Tlc: Garante bestraft einen Händler wegen illegaler Aktivierung von Simkarten und Abonnements
150 Tausend Euro Strafe für die Nutzung der persönlichen Daten von Hunderten von Nutzern ohne deren Wissen
Ein Unternehmen, das zwei Telefongeschäfte betreibt, muss eine Geldstrafe in Höhe von 150.000 Euro zahlen, weil es illegal SIM-Karten, Abonnements und Gebühren für den Kauf von Mobiltelefonen und GPS-Trackern mit den persönlichen Daten von Hunderten von Nutzern ohne deren Wissen aktiviert hat.
Dies wurde von der Datenschutzbehörde Garante Privacy festgestellt, die das Verfahren aufgrund eines Berichts der Guardia di Finanza einleitete, bei der die Beschwerde einer Nutzerin wegen der Abbuchung von Gebühren auf ihrer Kreditkarte im Zusammenhang mit der Aktivierung eines neuen Vertrags auf den Namen ihres verstorbenen Ehemanns eingegangen war.
Bei der von der Behörde durchgeführten Untersuchung wurden zahlreiche und schwerwiegende Verstöße festgestellt.
Die Garante stellte insbesondere fest, dass das Unternehmen 1 300 Telefonkarten mit Daten und Identitätsdokumenten aktiviert hatte, die aus den Systemen der Telefongesellschaft, deren Produkte es verkaufte, extrapoliert oder von Geschäften unrechtmäßig einbehalten worden waren.
Und nicht nur das: Das Unternehmen hatte unaufgeforderte Dienste aktiviert, indem es die Kunden über ein Tablet zur Unterschrift veranlasste, ohne sie über die Folgen einer solchen Zustimmung aufzuklären. Zu den Verstößen gehörte auch der Verkauf von Mobiltelefonen, die von den Kunden weder angefordert noch an sie ausgeliefert worden waren, und die Kunden erfuhren von dem Kauf, als sie Ratenzahlungen auf der Rechnung fanden.
Die Untersuchung der Garante ergab außerdem, dass das Unternehmen die Kontrollen der Telefongesellschaft und die einschlägigen Bestimmungen über die Verarbeitung der Nutzerdaten umgangen und somit als unabhängiger Datenverantwortlicher gehandelt hatte. Konkret hatte das Unternehmen seine Aktivitäten mit der Absicht geplant, die ihm zur Verfügung stehende Datenbank mit personenbezogenen Daten zu nutzen, um unaufgefordert Telefondienste anzubieten oder das zuvor von den Kunden unterzeichnete Vertragsangebot unrechtmäßig zu erweitern. All dies führte zu einem Umsatz von mehr als 80.000 Euro, der dadurch erzielt wurde, dass die Mitarbeiter des Unternehmens in Aktivitäten einbezogen wurden, die darauf abzielten, die in der europäischen Verordnung festgelegten Grundsätze der Rechtmäßigkeit, Fairness und Transparenz systematisch zu umgehen.
Aus diesen Gründen und in Anbetracht des Verhaltens, das dem Gesamtphänomen der rechtswidrigen Aktivierungen von Telefonkarten zuzuschreiben ist und das potenziell weitere und weitaus bedenklichere Anreize zur Rechtswidrigkeit und Hindernisse für die Verfolgung von Straftaten schaffen kann, verhängte die Garante gegen das Unternehmen eine Sanktion in Höhe von 150 000 Euro und ordnete das Verbot der weiteren Verarbeitung von Kundendaten an.
Arbeit: Datenschutz-Garant, Mitarbeiter haben das Recht auf Zugang zu ihren Daten
Sanktion von 20 Tausend Euro gegen eine Bank
Der Arbeitnehmer hat das Recht auf Zugang zu seinen eigenen, vom Arbeitgeber gespeicherten Daten, unabhängig vom Grund der Anfrage.
Dies bekräftigte der Datenschutzbeauftragte, als er der Beschwerde einer Frau stattgab, die von der Bank, bei der sie beschäftigt war, Einsicht in ihre Personalakte verlangt hatte, um herauszufinden, welche Informationen möglicherweise zu einer Disziplinarstrafe gegen sie geführt hatten.
Die Bank hatte dem Ersuchen nicht in angemessener Weise entsprochen und nur eine unvollständige Liste der gesammelten Unterlagen vorgelegt, in der bestimmte Informationen fehlten, auf deren Grundlage die Disziplinarstrafe verhängt worden war.
Erst nach der Einleitung der Untersuchung durch die Behörde hatte die Bank dem ehemaligen Mitarbeiter die weiteren in der Akte enthaltenen Unterlagen ausgehändigt.
Dabei handelte es sich insbesondere um die Korrespondenz zwischen der Bank und einem Dritten, der sich über die unrechtmäßige Weitergabe vertraulicher Informationen ihres jetzigen Buchhalterehemanns an die Beschwerdeführerin beschwerte, die diese im Rahmen eines Gerichtsverfahrens verwendet hatte.
In ihren Antwortvermerken an die Überwachungsbehörde argumentierte die Bank, dass sie der ehemaligen Mitarbeiterin diese Unterlagen nicht zur Verfügung gestellt habe, um das Recht auf Verteidigung und die Vertraulichkeit der beteiligten Dritten zu schützen und weil die Beschwerdeführerin kein Interesse am Zugang hatte.
Der Garante stellte fest, dass der Zweck des Auskunftsrechts im Allgemeinen darin besteht, der betroffenen Person die Kontrolle über ihre personenbezogenen Daten zu ermöglichen und deren Richtigkeit zu überprüfen. Dieses Recht kann jedoch nicht je nach dem Zweck des Antrags verweigert oder eingeschränkt werden. Nach den Bestimmungen der Verordnung müssen die betroffenen Personen nämlich weder einen Grund oder ein besonderes Bedürfnis angeben, um ihren Antrag auf Ausübung ihrer Rechte zu rechtfertigen, noch kann der für die Verarbeitung Verantwortliche die Gründe für den Antrag überprüfen. Diese Auslegung wurde auch vom Europäischen Datenschutzausschuss (EDPB) durch die Annahme der Leitlinien für das Auskunftsrecht klargestellt und ist das Ergebnis der ständigen Rechtsprechung des Gerichtshofs.
Bei der Verhängung einer Geldbuße von 20 000 EUR gegen die Bank berücksichtigte die Behörde die Art, Schwere und Dauer des Verstoßes, aber auch das Fehlen ähnlicher Präzedenzfälle.
Geschlechtsspezifische Gewalt: Anonymität in der Datenbank der Notdienste gewährleistet
Der Datenschutzbeauftragte gab grünes Licht für den Entwurf eines Erlasses des Gesundheitsministers, der das Informationssystem zur Überwachung der in der medizinischen Notfallversorgung erbrachten Leistungen (EMUR) um eine Reihe von Informationen über den Zugang von Opfern geschlechtsspezifischer Gewalt zu Notaufnahmen ergänzt.
Der Verordnungsentwurf berücksichtigt die Anmerkungen, die die Behörde bei den Gesprächen mit dem Ministerium gemacht hat und die insbesondere die Anonymität von Frauen, die Opfer von Gewalt sind, und von Frauen, die eine anonyme Entbindung wünschen, sowie die Aktualisierung des gesamten Datenflusses im Lichte der neuen Datenschutzgrundsätze der DSGVO betreffen. Das System wurde bereits 2008 eingerichtet, also gut 10 Jahre vor der vollständigen Umsetzung der Datenschutz-Grundverordnung. Der Datenschutzgarant forderte insbesondere die Aktualisierung des Systems zur Kodierung und Aggregation von Daten, die Festlegung der Aufbewahrungszeit von Informationen und die Rolle der verschiedenen an der Verarbeitung beteiligten Parteien in Bezug auf den Datenschutz.
Neue Technologien und Geldwäschebekämpfung gehören zu den Themen der Frühjahrskonferenz in Riga
Vom 14. bis 16. Mai 2024 findet in der lettischen Hauptstadt Riga die 32. Frühjahrskonferenz statt, die jährliche Frühjahrstagung der europäischen Datenschutzbehörden mit dem Ziel, einen gemeinsamen Rahmen für den Schutz personenbezogener Daten zu schaffen.
Die Konferenz wird sich auf eine Reihe von Schlüsselthemen konzentrieren, wie z. B. die Analyse von EU-Vorschriften, den Schutz der Privatsphäre bei neuen Technologien, den Schutz von Gesundheitsdaten im digitalen Zeitalter und die Förderung einer wirksamen Zusammenarbeit zwischen Datenschutzbehörden, Entscheidungsträgern und Unternehmen. Wie im letzten Jahr in Budapest steht auch bei der Ausgabe 2024 neben den geschlossenen Sitzungen ein öffentliches Panel auf der Tagesordnung, das sowohl persönlich als auch per Fernübertragung (am 16. Mai) stattfindet und sich auf die immer enger werdende Beziehung zwischen den Vorschriften zur Bekämpfung der Geldwäsche und dem Datenschutz konzentriert. Die Garante wird durch ihr Mitglied Guido Scorza vertreten, der auf dem Podium sprechen wird, das dem Datenschutz und den neuen Technologien sowie den sich daraus ergebenden Herausforderungen in einem zunehmend dynamischen Umfeld gewidmet ist, um die Privatsphäre der Nutzer, insbesondere von Kindern, zu schützen und die Einhaltung der Vorschriften zu gewährleisten.
Seit ihrer Gründung im Jahr 1991, als die Behörden Belgiens, Dänemarks, Frankreichs, Deutschlands, Irlands, Luxemburgs, der Niederlande und des Vereinigten Königreichs in Den Haag zusammentrafen, ist die „Frühjahrskonferenz“ ein wichtiges Ereignis für die europäischen Datenschutzbehörden, um Themen von gemeinsamem Interesse zu ermitteln, Informationen über bewährte Verfahren auszutauschen und die Zusammenarbeit zu fördern.
https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/10009928