisierte Werbung zu schalten. Diese Praxis verstößt gegen die Datenschutz-Grundverordnung (DSGVO), wie bereits vom Europäischen Gerichtshof entschieden wurde.

Das Verbot betrifft Werbung, die Meta bisher auf der Grundlage von Verträgen mit Nutzenden und berechtigten Interessen der Nutzenden geschaltet hat.

Meta hat angekündigt, ab November ein kostenpflichtiges Modell ohne Werbung anzubieten, das im Einklang mit den Datenschutzvorgaben der EU stehen soll. Der EDSA prüft derzeit, ob dieses Vorgehen den Datenschutzbestimmungen entspricht, während norwegische und dänische Datenschutzbehörden bereits Zweifel an der Legalität dieser Methode geäußert haben.

Weitere Informationen finden Sie hier:
https://www.onlinehaendler-news.de/e-recht/aktuelle-urteile/139049-verbot-von-personalisierter-werbung-auf-facebook-und-instagram?utm_source=newsletter&utm_medium=email&utm_campaign=ohn

Vorsicht: SMS-Betrug nimmt zu

Die Zahl der SMS-Betrugsversuche hat sich, laut der Anzahl der Beschwerden, um das Fünffache erhöht. Besonders häufig genutzt, sind die SMS im Zusammenhang mit einer Paketzustellung. Nach Angaben der Behörden gingen im Oktober diesen Jahres 1.453 Beschwerden bei der Bundesnetzagentur ein. Im Juli lag die Zahl noch bei 327.

Diese SMS-Nachrichten enthalten einen Link, welcher zur Sendungsverfolgung eines Paketes führen soll. Stattdessen landet man auf einer betrügerischen Website, die möglicherweise Schadsoftware installieren könnte.

Seit Jahren warnen Verbraucherschützer, Polizei und Paketdienstleister vor dem Smishing (SMS + Phishing). Jedoch scheint der Erfolg der Betrüger immer mehr zuzunehmen, was vermutlich daran liegt, dass die meisten Menschen wirklich ein Paket erwarten und dieses über den Link verfolgen wollen.

Diese SMS-Nachrichten können in ihrem Text, laut der Verbraucherzentrale, variieren und folgende Passagen enthalten:

  • „Ihr Paket wurde bei der Abholstelle abgegeben. Sie können Ihr Paket hier abholen.“
  • „Lieferproblem. Folgen Sie dem Link, um einen neuen Liefertermin zu vereinbaren.“
  • „Ihr Paket steht noch aus. Bestätigen Sie Ihre Angaben hier.“

Die einzige Gemeinsamkeit aller Betrugsnachrichten liegt in dem Link, welcher mit anhängt. Expert:innen raten dringend davon ab, auf solche Links zu klicken. Zur Sendungsverfolgung können Sie auch direkt über die Website des Paketdienstleisters gelangen.

Sollten Sie eine Betrugs-SMS erhalten, dann können Sie diese über die Website der Bundesnetzagentur melden und den Absender auf Ihrem Smartphone sperren. Die Bundesnetzagentur ist bemüht die Absendernummern abzuschalten. Allein bis Ende Oktober wurde die Abschaltung von 8.540 Rufnummern angeordnet.

Weitere Informationen finden Sie hier:
https://www.verbraucherzentrale.de/wissen/digitale-welt/mobilfunk-und-festnetz/paketdienstsms-vorsicht-abzocke-58988
https://t3n.de/news/betrugsversuche-per-sms-nehmen-zu-vorsicht-vor-diesen-nachrichten-1590366/?utm_source=newsletter&utm_medium=email&utm_campaign=ohn

NRW: Hackergruppe „Akira“ legt mehr als 70 Kommunen lahm

Eine Hackergruppe namens „Akira“ hat einen Angriff auf die Südwestfalen-IT durchgeführt. Seit Tagen sind Dienstleistungen von mehr als 70 Kommunen in NRW lahm gelegt. Es sind nur begrenzte Arbeitsmöglichkeiten vorhanden. Die Gruppe fordert, laut WDR, ein hohes Lösegeld um die verschlüsselten Daten wieder freizugeben. Allerdings sind die Kommunen nicht bereit dieses zu zahlen und versuchen stattdessen eine Lösung zu entwickeln und die Server zu reparieren.

Durch diesen Hackerangriff, blieb nichts anderes übrig, als sämtliche Systeme sofort abzuschalten. Viele Kommunen können Anfragen nur noch mit Block und Stift bearbeiten. Die Internetseiten der Verwaltungen sind nicht mehr zu erreichen.

Akira greift stets Ziele an, deren Serversysteme ohne eine Zwei-Faktor-Authentifizierung funktionieren. Diese Schwachstelle wird dazu verwendet, die gespeicherten Daten zu verschlüsseln. Die seit März aktive Gruppe ist, laut den Ermittlern, die viertgefährlichste Hackergruppe der Welt.

Eine schnelle Rückkehr zur Normalität ist eher unwahrscheinlich. Es besteht jedoch die Hoffnung, dass einige Dienste wieder teilweise verfügbar sein werden.

Weitere Informationen finden Sie hier:
https://www.tagesschau.de/inland/regional/nordrheinwestfalen/wdr-hackergruppe-akira-steckt-hinter-angriff-auf-suedwestfalen-it-100.html

Klage gegen LinkedIn weitgehend stattgegeben

Der Klage des Verbraucherzentrale Bundesverband (vzbv) gegen LinkedIn wurde vom Landgericht Berlin größtenteils zugestimmt (Urteil vom 24.08.2023, Aktenzeichen: 16 O 420/19 – nicht rechtskräftig).

Durch die Einstellung „Do not Track“ in Ihrem Browser, können Sie verhindern, dass Ihr Suchverhalten verfolgt wird („Tracking“). LinkedIn hat auf seiner Webseite klar erklärt, dass es nicht auf DNT-Signale reagiert. Dies ist jedoch problematisch, denn es können somit auch gegen den Willen der Nutzer:innen personenbezogene Daten verarbeitet werden. Laut dem vzbv müssen Webseitenbetreiber dieses Signal respektieren. Somit darf LinkedIn die Nichtreaktion nicht mehr mitteilen.

LinkedIn darf außerdem die Funktion „Sichtbarkeit des Profils“ bei der erstmaligen Anmeldung nicht mehr aktivieren. Durch diese Standardeinstellung  konnte ein persönliches Profil ohne Einwilligung außerhalb von LinkedIn, z.B. in Suchmaschinen, eingesehen werden.

Bereits im vergangenen Jahr wurde einem Teil der Klage stattgegeben. Hier wurde LinkedIn der unerwünschte Versand von E-Mail-Einladungen an Nicht-Mitglieder untersagt, die der Nutzung ihrer E-Mail-Adresse nicht zugestimmt haben.

Weitere Informationen finden Sie hier:
https://www.vzbv.de/urteile/gericht-untersagt-datenschutzverstoesse-von-linkedin

Frankreich: Datenweitergabe durch Android-Apps ohne Erlaubnis

Bei der französischen Datenschutzbehörde (CNIL) gingen Beschwerden gegen drei Android-Apps ein.

Eine Beschwerde gegen die Immobilien-App SeLoger, welche in Frankreich sehr beliebt ist. Eine weitere Beschwerde gegen eine App der französischen Elektronik-Handelskette Fnac. Die letzte Beschwerde bezieht sich auf die Fitness-App MyFitnessPal, welche auch in Deutschland sehr verbreitet ist. Die Beschwerden wurden durch die Datenschutzorganisation NOYB eingereicht, nachdem sie Datenschutzverstöße bei allen drei Apps feststellten.

Laut NOYB sammeln alle drei Apps unmittelbar nach dem Öffnen personenbezogene Daten. Bloß eine App hat bei der Nutzung darauf hingewiesen. Allerdings erfolgt hier bereits die Datensammlung vor dem Hinweis. Bei den Daten handelt es sich um die lokale IP-Adresse, die Google-Werbe-ID und das Gerätemodell. Möglichweise werden die Daten unrechtmäßig gespeichert und an Dritte weitergegeben. Es besteht bei keiner der drei Apps die Möglichkeit, vor Beginn der Datensammlung, dieser zu widersprechen.

Es wird gefordert, dass alle gespeicherten Daten unwiderruflich gelöscht werden. Darüber hinaus schlägt NOBY vor, dass die Behörde aufgrund der zahlreichen betroffenen Personen eine Geldstrafe für die Betreiber verhängen sollte.

Es scheint, dass die drei Apps keine Ausnahmen sind. Laut einer Studie von Konrad Kolling und Reuben Binns der University of Oxford, ermöglichen  nur 3,5 Prozent der Android-Apps Nutzenden die Ablehnung des Datentransfers an Dritte. NOBY hat daher angekündigt weitere Untersuchungen durchzuführen.

Weitere Informationen finden Sie hier:
https://netzpolitik.org/2023/android-apps-noyb-geht-gegen-datenweitergabe-vor/

Händler erhält Bußgeldstrafe wegen ignoriertem Auskunftsverlangen

Einem Online-Shop-Händler wurden 500 Euro Bußgeld verhängt, da dieser einem Auskunftsverlangen nicht nachkam. Ein ehemaliger Kunde des Online-Shops wollte sein Recht geltend machen, eine Kopie aller Informationen zu erhalten, die das Unternehmen über ihn verarbeitet. Außerdem forderte er eine Kopie der Informationen über andere Unternehmen, an die der Shop diese Daten weitergegeben hat. Das Unternehmen kam der Aufforderung nicht nach und musste den Schadensersatz in Höhe von 500 Euro an den Betroffenen zahlen.

Das Unternehmen rechtfertigte sich mit der Begründung, dass eine Authentifizierung des Betroffenen nicht vorlag. Das Gericht ließ sich davon jedoch nicht überzeugen. Es ist nämlich nur möglich, einen Auskunftsanspruch zu verschieben, solange nicht feststeht, wer der Antragssteller ist. In diesem Fall war es aber möglich, die Anfrage des Kunden zuzuordnen. Das Unternehmen hätte somit die gewünschten Informationen bereitstellen müssen.

Weitere Informationen finden Sie hier:
https://www.onlinehaendler-news.de/e-recht/aktuelle-urteile/139023-500-euro-dsgvo-auskunft

GROUPE CANAL+ erhält 600.000 Euro Bußgeld durch französische Datenschutzbehörde

Die französische Datenschutzbehörde (CNIL) hatte mehrere Beschwerden gegen das Unternehmen GROUPE CANAL+, welches Bezahlfernsehen anbietet, erhalten. Nach einer Untersuchung wurde dem Unternehmen ein Bußgeld in Höhe von 600.000 Euro verhängt.

Folgende Faktoren führten zu dem hohen Bußgeldbetrag:

Die CNIL stellte fest, dass GROUPE CANAL+ digitale Werbung versendet ohne eine gültige Einwilligung der Empfänger zu haben. Des Weiteren wurden die Kunden bei der Erstellung eines MyCanal-Kontos nicht vollständig über den Datenschutz informiert. Ein externes Unternehmen, welches die Telefonakquise durchführte, hatte ebenfalls dieses Problem.

Auf Beschwerden und Auskunftsanfragen zur Einwilligung reagierte GROUPE CANAL+ verspätet oder gar nicht.

Zudem hat der Vertrag zur Auftragsverarbeitung mit einem weiteren externen Unternehmen, nicht alle erforderlichen Datenschutzinformationen.

Weitere Kritikpunkte waren, dass eine Verletzung des Datenschutzes nicht der Behörde gemeldet wurde und unzureichende Sicherheit der Passwörter unter den Angestellten festgestellt wurde.

Weitere Informationen finden Sie hier:
https://www.cnil.fr/fr/prospection-commerciale-et-droits-des-personnes-sanction-de-600-000-euros-lencontre-du-groupe-canal
https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000048222771

Facebook Pixel: Meta muss sich Klage wegen Gesundheitsdatensammlung stellen

Meta muss sich einer Sammelklage aufgrund der von Facebook Pixel gesammelten Gesundheitsdaten stellen. Einen Klageabweisungsantrag von Seiten Metas wurde bereits von einem US-Richter abgelehnt.
Die Klage wirft vor, dass Facebook Pixel zahlreiche Gesundheitsdaten von Patienten auf den Patientenportalen von Gesundheitsdienstleistern gesammelt hat. Dies würde unabhängig von geltenden Datenschutzgesetzen auch gegen die Datenschutzrichtlinien von Meta selbst verstoßen.

 

Weitere Informationen finden Sie hier:
https://www.heise.de/news/Facebook-Pixel-US-Sammelklage-wegen-Gesundheitsdaten-kommt-voran-9301187.html