CNPD verhängt 135.000 Euro Bußgeld gegen Versicherungsunternehmen

Luxemburg: Gegen das im Bußgeldbescheid nicht namentlich aufgeführte Versicherungsunternehmen war bei der luxemburgischen Datenschutzbehörde die Beschwerde eines Betroffenen eingegangen. Anlass der Beschwerde war der mehrmalige Versand von Daten des Betroffenen an den falschen Empfänger.
Am 19. Oktober 2018 hatte ein Mitarbeiter des Bußgeldempfängers im Rahmen des Abschlusses einer Lebensversicherung eine E-Mail an den Betroffenen schicken wollen, hatte dessen Adresse allerdings falsch angegeben, sodass die E-Mail einer unbeteiligten, dritten Partei zugestellt wurde. Diese E-Mail enthielt dabei neben dem Namen und dem Geschlecht des Betroffenen auch Informationen zu dessen Vorerkrankungen. Außerdem befanden sich im Anhang drei Formulare zu etwaigen Erkrankungen, die der Beschwerdeführer ausfüllen sollte. Am 29. November 2018 versandte derselbe Mitarbeiter erneut eine an den Betroffenen gerichtete E-Mail an eine falsche Adresse. Auch diese enthielt neben dem Namen des Betroffenen Fragen zu dessen Gesundheitszustand, sowie den Namen seines Arztes und von beiden zusammen auszufüllende Formulare.
Der Beschwerdeführer war am 7. November und am 3. Dezember 2018 über die Vorfälle benachrichtigt worden, wobei der Bußgeldempfänger erst beim zweiten Mal angab, die Pannen der Datenschutzbehörde gemeldet zu haben. 
Vor diesem Hintergrund stellte die Behörde fest, dass das Unternehmen seine Meldepflicht nach Art. 33 Abs. 1 DSGVO verletzt hatte. Diese sieht vor, dass die Behörde über Datenpannen spätestens 72 Stunden nach deren Feststellung unterrichtet wird. Auch seiner Dokumentationspflicht aus Art. 33 Abs. 5 DSGVO war das Unternehmen nicht nachgekommen. So hatte eine von der Behörde während der Untersuchung vorgenommene Inspektion von dessen Geschäftsräumen ergeben, dass das Register für Datenschutzverstöße, welches im Jahre 2018 angelegt worden war, über keinerlei Einträge verfügte.
Des Weiteren erkannte die Behörde in den Vorfällen ein Versäumnis aufseiten des Unternehmens, technische und organisatorische Maßnahmen zu implementieren, die ein dem Risiko für die Betroffenen angemessenes Sicherheitsniveau gewährleisten. Dabei betonte die Behörde, dass der Beschwerdegegner nicht sichergestellt hatte, dass die in den E-Mails enthaltenen, sensiblen Daten für unautorisierte Parteien unzugänglich sind (z.B. durch Verschlüsselung). Damit einergehend stellte Behörde ebenso eine Verletzung des Grundsatzes der Integrität und Vertraulichkeit fest. .

Veröffentlicht am: 06-10-2021

Quelle von dsgvo-portal.de

Globeria Mannschaft

Die Globeria Mannschaft ist ein engagiertes Team von Technologie- und Datenschutzexperten, spezialisiert auf die neuesten Entwicklungen in der künstlichen Intelligenz und der Datenschutz-Grundverordnung (DSGVO). Mit umfassender Erfahrung und Fachwissen bieten sie tiefgehende Analysen, praktische Ratschläge und strategische Empfehlungen, um Unternehmen und Einzelpersonen bei der Navigation durch die komplexen DSGVO-Bestimmungen zu unterstützen. Die Globeria Mannschaft hilft Unternehmen auch bei der Ernennung externer Datenschutzbeauftragter, um die Einhaltung der DSGVO sicherzustellen.

Globeria Consulting GmbH zeichnet sich als einer der führenden DSGVO-Dienstleister in Deutschland aus und bietet umfassende Lösungen durch zertifizierte Datenschutzbeauftragte (DSB). Unsere Dienstleistungen decken das gesamte Spektrum der DSGVO-Compliance ab und stellen sicher, dass Ihr Unternehmen alle rechtlichen Anforderungen effizient erfüllt. Vertrauen Sie auf unsere Expertise für ein beispielloses Datenschutz- und Privacy-Management.

Wir bedienen Berlin, Frankfurt, München, Magdeburg, Sachsen-Anhalt, Hamburg und ganz Deutschland.
Arbeitszeiten: Montag-Freitag, 09:00-17:00
© 2024 Globeria Consulting GmbH. Alle Rechte vorbehalten.