Persónuvernd verhängt 27.100 Euro Bußgeld gegen YAY ehf.

Island: Das vorliegende Bußgeld steht mit einer Aktion für Reisegutscheine im Zusammenhang, welche vom isländischen Ministerium für Industrie und Innovation im Kontext der Covid-19-Pandemie initiiert worden war, um im Sommer 2020 Inlandsreisen anzukurbeln. Die Gutscheine wurden den Nutzern über die App des Unternehmens YAY ehf. zur Verfügung gestellt. Um die Geschenke in Anspruch nehmen zu können, mussten die Betroffenen dabei nicht nur auf umfangreiche Weise personenbezogene Daten hinterlegen, sondern auch Berechtigungen für Zugriffe auf ihre Mobiltelefone gewähren. 
Vor diesem Hintergrund hatte die isländische Datenschutzbehörde Ermittlungen gegen das Ministerium als den für die Verarbeitung Verantwortlichen sowie gegen YAY ehf. als dessen Auftragsverarbeiter aufgenommen. Dabei stellte sie eine Vielzahl von Datenschutzverstößen fest.
So hatte das YAY gegen den Grundsatz der Rechtmäßigkeit und Transparenz verstoßen, da die teilnehmenden Nutzer lediglich den Allgemeinen Nutzungsbedingungen der YAY-App zustimmen mussten, um an der Gutscheinaktion teilzunehmen, anstatt ausdrücklich der im Rahmen der Aktion vorgenommenen Verarbeitung ihrer personenbezogenen Daten zuzustimmen. Ebenso machte die Behörde einen Verstoß gegen den Grundsatz der Datenminimierung aus, da die von den Betroffenen eingeholten Daten (und Datenzugänge) umfangreicher waren als für den Verarbeitungszweck notwendig.
Des Weiteren hatte das Unternehmen seine Pflicht verletzt, technische und organisatorische Maßnahmen zu implementieren, die ein dem Risiko für die Betroffenen angemessenes Sicherheitsniveau gewährleisten. Infolgedessen hatte ein Konfigurationsfehler aufseiten von YAY zur Einholung umfangreicher Zugriffsrechte für die Telefone der Nutzer der YAY-App (bspw. Zugriff auf den Kalender) geführt, ohne dass diese für den Betrieb der App bzw. die Durchführung der Gutscheinaktion benötigt wurden. Regelmäßige Audits und Tests getroffener Sicherheitsmaßnahmen hatte der Bußgeldempfänger dabei nicht durchgeführt.
Außerdem war die Verarbeitungstätigkeit von YAY nicht in einem Vertrag über Auftragsverarbeitung mit dem Ministerium geregelt worden.
Gegen das Ministerium für Industrie und Innovation wurde im selben Bußgeldverfahren ein Bußgeld in Höhe von 7.500.000 ISK (ca. 50.813 EUR) verhängt. .

Veröffentlicht am: 26-11-2021

Quelle von dsgvo-portal.de

Globeria Mannschaft

Die Globeria Mannschaft ist ein engagiertes Team von Technologie- und Datenschutzexperten, spezialisiert auf die neuesten Entwicklungen in der künstlichen Intelligenz und der Datenschutz-Grundverordnung (DSGVO). Mit umfassender Erfahrung und Fachwissen bieten sie tiefgehende Analysen, praktische Ratschläge und strategische Empfehlungen, um Unternehmen und Einzelpersonen bei der Navigation durch die komplexen DSGVO-Bestimmungen zu unterstützen. Die Globeria Mannschaft hilft Unternehmen auch bei der Ernennung externer Datenschutzbeauftragter, um die Einhaltung der DSGVO sicherzustellen.

Globeria Consulting GmbH zeichnet sich als einer der führenden DSGVO-Dienstleister in Deutschland aus und bietet umfassende Lösungen durch zertifizierte Datenschutzbeauftragte (DSB). Unsere Dienstleistungen decken das gesamte Spektrum der DSGVO-Compliance ab und stellen sicher, dass Ihr Unternehmen alle rechtlichen Anforderungen effizient erfüllt. Vertrauen Sie auf unsere Expertise für ein beispielloses Datenschutz- und Privacy-Management.

Wir bedienen Berlin, Frankfurt, München, Magdeburg, Sachsen-Anhalt, Hamburg und ganz Deutschland.
Arbeitszeiten: Montag-Freitag, 09:00-17:00
© 2024 Globeria Consulting GmbH. Alle Rechte vorbehalten.