Bun­destag und Bun­desrat segnen Whist­le­b­lower-Gesetz ab

Über Monate zogen sich die Ausarbeitungen des Hinweisgeberschutz- bzw. Whistleblower-Gesetzes hin. Anderthalb Jahre nach der ursprünglichen Vorlage des Gesetzes (und anderthalb Jahre nach Ablauf der Umsetzungsfrist, welche von der EU vorgegeben wurde), ist das Gesetz nun von Bundestag und Bundesrat durchgewunken.

Das Whistleblower-Gesetz wird voraussichtlich im Juni 2023 in Kraft treten.

Weitere Informationen finden Sie hier:
https://www.lto.de/recht/nachrichten/n/whistleblower-hinweisgeber-gesetz-gesetzgebung-zustimmung-bundesrat-verabschiedung-bundestag/

Landratsamt wegen mutmaßlichen Cyberangriffs geschlossen

Das Landratsamt im Landkreis Ludwigsburg und deren diverse Einrichtungen wie das Jobcenter, Kfz-Zulassung, Führerscheinstelle, Asylbereich und Ausländerbehörde sind aktuell aufgrund eines mutmaßlichen Cyberangriffs geschlossen.

Am 10. Mai gab es Auffälligkeiten in den IT-Systemen, was den Verdacht auf einen Cyberangriff weckte. Die PCs der Mitarbeiter, sowie die komplette IT-Infrastruktur sind seitdem heruntergefahren.

Gegenwärtig wird noch nach der Ursache der Auffälligkeiten gesucht. Wann die Behörde wieder öffnet ist noch unklar.

Weitere Informationen finden Sie hier:
https://www.golem.de/news/security-landratsamt-wegen-mutmasslichen-cyberangriffs-geschlossen-2305-174101.html?utm_source=newsletter&utm_medium=email&utm_campaign=ohn

Kirchliches Datenschutzrecht

Bei der Behandlung einer Frau in einem kirchlich geführtem Krankenhaus werden ihre Unterlagen versehentlich in der Patientenakte einer anderen Patientin hinterlegt. Ein schwerer Lapsus aus Sicht sowohl der Datenschutz-Grundverordnung als auch des Datenschutzgesetzes innerhalb der Kirche.

Mit der Begründung, dass keine generelle organisatorische Schwäche vorliege, legte die kirchliche Datenschutzaufsicht jedoch lediglich eine förmliche Beanstandung vor und beließen es dabei. Denn für Kirchen und religiöse Einrichtungen gilt das innerkirchliches Datenschutzgesetz KDS (Gesetz über den Kirchlichen Datenschutz). Innerhalb des KDS steht es der staatlichen Datenschutzaufsicht nicht zu, Anordnungen oder Bußgelder zu verhängen.

Das kirchliche Datenschutzrecht gilt in allen Einrichtungen, deren Trägerschaft die Kirche innehat. Wer Wert darauf legt, dass die eigenen personenbezogenen Daten ausschließlich nach der DSGVO verarbeitet werden, sollte stets im Vorfeld auf die Trägerschaft von Einrichtungen wie Kindergärten, Krankenhäusern und Pflegeeinrichtungen legen.

Weitere Informationen finden Sie hier:
https://www.zaftda.de/tb-kirchen/katholische-kirche/834-kdsa-ost-tb-7-2022/file

Bußgeld für schwedische Firma für verlorenen USB-Stick

200.000 Schwedische Kronen (≙ 17.566 Euro) muss das Unternehmen Region Skåne zahlen. Einem Mitarbeiter des Unternehmens ging ein USB-Stick abhanden, der unverschlüsselte Gesundheitsdaten sowie persönliche Identifikationsnummern von fast 2000 Personen enthielt.

Die Datenschutzbehörde sieht darin ein hohes Risiko für Rechte und Freiheiten der Personen, für deren Schutz keine angemessenen Sicherheitsmaßnahmen getroffen wurden.
Der USB-Stick wurde nicht mehr gefunden.

Weitere Informationen finden Sie hier:
https://www.dsgvo-portal.de/bussgelder/dsgvo-bussgeld-gegen-region-sk%C3%A5ne-2023-04-27-SE-2812.php

Deutschland zahlt 61.600 Euro an die EU-Kommission – täglich

Vor dem Europäischen Gerichtshof wurde eine Klage gegen den Deutschen Staat für die versäumte Umsetzung eines nationalen Gesetzes zur EU-Whistleblower-Richtline eingereicht. Diese Richtline, laut der die Möglichkeit eingerichtet werden muss, Verstöße in Behörden oder Privatwirtschaft vertraulich zu melden, hätte bis zum 17. Dezember 2021 in Gesetzesform festgehalten werden müssen.

Für die versäumte Umsetzung müsste der Staat gemäß der Klage für jeden Tag seit Ablauf der Frist 61.600 Euro zahlen. Zumindest ein Pauschalbetrag wird zur Strafe gezahlt werden müssen, selbst wenn die Regierung ein Gesetz kurzfristig auf den Weg bringen sollte und die Klage als Resultat zurückgezogen würde.

Weitere Informationen finden Sie hier:
https://www.onlinehaendler-news.de/e-recht/gesetze/138063-whistleblower-deutschland-kommission?utm_source=newsletter&utm_medium=email&utm_campaign=ohn

Über 800.000 Euro Bußgeld für norwegische Fitnesscenter-Kette

Ein Bußgeld in Höhe von 10.000.000 Norwegische Kronen (≙ 858.590) muss die Fitnesscenter-Kette SATS zahlen. Aufsichtsbehörden von Norwegen, Dänemark und Finnland kooperierten in diesem Verfahren.

Gegen das Unternehmen gingen zwischen 2018 und 2021 mehrere Beschwerden von Kunden ein:

  • Aufforderungen zur Überprüfung oder Löschung der personenbezogenen Daten wurde nur unzureichend Folge geleistet.
  • Grundlagen für die Verarbeitung von Daten der Mitglieder der Fitnesscenter wurden nicht richtig definiert und über das Erforderliche hinaus verarbeitet.
  • In den offiziellen Datenschutzinformationen wurde eine andere Verarbeitungsgrundlage aufgeführt, als in der Praxis tatsächlich angewandt wurde.
  • Gesperrte Mitglieder wurden nicht ausreichend darüber informiert, dass ihre Daten weiterhin gespeichert werden.

Weitere Informationen finden Sie hier:
https://www.datatilsynet.no/contentassets/f974410ee2e142c99cfc208cbae7634e/administrative-fine—sats-asa.pdfhttps://www.dsgvo-portal.de/bussgelder/dsgvo-bussgeld-gegen-fitnesscenter-kette-sats-2023-04-25-NO-2803.php

ChatGPT: Deutsche Datenschutzbehörden werden aktiv

Die deutschen Datenschutzbehörden  haben eine Prüfung von ChatGPT angekündigt. Geklärt werden soll die Frage, ob die Datenverarbeitung durch die KI-Software mit der DSGVO vereinbar ist.
Dafür wurde dem Unternehmen OpenAI, welches in San Francisco sitzt und ChatGPT betreibt, ein Fragenkatalog zur Beantwortung vorgelegt. Bis Juni wird mit einer Antwort gerechnet.

Der Fragenkatalog beinhaltet unter anderem:

  • Wird die Datenverarbeitung den datenschutzrechtlichen Grundprinzipien gerecht?
  • Für welche Zwecke werden Nutzerdaten gespeichert?
  • Welche Altersgrenze ist für die Nutzung von ChatGPT vorgesehen und wie wird die Altersgrenze überprüft?
  • Werden die Nutzungsdaten für maschinelles Lernen verwendet?
  • Aus welchen Quellen bezieht ChatGPT die Auskünfte, die sie über Personen ausgibt?

Ohne Antworten auf diese und andere Fragen lässt sich nicht beurteilen, ob ChatGPT überhaupt sicher bzw. datenschutzkonform genutzt werden kann.
In Italien wird die Software aktuell blockiert. Abhängig von den Antworten, die OpenAI auf den vorliegenden Fragenkatalog liefert, könnte es in der EU zu weiteren Einschränkungen oder Verboten kommen.

Seitens der EU ist ein aktuelles Ziel die Erstellung eines Regelwerks zur Anwendung von KI im europäischen Raum.

Weitere Informationen finden Sie hier:
https://datenschutz.hessen.de/presse/hessischer-datenschutzbeauftragter-fordert-antworten-zu-chatgpt
https://www.baden-wuerttemberg.datenschutz.de/lfdi-informiert-sich-bei-openai-wie-chatgpt-datenschutzrechtlich-funktioniert/

Bußgeld für Weiterführung des E-Mail-Kontos des ehemaligen Praktikanten

Das italienische Unternehmen Consorzio Concessioni Reti Gas S.c.a.r.l. muss ein Bußgeld in Höhe von 2000 Euro zahlen, weil sie das geschäftliche E-Mail-Konto eines ehemaligen Praktikanten weiter betrieben haben, um gegebenenfalls Antworten von Kunden und Kollegen einsehen zu können.

Hierbei werden zwangsläufig die Daten des vorzeitig ausgeschiedenen Praktikanten verarbeitet – laut der Datenschutzbehörde konnte keine ausreichende Aufklärung über diese Verarbeitung nachgewiesen werden.
Des Weiteren hätte eine automatisierte Antwort an eingehende E-Mails und/oder eine Weiterleitung an eine noch aktive E-Mail-Adresse ausgereicht.

Weitere Informationen finden Sie hier:
https://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/9877754

Bußgeld für TikTok

TikTok muss in Großbritannien ein Bußgeld in Höhe von 12.700.000 Pfund (≙ 14.466.340 Euro) zahlen muss, da die Plattform von Kindern unter 13 Jahren genutzt wurde und folglich deren personenbezogene Daten verarbeitet wurden. 

In Großbritannien dürfen Kinder unter 13 Jahren nach Datenschutzrecht ohne die Zustimmung der Eltern keine Informationsangebote wahrnehmen, die die Verarbeitung ihrer personenbezogenen Daten beinhalten. Zwar legt TikTok das auch so in den eigenen Richtlinien fest – das Alter von Nutzern wurde laut Vorwurf der Aufsichtsbehörde ITC, welche das Bußgeld verhängt hat, aber auch nicht angemessen überprüft. Laut Untersuchung der ITC wurden selbst Bedenken der eigenen Mitarbeiter diesbezüglich ignoriert.

Weitere Informationen finden Sie hier:
https://ico.org.uk/about-the-ico/media-centre/news-and-blogs/2023/04/ico-fines-tiktok-127-million-for-misusing-children-s-data/

Bußgeld wegen mangelnder Kontrolle des Subunternehmen

Anfang des Monats wurde ein Bußgeld in Höhe von 1000 Euro gegen das italienische Unternehmen Razmataz Live Srl verhängt, nachdem diese Colosseo Srl als Subunternehmen für das Versenden von Werbe-E-Mails im Rahmen einer Werbekampagne beauftragt haben.
Gegen das Subunternehmen wurde zuvor ein Bußgeld verhangen und nun ebenfalls gegen Razmataz Live, da sie es versäumt haben, das Subunternehmen ordnungsgemäß zu überprüften.

Weitere Informationen finden Sie hier:
https://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/9873408