Mit der DSGVO können höhere Bußgelder als im Gegensatz zum BDSG ausgesprochen werden. Seit dem 25.05.2018 sind bereits einige Bußgelder erlassen worden. Es wurden jedoch bisher nie die „gefürchteten“ 2 Millionen Euro erreichten. (vor allem nicht bei Klein- und Mittelständischen Unternehmern).
Die Bußgeldberechnung wurde durch das im Oktober 2019 veröffentlichte Bußgeldkonzept der DSK transparenter dargestellt.
In der nachfolgenden Liste erhalten Sie eine Übersicht über die ausgesprochenen Bußgelder in Europa aber auch in den Drittländern durch die zuständigen Aufsichtsbehörden.
Eine Übersicht über Urteile zur DSGVO finden Sie in einem eigenen Beitrag.
| Land und Datum | Vorfall / Grund für Bußgeld | Höhe des Bußgelds | Anmerkungen / Hinweise der Datenbeschützerin |
| Österreich 19.09.2018 | Ein Lokalbetreiber zeichnete mit seiner Videoüberwachung einen großflächigen Teil der öffentlichen Straße auf ohne ausreichende Kennzeichnung. | 4.800,00 € | Prüfung, welche Bereiche von der Kamera erfasst werden. Hinweisschilder nach Art. 13 DSGVO anbringen. |
| Portugal 23.10.2018 | Nicht autorisierte Personen (z.B. Techniker) hatten in einem Krankenhaus Zugriff auf Patientendaten. | 400.000,00 € | Um einen unberechtigten Zugriff zu vermeiden, ist es unerlässlich ein Zugriffs- und Berechtigungskonzept zu definieren. |
| Deutschland 22.11.2018 | Der Social-Media-Anbieter „Knuddels“ speicherte Passwörter der Nutzer unverschlüsselt auf dem Server ab. | 20.000,00 € | Passwörter sind mittels verschiedenen technischen Möglichkeiten (z.B. Hashes) verschlüsselt zu speichern. |
| Großbritannien 22.11.2018 | Strafe gegen Facebook, da App-Entwickler (Cambridge-Analytics) Zugriff auf Kundendaten hatte Update 10.05.19: Facebook rechnet mit ein Milliardenstrafe. Die FTC (Federal Trade Commission) prüft die von der Behörde verhängten Auflagen, da gegen diese vermutlich verstoßen wurde. | 565.000,00 € | |
| Deutschland | Ein Mitarbeiter eines Immobilienmaklers erhob Daten von Eigentümer und nutzte diese zu werblichen Zwecken. Dabei lag keine Einwilligung der Betroffenen noch eine andere Rechtsgrundlage vor. | offen | In unserem Blogbeitrag finden Sie weitere Informationen zum Thema Werbeversand an Privatpersonen, Interessenten und Geschäftspartner |
| Deutschland | Ein Unternehmen von Testsystemen für Labordiagnostik erhielt ein Bußgeld aufgrund unberechtigter Erhebung und Verarbeitung von personenbezogenen Daten sowie einer unrichtigen Auskunftserteilung. | fünfstellig (genauer Betrag unbekannt) | |
| Deutschland 15.01.2019 | Gesundheitsdaten wurden im Internet veröffentlicht (Verantwortlicher ist unbekannt) | 80.000,00 € | |
| Deutschland 20.01.2019 | Hamburg: Bußgeld für fehlende Auftragsverarbeitungsverträge. Das Bußgeld ging an den Auftraggeber. Nach Ansicht der Aufsichtsbehörde, hätte er die Zusammenarbeit beenden sollen, da der Auftragnehmer die Einhaltung des Datenschutzes nicht nachweisen konnte. | 5.000,00 € | Einholung des AV-Vertrags als Auftraggeber |
| Frankreich 21.01.2019 | Die Art und Weise der Datensammlung von Google verstößt gegen die DSGVO (Unklarheiten über Datenmengen, Weitergabe, Zweckbestimmung, keine Einwilligung der Nutzer für Werbezwecke) | 50.000.00,00 € | |
| Österreich 12.02.2019 | Die Post in Österreich verarbeitete Daten von Bürgern für die „Parteiaffinität“ zum Zwecke der personalisierten Werbung. | unbekannt | |
| Deutschland 13.02.2019 | Ein Einwohner von Merseburger schickte Wut-Mails an hunderte E-Mail-Adressen im E-Mail-Verteiler. | 2.000,00 € | In Einzelfällen können Privatpersonen mit einem Bußgeld belangt werden. |
| USA 28.02.2019 | Auf der Lip-Sync-Plattform Musical.ly (jetzt TikTok) wurde Datenschutz für Kinder (COPPA – Children’s Online Privacy Protection) missachtet. | 5.000.000,00 € | |
| Österreich 12.03.2019 | Unerlaubte Videoüberwachung in fünf Fällen | ||
| Deutschland 20.03.2019 | Lidl erhob und speicherte unzulässigerweise Daten von Krankheiten der Mitarbeiter | 36.000,00 € | |
| Polen 01.04.2019 | Ein Aktienunternehmen erfüllte die Informationspflichten nach Art. 13 und Art. 14 DSGVO nicht. | 220.000,00 € | Informationspflichten nach Art. 13 und Art. 14 DSGVO ordnungsgemäß erstellen und kommunizieren. |
| Frankreich 18.04.2019 | Zugriff auf Kundendaten im Optikerzentrum durch Dritte. | 25.000,00 € | |
| Dänemark 18.04.2019 | Nichteinhaltung von Zweckbindung und Speicherbegrenzung eines Taxiunternehmens. | 161.000,00 € | Zweckbindungen im Verfahrensverzeichnis definieren und einhalten |
| Norwegen 10.05.2019 | Die Stadtverwaltung von Bergen erhielt ein Bußgeld, da Benutzerkonten von Schülern und Schulangestellten offen zugänglich ohne Sicherheitsmaßnahmen. Folglich konnte sich jeder auf die Systeme einloggen. Folgende Daten waren hinterlegt: Name, Adresse, Passwort, Geburtsdatum, Schulzugehörigkeit, Schulnoten, digitale Lerninhalte und Einschätzungen der Lehrer. Das Bußgeld wurde aufgrund von Art. 5 Abs.1 lit. f DSGVO erlassen. | 170.000,00 € | |
| Deutschland 23.05.2019 | Die Onlinebank N26 soll eine schwarze Liste mit Ex-Kunden geführt haben, die keine neuen Konten mehr bei dieser Bank eröffnen können. Der Berliner Datenschutzbeauftragte verhängte somit ein Bußgeld. | 50.000,00 € | |
| Spanien 12.06.2019 | Die App „La Liga“ hat Zugriff auf Positionsdaten und das Mikrofon, ohne dass die Benutzer darüber klar und transparent informiert wurden. La Liga will gerichtlich gegen die Entscheidung vorgehen. | 250.000,00 € | |
| Dänemark 11.06.2019 | Die dänische Firma ID Design wurde mit einen Bußgeld belegt, da diese Kundendaten in ihrem altem System nicht gelöscht hat. Es handelte sich um 385.000 Datensätze, die eigentlich zu löschen gewesen wären. | 1.500.000,00 € | Definition der Löschfristen; Entwicklung von Löschkonzepten; Prüfung, ob Löschkonzepte eingehalten werden |
| Deutschland 18.06.2019 | Ein Bußgeld wurde gegen einen Polizeibeamten aus Baden-Württemberg verhängt. Dieser hat Daten mit seiner dienstlichen Nutzerkennung für private Zwecke zur Kontaktaufnahme abgerufen und genutzt. | 1.400,00 € | In Einzelfällen können Privatpersonen mit einem Bußgeld belangt werden. |
| Frankreich 26.06.2019 | Ein französisches Unternehmen hat mittels eines Videoüberwachungssystems die Mitarbeiter dauerhaft gefilmt. Mitarbeiter reichten bereits im Februar 2018 Beschwerde ein. Die Behörde ermittelte und stellte fest, dass die Büroräume ohne ausreichende Kennzeichnung und Hinweise überwacht werden. Auch waren die PCs nicht passwortgeschützt und die Mitarbeiter griffen auf ein gemeinsames E-Mail-Postfach mit einen bekannten Passwort zu. Zusätzlich zum Bußgeld wird bei Nichtbefolgung ein Säumniszuschlag von 200,00 €/Tag fällig. | 20.000,00 € | Aufnahme der Videoüberwachung in das Verfahrensverzeichnis; Kennzeichnungs- und Informationspflichten ggü. den Betroffenen erfülle. |
| Großbritannien 08.07.2019 | Cyberkriminelle griffen 2018 bei einem Angriff persönliche Daten und Kreditkarteninformationen von Kunden der British Airways ab. Es waren ca. 500.000 Kunden betroffen. Nach Ansicht der Aufsichtsbehörde hätte der Angriff durch höhere Schutzmaßnahmen verhindert werden können. Update Oktober 2020: Das Bußgeld von 200 Mio. auf 20 Mio. | 20.000.000 € | British Airways wird vermutlich Widerspruch gegen das Bußgeld einlegen |
| Griechenland 31.07.2019 | Die griechische Aufsichtsbehörde verhängte ein Bußgeld gegenüber der PwC. Ausschlaggebend war die Verarbeitung aufgrund einer „falschen“ Rechtsgrundlage. PwC ließ sich von den Mitarbeitern die Datenverarbeitung einwilligen (Art. 6 Abs. 1 lit. a DSGVO). Die Aufsichtsbehörde sah darin einen Verstoß gegen Art. 5 Abs. 1 lit. a DSGVO. Daraus resultierend kann PwC seiner Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO nicht nachkommen. | 150.000,00 € | Prüfung, welche Rechtsgrundlage für die Datenverarbeitung einschlägig ist |
| Deutschland 27.08.2019 | Die Videoüberwachung in einem Erotik-Varité wurde als rechtswidrig seitens der Behörde eingestuft. Eine Vor-Ort-Kontrolle bestätigte dies. | 5.000,00 € | Es ist immer zu prüfen, ob eine Videoüberwachungzulässig ist oder nicht |
| Schweden 29.08.2019 | Eine Schule kontrollierte in einem „Experiment“ die Anwesenheit von Schülern mittels Gesichtserkennung. Die Schule holte sich die Einwilligung der Eltern ein, jedoch reichte diese nicht aus. Die Aufsichtsbehörde hätte ebenfalls mit involviert werden müssen | 20.000,00 € | |
| USA 04.09.2019 | Google zahlt für YouTube eine Millionenstrafe. YouTube sammelte Daten von Kindern und schaltete personalisierte Werbung. | 170.000.000,00 € | |
| Deutschland 19.09.2019 | Der Lieferdienst Delivery Hero erhielt ein Bußgeld seitens der Berliner Aufsichtsbehörde. Grund für das Bußgeld waren der Weiterversand von Werbemails, mangelhafte oder unvollständige Datenauskunft und nicht gelöschte Daten. | 195.000,00 € | Es ist daher unerlässlich, die internen Prozesse rund um die Betroffenenrechte ordentlich zu gestalten und auch zu leben. Auch ein ordnungsgemäßes Löschkonzept sollte in diesem Zuge ebenfalls erstellt werden. |
| Polen 02.10.2019 | Das Unternehmen Morele.netz erhielt ein Bußgeld aufgrund zweier Vorfälle. 1. Die Kundendatenbank wurde von Unbefugten geknackt und hatten Zugang auf die Daten. 2. Des Weiteren erhielten die Unbefugten Zugriff auf Ratenzahlungsverträge. | 660.000,00 € | datenschutz-notizen.de |
| Spanien 25.10.2019 | Eine spanische Fluggesellschaft erhielt ein Bußgeld, weil sie keine Einwilligung in die Nutzung von (Marketing) Cookies einholte. | 30.000,00 € | Prüfung, welche Cookies und Plugins auf der Webseite eingesetzt werden. Es ist daraufhin ebenfalls zu prüfen, für welche Cookies und Plugins ein Opt-In benötigt wird. Anschließend ist dies in form eines transparenten Einwilligungsbanner darzustellen |
| Deutschland 05.11.2019 | Die Deutsche Wohnen SE erhielt ein Bußgeld von 14,5 Mio. Euro. Der ausschlaggebende Grund für die Höhe des Bußgeldes war unter anderem die Nichtbefolgung der dringenden Empfehlung des Berliner Datenschutzbeauftragten. Im Jahr 2017 prüfte der Berliner Datenschutzbeauftragte die Deutsche Wohnen SE vor Ort. Dabei wurde festgestellt, dass zahlreiche Daten von Mietern z.B. Gehaltsbescheinigungen, Selbstauskunftsformulare etc. gespeichert und gesammelt wurden. Die Empfehlung lautet, das Archivsystem umzustellen. Dieser Empfehlung ist die Deutsche Wohnen SE nicht gefolgt und nach einer erneuten Prüfung im Oktober 2019 konnte keine Verbesserung festgestellt werden. | 14,5 Mio. € | Es ist daher unerlässlich sich mit dem Themengebiet „Löschkonzept“ auseinander zu setzen. Die Löschfristen sind zu definieren, worauf hin das ein Löschkonzept zu entwickeln ist. Daraufhin ist auch zu prüfen, ob das Löschkonzept eingehalten und gelebt wird. Update März 2021: Der Bußgeldbescheid wurden durch das LG Berlin für unwirksam erklärt. Nicht die Höhe oder das Bußgeld selbst, sondern der Bescheid. Der Bescheid erging direkt an die Deutsche Wohnen SE als juristische Person, was nach Ansicht des Gerichts nicht möglich ist. |
| Deutschland 03.12.2019 | Ein Krankenhaus erhielt aufgrund mehrerer Verwechslungen von Patienten ein Bußgeld. In Folge der Verwechslung wurden Rechnungen erstellt und versandt. Der Datenschutzbeauftragte von Rheinland-Pfalz sieht darin eine Vernachlässigung der TOMs im Bereich des Patientenmanagements. | 105.000 € | |
| Deutschland 09.12.2019 | Der Telekommunikationsbieter 1&1 traf keine ausreichende TOMs zur Identifizierung von Anrufern und Kunden. Somit konnten unberechtigte Dritte Informationen erhalten. 1&1 fragte zur Identifizierung lediglich den Namen und das Geburtsdatum ab. UPDATE 11.2020: Das LG Bonn hat in einem Urteil die Bußgeldhöhe heruntergesetzt. Begründet wird das geringere Bußgeld damit, dass das Verschulden von 1&1 eher gering ist und auch der Datenschutzverstoß als geringfügig anzusehen ist (auch nach Ansicht des BfDI). Des Weiteren wurde ebenfalls gegen den Telekommunikationsanbieter Rapidata GmbH Bußgeld ausgesprochen. Dieser hatte trotz mehrmaliger Aufforderung kein betrieblichen DSB bestellt. | 900.000,00 € 10.000,00 € | Ein geeignetes Verfahren zur Identifizierung der Betroffenen sollte angestrebt werden. Dabei sollten jedoch nur Daten abgefragt werden, die bereits vorhanden sind (z.B. Kundennummer, letzte Rechnungsnummer etc.). Prüfung, ob ein Datenschutzbeauftragter nach Art. 37 DSGVO iVm. § 38 Abs. 1 BDSG-neu (ab 20 Personen) zu bestellen ist. |
| Großbritannien 21.12.2019 | Eine Apotheke erhielt ein Bußgeld aufgrund mangelnder Sicherheitsvorkehrungen von sensiblen Daten. So wurden Dokumente mit persönlichen Daten in unverschlossenen Kisten, Entsorgungssäcken und Pappkartons aufbewahrt. Der Zugriff durch unberechtigte Dritte konnte somit nicht ausgeschlossen werden. | 322.000,00 € | Physikalische und digitale Daten, insbesondere sensible personenbezogene Daten nach Art. 9 DSGVO, sind mittels technischer und organisatorischer Maßnahmen (TOMs) zu schützen. Jedes Unternehmen hat die TOMs aufgrund der Risikoanalyse zu definieren. |
| Italien 27.01.2020 | Ein italienischer Energiekonzern erhielt wegen unerlaubter Werbeanrufe an Verbraucher ein Bußgeld. Des Weiteren wurde ein weiteres Bußgeld ausgesprochen, da viele Verbraucher über den Vertragsschluss beim Energiekonzern nicht informiert wurden und die Datenverarbeitung nicht transparent dargelegt wurde. | 11,5 Mio. € | Die Betreibung von Werbung bei Endverbrauchern setzt eine Einwilligung voraus. Das Thema Werbung und DSGVO finden Sie in einem weiterem Blogartikel. Des Weiteren sind die Prozesse der Datenverarbeitung im Verfahrensverzeichnis zu dokumentieren und die Betroffenen mittels der Informationspflicht zu informieren. |
| Deutschland 27.01.2020 | H&M steht ein Bußgeldverfahren bevor. Der Modehändler speicherte von seinen Mitarbeitern sehr private und vertrauensvolle Informationen (z.B. aktueller Gesundheitszustand, Todesfälle, Urlaube etc.). Ein Mitarbeiter von H&M entdeckte die Ordner und Dateien zufällig. | 35,3 Mio. € | Das Bußgeldverfahren wird von der zuständigen Aufsichtsbehörde Hamburg geleitet. |
| Italien 01.01.2020 | Eine italienische Telefongesellschaft erhält ebenfalls ein Bußgeld, wegen unerlaubter Telefonwerbung. Seitens der Betroffenen lag keine Einwilligung vor bzw. deren Widerspruch bezüglich Werbung wurde nicht berücksichtigt. Des Weiteren wurden Lücken innerhalb des Datenschutz-Managements seitens der Behörde festgestellt. Insbesondere die Definition der Rechtsgrundlagen für die Verarbeitung, die Prozessdefinition mit dem Umgang von Datenschutzverstößen und die Implementierung der TOMs erwiesen sich als nicht vollständig. Weiterhin kam die Telefongesellschaft seiner Informationspflicht gegen über den Betroffenen unzureichend nach. | 27,8 Mio. € | Aufgrund des Bußgeldes kristallisiert sich heraus, dass das gesamtheitliche Datenschutz-Management (VVZ, Informationspflichten, Prozessbeschreibung Datenschutzvorfall und Betroffenenrechte, Definition und Umsetzung der TOMs, etc.) in Bezug auf die Dokumentations- und Rechenschaftspflicht ordentlich zu führen ist. Gerne unterstützten wir Sie bei der Umsetzung der gesetzlichen Vorgaben. |
| Deutschland 30.06.2020 | Die baden-württembergische Aufsichtsbehörde erließ gegen die AOK ein Bußgeld. Die AOK verwendete angegebene Daten von Gewinnspielen zu Werbezwecke ohne die Einwilligung des Betroffenen. | 1,2 Mio. € | Sofern die Daten zu anderen Zwecken bei Gewinnspielen verarbeitet werden, ist eine Einwilligung seitens des Betroffenen bzw. des Teilnehmers nötig. Die Einwilligung kann z.B. beim Ausfüllen des Teilnehmerbogens abgefragt werden. Weiterhin ist der Teilnehmer mittels der Informationspflicht über die Datennutzung zu informieren. |
| Belgien 16.07.2020 | Die belgische Aufsichtsbehörde verhängte ein Bußgeld gegen Google. Grund für das Bußgeld ist das Nichtumsetzen des Rechts auf Vergessenwerden. Weiterhin erfüllt Google die Transparenzgebote der DSGVO bei der Beantwortung der Betroffenenanfragen nicht. | 600.000,00 € | |
| Deutschland 17.07.2020 | Die Verbraucherzentrale verhängte ein Bußgeld an den Mobilcom-Debitel aufgrund von unerwünschten Werbeanrufen. Bereits in der Vergangenheit hat Mobilcom unerlaubterweise Werbeanrufe getätigt und wiederholt. Betroffene haben sich an die Verbraucherzentrale gewendet und vorgetragen, dass trotz Werbewiderspruch immer noch Anrufe erfolgten. | 145.000,00 € | Die Rechte der Betroffenen sind zu achten (hier Werbewiderspruch). Des Weiteren ist zu prüfen, welche Werbemaßnahmen und -mittel datenschutzkonform eingesetzt werden können. Vor allem bei Endverbrauchern wird man um eine aktive Einwilligung nicht herumkommen. Weitere Informationen zum Thema Werbung finden Sie hier. |
| Italien 27.07.2020 | Das italienische Telekommunikationsunternehmen Wind Tre verstieß mehrfach gegen die DSGVO. Insbesondere die Kontaktaufnahme über SMS, E-Mail, Fax und Anrufen zu Werbezwecke zu den Endverbrauchern ohne Einwilligung wiegt hier besonders schwer. Die Werbewidersprüche wurden nicht eingehalten bzw. vermerkt. Weiterhin mussten die App-Nutzer von Wind Tre zustimmen, das ihre Daten zu Marketingzwecken, Profilingzwecken und Geoortung verarbeitet werden. Ein Widerspruch war erst nach 24 Stunden möglich. | 17 Mio. € | Die Betreibung von Werbung bei Endverbrauchern setzt eine Einwilligung voraus. Das Thema Werbung und DSGVO finden Sie in einem weiterem Blogartikel. Des Weiteren sind die Prozesse der Datenverarbeitung im Verfahrensverzeichnis zu dokumentieren und die Betroffenen mittels der Informationspflicht zu informieren. |
| Frankreich 28.07.2020 | Die französische Aufsichtsbehörde erließ ein Bußgeld gegen den Online-Shop Spartoo. Zum Bußgeld kam es durch zahlreiche Verstöße. Dazu zählten insbesondere: – Aufzeichnen von Anrufen mit dem gesamten Inhalt – auch Bankdaten wurden mit aufgezeichnet und für 15 Tage im Klartext gespeichert – Personalausweiskopien zu Identifikationszwecken ist nicht mehr erforderlich nach Ansicht der Aufsichtsbehörde – Verstoß gegen den Grundsatz der Speicherbegrenzung – Nichteinhaltung der Informationspflicht nach Art. 13 DSGVO – unzureichende TOMs (unsichere Passwörter, unsichere Aufbewahrung von Kopien der Kundenbankkarten) | 250.000,00 € | Dieser Fall zeigt deutlich, dass nicht alle Datenerhebungen gerechtfertigt bzw. zulässig sind. Daher ist es umso wichtiger, eine saubere Verfahrensdokumentation anzulegen, die Risiken dabei zu identifizieren und durch Maßnahmenvorschläge zu minimieren. Weiterhin sind die Betroffenen von der Datenverarbeitung nach Art. 13 und Art. 14 DSGVO zu informieren. |
| Deutschland 14.08.2020 | Die Aufsichtsbehörde Hamburg kontrollierte stichprobenartig im Juni 2020 verschiedene Lokale und Gaststätten in Bezug auf die Datenerhebung und den -umgang. Bei den Prüfungen wurde festgestellt, dass bei einem Drittel der Geprüften, die Kontaktlisten öffentlich zugänglich sind. Die erneute Nachkontrolle zeigte eine wesentliche Verbesserung bei Gastronomen, jedoch nicht bei allen. Aus diesem Grund werden nun Bußgeldverfahren eingeleitet. | offen | |
| Norwegen 09.2020 | Die angebrachten Verkehrsüberwachungsaufnahmen der Kameras wurden seitens der öffentlichen Straßenverwaltung auch zu anderen fremden Zwecken verarbeitet. Mittels der Videoaufzeichnungen wurden Vertragspartner, Subunternehmer und auch Mitarbeiter gewollt überwacht, was einen Verstoß gegen den eigentlichen Zweck (Verkehrssicherheit und Gewährleistung eines optimalen Verkehrsflusses). | 37.400,00 € | |
| Deutschland 12.2020 | Das Unternehmen notebooksbilliger.de erhält ein Bußgeld aufgrund einer Überwachung der Mitarbeiter mittels einer Videokamera; ohne das eine Rechtsgrundlage vorlag. Weiterhin waren auch Kunden in den Verkaufsräumen betroffen. Insbesondere wurden Bereiche gefilmt, die zum längeren Verweilen einluden, um die Geräte ausführlicher zu testen. Hier wurden die schutzwürdigen Interessen der Betroffenen verletzt. Des Weiteren wurden die Aufnahmen 60 Tage, anstatt der vorhergesehenen max. 72 Stunden, gespeichert. Die Begründung des Unternehmens beruft sich auf die Diebstahlprävention und Vermeidung von Straftaten. Die Aufsichtsbehörde kritisierte dies immens. Die Videoüberwachung zur Straftatenvermeidung ist nur rechtmäßig, wenn ein begründeter Verdacht gegen eine konkrete Person vorliegt. In diesem Fall ist eine zeitlich begrenzte Überwachung möglich. | 10,4 Mio. € | Mit diesem Bußgeld wurde ein neuer Rekord in Bezug auf unerlaubte Videoüberwachung ausgesprochen. Dieser Fall zeigt auch, dass es hier auch auf die Einzelheiten z.B. Kamerawinkel etc.. Es ist daher dringend anzuraten, sich im Vorfeld konkrete Gedanken über den Einsatz einer Videokamera zu machen und vor allem „mildere Mittel“ vorher auszuschöpfen. |
| Deutschland 01.2021 | Die Bundesnetzagentur verhängte ein Bußgeld gegen das Callcenter Cell it! in Hamburg. Grund hierfür waren die unerlaubten Werbeanrufe bei Endverbrauchern für Drittanbieterprodukte (z.B. Abos für Hörbücher, Zeitschriften etc.) im Auftrag von mobilcom-debitel. Weiterhin betrieb das Callcenter im Namen von Sky Deutschland Neukundenakquise ohne gültige Einwilligung der Endverbraucher. Die Adressen wurden über einen Adresshändler eingekauft. Durch eine angebliche Teilnahme an einem Gewinnspiel hätte der Betroffene auch somit sein Werbeeinverständnis erteilt. Gegen die beiden Auftraggeber wird ebenfalls ein entsprechendes Bußgeldverfahren eingeleitet. | 145.000,00 € | Das Bußgeld ist noch nicht rechtskräftig. |
| Norwegen 01.2021 | Die E-Mails von einem länger erkrankten Mitarbeiter wurden automatisch weitergeleitet. Der Mitarbeiter legte daraufhin Beschwerde bei der Aufsichtsbehörde ein, die dem Mitarbeiter zustimmte. | 40.000 € (umgerechnet) | Gerade das Thema E-Mail-Weiterleitung beschert immer wieder Anlass für potentielle Datenschutzverstöße. Es ist dringend anzuraten, dies intern schriftlich zu fixieren, wann und und unter welchem Umständen die Mails weitergeleitet werden dürfen. Weiterhin ist klar zu definieren, ob die private Nutzung der Mail-Adresse erlaubt ist oder nicht (Stichwort: Postgeheiminis!). |
| Frankreich 01.2021 | Die französische Datenschutzbehörde verhängte ein Bußgeld gegen einen Webshop-Betreiber und dessen Auftragsverarbeiteter, da unzureichende Schutzmaßnahmen zur Abwehr von Credential Stuffing Angriffen durchgeführt wurden. Durch diese Methode ist den Angreifern möglich auf Nutzerkonten zuzugreifen, wenn die ausgespähten oder erbeuteten Zugangsdaten korrekt sind. Der Onlineshop wurde täglich von Millionen Nutzern besucht. Interessant an diesem Sachverhalt ist vor allem, dass der Auftragsverarbeiter ebenfalls mit einem Bußgeld belangt wird. Die Aufsichtsbehörde betont, dass der Auftraggeber seinem Auftragsverarbeiter entsprechende dokumentiere Anweisungen zu geben hat; der Auftragsverarbeiter jedoch im Gegenzug auch eigenständig nach geeigneten TOMs suchen muss, um das Sicherheitslevel auch zu garantieren hat. | 150.000,00 € gegen Webshop-Betreiber 75.000,00 € gegen Auftragsverarbeiter | Auch wenn Auftragsverarbeiter auf Weisung handeln, so hat dieser auch das Sicherheitsniveau durch geeignete TOMs sicherzustellen. |
| Deutschland 03.02.2021 | Fußballfans des VfB Stuttgart müssen jetzt stark sein! Gegen den Fußballverein wird ein Bußgeldverfahren durch die Datenschutzbehörde von Baden-Württemberg eingeleitet. Die Aufsichtsbehörde prüfte die Datenverarbeitung zur Mitgliederversammlung im Jahr 2017 sowie die Datenübermittlung an externe Dienstleister. Die vorgelegten und geprüften Dokumente geben Anhaltspunkte, dass mehrere Datenschutz-Verstöße vorliegen. Die Aufsichtsbehörde verhängt ein Bußgeld wegen der unzureichenden Rechenschaftspflichten. | 300.000,00 € | Dieses Bußgeld verdeutlicht die Wichtigkeit der Dokumentation und damit den Nachweis über die gesetzliche Rechenschaftspflicht. |
| Deutschland 11.02.2021 | Die Bundesnetzagentur verhängte gegen den Energieversorger mivolta GmbH ein Bußgeld wegen unerlaubter Telefonwerbung bei Endverbrauchern. Das Unternehmen rief durch die eigens dafür eingesetzten Vertriebspartner bei Endverbrauchern an, um Werbung für ihr eigene Produkte zu machen. Was jedoch auch die Höhe des Bußgeldes mit ausmacht ist vor allem die Vorgehensweise und die Art der Anrufe. Teilweise erfolgten die Anrufe anonym, da die Rufnummer unterdrückt wurde. Somit hatten die Angerufenen keine Möglichkeit zurückzurufen oder einen Kontakt herzustellen. Weiterhin gaben sich die Anrufer als den aktuellen Stromlieferanten aus und erlangten somit Zählerstände und -nummer. Die Betroffenen erhielten im Anschluss daran Vertragsunterlagen für einen neuen Tarif, der nur schwer zu widerrufen war. Zudem kommt noch hinzu, dass die Werbeeinwilligungen erst nach dem Anruf datiert wurden. Letztendlich stellte die Bundesnetzagentur auch noch fest, dass die vorhandenen Einwilligungserklärungen aus Online-Gewinnspielen intransparent formuliert waren. | 250.000,00 € | Das Bußgeld ist noch nicht rechtskräftig. Über einen möglich Einspruch entscheidet das Amtsgericht Bonn. Die Bundesnetzagentur teilt zudem mit, dass ein Bußgeld von bis zu 10.000 € fällig werden kann, wenn Unternehmen ihre Identität verschleiern und nicht zur Kennung geben. Wenn Sie auch von Werbeanrufen belästigt werden, können Sie eine Beschwerde bei der Bundesnetzagentur unter: https://www.bundesnetzagentur.de/DE/Vportal/TK/Aerger/Faelle/UEW/beschwerde/start.html reinreichen. Weiterhin haben Sie auch die Möglichkeit, sich bei der zuständigen Aufsichtsbehörde für den Datenschutz zu beschweren. |
| Italien 03.2021 | Die Datenweitergabe von Gesundheitsdaten an den Ehemann führte zu einem hohen Bußgeld in einem italienischen Krankenhaus. Eine Patientin führte einen Schwangerschaftsabbruch durch. Sie wies das Personal an, bei weiteren Rückfragen eine gesonderte Nummer anzurufen und niemanden über den Vorgang zu berichten. Nach der Entlassung kontaktiere eine Krankenschwester die Patienten aber über die in der Krankenakte hinterlegte Festnetznummer. Am Telefon nahm der Ehemann das Gespräch entgegen und die Krankenschwester teilte diesem die Informationen und das weitere Vorgehen zur Behandlung diesem mit. | 50.000,00 € | Dieser Vorfall zeigt, dass es unerlässlich, die Mitarbeiter auf die Weitergabe von Daten zu sensibilisieren und zu schulen. Auch der Ehepartner ist in erster Linie als „Dritter“ anzusehen. |
| Niederlande 11.03.2021 | Im Zentrum einer Gemeinde wurde ein WLAN-Tracking ohne gültige Rechtsgrundlage der Passanten durchgeführt. Im Jahr 2017 wurden Messboxen in der Innenstadt angebracht, um den Andrang zu messen. Dabei wurden die WLAN-Signale der Endgeräte erfasst und mit einer eindeutigen Kennzeichnung versehen. | 600.000,00 € | Für jede Datenverarbeitung ist eine Rechtsgrundlage nach Art. 6 DSGVO zu definieren. Sofern keine Rechtsgrundlage definiert wurde, ist die Datenverarbeitung unzulässig. |
| Italien 25.03.2021 | Ein Medienunternehmen veröffentlichte einen Artikel, in welchem sie Bezug auf den Betroffenen nahmen. Der Betroffene verlangte Auskunft über die Daten. Dieser Anfrage ist das Unternehmen nicht umfänglich aufgrund der automatischen Entscheidungsfindung nicht nachgekommen. Der Betroffene verlangte weiterhin die Löschung des Artikels oder zumindest die Anonymisierung. | 20.000,00 € | |
| Niederlande 04.2021 | Der Anbieter booking.com muss ein hohes Bußgeld aufgrund einer verspäteten Datenschutzmeldung an die Aufsichtsbehörde zahlen. Hacker haben durch die Mitarbeiterkonten von booking.com Zugriff auf tausende Kundendaten, darunter auch Kreditkartendaten. Booking.com sieht jedoch hier den Fehler nicht bei sich, da der Angriff nicht über die eigene Infrastruktur erfolgte, sondern ggf. durch Phishing oder Social-Engineering sich Zugriff verschafft wurde. Die niederländische Aufsichtsbehörde sieht hier dennoch eine Verantwortlichkeit bei booking.com. Jedoch liegt der schwerwiegendere Fehler in der verspäteten Meldung an die Behörde. 22 Tage nach dem Vorfall wurden die Kunden informiert und erst nach 25(!!!) Tagen die Behörde. Damit liegt ein Verstoß bei Meldefrist gem. Art. 33 Abs. 1 DSGVO vor. | 475.000,00 € | Die internen Prozesse zur Bearbeitung und Meldung von Datenschutzvorfällen müssen definiert und mit den Mitarbeitern kommuniziert werden. Insbesondere ist der Datenschutzbeauftragte bei einem Vorfall zu kontaktieren. Mit diesem ist dann das weitere Vorgehen zu besprechen. |
| Ungarn 04.2021 | Die Stadtregierung von Budapest speicherte Testdaten von Schnelltest und Genesenen in einer unverschlüsselten Excel-Datei. Diese Datei wurde ungeschützt per Mail an die Arztpraxis verschickt. | 27.403,00 € | Sensible Daten sind mit entsprechenden TOMs zu schützen. Beim E-Mail-Versand ist entweder das Dokument selbst mittels Passwort zu schützen oder die Mail mittels Inhaltsverschlüsselung zu versehen. |
| Norwegen 21.04.2021 | Ein Restaurantinhaber filmte rund um die Uhr den Betrieb im Lokal. Teilweise wurde auch der öffentliche Teil, welcher nicht mehr zum Grundstück gehörte, überwacht. Davon betroffen waren die Mitarbeiter, die Kunden und Passanten. Des Weiteren wurde ein Verstoß gegen die Informationspflicht nach Art. 13 DSGVO festgestellt. | 20.007,00 € | |
| Italien 27.05.2021 | In 48 Fällen wurden durch ein Gesundheitsunternehmen die Gesundheitsdaten an die Hausärzte ohne die Einwilligung der Patienten übermittelt. Von dem Vorfall waren auch Daten von Minderjährigen und von Frauen, die einen Schwangerschaftsabbruch durchführten, betroffen. Die Datenpanne ist aufgrund eines Softwarefehlers entstanden. Der Vorfall wurde auch an die italienische Aufsichtsbehörde gemeldet. Das Unternehmen und die Behörden kooperierten bei dem Vorfall eng miteinander, um weitere Vorfälle zu vermeiden. | 120.000,00 € | Gesundheitsdaten bedürfen eines hohen Schutzniveaus. Auch wenn das Unternehmen richtig gehandelt hat und den Vorfall bei der Behörde gemeldet hat, so ist die Vermeidung eines Bußgelds nicht immer möglich. |
| Luxemburg 07.2021 | Rekordstrafe für Amazon!? Eine französische Bürgerrechtsorganisation legte Beschwerde bei der Luxemburger Aufsichtsbehörde ein. Die Organisation sieht einen Verstoß gegen die DSGVO bei den eingesetzten Werbemaßnahmen durch Amazon. Amazon sieht diese Vorwürfe als unbegründet an. Die zuständige Behörde bestätigt diesen Verstoß und sieht eines der höchsten Bußgelder seit Inkrafttreten der DSGVO vor. | 746.000.000,00 € | Amazon kündigte bereits an, gegen den Bescheid vorzugehen. Sofern hier neue Informationen veröffentlicht werden, wird der Beitrag ergänzt. |
| Spanien 12.07.2021 | Das spanische Telekommunikationsunternehmen Vodafone Espana S.A.U. erhielt wegen nicht erfolgter Datenlöschungen ein Bußgeld. Die betroffene Person erhielt durch das beauftragte Inkassounternehmen von Vodafone die Aufforderung zur Begleichung der ausstehenden Gebühren. Jedoch wurde der Vertrag nicht auf die betroffene Person abgeschlossen, sondern über einen Dritten. Dieser erhielt unrechtmäßigerweise den Namen und die ID-Nummer der Betroffenen und schloss den Vertrag auf die betroffene Person ab. Die Betroffene forderte Vodafone zur Auflösung des Vertrags und zur Datenlöschung auf. Vodafone reagierte nicht darauf und die Betroffene wandte sich an die Aufsichtsbehörde. | 96.000,00 € | Betroffenenrechte sind zu beachten und auch umzusetzen. Es ist daher intern unerlässlich, dass ein Prozess zum Umgang mit Betroffenenanfragen definiert und auch umgesetzt wird. Sämtliche Mitarbeiter sind im Prozess natürlich auch zu involvieren. |
| Italien 22.07.2021 | Der Essenslieferant Deliveroo Italy s.r.l. erhielt ein beachtliches Bußgeld aufgrund von massiven Datenschutzverstößen bei ca. 8.000 Personen. Das Unternehmen setzte einen App ein, indem die Arbeitsweise der Fahrer bewertete wurde und somit ein Profiling stattfand. Die Fahrer wurden über diese Systematik nicht ausreichend informiert. Des Weiteren wurde festgestellt, dass die Speicherbegrenzung nicht beachtet wurde. Die App erfasste alle 12 Sekunden die Standortdaten der Fahrer. Die Daten wurden für 6 Jahre durch das Unternehmen gespeichert. | 2.500.000,00 € | Die Überwachung der Mitarbeiter, gerade im Bereich der GPS-Ortung sollte gut bedacht werden und auch ausreichend dokumentiert sein. Bei GPS-Ortungen ist auch nach Ansicht der Behörden eine DSFA durchzuführen. Wenn die Abwägungen und Risikoanalysen ergeben, dass der Einsatz von GPS-Ortungen zulässig ist, sind die Betroffenen (meist Mitarbeiter) ausführlich über die Datenverarbeitung nach Art. 13 DSGVO zu informieren. |
| Spanien 27.07.2021 | Eine spanische Bank erteilte Telefonauskünfte an Kunden ohne konkrete Authentifizierung. Die Kunden mussten lediglich die Ausweisnummer nennen, um auf Transkationen eines Kontos zuzugreifen. Die Aufsichtsbehörde sieht darin eine Verstoß gegen die TOMs nach Art. 32 DSGVO. | 120.000,00 € | Einen ähnlichen Fall hat es auch in Deutschland beim Anbieter 1&1 gegeben. Dieser erhielt ebenfalls ein Bußgeld, da die Kunden nach Ansicht der Behörden nicht ausreichend identifiziert wurden. Die Bußgelder zeigen deutlich, wie wichtig die Definition der TOMs nach Art der personenbezogenen Daten sind. Bei vertraulichen oder sensiblen Daten (wie bei Banken oder TK-Anbietern) ist eine erhöhte Sicherheit für die Identifizierung nötig. |
| Deutschland 08.2021 | In einem Webshop wurde eine veraltete Software genutzt, woraufhin ein SQL-Injection-Angriff möglich war, um Kundendaten (Zugangsdaten, Passwörter im Klartext) abzugreifen. Auch der Hersteller wies auf die veraltete Version und warnte sogar, diese nicht mehr zu nutzen. Die Passwörter in der Datenbank wurden zwar mit einer Hashfunktion (MD5) verschlüsselt, die allerdings nicht auf den Einsatz von Passwortverschlüsselungen ausgelegt ist. Des Weiteren wurden auch kein Salt genutzt Die Behörde kam zum Entschluss, dass die getroffenen TOMs nicht ausreichend waren, da eine Softwareaktualisierung mit wenig Aufwand verbunden ist. | 65.000,00 € | Exkurs: Was ist ein SQL-Injection-Angriff: Mit SQL-Injection-Angriffen können Angreifer ind ne Besitz der Zugangsdaten aller in der Anwendung registrierten Personen kommen. Dieser Angrifssvektor entsteht, wenn nicht alle vom Endanwender veränderbare Eingaben so maskiert werden, dass die Datenbank sie nicht als Befahl verstehen kann. Ohne Maskierung führt die DAtenbank jeglichen Befehl mit eigenen Rechten aus. So können ganze DAtenbanktabellen ausgegeben oder gelöscht werden. Auch das Herunterfahren des Servers kann möglich sein. |
| Österreich 08.2021 | In dem „jö Bonus Club“ der österreichischen Rewe-Gruppe mit seinen Partnern wurden nach Ansicht der Behörde die darin registrierten 4 Mio. Kunden nicht ordnungsgemäß über die Datenverarbeitung informiert. Insbesondere geht es dabei um das Profiling, über welches in den AGBs informiert und damit die automatische Zustimmung der Kunden eingeholt wurde. Die Aufsichtsbehörde bemängelt auch den die Webseite des Clubs sowie auch das Anmeldformular zum Club. Für die Kunden war die Zustimmung für das Profiling nicht immer eindeutig erkennbar. Der Club hat das Anmeldeverfahren dahingehend verändert. Es wurden dennoch weiterhin Daten von ca. 2,3 Mio. Personen unberechtigterweise weiter verarbeitet. | 2.000.000,00 € | |
| England 02.08.2021 | Das britische Telekommunikationsunternehmen YCSL erhielt ein Bußgeld, weil dieses trotz Werbewidersprüchen weiterhin Werbeanrufe an Kunden tätigte. Die britische Aufsichtsbehörde stellte fest, dass ca. 200.000 Anrufe ohne eine Einwilligung oder anderweitige Rechtsgrundlage erfolgte. Es stellte sich zudem noch heraus, dass die Nummern im sog. TPS-Register vermerkt wurden. Das Register dient eigentlich dem Schutz vor ungewollten Werbeanrufen. Die Behörde erreichten 13 Beschwerden. | 170.000,00 € | Das Thema Werbung und Datenschutz kommt immer wieder zur Sprache und auch die Frage: Was ist erlaubt? Wann und von wem wird eine Einwilligung benötigt? Mit diesen Fragen haben wir uns in einem Blogartikel beschäftigt. |
| Italien 02.08.2021 | Die italienische Aufsichtsbehörde erließ ein Bußgeld gegen den Flughafen Bologna wegen einer nicht durchgeführten DSFA. Die DSFA hätten für die TOMs für das Hinweisgebersystem (Whistleblowing) durchgeführt werden müssen. Des Weiteren wurde keine Verschlüsselung für die Daten vorgenommen. Der Verantwortliche argumentierte, dass u.a. nur eine begrenzte Anzahl von Meldungen und damit verarbeiteten Daten vorgenommen wird; eine Verschlüsselung nur bei einer Vielzahl von Datensätzen nötig gewesen werden wäre etc. Die Behörde hielt die Argumentation für unbegründet und verhängte das Bußgeld. | 40.000,00 € | Die Pflicht zur Durchführung einer DSFA ist in Art. 35 DSGVO festgeschrieben. Als Hilfestellung hat die DSK eine Blacklist veröffentlicht, wann eine DSFA durchzuführen ist. Ist man sich dennoch unsicher, ist ein Kontakt zur Behörde sinnvoll, um den Sachverhalt zu besprechen. |
| Irland 09.2021 | WhatsApp bzw. der Mutterkonzern Facebook erhält seitens der irischen Landesdatenschutzbehörde ein Bußgeld in Höhe von 225 Mio. Euro. Der Fall resultiert bereits aus dem Jahr 2018. Facebook wurde vorgeworfen gegen die Transparenzpflicht nach Art. 12 ff. DSGVO zu verstoßen. Die irische Datenschutzbehörde prüfte den Fall und „nach einer langwierigen und umfassenden Untersuchung“ kam die Behörde zu einem Ergebnis. Facebook sollte „lediglich“ 50 Mio. Euro zahlen. Allerdings sah der der Europäische Datenschutzausschuss darin keine Verhältnismäßigkeit und forderte die Behörde dazu auf den Fall nochmals neu zu bewerten und das Bußgeld zu erhöhen. Ein Sprecher von WhatsApp erklärte, dass sie mit dem Bußgeld nicht einverstanden sind und Rechtsmittel einlegen wollen. | 225.000.000,00 € | Sofern hier weitere Informationen zur Verfügung stehen, werden wir den Beitrag ergänzen. Auch hat sich Max Schrems (noyb) zu dieser Entscheidung geäußert: „Wir begrüßen die erste Entscheidung der irischen Aufsichtsbehörde. Allerdings erhält die DPC seit 2018 etwa zehntausend Beschwerden pro Jahr, und dies ist die erste größere Geldstrafe. Die Datenschutzbehörde hatte ursprünglich eine Geldbuße von 50 Millionen Euro vorgeschlagen und wurde von den anderen europäischen Datenschutzbehörden gezwungen, sich auf 225 Millionen Euro zu bewegen, was immer noch nur 0,08 % des Umsatzes der Facebook-Gruppe entspricht. Die Datenschutz-Grundverordnung sieht Geldbußen von bis zu 4 % des Umsatzes vor. Dies zeigt, dass die Datenschutzbehörde immer noch extrem dysfunktional ist.“ |
| Deutschland 01.10.2021 | Der Energiekonzern Vattenfall hatte im Zeitraum von August 2018 bis Dezember 2019 Daten von Neukunden intern abgeglichen, um wechselhaltiges und ggf. missbräuchliches Verhalten zu erkennen. Der Hamburgische Datenschutzbeauftragte prüfte den Fall und stimmte zu, dass die Datenverarbeitung an sich rechtmäßig war. Allerdings versäumte es die Vattenfall die Neukunden mit der Informationspflicht über diese Verarbeitungstätigkeit zu informieren. Vattenfall akzeptiert das Bußgeld und besser auch die Informationspflichten entsprechend nach. | 900.000,00 € | Dieser Fall zeigt, dass nicht zwingend ein Datenschutzverstoß vorliegen muss, um ein hohes Bußgeld auszusprechen. Es ist auch schon ausreichend, wenn die Vorgaben zur Transparenzpflicht nicht gewahrt und umgesetzt werden. Daher ist auch eine regelmäßige Überprüfung der Datenschutz-Unterlagen nötig, um neue Verfahren zu identifizieren und damit auch die Informationspflichten zu aktualisieren. |
| Frankreich 14.01.2022 | Die französische Aufsichtsbehörde CNIL verhängte ein hohes Bußgeld gegen Google und Facebook. Hintergrund ist die komplizierte und nicht nutzerfreundliche Cookie-Einwilligung. Mit sog. „Dark Patterns“ ist die Verwaltung somit fast unmöglich. Das Ablehnen von einwilligungsbedürftigen Cookies wurde den Nutzer unnötig erschwert und war mit vielen Schritten verbunden. | 90 Mio. € Google USA 60 Mio. € Google Ireland 90 Mio. € Facebook Ireland | |
| Norwegen 26.01.2022 | Gegen die Dating-App „Grindr“ wurde ein Bußgeld erlassen. Die Aufsichtsbehörde erhielt Beschwerde darüber, dass Nutzerdaten (IP-Adresse, Werbe-ID, Alter, Geschlecht und die Information, dass die App genutzt wurde) zu Marketingzwecken an Werbepartner übermittelt werden ohne eine gültige Rechtsgrundlage. Besonderheit bei der App ist, dass sich diese explizit an die LGBTQ-Community richtet. Hieraus lässt sich schließen, dass besonders schützenswerte Daten weitergeleitet wurden. | 6,5 Mio. € | |
| Niederlande 24.02.2022 | Die DPG Media Magazines B.V. erhielt ein hohes Bußgeld durch die niederländische Aufsichtsbehörde. Die Behörde erreichten im Vorfeld immer wieder Beschwerden von Betroffenen. Personen, die ihre Daten löschen lassen wollten, mussten einen Identitätsnachweis hochladen und wurde nicht darauf hingewiesen, nicht erforderliche Daten zu sperren / schwärzen sind. Nach Ansicht der Behörde ist die Datenerhebung nicht erforderlich. Somit hat DPG zu viele Daten seitens der Betroffenen erhoben. | 525.000,00 € | Die DPG legt gegen den Bußgeldbescheid Widerspruch ein. |
| Deutschland 03.03.2022 | Das LfDI hat gegen die Immobilienfirma BREBAU GmbH ein Bußgeld wegen Verarbeitung personenbezogener Daten ohne Rechtsgrundlage erlassen. Die BREBAU GmbH hat Daten von über 9.500 Mietinteressenten z.B. Haarfrisuren, Körpergeruch, persönliches Auftreten verarbeitet. Diese Informationen sind zum Abschluss eines Mietvertrags nicht erforderlich. Des Weiteren wurden auch noch rechtswidrige und sensible personenbezogene Daten wie ethnische Herkunft, Religionszugehörigkeit, sexuelle Orientierung und Gesundheitsdaten erhoben. | 1,9 Mio. € | |
| Italien 03.2022 | Die Gesichtserkennungstechnologie von Clearview AI verwendet über 10 Milliarden (!) Bilder aus dem Internet und verstößt somit gegen sämtliche Datenschutzvorschriften. Die italienische Behörde prüfte das Vorgehen und kam zum Entschluss, dass die Verarbeitung ohne Rechtsgrundlage für die Erhebung der Bilder existiert noch Lösch- und Aufbewahrungsfristen definiert sind. | 20 Mio. € | |
| Irland 15.03.2022 | Die irische Datenschutzkommission erließ ein Bußgeld gegen den Meta-Konzern. Hintergrund sind die begangenen zwölf Datenschutzverstöße zwischen Juni und Dezember 2018. Die Daten der Nutzer waren in diesem Zeitraum nicht ausreichend geschützt. | 17 Mio. € | Meta steht schon seit Jahren wegen der Datennutzung seiner User in der Kritik. |
| USA 06.2022 | Die Social-Media-Plattform erhielt ein Bußgeld, da die aus Sicherheitsgründen hinterlegte Telefon- bzw. Handynummer oder E-Mail-Adresse auch für Werbezwecke genutzt wurde. Des Weiteren wurden die Daten auch für die Anzeige von personalisierter Werbung genutzt. Die Handelsbehörde FTC verklagte Twitter auf diese Tatbestände. Twitter teilte mit, dass die Verarbeitung ein „Versehen“ war. Nach der Aufarbeitung des Sachverhalts wurde Twitter zur Zahlung eines Bußgelds verpflichtet. | 140 Mio. € | |
| Deutschland 28.07.2022 | Das LfD Niedersachsen hat ein Bußgeld gegen ein Kreditinstitut wegen Profilbildung zu Werbezwecken erlassen. Das Unternehmen hat Daten von aktiven und ehemaligen Kunden ausgewertet und unter anderem – Einkäufe in App-Stores – Häufigkeit der Nutzung von Kontoauszugsdrucker – Gesamthöhe von Online-Banking im Vergleich zur Nutzung von Filialangeboten ausgewertet. Ziel der Auswertung war es die Nutzer für digitale Neigungen zu identifizieren und diese über digitale Kommunikationswege anzusprechen. Zwar erhielten die Kunde ein Infoschreiben vorab, welches jedoch nicht die Einwilligung ersetzt. Die Berufung auf Art. 6 Abs. 1 lit. f DSGVO ist nicht gegeben, so die Behörde. | 900.000,00 € | Das Bußgeld ist noch nicht rechtskräftig. |
| Frankreich 19.01.2023 | Gegen die Social-Media-Plattform wurde ein Bußgeld seitens der französischen Aufsichtsbehörde erlassen. Grund hierfür waren vor allem die Einholung der Einwilligung der Nutzer sowie der Umgang mit den Cookies. Der Banner wies zum Prüfungszeitpunkt lediglich nur einen „Akzeptieren-Button“ auf. Das Ablehnen der Cookies war nur über mehrere Schaltflächen möglich. | 5.000.000 € |
Die Auflistung ist nicht abschließend und wird fortlaufend ergänzt.
Es besteht kein Anspruch auf Vollständigkeit der Liste.
Fehlt Ihnen ein Eintrag? Dann hinterlassen Sie uns gerne einen Kommentar.
Der ursächliche Betrag im Zusammenhang mit 1&1 (09.12.2019) enthält eine NULL zu viel.
Danke für den Hinweis; ich habe es korrigiert 🙂