Spanien: AEPD verhängt Bußgeld von 70.000 Euro gegen The Bee Logistics wegen rechtswidriger Verarbeitung personenbezogener Daten
Am 7. November 2023 veröffentlichte die spanische Datenschutzbehörde (AEPD) ihre Entscheidung im Verfahren Nr. PS-00272-2023. Darin verhängte sie gegen The Bee Logistics SLU eine Geldstrafe in Höhe von 70.000 Euro wegen Verstoßes gegen die Datenschutz-Grundverordnung (DSGVO), nachdem eine Privatperson Beschwerde eingelegt hatte.
Hintergrund der Entscheidung
Die AEPD stellte insbesondere fest, dass der Beschwerdeführer ein Paket von The Bee Logistics erhalten sollte, die als Zustelldienst für Enviala World S.L. tätig war. Obwohl das Paket dem Beschwerdeführer zugestellt werden sollte, wurde es stattdessen an eine andere Person geliefert. Die AEPD stellte daher fest, dass die personenbezogenen Daten des Beschwerdeführers, einschließlich seines Vor- und Nachnamens und seiner Postanschrift, ohne seine Zustimmung unbefugt an einen Dritten weitergegeben worden waren.
Feststellungen der AEPD
Nach ihrer Untersuchung kam die AEPD zu dem Schluss, dass The Bee Logistics angesichts der großen Menge personenbezogener Daten, die von Frachtunternehmen verarbeitet werden, seiner Sorgfaltspflicht nicht nachgekommen ist und es versäumt hat, einen angemessenen Schutz personenbezogener Daten zu gewährleisten, und damit gegen Artikel 5 Absatz 1 Buchstabe f der Datenschutz-Grundverordnung verstoßen hat.
Darüber hinaus stellte die AEPD fest, dass angesichts der Tatsache, dass das Paket an einen anderen als den vereinbarten Dritten geliefert wurde, keine geeigneten technischen und organisatorischen Sicherheitsmaßnahmen getroffen wurden, um ein dem Risiko der Verarbeitung angemessenes Schutzniveau zu gewährleisten. Daher wurde festgestellt, dass The Bee Logistics gegen Artikel 32 der Datenschutz-Grundverordnung verstoßen hat.
Ergebnisse
Folglich verhängte die AEPD die oben genannte Geldbuße gegen The Bee Logistics wegen der oben genannten Verstöße.
Spanien, 8. November 2023
Grossbritannien: King's Speech 2023 kündigt Gesetzesentwurf zu Datenschutz und digitaler Information an
Am 7. November 2023 veröffentlichte die britische Regierung ein Strategiepapier mit dem Titel "The King's Speech 2023: background briefing notes", in dem hervorgehoben wird, dass die Minister die Data Protection and Digital Information Bill (DPDB No.2) einführen werden, um Innovationen in Technologien wie dem maschinellen Lernen zu fördern. In dem Briefing heißt es insbesondere, dass die DPDB No.2 die Belastung für Unternehmen reduzieren, unnötige Hindernisse für wissenschaftliche Forscher beseitigen, die Wirtschaft um 4,7 Milliarden Pfund über 10 Jahre ankurbeln und Innovationen ermöglichen wird, die die Stärke und den Wohlstand der Gesellschaft fördern, indem sie
- Unternehmen in die Lage versetzt werden, personenbezogene Daten auf verhältnismäßigere und praktikablere Weise als nach der Datenschutz-Grundverordnung (Verordnung (EU) 2016/679) (DSGVO) zu schützen;
- Klarstellung und Verbesserung der Vorschriften für die Verwendung personenbezogener Daten in der wissenschaftlichen Forschung;
- Schaffung eines Rahmens für sichere digitale Überprüfungsdienste;
- Ermöglichung von "Smart Data"-Systemen in der gesamten Wirtschaft und
- Sicherstellung einer besseren Nutzung von Daten bei der Bereitstellung von Gesundheits- und Sozialfürsorge für Erwachsene, Strafverfolgung, Sicherheit und anderen staatlichen Dienstleistungen.
Neben der Klarstellung, dass die meisten Maßnahmen der Datenschutz-Grundverordnung Nr. 2 auf das Vereinigte Königreich ausgeweitet werden und dort Anwendung finden, wird in dem Briefing auch betont, dass die Datenschutz-Grundverordnung Nr. 2 den Schutz der Bürger durch folgende Maßnahmen verbessern wird
- das Information Commissioner's Office (ICO) gestärkt und modernisiert wird, indem sichergestellt wird, dass es über die Fähigkeiten und Befugnisse verfügt, gegen Organisationen vorzugehen, die gegen Datenschutzbestimmungen verstoßen, indem es in die Lage versetzt wird, seine Ressourcen besser zu verteilen, und indem es gegenüber dem Parlament und der Öffentlichkeit stärker rechenschaftspflichtig wird; und
- Aufrechterhaltung hoher internationaler Datenschutzstandards, damit Unternehmen ungehindert mit globalen Partnern wie der EU Handel treiben können, und Sicherstellung, dass es einfacher ist, neue Datenbrücken mit vertrauenswürdigen internationalen Partnern wie den USA zu bauen, was den Handel und den Marktzugang für britische Unternehmen verbessert.
Grossbritannien, 8. November 2023
Frankreich: CNIL kündigt 10 Vollstreckungsbescheide über insgesamt 97.000 € an
Am 7. November 2023 gab die französische Datenschutzbehörde (CNIL) bekannt, dass sie im Rahmen ihres im Jahr 2022 eingeführten vereinfachten Sanktionsverfahrens zehn Vollstreckungsbescheide erlassen hat. Die CNIL, die die Durchsetzungsentscheidungen nicht veröffentlichte, wies insbesondere darauf hin, dass das vereinfachte Durchsetzungsverfahren Verarbeitungstätigkeiten betrifft, die keine besondere Schwierigkeit darstellen und für die eine Höchststrafe von 20 000 EUR verhängt werden kann.
Nichtsdestotrotz hat die CNIL mitgeteilt, dass sie sowohl gegen öffentliche als auch gegen private Akteure Bußgelder in Höhe von insgesamt 97.000 € für die folgenden Verstöße verhängt hat:
- Nichtbeantwortung von Anfragen der CNIL;
- das Versäumnis, Informationen über die durchgeführten Verarbeitungen und deren Zwecke bereitzustellen, und
- Nichtbeachtung der Rechte von Personen und Nichtbeantwortung von Anfragen.
Darüber hinaus hob die CNIL in ihren Entscheidungen hervor, dass die Geolokalisierung von Mitarbeiterfahrzeugen und die Videoüberwachung von Mitarbeitern von besonderer Bedeutung seien. In Bezug auf die Geolokalisierung von Mitarbeiterfahrzeugen stellte die CNIL fest, dass die kontinuierliche Aufzeichnung von Geolokalisierungsdaten ohne die Möglichkeit, das System während der Pausen zu stoppen oder zu unterbrechen, sofern dies nicht ausdrücklich gerechtfertigt ist, einen übermäßigen Eingriff in die Bewegungsfreiheit und das Recht auf Privatsphäre der Mitarbeiter darstellt. In Bezug auf die Überwachung von Arbeitnehmern stellte die CNIL fest, dass das ständige Filmen von Arbeitnehmern an ihrem Arbeitsplatz in keinem Verhältnis zu den verfolgten Zielen steht.
Frankreich, 8. November 2023
EU: CEDPO veröffentlicht Papier zu den Auswirkungen von generativer KI auf den Datenschutz
Am 26. Oktober 2023 hat die Confederation of European Data Protection Organizations (CEDPO) ein Papier zu den Auswirkungen von generativer KI auf den Datenschutz veröffentlicht. Das Papier enthält Hinweise zu den verschiedenen Auswirkungen, die mit dem Einsatz generativer Modelle der Künstlichen Intelligenz (KI) verbunden sind, und zu den Methoden, die sowohl die Ersteller als auch die Endnutzer der Modelle anwenden können, um die Einhaltung der Datenschutzrechte zu gewährleisten. Das Papier behandelt unter anderem folgende Aspekte
- Risiken der Offenlegung von Daten
- die Richtigkeit personenbezogener Daten
- Umsetzung des Datenschutzes durch Technik
- die Auswahl einer rechtlichen Grundlage für das Training generativer KI-Systeme
- Optimierung der Organisationsstrukturen und
- der Umgang mit den Rechten der betroffenen Personen im Zusammenhang mit diesen Technologien.
CEDPO gibt auch Empfehlungen für Entwickler und Endnutzer neuer generativer KI-Werkzeuge, um sicherzustellen, dass negative Auswirkungen begrenzt werden. Diese Empfehlungen umfassen unter anderem den Einsatz von Technologien zum Schutz der Privatsphäre (Privacy Enhancing Technologies, PETs), wie die Verwendung synthetischer Datensätze zum Trainieren von KI-Modellen, strenge interne Datenzugriffskontrollen und Audits sowie die Verwendung von Datenschutzfolgenabschätzungen (Data Protection Impact Assessments, DPIAs).
EU, 6. November 2023
Erstellt:
Experte für Datenschutz gesucht? Neben dem großen Thema Datenschutz unterstützen wir Sie im Interim Management, bei strategischen & betriebswirtschaftlichen Managementaufgaben. Sie haben Fragen, genug vom Blabla und wollen Genaueres wissen? Hier unverbindlich kontaktieren.
