Verwendung von Cookies auf LEWENTO.de

Um Ihnen den bestmöglichen Service zu gewährleisten, verwendet lewento.de Cookies. Sie können Ihre Präferenzen unten auswählen und mit dem Klick auf "Einstellungen speichern" diese festlegen.

Hinweis: Zur Verwendung der Online-Shop Funktionalitäten, wie zum Beispiel Bestellabschlüsse, müssen Sie Cookies aus der Kategorie Online-Payment aktivieren.

Verwendung der Cookies zum Bezahlen.

Cookie Beschreibung
PayPal PayPal ist ein Finanzdienstleister, mit welchem Sie Problemlos, nach vorheriger Anmeldung, kostenlos unsere Dienstleistungen und Waren bezahlen können. Weiter Informationen zu PayPal finden Sie hier. Die Datenschutz-Erklärung von Paypal finden Sie hier.
Stripe Stripe ist ein Technologieunternehmen, das Lösungen für die Wirtschaftsinfrastruktur des Internets aufbaut. Wir nutzen Stripe Dienste, um Online-Zahlungen abzuwickeln. Weitere Informationen zu Stripe finden Sie hier. Die Datenschutz-Erklärung von Stripe finden Sie hier.

Diese Cookies werden zu Analysezwecken verwendet.

Cookie Beschreibung
Matomo Matomo ist ein Web-Analyse-Tool, welches uns hilf Besucherströme zu messen und unsere Webseite zu verbessern. Benutzerdaten (Ip Adressen und besuchte Seiten) werden anonym bei matomo.org gespeichert. Weiter Informationen zu Matomo finden Sie hier. Die Datenschutz-Erklärung von Matomo finden Sie hier.
Datenschutzerklärung
zur Suche Klicken Sie hier um zur Suchseite zu gelangen zum Warenkorb Klicken Sie hier um zum Warenkorb zu gelangen
0

Achtung Bußgeldentscheidungen! Höhere Anforderungen an das Datenmanagement!

Achtung Bußgeldentscheidungen! Höhere Anforderungen an das Datenmanagement!
28.09.2023
In den letzten Monaten sind mehrere bußgeldbewährte Entscheidungen von europäischen Aufsichtsbehörden ergangen, die (u.a.) die Anforderungen an die Erfüllung von Informations- und Auskunftspflichten nach der DSGVO konkretisiert haben. Die Entscheidungen sollten insbesondere für Unternehmen, die eine Webseite mit Kommentar- oder Kontaktfunktion betreiben, Anlass dafür sein, ihr Datenmanagement zu überprüfen und ggf. die Inhalte ihrer Datenschutzerklärung sowie den Prozess für die Erteilung von Auskünften nach Art. 15 DSGVO anzupassen. 

Betroffen von den aufsichtsbehördlichen Entscheidungen war das auf Online-Werbung spezialisierte Unternehmen CRITEO, gegen das von der nationalen Datenschutzbehörde Frankreichs (CNIL) ein Bußgeld in Höhe von 40 Millionen Euro verhängt wurde. Von der CNIL wurde außerdem ein Bußgeld in Höhe von 380.000€ gegen das Unternehmen DOCTISSIMO verhängt, welches Betreiber einer Webseite ist, auf der u.a. Artikel und Diskussionsforen zum Thema Gesundheit für die breite Öffentlichkeit angeboten werden.
Weiter betroffen war eine Bank, die von der Berliner Beauftragten für Datenschutz mit einem Bußgeld von 300.000€ belegt wurde sowie der Audio-Streaming-Dienst Spotify, gegen den von der schwedischen Behörde für Datenschutz ein Bußgeld in Höhe von knapp 5 Millionen Euro erlassen wurde.

Grob zusammenfassend kann man sagen, dass Unternehmen in ihren Datenschutzhinweisen für die Webseite darauf achten sollten, alle Verarbeitungszwecke genau anzugeben. Insbesondere sind auch (Neben-) Zwecke anzugeben, z.B., dass die Navigationsdaten von Webseitenbesuchern (auch) genutzt werden, um die eigene Technologie zu verbessern. 

Außerdem muss darauf geachtet werden, dass die Verarbeitungszwecke so genau bezeichnet werden, dass für den Betroffenen erkennbar wird, welche seiner Daten konkret für welchen Zweck verarbeitet werden. Hinsichtlich der Datenschutzerklärung von dem Unternehmen CRITEO wurden insoweit z.B. Formulierungen bemängelt, wie: „um die mit unseren Kunden und Partnern geschlossenen Handelsvereinbarungen einzuhalten“ oder „um unseren Werbetreibenden zu ermöglichen, für ihre Produkte und Dienstleistungen zu werben“. 

Sofern Benutzerdaten in verschiedenen Kategorien aufgesplittet werden (z.B. Vertragsdaten, Kommunikationsdaten oder Kaufhistorie) - dies kommt insbesondere vor, wenn Daten in großem Umfang verarbeitet werden -, dann muss in der Datenschutzerklärung auch hinreichend deutlich darüber informiert werden, dass die Gesamtheit der Informationen in verschiedenen Schichten abgelegt sind und um welche Informationen es sich in der jeweiligen Schicht handelt. „Hinreichend deutlich“ meint, dass eine betroffene Person, die sich mit einem Auskunftsverlangen nach Art. 15 DSGVO an den Verantwortlichen wendet, verstehen muss, welche Informationen im Falle einer Auskunft in der jeweiligen Kategorie tatsächlich enthalten sind und welche nicht.

Was die im Rahmen von Auskunftsverlangen nach Art. 15 DSGVO an den Betroffenen mitgeteilten Informationen anbelangt, so müssen diese konkret auf den Betroffenen zugeschnitten sein. Die betroffene Person muss z.B. erkennen können, konkret welche seiner Daten in Kategorien wie „user data“ „usage data“, „plan verification data“, „voting data“, „payment and purchase data“ and „competition, survey and lottery data“ enthalten sind. 

Dem Betroffenen sollen außerdem die tatsächlichen Empfänger seiner Daten angegeben werden (Art. 15 Abs. 1 lit. c DS-GVO), die für ihn relevant sind (also z.B. „Unternehmen xy“ und nicht nur Empfängerkategorien wie „Auftragsverarbeiter“).

Für den Fall, dass anlässlich von Verarbeitungsprozessen personenbezogene Daten an ein Drittland außerhalb der EU übermittelt werden, muss anlässlich eines Auskunftsverlangens gegenüber dem Betroffenen außerdem klargestellt werde, ob tatsächlich auch seine Daten vom Drittlandtransfer betroffen sind und ggf. muss weiter mitgeteilt werden, um welches Drittland es sich handelt und welche geeigneten Sicherheitsmaßnahmen im konkreten Fall ergriffen wurden (z.B., dass EU Standarddatenschutzklauseln mit dem Unternehmen im Drittland vereinbart wurden). 

Im Fall von automatisierten Entscheidungsfindungen unter Einsatz von künstlicher Intelligenz (solche Verfahren werden von Banken z.B. anlässlich der Entscheidung über Kreditvergaben eingesetzt), ist der Verantwortliche verpflichtet, die Entscheidung gegenüber dem Betroffenen nachvollziehbar zu begründen (Art. 15 Abs. 1 lit. h DS-GVO). Zu den notwendigen Auskünften zählen dabei  Informationen zur Datenbasis, den Entscheidungsfaktoren im konkreten Fall (Algorithmus) sowie die Kriterien für die Ablehnung im Einzelfall. 

Fazit

Aufgrund der Entscheidungen der Aufsichtsbehörden sollten Unternehmen jetzt ihre Datenschutzerklärungen überprüfen und Standardprozesse zur Erledigung von Auskunftsverlangen nach Art. 15 DSGVO ggf. anpassen.

Bildnachweis: Pixabay

Services

Icon für Videos

Videos

Zum Service
Icon für Webinare

Webinare

Zum Service
Icon für Experten Chat

Experten Chat

Zum Service
Icon für Fortbildung

Fortbildung

Zum Service
Icon für Mustervorlagen

Mustervorlagen

Zum Service
Icon für Mediathek

Mediathek

Zum Service

Aktuelle Beiträge

Hier finden Sie aktuelle Beiträge und aktuelle Urteile zu relevanten Themen im Bereich des Immobilienrechts und Datenschutzes. Speziell für Immobilien-Verwalter.

Die Pauschalrechnung des Werkunternehmers

Die Pauschalrechnung des Werkunternehmers

Pflichten des WEG-Verwalters bei der Zahlung der Vergütung von Werkunternehmern

mehr erfahren Bußgeld für unkooperatives Verhalten

Bußgeld für unkooperatives Verhalten

Warum die Vogel-Strauß-Taktik im Datenschutz nicht zu empfehlen ist

mehr erfahren Datenschutzmanagement - Wie organisiere ich den Datenschutz im eigenen Unternehmen?

Datenschutzmanagement - Wie organisiere ich den Datenschutz im eigenen Unternehmen?

Wie organisiere ich den Datenschutz im eigenen Unternehmen?

mehr erfahren Noch nicht ausgebremst

Noch nicht ausgebremst

Verlängerung der Mietpreisbremse

mehr erfahren
Alle anzeigen