Selecteer een pagina

H&M moet in Duitsland 35,3 miljoen euro boete betalen voor overtreding privacywet

Modeketen Hennes & Mauritz (H&M) moet in Duitsland een boete van 35,3 miljoen euro betalen voor het overtreden van de privacywet. De straf is opgelegd door de commissaris voor gegevensbescherming van Hamburg.

H&M blijkt honderden medewerkers van het servicecentrum in Neurenberg in de gaten te hebben houden. De opgelegde boete is bedoeld als afschrikking.

“De onderhavige zaak getuigt van een ernstige veronachtzaming van de gegevensbescherming van de werknemers”, zegt de Hamburgse commissaris voor gegevensbescherming, Johannes Caspar. “Het bedrag van de opgelegde boete is dan ook passend en geschikt om bedrijven ervan te weerhouden de privacy van hun werknemers te schenden”, benadrukte hij.

De zaak valt onder de verantwoordelijkheid van de Hamburgse commissaris voor gegevensbescherming, omdat het bedrijf zijn Duitse hoofdkwartier in de Hanzestad heeft.

De gebeurtenissen waren vorig jaar ontdekt. Uit onderzoek van de toezichthouder blijkt dat H&M ten minste sinds 2014 de informatie over de privé-omstandigheden van werknemers uitgebreid heeft geregistreerd en opgeslagen.

Na vakantie en ziekteverzuim hielden superieuren een “Welcome Back Talk” en vervolgens niet alleen concrete vakantie-ervaringen gedocumenteerd, maar ook ziekteverschijnselen en diagnoses in een aantal gevallen.

Sommige supervisors namen ook uitgebreid kennis van het privéleven van hun werknemers. Van vrij onschadelijke details van familieproblemen en godsdienstige geloven, en roddels van de werkvloer.

Duits ziekenhuis moet 105.000 euro boete betalen wegens overtreding AVG

Een ziekenhuis in de Duitse deelstaat Rijnland-Palts heeft een boete van 105.000 euro geaccepteerd die is opgelegd voor verschillende overtredingen van de privacywet.

De commissaris voor gegevensbescherming van Rijnland-Palts, Dieter Kugelmann, wil met de boete het signaal af geven “dat de toezichthoudende autoriteiten voor gegevensbescherming bijzonder waakzaam zijn op het gebied van de omgang met gegevens in de gezondheidszorg”.

De schendingen van de Algemene Verordening Gegevensbescherming (AVG) kwamen aan het licht na een “verwisseling van patiënten tijdens de opname”. Als gevolg daarvan had het ziekenhuis een onjuiste factuur opgesteld, die “structurele technische en organisatorische tekortkomingen in het patiëntenbeheer” aan het licht bracht.

Kugelmann is tevreden over de inspanningen van het ziekenhuis om het beheer van de gegevensbescherming te ontwikkelen en te verbeteren. “Het is voor mij belangrijk dat er aanzienlijke vooruitgang wordt geboekt op het gebied van de bescherming van gezondheidsgegevens, gezien de bijzondere gevoeligheid van gegevens”, aldus Kugelmann.

Eerste AVG-boete in Duitsland. Sociaal netwerk Knuddels moet 20.000 Euro betalen

De Autoriteit Persoonsgegevens (AP) van de Duitse deelstaat Baden-Württemberg heeft de eerste AVG-boete opgelegd. Het sociale netwerk Knuddels.de – het grootste online chatplatform van Duitsland – moet een boete van 20.000 euro betalen. En komt daarmee volgens de AP wegens goed gedrag goed weg.

Het bedrijf had 808.000 emailadressen en 1.872.000 pseudoniemen en wachtwoordenvan gebruikers ongecodeerd opgeslagen. De fout werd in juli 2018 ontdekt nadat Knuddels.de een datalekprocedure in gang had gezet wegens een hackaanval.

Knuddels.de bestaat sinds 1999. Het chatplatform heeft meer dan twee miljoen geregistreerde leden.

Het bedrijf uit Karlsruhe heeft volgens de AP de verplichting om de veiligheid van persoonlijke gegevens te garanderen geschonden.

De boete had volgens de Duitse AP vele malen hoger uit kunnen vallen. De toezichthouder zegt er echter rekening mee gehouden dat het bedrijf na een hackaanval meteen open kaart heeft gespeeld bij de Autoriteit Persoonsgegevens en alle gebruikers.

Lof van de Autoriteit Persoonsgegevens

De AP zegt dat Knuddels op een voorbeeldige manier heeft samengewerkt met de toezichthouder en de veiligheid van de ICT meteen beduidend heeft verbeterd. “Wie van schade leert en transparant bijdraagt aan de verbetering van de gegevensbescherming, kan als bedrijf ook sterker uit een aanval van een hacker tevoorschijn komen”, aldus de AP.

Autoriteit Persoonsgegevens is 5 maanden na start AVG nog opvallend rustig. Stilte voor de storm?

Ruim vijf maanden nadat de Algemene Verordening Gegevensbescherming (AVG) op 25 mei 2018 van kracht is geworden horen we nog steeds opvallend weinig van de Nederlandse Autoriteit Persoonsgegevens (AP). In Duitsland kondigen verschillende toezichthouders inmiddels meerdere boetes aan. Is de rust bij de AP de stilte voor de AVG storm in Nederland?

Uit diverse onderzoeken blijkt dat de meerderheid van de Nederlandse organisaties nog niet voldoet aan de privacywet. Tot dusver zien we dat nog niet terug in de mededelingen die de Autoriteit Persoonsgegevens doet op zijn website.

Nederlandse AP voornamelijk nog gericht op overheid

Tot op heden focust de Nederlandse AP zich nog vrijwel uitsluitend op de overheid en de zorg.

De AP maakte deze week bijvoorbeeld bekend een dwangsom van 150.000 Euro per maand aan het UWV te hebben opgelegd. Het UWV voldoet niet aan beveiligingseisen die voortvloeien uit de Algemene Verordening Gegevensbescherming (AVG). In augustus werd de politie aangepakt en tegen de belastingdienst loopt ook een onderzoek.


Elders in Europa lijken de nationale en regionale toezichthouders veel actiever te zijn dan de Nederlandse Autoriteit Persoonsgegevens. In Portugal en Groot-Brittannie zijn inmiddels de eerste boetes uitgedeeld.

AVG boeteprocedures

De Duitse krant Handelsblatt publiceerde deze week een uitgebreid artikel over maatregelen en boeteprocedures die de diverse toezichthouders in de Duitse deelstaten in gang hebben gezet. De inventarisatie zou een beeld kunnen geven wat Nederlandse organisaties kunnen gaan verwachten van de Autoriteit Persoonsgegevens.

Stefan Brink is voorzitter van de Autoriteit Persoonsgegevens van de Duitse deelstaat Baden-Württemberg. Hij kondigt in het Handelsblatt aan nog dit jaar “aanzienlijke” boetes te zullen opleggen wegens overtredingen van de Algemene Verordening Gegevensbescherming. Als voorbeeld noemt hij schending van de AVG door illegale videobewaking.

Autoriteit Persoonsgegevens Hamburg

Toezichthouder Johannes Caspar van de Autoriteit Persoonsgegevens in de Duitse deelstaat Hamburg zegt inmiddels twee boeteprocedures in gang te hebben gebracht. Ook zegt hij inmiddels diverse waarschuwingen te hebben gegeven. Bijvoorbeeld voor onrechtmatige reclame via e-mail. En voor overtredingen van de AVG door diverse verhuurders die ontoelaatbaar veel gegevens van potentiële huurders vragen.

Caspar zegt dat er op veel gebieden waarschijnlijk sprake is van een hoog niveau van niet-naleving van de regels van de AVG. “Sinds 25 mei 2018 hebben we 1870 klachten ontvangen, tegen 870 klachten in 2017.”

Autoriteit Persoonsgegevens Noordrijn-Westfalen

Helga Block, commissaris voor gegevensbescherming in de Duitse deelstaat Noordrijn-Westfalen, heeft inmiddels de eerste boetebeschikkingen uitgedeeld. “In het bijzonder ging het hier om gevallen waarin wij niet desgevraagd tijdig informatie hebben ontvangen van verantwoordelijke personen”, zegt Block in het Handelsblatt.

Daarnaast treedt Block op tegen het onrechtmatig gebruik van dashcams in auto’s.

Autoriteit Persoonsgegevens Berlijn

In Berlijn staan ook al sancties op stapel. “De eerste boetes onder de nieuwe wet kunnen tegen het einde van het jaar worden verwacht”, vertelt woordvoerster Dalia Kues van de gegevensbeschermingsautoriteit in Berlijn aan het Handelsblatt. Ze legt meteen uit waarom het even duurt voordat het handhavingsbeid van de toezichthouder zichtbaar wordt.

Strenge procedures vertragen handhaving door Autoriteit Persoonsgegevens

“Dergelijke procedures vereisen een uitgebreid en diepgaand onderzoek en doorlopen strenge formele procedurele stappen, waardoor het langer duurt om ze af te ronden”, zegt Kues.

Dat geldt uiteraard ook voor de Nederlandse Autoriteit Persoonsgegevens.

Bij de Autoriteit Persoonsgegevens in Berlijn
komen bijzonder veel klachten binnen over bedrijven die niet voldoen aan het recht op inzage, correctie of verwijdering. Ook komen er veel klachten binnen over SPAM-mail, cookies en ondeugdelijke privacyverklaringen op websites.

Twaalf keer zoveel datalekken

Het aantal datalekken dat sinds 25 mei in Berlijn is gemeld is inmiddels maar liefst twaalf keer zo hoog als in 2017. Er zijn inmiddels 2157 klachten geregistreerd. Een verviervoudiging ten opzichte van 2017.

Veel apps voldoen niet aan de nieuwe privacyregels

Toezichthouder Block van Noordrijn-Westfalen (NRW) merkt ook op dat gegevensbescherming door de nieuwe regels in toenemende mate een probleem aan het worden is bij bedrijven en overheden. “Dit is waarschijnlijk niet in de laatste plaats te wijten aan de toegenomen sanctiemogelijkheden. Met name veel kleinere organisaties zijn zich nu pas bewust geworden van de verplichtingen die ze eigenlijk al hadden onder de oude wet.”

De gegevensbeschermingsautoriteit in NRW heeft tot nu toe zo’n 9000 klachten en vragen geregistreerd. Dat is nu al aanzienlijk meer dan in heel 2017.

Vooral kleine organisaties, freelancers en verenigingen vragen advies bij Autoriteit Persoonsgegevens

Volgens de Berlijnse woordvoerster Kues vragen met name kleine bedrijven, freelancers en verenigingen die zich geen juridisch advies van advocaten of adviesbureaus kunnen veroorloven om advies bij de Autoriteit Persoonsgegevens in Berlijn. “Ze hebben heel vaak betrekking op het ontwerp van websites, vragen over de verplichting van een Functionaris Gegevensbescherming (FG) en verwerkingsovereenkomsten”, aldus Kues.

Personeelstekort bij Autoriteit Persoonsgegevens

De Duitse toezichthouders kunnen door de vele vragen en klachten het werk nauwelijks nog aan. Door gebrek aan personeel blijven veel zaken langer dan zou moeten liggen, melden de toezichthouders in Berlijn en Hamburg. In Noordrijn-Westfalen heeft de toezichthouder inmiddels twintig medewerkers erbij gekregen. Maar dat aantal is nog niet genoeg. Er staan nog diverse vacatures open.

Federale overkoepelende Autoriteit Persoonsgegevens van Duitsland grijpt in bij naambordjes affaire

De hoogste Duitse commissaris voor gegevensbescherming, Andrea Voßhoff, heeft resoluut ingegrepen in de naambordjes discussie die in Duitsland en Oostenrijk al ruim een week voor vette koppen in de media zorgt.

Commissaris Voßhoff adviseert alle ondernemers, instellingen en verenigingen om bij AVG-maatregelen die uitgebreide impact hebben vooraf contact op te nemen met de Autoriteit Persoonsgegevens en advies te vragen.

De hoogste Duitse toezichthouder doet overduidelijk een poging om in de nabije toekomst onnodige imagoschade voor de Europese privacywet te voorkomen. Daarover verderop in dit artikel meer.

Discussie naambordjes beeindigd

Voßhoff maakt in ieder geval klip en klaar duidelijk dat de AVG discussie over naambordjes beeindigd kan worden. De naambordjes op centrale belborden in de hal van flatgebouwen en appartementencomplexen vallen definitief niet onder de Algemene Verordening Gegevensbescherming.

Verhuurders hoeven niets te doen. Dus ook geen toestemming vragen, zoals de toezichthouder in Thüringen adviseerde.

Voßhoff schrijft dat in een verklaring op de website van de federale Duitse toezichthouder BfDI.

Andrea Astrid Voßhoff (geboren 31 juli 1958 in de Duitse plaats Haren (Ems), district Meppen, vlakbij Ter Apel) is een Duits politicus (CDU). Ze was lid van de Duitse Bondsdag van 1998 tot 2013 en is sinds 4 februari 2014 federaal commissaris voor gegevensbescherming en vrijheid van informatie (BfDI). Bron: Wikipedia.

De Europese betekenis van de AVG-naambordjes discussie in Duitsland en Oostenrijk

De Algemene Verordening Gegevensbescherming (AVG) is een Europese privacywet.

De privacyregels zouden sinds 25 mei 2018 in heel Europa identiek moeten zijn.

Maar zo eenvoudig is het in de praktijk niet. De regels kunnen op verschillende manieren worden uitgelegd. Er ontbreekt bovendien nog jurisprudentie over de jonge wet.

Verwarring, onrust en ophef die niet goed is voor de AVG

Dat zorgt voor verwarring, onrust en ophef die niet goed is voor de Algemene Verordening Gegevensbescherming en de diverse toezichthouders in Europa.

De AVG naambordjesdiscussie in Duitsland en Oostenrijk is daar een goed voorbeeld van. De discussie begon in Oostenrijk en sloeg al snel over naar Duitsland.

Waar ging het ook alweer over?

Een huurder in Wenen diende bij de gemeentelijkwoningcorporatie een klacht in omdat zijn naam op het centrale belbord in de hal van een flat was aangebracht. De huurder zag dit als een schending van de Algemene Verordening Gegevensbescherming (AVG).

De huurder kreeg gelijk van de gemeentelijke Functionaris Gegevensbescherming. Vervolgens besloot de woningcorporatie om 200.000 naambordjes in alle gemeentelijke gebouwen in Wenen verwijderen.

Tegenstrijdige AVG adviezen

De zaak zorgde voor grote ophef in Oostenrijk en al snel ook in Duitsland. Diverse privacydeskundigen en toezichthouders gaven in de media tegenstrijdige adviezen af. De verwarring over de interpretatie van de AVG was groot.

De Autoriteit Persoonsgegevens van de Duitse deelstaat Beieren reageerde hevig geirriteerd over de ophef en sprak van een moedwillige poging van tegenstanders van de privacywet om de AVG met onzin in diskrediet te brengen.

Zijn collega in de Duitse deelstaat Thüringen liet in een officiele persverklaring echter weten dat de verhuirders wel schriftelijk toestemming voor de naambordjes moesten vragen bij de huurders.

Wie heeft er gelijk?

Twee toezichthouders die geacht worden de Algemene Verordening Gegevensbescherming als geen ander te kennen geven verschillende adviezen over dezelfde regels.

In Duitsland zijn er 18 toezichthouders. Iedere deelstaat heeft een eigen Autoriteit Persoonsgegevens.

Daarnaast is er nog een overkoepelende federale Autoriteit Persoonsgegevens. Deze hoogste Duitse commissaris voor gegevensbescherming, Andrea Voßhoff, heeft nu resoluut ingegrepen.

Voßhoff geeft op de website van de Duitse federale toezichthouder DfBI gedetailleerd uitleg waarom de AVG bij de belborden niet van toepassing is:

Geen automatische verwerking

“Het plaatsen van naambordjes op centrale belborden is op zich geen geautomatiseerde verwerking, noch een feitelijke of beoogde opslag in bestandssystemen. In zoverre is het toepassingsgebied van het AVG krachtens artikel 2, lid 1, van de AVG in het algemeen niet eens opengesteld voor dergelijke zaken.”

“Zelfs als de AVG van toepassing zou zijn, zou artikel 6, lid 1, onder f), van de AVG (afweging van belangen) als rechtsgrondslag kunnen worden beschouwd naast de toestemming. In bijzondere gevallen zou de huurder dan het recht hebben om op grond van artikel 21 AVG bezwaar te maken tegen de verwerking. De AVG biedt verschillende rechtsgrondslagen voor gegevensverwerking, die ook moeten worden gebruikt.”

Hoe zit het met digitale naamborden?

Einde discussie over de naambordjes dus?
Nee, toch noch niet helemaal. Hoe zit het met Digitale naamborden?

Als er persoonlijke gegevens (bijv. voornaam, achternaam) op een elektronisch scherm worden weergegeven, is dit elektronische gegevensverwerking en is dit onderworpen aan de AVG.

Wat kunnen we leren van de ‘onzinnige’ AVG naambordjes discussie in Duitsland en Oostenrijk?

“Paniekzaaierij door oproerkraaiers die de Europese privacywet in diskrediet willen brengen.” Snoeiharde kritiek van de Autoriteit Persoonsgegevens van de Duitse deelstaat Beieren naar aanleiding van de ophef over een vermeend AVG-verbod op naambordjes in flats en appartementencomplexen. Is die kritiek terecht?

Of is de Europese privacywetgeving gewoon te complex?

Wat kunnen we leren van de discussie in Oostenrijk en Duitsland?

Waarom heeft niemand de Autoriteit Persoonsgegevens om uitleg gevraagd?

Allereerst is het opmerkelijk dat klaarblijkelijk vrijwel niemand tot op heden de toezichthouders in Oostenrijk en Duitsland gevraagd heeft om duidelijkheid te verschaffen naar aanleiding van de onduidelijkheid over de uitleg van de privavyregels ten aanzien van naambordjes.

Wie op Google zoekt op Klingelschild DSGVO ziet dat alle grote Duitse mediasites op het verhaal gedoken zijn. Slechts een enkele site vroeg commentaar aan een toezichthouder.

Kritiek Beierse autoriteit op media en privacybelangenorganisatie slecht onderbouwd

Voorzitter Thomas Kranig van de Beierse autoriteit doet voorkomen alsof de discussie in gang is gezet door tegenstanders van de privacywet en de media. Door mensen die op een rel uit waren om de AVG belachelijk te maken.

Maar die veronderstelling klopt niet.

Hoe begon de naambordjesdiscussie?

De discussie kwam in Wenen op gang naar aanleiding van een klacht van één huurder bij de gemeentelijke woningcorporatie Wiener Wohnen.

De corporatie heeft vervolgens de Magistratsabteilung 63, de afdeling die in Wenen verantwoordelijk is voor gegevensbescherming, geraadpleegd. De Functionaris Gegevensbescherming van deze afdeling kwam vervolgens zelf tot de conclusie dat de combinatie van achternaam en deurnummer daadwerkelijk inbreuk maakt op de Europese privacywetgeving.

Functionaris Gegevensbescherming zet als eerste verkeerde stap

De kwestie is dus niet aangezwengeld door oproerkraaiers. Een Functionaris Gegevensbescherming, iemand die alles van de privacywet zou moeten weten, trok op basis van de wettekst de conclusie dat er sprake was van inbreuk op de AVG.

Logisch besluit wonkngcorporatie om alle naambordjes te verwijderen

Vervolgens kan de Weense woningcorporatie niet anders dan te besluiten om verregaande maatregelen te treffen. Bij overtreding van de regels is het management immers aansprakelijk als de Autoriteit Persoonsgegevens van Oostenrijk een onderzoek instelt naar aanleiding van een klacht van een huurder, waar niets mee gedaan is.

Zeker als blijkt dat er een advies van de FG ligt om 220.000 naambordjes te verwijderen.

Nog steeds geen sprake van stemmingmakerij

Tot zover is er dus nog steeds geen sprake van bewuste stemmingmakerij om de AVG in diskrediet te brengen.

Pas als 220.000 huurders in Wenen een brief krijgen van de woningcorporatie duikt de media er bovenop. Logisch, want het betreft een opmerkelijk besluit met verregaande gevolgen. En dat op basis van een nieuwe wet die veel mensen onzeker maakt. Mede vanwege de hoge boetes die opgelegd kunnen worden.

Geen journalist die Autoriteit Gegevensbescherming om een reactie heeft gevraagd

Wat vervolgens opvalt is dat er geen journalist in Oostenrijk op het idee gekomen is om de Autoriteit Persoonsgegevens om een reactie te vragen.

Dat verwijt valt overigens ook de Functionaris Gegevensbescherming te maken.

Rol privacybelangenorganisatie

De media vroegen wel om een reactie bij ARGE Daten. Een organisatie die zich in Oostenrijk bezighoudt met de privacyrechten van burgers.

Volgens ARGE Daten was het besluit van Wiener Wohnen om alle naambordjes te verwijderen de “enige wettelijk conforme procedure”.

ARGE Daten roept vervolgens huurders op om een klacht in te dienen bij de Autoriteit Persoonsgegevens in Wenen.

Als de Beierse toezichthouder zich kwaad maakt over stemmingmakerij over de Europese privacywet dan zou ARAG Daten daar de aanleiding voor kunnen zijn.

ARAG Daten is geen tegenstander van AVG

Ware het niet dat de Beierse autoriteit praat over stemmingmakerij door tegenstanders van de AVG. ARAG Daten is een organisatie die opkomt voor privacybelangen. ARAG Daten heeft dus belang bij de privacywet. Is geen tegenstander.

Waar komt die stemmingmakerij dan vandaan?

De Beierse autoriteit geeft een uitstekende les privacywetgeving naar aanleiding van de discussie over de naambordjes. Uitleg die iedereen de regels erbij pakt lijkt te moeten kunnen begrijpen. Maar is dat werkelijk zo?

Privacydeskundigen leggen privacyregels anders uit dan Autoriteit Persoonsgegevens

De Functionaris Gegevensbescherming gaf een andere uitleg van dezelfde regels. En hij heeft er voor geleerd.

En hij was niet de enige privacydeskundige die een andere uitleg aan de regels gaf dan de Autoriteit Persoonsgegevens van Beieren.

Toegegeven, andere privacydeskundigen plaatsten vraagtekens bij het besluit van Wiener Wohnen, maar gaven vervolgens toch een andere duiding van de wet dan de Autoriteit Persoonsgegevens.

Max Schremms adviseert verhuurders onterecht om schriftelijk toestemming te vragen

Neem bijvoorbeeld Max Schrems. Hij heeft in heel Europa naam gemaakt met zijn kruistocht tegen Facebook. Schrems wijst er in een tweet op dat de ontmanteling van meer dan 200.000 naambordjes wellicht een wel erg overdreven maatregel is.

@Met alle liefde voor de #AVG“, tweet Schrems. „Maar waar u (al) de toestemming van de huurder heeft, hoeft u niet meer 220.000 naamplaatjes te verwijderen en opnieuw te plaatsen….. Een vragenlijst met een opt-in zou het waarschijnlijk gemakkelijker maken.“

 

Schrems adviseert als gerenomeerde privacydeskundige dus aan verhuurders om alle huurders schriftelijk om toestemming te vragen om hun naam op een centraal belbord in de hal van een flat te plaatsen.

Maar volgens de Autoriteit Persoonsgegevens hoeven verhuurders niets te doen

De Beierse Autoriteit Persoonsgegevens zegt daar niets over. Volgens de Beierse AP hoeven verhuurders niets te doen.

Duitse advocaat onderbouwt in blog aan de hand van diverse wetten dat naambordjes ook voor AVG al verboden zouden zijn

In Duitsland schreef advocaat Arno Lampmann van advocatenkantoor LHR in Keulen een uitvoerige blog over de naambordjes. Zijn opmerkelijke conclusie was dat de naambordjes ook zonder de AVG eigenlijk al in strijd zijn met andere wetten. Hij verwijst daarbij naar die wetten en haalt er vervolgens ook Max Schremms nog bij om zijn conclusie kracht bij te zetten.

Nog steeds geen spoor van oproerkraaiers die de Europese privacywet in diskrediet brengen.

 

Deskundigen die geacht mogen worden de privacywet te kennen en te kunnen duiden geven een hele andere uitleg aan de regels dan de Autoriteit Persoonsgegevens van Beieren. Opnieuw geen tegenstanders van de wet. Weer mensen die belang hebben bij de privacywetgeving.

Alle partijen, waaronder de Autoriteit Persoonsgegevens, moeten hand in eigen boesem steken

Het zou de Autoriteit Persoonsgegevens in Beieren, maar ook zijn collega’s in de rest van Europa, sieren om de hand in eigen boesem te steken. De AVG is blijkbaar zo onduidelijk dat zelfs deskundigen de regels anders uitleggen. Die complexiteit zorgt voor onrust en weerstand.

En de deskundigen en de media mogen anderzijds ook zichzelf verwijten maken.

Waarom heeft niemand de moeite genomen om de Autoriteit Persoonsgegevens om een reactie te vragen?

Iedere journalist hoort dat standaard te doen. En iedere FG en jurist die twijfelt over de uitleg van een regel ook.

Klanttevredenheidsonderzoek per e-mail vanwege AVG verboden? Wat is de impact van Duitse jurisprudentie in Nederland?

Het Duitse Bundesgerichtshof (BGH) heeft geoordeeld (VI ZR 225/17) dat klanttevredenheidsonderzoeken per e-mail over het algemeen verboden zijn. De hoogste Duitse rechter verwijst daarbij naar de Europese privacywetgeving.

Wat betekent die Duitse uitspraak voor Nederlandse ondernemers?

De basisgedachte achter de Europese privacyregelgeving is dat in heel Europa in principe dezelfde privacyregels gelden.

Dat impliceert dat jurisprudentie die elders in de EU ontstaat ook impact zou kunnen hebben op uitspraken van Nederlandse rechters en de Autoriteit Persoonsgegevens in soortgelijke zaken.

Voorzitter Aleid Wolfsen van de Autoriteit Persoonsgegevens zegt dat Europese toezichthouders regelmatig bij elkaar komen om nieuwe toelichtingen op de wet uit te werken in zogenaamde guidelines (richtlijnen).

Het zou denkbaar kunnen zijn dat er een Europese richtlijn komt over klanttevredenheidsonderzoek.

Zo lang die er niet is is het interessant om de Duitse jurisprudentie over klanttevredenheidsonderzoek te analyseren. Ook in het kader van de nieuwe veel bekritiseerde Europese e-privacywet die binnenkort naast de AVG nog meer Europese privacyregels toevoegt.

De zaak

Een Duits bedrijf verkocht goederen via Amazon en stuurde via e-mail de factuur naar de koper. In die e-mail schreef het bedrijf:

Dames en heren, bijgevoegd uw factuur in PDF-formaat. Bedankt voor het kopen van dit artikel van ons. Wij zijn een jong bedrijf en daarom afhankelijk van goede ratings. Als u tevreden bent over onze service, vragen wij u daarom om ons een 5-sterrenscore te geven voor uw aankoop.

Als er iets mis is met het geleverde artikel of onze service, vragen wij u vriendelijk contact met ons op te nemen. Dan kunnen we het probleem oplossen. Voor de beoordeling: log gewoon in via de volgende link en geef een positieve 5-sterrenbeoordeling (…).”

De koper vond dat de verkoper via deze e-mail ongeoorloofde reclame meestuurde. Hij vond dat de verkoper alleen de factuur had mogen sturen. Het verzoek om een positieve beoordeling zou inbreuk op zijn privacy zijn.

Marketeers worden gek als ze te maken krijgen met klanten die exact naar de regels van de wet willen worden behandeld. Gaat dit niet te ver?

De aanklacht werd in eerste instantie in Duitsland verworpen door zowel de lokale rechtbank als het hof van beroep, aangezien zij geen enkele vordering tot voorlopige maatregelen op grond van §§ 1004, 823 (1) BGB zagen. Het Hof van Beroep heeft echter een beroep bij het BGH toegestaan, dat nu uitspraak heeft gedaan.

Het besluit van de BGH

De BGH verklaart dat:

  • een klanttevredenheidsonderzoek valt onder het begrip (directe) reclame
  • het gebruik van e-mail voor reclamedoeleinden zonder toestemming van de eiser in beginsel een inbreuk vormt op zijn beschermde privésfeer en dus op zijn algemene persoonlijkheidsrecht

Hoewel de levering van de factuur op zich geen reclame is, vormt het deel van de e-mail waarin om een evaluatie werd gevraagd volgens de Duitse rechter wel degelijk reclame.

En als we de Algemene Verordening Gegevensbescherming erbij pakken wordt al snel duidelijk waarom.

De ondernemer heeft de adresgegevens alleen gekregen om de factuur te verzenden. Er is geen toestemming gevraagd of verkregen om het e-mailadres ook voor andere specifiek genoemde doeleinden – zoals klanttevredenheidonderzoek – te gebruiken. Volgens de AVG, die in Duitsland afgekort wordt als DSGVO, is dat verplicht.

De betekenis van de Duitse uitspraak

Volgens eerdere Duitse jurisprudentie was het al moeilijk om zonder toestemming klanttevredenheidsonderzoeken via e-mail te rechtvaardigen.

De BGH benadrukt met haar jurisdictie nu dat er geen klanttevredenheidsbeoordelingen mogen worden opgenomen in anderszins legitieme e-mails aan de klant.

Met andere woorden, voor de beoordeling van de klanttevredenheid en de verzending van nieuwsbrieven is een duidelijke toestemming vereist.

Is klanttevredenheidsonderzoek per e-mail nu verboden?

Nee. Als bij het afsluiten van de koopovereenkomst netjes seperaat toestemming wordt gevraagd om het e-mailadres ook eenmalig voor klanttevredenheidsonderzoek te mogen gebruiken – en die toestemming gegeven wordt – mag het onderzoek nog steeds gedaan worden.

Deze richtlijnen gelden ook in Nederland. Voor de invoering van de AVG waren deze regels ook al van kracht.

Onderneemt u ook in Duitsland en u hebt uw AVG of DSGVO nog niet op orde? 5 procent van uw Duitse collega’s heeft al een Abmahnung gehad

Nederlandse online ondernemers die hun activiteiten naar Duitsland willen uitbreiden doen er sinds 25 mei 2018 meer dan ooit verstandig aan er voor te zorgen dat ze zich juridisch zeer zorgvuldig voorbereiden.

Wie denkt dat dankzij de Europese privacywetgeving iedere Nederlandse site die voldoet aan de AVG zonder problemen na een eenvoudige vertaling ook voldoet aan de Duitse wet begeeft zich op bijzonder glad ijs. In dit artikel leggen we uit waarom.

DSGVO

De Algemene Verordening Gegevensbescherming (AVG) is in Duitsland bekend als Datenschutz-Grundverordnung (DSGVO).

De privacyregels zijn in heel Europa gelijk. Toch is er een wezenlijk verschil tussen Duitsland en de rest van Europa. Dat is de handhaving. In Nederland rekenen veel ondernemers op coulance bij de handhaving van de regels. Ze houden rekening met een overgangsperiode. Eerst waarschuwingen, dan pas boetes.

Risicomanagement AVG

De praktijk moet nog uitwijzen of het vertrouwen in de Nederlandse gedoogcultuur verstandig risicomanagement is.

Duitse ondernemers nemen die gok in ieder geval niet. En dat heeft te maken met de totaal andere manier waarop de naleving van de DSGVO in Duitsland gecontroleerd en gehandhaafd wordt. Duitsland heeft de handhaving als het ware geprivatiseerd.

Abmahnung DSGVO

Grote gespecialiseerde advocatenkantoren controleren websites van bedrijven op onregelmatigheden. Het minste of geringste verzuim wordt aangegrepen om een Abmahnung (waarschuwing) naar de eigenaar van de site te sturen. Een waarschuwing met eis tot aanpassing van de site binnen 14 dagen en meteen een gepeperde rekening van het advocatenkantoor, veelal ruim duizend Euro.

Wie niet reageert wordt voor de rechter gesleept en verliest de rechtszaak vrijwel zeker. De boetes lopen dan al gauw in de tienduizenden Euros.

Deze gang van zaken was in Duitsland ook voor de privacywet al gangbaar. De DSGVO zorgt er nu voor dat Duitse ondernemers als de dood zijn om ook maar het geringste steekje te laten vallen.

12.500 Euro Smartengeld

Een recent voorbeeld: een webshopeigenaar had verzuimd om zijn site te beveiligen met SSL. Hij kreeg een Abmahnung van 12.500 Euro. De klager wil een smartegeldvergoeding! Absurd, denkt u nu waarschijnlijk. Dat mag, maar als u zo’n Abmahnung ontvangt zult u hoe dan ook meteen in actie moeten komen. U zult een advocaat moeten inschakelen. Of u wint of verliest, het kost u veel tijd, ergernis en geld.

Vijf procent van de Duitse online bedrijven heeft al een waarschuwing ontvangen op basis van het DSGVO, blijkt uit onderzoek van het Bundesverband Digitale Wirtschaft (BVDW) e.V. onder zijn 278 leden. 28 procent verwacht binnenkort ook een Abmahnung te ontvangen.

43 procent van de Duitse online ondernemers geeft aan de digitale activiteiten te hebben beperkt vanwege het DSGVO.

56 procent Duitse bedrijven ervaart negatieve impact op omzet

Meer dan de helft (56 procent) van de ondervraagde bedrijven in de BVDW-studie verklaarde dat de hervorming van de gegevensbescherming een negatieve of zeer negatieve impact zal hebben op de omzetontwikkeling. Eén op de drie bedrijven (34 procent) ziet geen impact op de omzet.

Aufsichtsbehörde

PrivacyZone begeleidt ook Nederlandse ondernemers die actief zijn in Duitsland. Voor deze bedrijven is professionele Duitstalige ondersteuning van extra belang. Bij vragen of problemen in betrekking tot de privacyregels moet in Duitsland net als in Nederland contact opgenomen worden met de Autoriteit Persoonsgegevens. En dat zijn er in Duitsland veel meer dan in Nederland.

Iedere Duitse deelstaat heeft een Aufsichtsbehörde (Duitse lokale autoriteit persoonsgegevens) die zich bezighoudt met de bescherming van persoonsgegevens in de regio. Zij voeren ook steekproeven uit bij bedrijven en overheidsorganisaties.

Ondernemers die in heel Duitsland actief zijn kunnen dus door de autoriteiten in ieder Bundesland gecontroleerd en beboet worden wannneer de zaken niet op orde zijn, of er incorrect met de gegevens wordt omgesprongen. Iedere Aufsichtsbehörde kan hoge boetes opleggen wanneer de stukken niet voldoen aan de gestelde eisen.

Als ondernemer loop je niet alleen het risico op een boete door controles van Duitse toezichthouders. Iedereen heeft het recht jouw bedrijf een Abmahnung – een aanmaning – te sturen wanneer de Datenschutzerklärung of AGB niet voldoen aan de wet. De overtreding wordt gezien als oneerlijke concurrentie. Dit wordt gezien als een economisch delict. Een Abmahnung leidt tot hoge advocaatkosten plus kosten om de documenten te laten corrigeren.

PrivacyZone kan Nederlandse ondernemers begeleiden in hun communicatie met Duitse toezichthouders, die over het algemeen louter communiceren in de Duitse taal. Dat is voor PrivacyZone geen probleem.

AhaErlebizz Deutschland

PrivacyZone werkt voor de Duitse markt samen met marketing en communicatiebureau AhaErlebizz Deutschland, het Duitse advocatenkantoor Alpmann Fröhlich uit Rheine en het Nederlandse advocatenkantoor Rein uit Assen.

Astrid Brouwer van AhaErlebizz Deutschland heeft de Duitse nationaliteit. Zij begeleidt Nederlandse ondernemers op de Duitse markt.

De advocatenkantorenAlpmann Fröhlich en Rein zijn gespecialiseerd in grensoverschrijdend ondernemen tussen Nederland en Duitsland.

Samenvatting

Nederlandse ondernemers die denken klaar te zijn met een eenvoudige letterlijke vertaling van de Nederlandse site lopen sinds 25 mei in Duitsland grotere risico’s dan ooit.

Laat uw Duitse site doorlichten door PrivacyZone.nl. Wij kunnen u in samenwerking met communicatie en marketingbureau AhaErlebizz en de advocatenkantoren Alpmann Fröhlich en Rein helpen om zowel uw Nederlandse als uw Duitse site privacyproof te maken.

Bel: 0598-468860

Duitse bedrijf Continental verbiedt vanwege AVG 36.000 medewerkers wereldwijd Whatsapp te gebruiken

Continental, een Duitse producent van autoonderdelen en autobanden, verbiedt zijn werknemers vanwege de Europese privacywet AVG / GDPR om social media apps zoals WhatsApp en Snapchat te gebruiken op mobiele telefoons.

Continental heeft het verbod uitgevaardigd voor alle medewerkers die waar ook ter wereld voor het concern werken. Het betreft meer dan 36.000 mobiele telefoons.

Continental heeft de beleidmaatregel dinsdag in Hannover bekendgemaakt.

Om aan de Europese privacyverordening te voldoen, zouden gebruikers van WhatsApp de toestemming van elke persoon in het adresboek afzonderlijk moeten vragen om hun gegevens met de diensten te delen. “Dit is in het dagelijks leven onvoldoende betrouwbaar en dus praktisch ongeschikt.”

Whatsapp en Snapchat zouden volgens Continental zelf maatregelen moeten treffen om te voldoen aan de Europese privacyregelgeving. De diensten hebben toegang tot persoonlijke en dus potentieel vertrouwelijke gegevens, zoals contactgegevens, waaronder ook mensen die geen gebruik maken van deze social media kanalen en dus geen toestemming hebben gegevev voor het verwerken van hun persoonsgegevens.

De bepaling die het gebruik van messenger apps verbiedt, zou kunnen worden opgeheven als de providers het veilige gebruik toestaan “in termen van gegevensbescherming al in de basisinstelling”.

WhatsApp zegt dat ook gedaan te hebben en verwijst naar de actuele gebruiksvoorwaarden. Daarin bevestigen gebruikers dat zij de contactgegevens “in overeenstemming met de toepasselijke wetgeving”. Dit echter kan zo worden uitgelegd dat WhatsApp ervan uitgaat dat de gebruikers zelf toestemming hebben gekregen om de gegevens door te geven.

Continental zegt dat de applicaties de verantwoordelijkheid verschuiven naar de gebruikers. Dat vindt het bedrijf onacceptabel.

“We werken aan nul verkeersongevallen en eisen daarom ook zo’n “Vision Zero” voor dataverkeer”, aldus Elmar Degenhart, CEO van Continental. “Wij vinden het niet aanvaardbaar om eenzijdig de naleving van de wetgeving inzake gegevensbescherming over te dragen aan gebruikers.

Continental bedrijf wil de risico’s die het gebruik van Whatsapp en Snapchat op het gebied van gegevensbescherming met zich meebrengen niet dragen. Werknemers en zakenpartners moeten ook worden beschermd, vindt het concern.

Kort na de inwerkingtreding van de nieuwe privacywet AVG op 25 mei zijn al de eerste klachten over Facebook en Google bij diverse Europese toezichthouders binnengekomen.

De verordening is bedoeld om consumenten beter te beschermen en de verwerking van persoonsgegevens door bedrijven, verenigingen of autoriteiten zal veel strenger worden geregeld dan voorheen.

Consumenten moeten worden geïnformeerd over wie om welke reden gegevens verzamelt, zoals naam, adres, e-mailadres en ID-nummer, en moeten daarmee instemmen.

Beheerder van Facebook fanpagina volgens Europese Hof van Justitie verantwoordelijk voor persoonsgegevens

Het Europese Hof van Justitie heeft bepaald dat beheerders van fanpagina’s op Facebook net zo verantwoordelijk zijn voor de verwerking en bescherming van persoonsgegevens als Facebook zelf.

Het hof deed dinsdag uitspraak in een zaak die was aangespannen door de Duitse Wirtschaftsakademie Schleswig-Holstein tegen een privébedrijf dat onderwijsdiensten aanbiedt via onder meer een fanpagina op Facebook.

Volgens het hof kan een beheerder zich niet verschuilen door te zeggen dat hij gebruikmaakt van de diensten van Facebook.

De Duitse toezichthouder had het bedrijf in 2011 bevolen de pagina te deactiveren. Zowel het bedrijf als Facebook hadden niet aan de bezoekers gemeld dat Facebook met cookies persoonlijke informatie over hen verzamelde en dat de paginabeheerder deze informatie vervolgens verwerkte.

Het ging onder meer om geanonimiseerde data over de doelgroep van het bedrijf, zoals leeftijd, geslacht, burgerlijke staat en beroep, informatie over online aankopen van de bezoekers en geografische gegevens. Met die informatie kan de beheerder van de fanpagina bijvoorbeeld gerichter zijn diensten aanprijzen.

De toezichthouder in het land van de beheerder van de fanpagina mag volgens het hof ingrijpen als de beheerder de EU-regels voor databescherming schendt.

Beheerders die deze verantwoordelijkheid niet willen, kunnen volgens het hof kiezen om de zogenoemde Insights-functies van Facebook niet te gebruiken.

Met Insights-functies krijgen paginabeheerders inzicht in het gedrag van hun bezoekers. Die gegevens worden ook op de apparaten van de beheerder opgeslagen.

Mede daarom is ook de beheerder verantwoordelijk voor de bescherming en verwerking van die data.

Gedeelde verantwoordelijkheid

 

Het hof zegt dat buiten kijf staat dat Facebook verantwoordelijk is voor de verwerking van de gegevens.

Maar dat neemt volgens de Europese rechters niet weg dat ook een beheerder verplicht is de EU-regels voor de bescherming van persoonsgegevens te volgen.

Facebook ligt al maanden onder vuur wegens het slordig en commercieel omspringen met persoonsgegevens. Met deze uitspraak wordt de verantwoordelijkheid voor de privacy ook deels bij beheerders van Facebook-pagina’s gelegd.