Seitenbereiche
info@k11-consulting.de

Datenschutz News 15.11

© k11-consulting.com

Italien: Garante verhängt Bußgeld in Höhe von 70.000 Euro gegen Scionti Selezioni Superiori wegen Verstößen gegen das Telemarketing-Gesetz

Die italienische Datenschutzbehörde (Garante) hat am 8. November 2023 in ihrem Newsletter ihre Entscheidung Nr. 479 vom 12. Oktober 2023 bekannt gegeben, mit der sie gegen Scionti Selezioni Superiori S.r.l. eine Geldstrafe in Höhe von 70.000 Euro wegen Verstößen gegen die Datenschutz-Grundverordnung (DSGVO), das Datenschutzgesetz, das Bestimmungen zur Anpassung der nationalen Gesetzgebung an die DSGVO (das Gesetz) enthält, und das Gesetz Nr. 5 vom 11. Januar 2018 über neue Bestimmungen für die Registrierung und den Betrieb des Registers für Nichtanrufe und die Einrichtung nationaler Vorwahlnummern für Telefonanrufe zu statistischen Zwecken, zu Werbezwecken und zu Marktforschungszwecken (Gesetz Nr. 5/2018) nach mehreren Beschwerden.

Vorgeschichte der Entscheidung

Der Garant wies darauf hin, dass die Beschwerdeführer angegeben hatten, unerwünschte Werbeanrufe von Scionti Selezioni Superiori sowie von gefälschten Telefonnummern erhalten zu haben. In vielen Fällen folgten die unerwünschten Anrufe auf den Kauf von Kaffee bei Scionti Selezioni Superiori.

Feststellungen des Garanten

Am Ende seiner Untersuchung stellte der Garant fest, dass die Werbeanrufe hauptsächlich an Nutzer gerichtet wurden, die im Register für unerbetene Anrufe (DNCR) eingetragen waren, und dass die personenbezogenen Daten auf verschiedene Weise erhoben wurden, z. B. über ein Formular auf der Website des Unternehmens und über Kontaktlisten, die von Drittfirmen zusammengestellt wurden.

Konkret stellte der Garant fest, dass Scionti Selezioni Superiori gegen folgende Bestimmungen verstoßen hatte

- Art. 5 Abs. 1 lit. a, Art. 6, 7 und 13 DSGVO und Art. 130 des Kodex, da es versäumt hatte, die vorherige Einwilligung der betroffenen Personen einzuholen und die erforderlichen Informationen über die Verarbeitung ihrer personenbezogenen Daten im Rahmen der Werbeanrufe bereitzustellen;

- Art. 5 Abs. 1, Art. 5 Abs. 2, Art. 6 Abs. 1 lit. a und Art. 7 DSGVO in Bezug auf die Verwendung von Datenlisten Dritter zu Marketingzwecken, ohne dass die Einholung der freiwilligen, spezifischen, dokumentierten und in Kenntnis der Sachlage erteilten Einwilligung der betroffenen Personen überprüft wurde;

- Art. 5 Abs. 1 lit. a, Art. 6 Abs. 1 lit. a, Art. 7 und Art. 12 Abs. 1 DSGVO wegen des Fehlens einer spezifischen Einwilligung zu Marketingzwecken in Bezug auf die Verarbeitung personenbezogener Daten, die über die Website erhoben wurden, und wegen mangelnder Transparenz;

- Artikel 12, 15 und 21 DSGVO, weil sie den Anträgen einiger betroffener Personen auf Ausübung ihrer Rechte nicht nachgekommen sind und es versäumt haben, nach dem Widerspruch gegen Direktmarketing Maßnahmen zu ergreifen;

- Art. 1 Abs. 11 und 12 des Gesetzes Nr. 5/2018 sowie Art. 130 Abs. 3 des Gesetzbuches in Bezug auf die Durchführung von Telemarketing ohne monatliche oder anderweitige Konsultation des DNCR vor jeder Telemarketing-Kampagne; und

- Art. 5 Abs. 2, Art. 24 Abs. 1, Art. 24 Abs. 2 und Art. 25 DSGVO wegen des Versäumnisses, angemessene organisatorische Maßnahmen zur Überwachung der Verarbeitungstätigkeiten zu treffen, sowie wegen des Versäumnisses, die Einhaltung der Vorschriften nachzuweisen.

Angesichts der festgestellten Verstöße verhängte der Garant eine Geldbuße in Höhe von 70 000 EUR gegen Scionti Selezioni Superiori.

Das Ergebnis

Zusätzlich zu der Geldbuße ordnete der Garante an, dass Scionti Selezioni Superiori die unrechtmäßig zu Marketingzwecken erworbenen Daten löscht und geeignete technische, organisatorische und Kontrollmaßnahmen ergreift, um sicherzustellen, dass die Verarbeitung der personenbezogenen Daten der Nutzer in der gesamten Lieferkette des Unternehmens den Datenschutzvorschriften entspricht.

Italien, 15. November 2023

 

Niederlande: Bezirksgericht entscheidet, Justizministerium muss Zugangsrecht respektieren

Am 8. November 2023 veröffentlichte das Bezirksgericht Amsterdam sein Urteil in der Rechtssache Nr. AMS 22/4209, ausgestellt am 7. August 2023, betreffend einen Kläger und den Minister für Justiz und Sicherheit.

Hintergrund des Falles

Das Gericht wies insbesondere darauf hin, dass der Kläger am 10. Januar 2022 gemäß dem in der Datenschutz-Grundverordnung (DSGVO) vorgesehenen Auskunftsrecht Zugang zu seinen vom Ministerium verarbeiteten personenbezogenen Daten beantragt hatte. Konkret beantragte der Kläger eine Kopie seiner Registrierungsdaten bei einer zu Forschungszwecken eingerichteten Registrierungsstelle für inländische Fern- und Adoptionen, die Liste der Personen, die Zugang zu seiner Registrierungserklärung hatten, die Kontaktdaten der Personen, die diese Daten im Ministerium verarbeitet haben, und eine Kopie des Verarbeitungsregisters über die Verarbeitung oder Speicherung der Registrierungserklärung im Ministerium.

Das Ministerium gab zunächst dem Antrag des Beschwerdeführers auf Registrierung statt, lehnte jedoch die übrigen Anträge ab.

Beurteilung durch den Gerichtshof

Der Gerichtshof stellte fest, dass das Ministerium keinen ausreichenden Zugang und keine ausreichende Einsicht in die Verarbeitung der personenbezogenen Daten des Beschwerdeführers gewährt hatte. Insbesondere stellt der Gerichtshof fest, dass die Ausübung des Auskunftsrechts die betroffene Person in die Lage versetzen muss, nicht nur die Richtigkeit der sie betreffenden Daten zu überprüfen, sondern auch, ob diese Daten rechtmäßig verarbeitet werden und ob sie an befugte Empfänger weitergegeben wurden. Dementsprechend hat der Gerichtshof festgestellt, dass die für die Verarbeitung Verantwortlichen verpflichtet sind, der betroffenen Person die Identität der Empfänger mitzuteilen, es sei denn, es ist unmöglich, die Empfänger zu ermitteln, oder der Antrag ist offensichtlich unbegründet oder unverhältnismäßig. Im vorliegenden Fall stellte der Gerichtshof jedoch fest, dass nicht nachgewiesen wurde, dass der Antrag offensichtlich unbegründet oder unverhältnismäßig war.

Des Weiteren stellte das Gericht fest, dass der Beschwerdeführer das Recht hat, zu erfahren, wer im Ministerium Zugang zu seinen personenbezogenen Daten hatte, einschließlich der Anzahl und der Personen, die Zugang zu diesen Daten hatten, und wie lange seine personenbezogenen Daten ursprünglich in einer Akte aufbewahrt wurden, zu der die Mitarbeiter des Ministeriums Zugang hatten. Konkret stellte das Gericht fest, dass der Beschwerdeführer das Recht hat, zu erfahren, welche zwei Mitarbeiter zuletzt Zugang zu einem solchen Ordner mit seinen personenbezogenen Daten hatten, da dies erforderlich ist, um das mit der Verarbeitung seiner personenbezogenen Daten verbundene Risiko zu beurteilen.

Das Ergebnis

Das Gericht stellte fest, dass das Ministerium es versäumt hatte, dem Beschwerdeführer Informationen auf der Grundlage von Artikel 14 und 15 der Datenschutz-Grundverordnung zur Verfügung zu stellen, und gab dem Ministerium eine Frist von acht Wochen, um dem Urteil Rechnung zu tragen.

Niederlande, 15. November 2023

 

Deutschland: DSK veröffentlicht Positionspapier zu Cloud-basierten Gesundheitsanwendungen

Die Deutsche Datenschutzkonferenz (DSK) hat am 6. November 2023 ein Positionspapier zu cloudbasierten digitalen Gesundheitsanwendungen veröffentlicht. Das Positionspapier stellt unter anderem klar, dass die Verordnung über digitale Gesundheitsanwendungen (DiGAV) bestimmte digitale Gesundheitsanwendungen regelt, es aber eine Reihe weiterer Gesundheitsanwendungen gibt, die nicht von der DiGAV erfasst werden. In dem Positionspapier werden unter anderem folgende Überlegungen angestellt, die bei der Nutzung von Gesundheitsanwendungen, die nicht durch die DiGAV geregelt sind, zu berücksichtigen sind.

Insbesondere weist das Positionspapier darauf hin, dass die Nutzung der Gesundheitsanwendung dem Grundsatz des Datenschutzes durch Technik und Voreinstellung entsprechen muss und dass es möglich sein muss, die Anwendungen ohne Nutzung der Cloud-Funktionen und ohne Verknüpfung mit einem Nutzerkonto zu nutzen, es sei denn, die Cloud-Funktion ist für die Erzielung eines Nutzens erforderlich und wird von der betroffenen Person ausdrücklich gewünscht. Nach dem Positionspapier muss der betroffenen Person eine Wahlmöglichkeit eingeräumt werden, sie muss über mögliche Vorteile und Risiken der Cloud-Anwendung aufgeklärt werden und im Falle einer Entscheidung gegen eine Cloud-basierte Verarbeitung dürfen die Daten nur lokal auf dem Endgerät gespeichert werden. Darüber hinaus befasst sich das Positionspapier unter anderem mit den datenschutzrechtlichen Verantwortlichkeiten bei eHealth-Anwendungen, dem internationalen Datentransfer, der Nutzung personenbezogener Daten zu Forschungs- und Qualitätssicherungszwecken sowie der Sicherheit der Verarbeitung, einschließlich Beispielen für organisatorische und technische Maßnahmen und Fällen, in denen eine Datenschutz-Folgenabschätzung (DSFA) erforderlich ist.

Deutschland, 15. November 2023

 

Norwegen: Ombudsmann veröffentlicht Leitfaden zur Verhinderung von Diskriminierung durch KI

Am 7. November 2023 veröffentlichte die norwegische Ombudsstelle für Gleichstellung und Diskriminierung (die Bürgerbeauftragte) einen Leitfaden zur Erkennung und Verhinderung von Diskriminierung bei der Entwicklung und Nutzung von künstlicher Intelligenz (KI). Die Bürgerbeauftragte wies insbesondere auf Fälle von verzerrten Ergebnissen durch Systeme des maschinellen Lernens (ML) hin, wie z. B. Probleme bei der Gesichtserkennung bei dunklerer Hautfarbe und Ungenauigkeiten bei Algorithmen zur Betrugserkennung. Der Bürgerbeauftragte stellte fest, dass der Leitfaden darauf abzielt, das Problem anzugehen, indem er für einen eingebauten Schutz vor Diskriminierung in jeder Phase der Entwicklung von ML-Systemen in Unternehmen plädiert.

Insbesondere betont der Leitfaden die Bedeutung von Diskriminierung und die rechtliche Grundlage dafür in Übereinstimmung mit der norwegischen Verfassung und anderen internationalen Konventionen wie der Europäischen Menschenrechtskonvention (EMRK). Der Leitfaden gibt Unternehmen Ratschläge, wie sie Geldwäschesysteme identifizieren können, die zu diskriminierenden Ergebnissen führen, indem sie prüfen, ob die Anwendung des Systems einige Personen in vergleichbarer Weise benachteiligt, ob die Ungleichbehandlung auf Bedingungen zurückzuführen ist, die mit einem Diskriminierungsgrund in Verbindung gebracht werden können, und ob die Ungleichbehandlung nicht objektiv ist. notwendig oder verhältnismäßig ist.

Darüber hinaus kategorisiert der Leitfaden fünf Phasen der ML-Systementwicklung, nämlich Planung, Trainingsdaten, Modellentwicklung, Test und Implementierung sowie Überwachung, in denen Unternehmen Diskriminierungsrisikobewertungen durchführen können. Der Leitfaden enthält Fragen, die in jeder Phase zu berücksichtigen sind, und fordert die Unternehmen auf, die Antworten zu dokumentieren und sie den Beteiligten, einschließlich der Aufsichtsbehörden, zugänglich zu machen.

Norwegen, 14. November 2023

Erstellt:

Experte für Datenschutz gesucht? Neben dem großen Thema Datenschutz unterstützen wir Sie im Interim Management, bei strategischen & betriebswirtschaftlichen Managementaufgaben. Sie haben Fragen, genug vom Blabla und wollen Genaueres wissen? Hier unverbindlich kontaktieren.

Mit diesem QR-Code gelangen Sie schnell und einfach auf diese Seite
Mit diesem QR-Code gelangen Sie schnell und einfach auf diese Seite

Scannen Sie ganz einfach mit einem QR-Code-Reader auf Ihrem Smartphone die Code-Grafik links und schon gelangen Sie zum gewünschten Bereich auf unserer Homepage.