Britische Datenschutzbehörde fordert Millionenbußgeld von British Airways.
Wegen Verstoßes gegen die Datenschutz-Grundverordnung (DSGVO) hat die britische Datenschutzbehörde (Information Commissioner's Office – ICO) gegen die Fluggesellschaft British Airways ein Bußgeld in Höhe von umgerechnet ca. EUR 204 Millionen verhängt.
Hintergrund ist, dass im Jahr 2018 Cyberkriminelle persönliche Daten inklusive Kreditkarteninformationen von etwa 500.000 Kunden von British Airways erlangt hatten. Nach Auffassung der Datenschutzbehörde wurde die Entwendung der Informationen durch die schwachen Sicherheitsvorkehrungen bei British Airways erst ermöglicht. British Airways plant, Widerspruch gegen das Bußgeld einzulegen.
Bundestag beschließt Anpassung der Gesetze im Bereich Datenschutz.
Der Bundestag hat in der Nacht zum 28. Juni 2019 das zweite Datenschutzanpassungs- und Umsetzungsgesetz (2. DSAnpUG-EU) verabschiedet. Hierdurch soll das bereichsspezifische Datenschutzrecht an die Datenschutz-Grundverordnung (DSGVO) angepasst werden. Das 2. DSAnpUG-EU umfasst die Angleichung von 154 Gesetzen.
Die wohl wichtigste Änderung bezieht sich auf die Voraussetzungen der Bestellung eines Datenschutzbeauftragten im Bundesdatenschutzgesetz (BDSG). Aktuell sieht § 38 Abs. 1 BDSG bei der Notwendigkeit der Bestellung eines Datenschutzbeauftragten einen Schwellenwert von 10 Personen vor, die ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Dieser Schwellenwert soll nach dem verabschiedeten Gesetz auf 20 Personen angehoben werden. Dies soll insbesondere Kleinunternehmen entlasten.
Reichweite des Auskunftsrechts nach Art. 15 DSGVO.
LG Köln, Teilurteil vom 22.02.2019 – Az. 26 O 25/18
Die Klägerin schloss mit der Beklagten, einem Versicherungsunternehmen, Lebensversicherungsverträge ab und verlangte aufgrund einer Beitragserhöhung nach Art. 15 DSGVO Auskunft über die über sie gespeicherten personenbezogenen Daten.
Die daraufhin erteilten Auskünfte der Beklagten hielt die Klägerin für unzureichend. Die Beklagte sei vielmehr zur Herausgabe sämtlicher gespeicherten Informationen verpflichtet.
Das Gericht lehnte dies ab. Der Auskunftsanspruch beziehe sich nicht auf sämtliche internen Vorgänge der Beklagten (z.B. Vermerke). Die Beklagte müsse nicht den gesamten gewechselten Schriftverkehr, der der Klägerin bereits bekannt ist, erneut ausdrucken und übersenden. Nach Auffassung des Gerichts stellen rechtliche Bewertungen oder Analysen außerdem keine personenbezogenen Daten dar. Der Anspruch aus Art. 15 DSGVO diene nicht der vereinfachten Buchführung des Betroffenen, sondern soll sicherstellen, dass der Betroffene den Umfang und Inhalt der gespeicherten personenbezogenen Daten beurteilen kann.