Datenschutzrecht
Aktuelles aus der Rechtsprechung des Datenschutzes
Verhängung eines Bußgeldes in Höhe von EUR 251.000.000 gegen Facebook
Sicherheitslücke führt zu Zugriff auf Nutzerdaten
Zum zweiten Mal im Jahr 2024 wird Meta zur Kasse gebeten. Auslöser war eine
Sicherheitslücke bei der „View-As“ Funktion von Facebook aus dem Jahr 2017. Die Funktion sollte es Nutzern ermöglichen, die eigene Facebookseite als Video zu sehen. Bei Verwendung der Video-Upload-Funktion wurden Zugangstoken erstellt, die die Nutzer als berechtige Person identifizierten. Durch die Sicherheitslücke konnten sich auch unbefugte Dritte diese Zugangstoken erstellen und sich damit Zugriff auf die Facebook Profile von 3,3 Mio. Nutzern in der EU/im EWR verschaffen. Die irische Aufsichtsbehörde stellte hier einen Verstoß gegen den Grundsatz Datenschutz durch Technikgestaltung fest. Ein geringerer Teil des Bußgelds fiel darauf an, dass Meta bei der Meldung nach Art. 33 DSGVO formale Fehler begangen hat.
Behörde: An Coimisiún um Chosaint Sonraí (Irland)
Branche: Soziale Netzwerke
Verstoß: Art. 25 Abs. 1 und Abs. 2 DSGVO, Art. 33 Abs. 3 und Abs. 5 DSGVO
Bußgeld: 251 Mio. Euro
Durch die Sicherheitslücke konnten Angreifer auch auf sensible personenbezogene Daten, wie Informationen über religiöse oder politische Überzeugungen oder die sexuelle Orientierung, zugreifen. Das Datenleck hebt die Bedeutung von Art. 25 DSGVO hervor und zeigt auf, dass Datenschutzanforderungen im gesamten Design- und Entwicklungsprozess zu beachten sind.
Rechtswidrige Erfassung von Kontaktdaten aus LinkedIn Profilen
Die CNIL hat gegen das Unternehmen KASPR ein Bußgeld in Höhe von 240.000 Euro erlassen, nachdem sich mehrere Privatpersonen über die Praktiken des Unternehmens beschwert hatten. KASPR stellt Unternehmen beruflichen Kontaktdaten zur Verfügung, die u. a. aus LinkedIn Profilen stammten. Dabei hatten betroffene LinkedIn Nutzer teilweise die Sichtbarkeit ihrer Kontaktdaten eingeschränkt. Das Unternehmen stützte sich trotz eingeschränkter Sichtbarkeit auf das berechtigte Interesse und verzichtete auf das Einholen einer Einwilligung. Die CNIL erkannte zwar grundsätzlich ein berechtigtes Interesse an, gewichtete aber das Interesse der Betroffenen an der Achtung der gewählten Privatsphäre-Einstellung höher. Als weiterer Verstoß kam hinzu, dass auch hier die Informationspflichten nicht hinreichend erfüllt waren.
Behörde: Commission Nationale de l’Informatique et des Libertés (Frankreich)
Branche: Dienstleistungen
Verstoß: Art. 6 DSGVO, Art. 5 Abs. 1 lit. e DSGVO, Art. 14 DSGVO, Art. 15 DSGVO
Bußgeld: 240.000 Euro
Grundsätzlich gilt: Auch Daten aus berufsbezogenen Netzwerken gelten nicht zwingend als öffentlich zugängliche Daten. Auch hier sind die von Nutzern getroffene Einstellungen zu berücksichtigen und in die Interessensabwägung mit einzubeziehen.
Behörde: An Coimisiún um Chosaint Sonraí (Irland)
Branche: Soziale Netzwerke
Verstoß: Art. 25 Abs. 1 und Abs. 2 DSGVO, Art. 33 Abs. 3 und Abs. 5 DSGVO
Bußgeld: 251 Mio. Euro
Durch die Sicherheitslücke konnten Angreifer auch auf sensible personenbezogene Daten, wie Informationen über religiöse oder politische Überzeugungen oder die sexuelle Orientierung, zugreifen. Das Datenleck hebt die Bedeutung von Art. 25 DSGVO hervor und zeigt auf, dass Datenschutzanforderungen im gesamten Design- und Entwicklungsprozess zu beachten sind.
Rechtswidrige Erfassung von Kontaktdaten aus LinkedIn Profilen
Die CNIL hat gegen das Unternehmen KASPR ein Bußgeld in Höhe von 240.000 Euro erlassen, nachdem sich mehrere Privatpersonen über die Praktiken des Unternehmens beschwert hatten. KASPR stellt Unternehmen beruflichen Kontaktdaten zur Verfügung, die u. a. aus LinkedIn Profilen stammten. Dabei hatten betroffene LinkedIn Nutzer teilweise die Sichtbarkeit ihrer Kontaktdaten eingeschränkt. Das Unternehmen stützte sich trotz eingeschränkter Sichtbarkeit auf das berechtigte Interesse und verzichtete auf das Einholen einer Einwilligung. Die CNIL erkannte zwar grundsätzlich ein berechtigtes Interesse an, gewichtete aber das Interesse der Betroffenen an der Achtung der gewählten Privatsphäre-Einstellung höher. Als weiterer Verstoß kam hinzu, dass auch hier die Informationspflichten nicht hinreichend erfüllt waren.
Behörde: Commission Nationale de l’Informatique et des Libertés (Frankreich)
Branche: Dienstleistungen
Verstoß: Art. 6 DSGVO, Art. 5 Abs. 1 lit. e DSGVO, Art. 14 DSGVO, Art. 15 DSGVO
Bußgeld: 240.000 Euro
Grundsätzlich gilt: Auch Daten aus berufsbezogenen Netzwerken gelten nicht zwingend als öffentlich zugängliche Daten. Auch hier sind die von Nutzern getroffene Einstellungen zu berücksichtigen und in die Interessensabwägung mit einzubeziehen.