Datenschutz News 26.10

Italien: Garante verhängt Bußgeld von 30.000 € gegen lokale Gesundheitsbehörde Napoli 3 Sud wegen Mängeln bei der Datensicherheit

Die italienische Datenschutzbehörde (Garante) hat am 23. Oktober 2023 in ihrem Newsletter ihre Entscheidung Nr. 426 vom 28. September 2023 veröffentlicht, mit der sie gegen die lokale Gesundheitsbehörde Napoli 3 Sud eine Geldstrafe von 30.000 € wegen Verstößen gegen die Datenschutz-Grundverordnung (DSGVO) verhängt hat, nachdem die lokale Gesundheitsbehörde eine Meldung über eine Datenschutzverletzung eingereicht hatte.

Hintergrund der Entscheidung

Die Garante stellte fest, dass die lokale Gesundheitsbehörde die Garante über einen Ransomware-Angriff informiert hatte, der den Zugriff auf die Datenbank der lokalen Gesundheitsbehörde einschränkte und ein Lösegeld für die Wiederherstellung der Funktionsfähigkeit der Systeme forderte. Nach Erhalt der Meldung leitete die Garante nach eigenen Angaben umgehend eine Untersuchung des Vorfalls ein, um die technischen und organisatorischen Maßnahmen zu überprüfen, die die örtliche Gesundheitsbehörde vor und nach dem Ransomware-Angriff ergriffen hatte.

Feststellungen der Garante

Nach Abschluss ihrer Untersuchung stellte die Garante fest, dass die örtliche Gesundheitsbehörde gegen Artikel 5 Absatz 1 Buchstabe f, Artikel 25 und Artikel 32 der Datenschutz-Grundverordnung verstoßen hatte.

Insbesondere stellte die Garante fest, dass die örtliche Gesundheitsbehörde die personenbezogenen Daten und Gesundheitsdaten von 842 000 Patienten und Beschäftigten nicht angemessen vor externen Hackerangriffen geschützt hatte. Insbesondere stellte die Garante fest, dass die örtliche Gesundheitsbehörde es versäumt hatte, angemessene Maßnahmen zu ergreifen, um Bedrohungen personenbezogener Daten rechtzeitig zu erkennen und die Sicherheit ihrer Netzwerke zu gewährleisten, und somit auch gegen den Grundsatz des eingebauten Datenschutzes verstoßen hatte.

Ergebnisse

Die Garante verhängte gegen die örtliche Gesundheitsbehörde eine Geldbuße in Höhe von 30.000 €, gegen die Rechtsmittel eingelegt werden können.

Italien, 25.10.2023

EU: EDSB veröffentlicht abschließende Empfehlungen zum KI-Gesetz, während die Verhandlungen in die Endphase gehen

Der Europäische Datenschutzbeauftragte (EDSB) hat am 24. Oktober seine abschließenden Empfehlungen zum Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates mit harmonisierten Regeln für künstliche Intelligenz (KI-Gesetzgebung) veröffentlicht, da die Verhandlungen zwischen den EU-Gesetzgebern in die Endphase eintreten.

In den Empfehlungen wird unter anderem bekräftigt, dass Systeme künstlicher Intelligenz (KI), die zum Zeitpunkt des Inkrafttretens des KI-Gesetzes bereits in Betrieb sind, einschließlich KI-Systeme, die Teil von IT-Großsystemen in der EU sind, ab dem Zeitpunkt des Inkrafttretens des KI-Gesetzes den Anforderungen des KI-Gesetzes entsprechen sollten und nicht vom Anwendungsbereich des KI-Gesetzes ausgenommen werden sollten.

Darüber hinaus fordern die Empfehlungen eine Klärung der Rolle, Aufgaben und Befugnisse des EDSB im Rahmen des KI-Gesetzes, einschließlich der Notwendigkeit angemessener finanzieller und personeller Ressourcen, um seine Rolle als KI-Aufsichtsbehörde wahrnehmen zu können.

Darüber hinaus vertreten die Empfehlungen die Auffassung, dass Personen, die von der Nutzung von KI-Systemen betroffen sind, das Recht haben sollten, sich bei einer zuständigen Behörde zu beschweren, wenn Anbieter und Nutzer von KI-Systemen gegen das KI-Gesetz verstoßen. Zu diesem Zweck wird in den Empfehlungen vorgeschlagen, dass das KI-Gesetz ausdrücklich die Zuständigkeit des EDSB für die Entgegennahme von Beschwerden vorsehen sollte.

Die Empfehlungen begrüßen auch die Einrichtung des Europäischen Büros für Künstliche Intelligenz (KI-Büro) und unterstützen das Ziel des KI-Büros, die Durchsetzung des KI-Gesetzes zu zentralisieren. In diesem Zusammenhang wird in den Empfehlungen darauf hingewiesen, dass der EDSB bereit ist, gemeinsame Untersuchungen mit den nationalen Aufsichtsbehörden durchzuführen. Darüber hinaus wird in den Empfehlungen unter anderem gefordert, dass der EDSB als vollwertiges Mitglied im Verwaltungsrat des KI-Büros stimmberechtigt ist.

EU, 25.10.2023

Polen: Gericht bestätigt UODO-Entscheidung, Bisnode eine Geldbuße aufzuerlegen, weil Betroffene nicht über Datenverarbeitung informiert wurden

Am 20. September 2023 gab die polnische Datenschutzbehörde (UODO) bekannt, dass das Oberste Verwaltungsgericht (der Oberste Gerichtshof) die Entscheidung der UODO bestätigt hat, Bisnode Polska (jetzt Dun & Bradstreet) eine Geldbuße in Höhe von 943.000 PLN (ca. 217.880 $) aufzuerlegen, weil das Unternehmen Daten verarbeitet hat, ohne die Personen, deren Daten es verarbeitet hat, darüber zu informieren.

Hintergrund des Falles

Das UODO erklärte, dass es nach einer Untersuchung festgestellt habe, dass Bisnode Daten aus öffentlich zugänglichen Registern verarbeitet habe, ohne die Mehrheit der Personen, deren Daten Bisnode erhalten hatte, darüber zu informieren, dass Bisnode die Kontrolle über ihre Daten übernommen hatte und wie es die Daten weiter zu verarbeiten gedachte. Die UODO stellte fest, dass Bisnode die betroffenen Personen durch die unterlassene Information daran gehindert hat, ihr Recht auf Löschung oder Berichtigung der Daten oder auf Widerspruch gegen die Verarbeitung auszuüben. Daraufhin verhängte die UODO eine Geldbuße in Höhe von 943.000 PLN (ca. 217.880 USD) gegen Bisnode.

Bisnode legte gegen die Entscheidung Berufung beim Bezirksverwaltungsgericht in Warschau (das Bezirksgericht) ein, das entschied, dass Bisnode die Informationspflicht gemäß Artikel 14 der DSGVO erfüllen müsse, jedoch nur gegenüber Personen, die zum Zeitpunkt des Erlasses der Entscheidung eine Geschäftstätigkeit ausübten oder ihre Geschäftstätigkeit eingestellt hatten. Daraufhin verwies das Provinzgericht den Fall zur Überprüfung der verhängten Geldbuße an das UODO zurück.

Bisnode legte jedoch gegen das Urteil des Provinzgerichts Kassationsbeschwerde beim Obersten Gerichtshof ein. Bisnode argumentierte, es sei nicht verpflichtet gewesen, der Informationspflicht nachzukommen, da dies einen "unverhältnismäßigen Aufwand" erfordert hätte, da Bisnode nicht über die aktuellen Adressen aller betroffenen Personen verfüge.

Entscheidung des Obersten Gerichtshofs

Der Oberste Gerichtshof stimmte der UODO zu und entschied, dass Bisnode die betroffenen Personen, deren Daten es erhalten hatte, hätte informieren müssen. Der Oberste Gerichtshof stellte fest, dass nach der DSGVO alle Ausnahmen von der Pflicht, Personen über die Datenverarbeitung zu informieren, eng auszulegen sind.

Das Ergebnis

Das Gericht bestätigte die Entscheidung der UODO und wies die Klage von Bisnode ab. Das UODO wies darauf hin, dass es den Fall erneut prüfen werde, soweit das Regionalgericht die Entscheidung des UODO in Bezug auf die Verarbeitung von Daten von Personen, die in der Vergangenheit eine Geschäftstätigkeit ausgeübt haben, und die Höhe des verhängten Bußgelds teilweise aufgehoben hat.

Polen, 23.10.2023

Griechenland: HDPA verhängt Bußgeld von 50.000 € gegen Athener Verkehrsbetriebe wegen Verstoßes gegen den Grundsatz der Speicherbegrenzung und andere Anforderungen der Datenschutz-Grundverordnung

Die griechische Datenschutzbehörde (HDPA) hat am 25. September 2023 ihre Entscheidung Nr. 30/2023 veröffentlicht, mit der sie nach einer Inspektion von Amts wegen eine Geldstrafe in Höhe von 50.000 Euro und eine Rüge gegen die Athener Verkehrsbetriebe (OASA) wegen Verstoßes gegen die Datenschutzgrundverordnung (DSGVO) verhängt hat.

Hintergrund der Entscheidung

Am 18. November 2019 führte die HDPA eine außerordentliche Vor-Ort-Inspektion bei der OASA durch, bei der es um die Datenverarbeitung durch das elektronische Fahrkartensystem der OASA für den öffentlichen Nahverkehr, das sogenannte automatische Kommissionserfassungssystem (ASSK), ging. Mit der Inspektion sollte überprüft werden, ob die OASA die Bedingungen einhält, die die HDPA zuvor in ihrer Stellungnahme Nr. 4/2017 für die Verarbeitung personenbezogener Daten im Rahmen des ASSK festgelegt hatte. Im Anschluss an die Inspektion forderte die HDPA die OASA auf, eine Reihe von Dokumenten als Nachweis zu übermitteln und eine Datenschutz-Folgenabschätzung durchzuführen.

Feststellungen der HDPA

Nach Prüfung der Unterlagen stellte die HDPA fest, dass die OASA gegen Artikel 5 Absatz 1 Buchstabe e, Artikel 25 Absatz 1 und Artikel 35 Absatz 1 der Datenschutz-Grundverordnung verstoßen hat, indem sie

- keine angemessenen Fristen für die Speicherung personenbezogener Daten festgelegt hat

- die erforderliche Datenschutz-Folgenabschätzung nicht durchgeführt hat

- die mit der Datenverarbeitung verbundenen Risiken nicht in vollem Umfang nach dem Grundsatz des eingebauten Datenschutzes berücksichtigt hat und

- die Zwecke der Verarbeitung sowohl in den der HDPA vorgelegten Dokumenten als auch in den Informationen, die den betroffenen Personen auf der Website der OASA zur Verfügung gestellt wurden, nicht klar beschrieben hat.

Ergebnisse

Auf der Grundlage der obigen Ausführungen verhängte die HDPA gegen die OASA eine Geldbuße in Höhe von 50.000 € wegen Verstoßes gegen den Grundsatz der Speicherbegrenzung sowie eine Rüge wegen Nichteinhaltung des Grundsatzes des eingebauten Datenschutzes und der Verpflichtung zur Durchführung einer Datenschutz-Folgenabschätzung.

Darüber hinaus entschied die HDPA, dass die OASA

- die Aufbewahrungsfristen für die verschiedenen Verarbeitungszwecke angemessen dokumentieren und den Betroffenen mitteilen muss;

- personenbezogene Daten, die länger als erforderlich aufbewahrt werden, unverzüglich löschen oder anonymisieren und

- ihre Datenschutz-Folgenabschätzung innerhalb von drei Monaten nach der Entscheidung überarbeitet.

Griechenland, 24.10.2023