Sanktionen

Dänemark: Hohe Busse wegen jahrelanger Verletzung der Datenlöschpflichten

17. April 2022

Die dänische Datenschutzbehörde, die Datatilsynet, hat gegen die Danske Bank Strafantrag gestellt. Zugleich beantragte sie, dass eine Busse von umgerechnet CHF 1.37 Mio. verhängt werde. Grund war, dass die Bank bei mehr als 400 Systemen nicht dokumentiert hatte, dass Regeln für die Löschung und Speicherung von Personendaten

AEPD (Spanien): Busse gegen Auftragsbearbeiter wegen Verweigerung der Datenherausgabe

13. März 2022

Die spanische Datenschutzaufsichtsbehörde AEPD hat mit Datum vom 17. August 2021 eine Busse von EUR 100‘000 gegen einen IT-Dienstleister verhängt, der es entgegen der Bestimmung der Auftragsverarbeitungsvereinbarung unterlassen hatte, dem Verantwortlichen die Auftragsdaten herauszugeben oder den vom Auftragsbearbeiter betriebenen Server zugänglich zu machen. Der Auftragsbearbeiter

Zum Umgang mit den Strafbestimmungen des neuen Datenschutzgesetzes

5. Dezember 2021

Es ist die in Datenschutzkreisen meistdiskutierte Neuerung des revidierten Datenschutzgesetzes: die neuen Strafbestimmungen. Die Verunsicherung ist gross und viele Unternehmen – und ihre mit Datenschutz befassten Mitarbeitenden – fragen sich, wie sich das Strafbarkeitsrisiko in der Unternehmenspraxis „managen“ lässt. Zur Erinnerung: Werden die Datenschutzvorschriften verletzt, werden

DSGVO: Setzen Unternehmensbussen den Nachweis der Pflichtverletzung durch eine natürliche Person voraus?

29. November 2021

Die DSGVO sieht bekanntlich hohe Bussenrahmen gegen Unternehmen vor, bis 4% des weltweiten Vorjahresumsatzes des Unternehmens betragen. In einzelnen Fällen kam es auch zu hohen Bussen, die in der Regel aber gerichtlich angegriffen worden sind. Nicht klar ist in diesem Fall aber, ob die Unternehmensbusse

WhatsApp: Busse von EUR 225 Mio. wegen Verletzung der Informationspflicht

3. September 2021

Die irische Datenschutzkommission (Data Protection Commission, DPC) hat am 2. September 2021 den Abschluss einer mehr als zweieinhalb Jahre dauernden Untersuchung bei WhatsApp bekanntgegeben. Gegenstand der Untersuchung war gemäss der Medienmitteilung der DPC, ob WhatsApp die Informationspflichten nach der DSGVO verletzt hat, u.a. auch über

Norwegen: Busse von EUR 40’000 für das Weiterleiten von Mitarbeiter-E-Mails

27. März 2021

Die norwegische Datenschutzbehörde hat ein Unternehmen mit EUR 40’000 gebüsst, weil es unrechtmässig eine automatische Weiterleitung der E‑Mails eines Mitarbeiters eingerichtet hatte (vgl. Medienmitteilung). Der Mitarbeiter hatte sich darüber bei der Aufsichtsbehörde beschwert. Die Weiterleitung wurde im Zusammenhang mit einer krankheitsbedingten Abwesenheit des Mitarbeiters eingerichtet

Bekanntgabe von Gesundheitsdaten an Ehemann: Busse von EUR 50’000; Veröffentlichung als Nebensanktion

21. März 2021

In Italien hat der Garante, die italienische Aufsichtsbehörde. mit Entscheid von 27. Januar 2021 eine Busse von EUR 50’000 gegen ein Krankenhaus verhängt, dem ein Verstoss gegen die datenschutzrechtlichen Vorgaben bei Gesundheitsdaten zur Last gelegt wurde (Entscheid auf italienisch). Es ging um Daten einer Patientin,

The Good, the Bad and the Ugly: Gedanken zum neuen Datenschutzgesetz

16. März 2021

Das Datum steht noch nicht fest, aber irgendwann im 2022 wird es soweit sein: Das neue Datenschutzgesetz wird in Kraft treten. Endlich, muss man anfügen. Die Europäische Datenschutz-Grundverordnung (DSGVO) wird dann schon ganze vier Jahre in Kraft sein. Der Schweizer Gesetzgeber hat sich viel Zeit gelassen

DSB Sachsen: Durchsetzung der DSGVO gegen Verantwortliche in Drittländern

12. Januar 2021

Der Sächsische Datenschutzbeauftragte hat sich in seinem Tätigkeitsbericht für das Berichtsjahr 2019 in interessanter Weise zur “Durchsetzung der DSGVO wegen des räumlichen Anwendungsbereichs gegenüber Verantwortlichen in Drittländern” geäussert: Gemäß Artikel 3 Absatz 2 DSGVO unterliegen auch Verantwortliche in Drittländern dem Anwendungsbereich der Verordnung. Bei meiner Dienststelle gehen zahlreiche