Bußgelder nach der DSGVO

Knowledge Base der Datenbeschützerin

Mit der DSGVO können höhere Bußgelder als im Gegensatz zum BDSG ausgesprochen werden. Seit dem 25.05.2018 sind bereits einige Bußgelder erlassen worden. Es wurden jedoch bisher nie die „gefürchteten“ 2 Millionen Euro erreichten. (vor allem nicht bei Klein- und Mittelständischen Unternehmern). 

Die Bußgeldberechnung wurde durch das im Oktober 2019 veröffentlichte Bußgeldkonzept der DSK transparenter dargestellt.

In der nachfolgenden Liste erhalten Sie eine Übersicht über die ausgesprochenen Bußgelder in Europa aber auch in den Drittländern durch die zuständigen Aufsichtsbehörden.

Eine Übersicht über Urteile zur DSGVO finden Sie in einem eigenen Beitrag.

Die Auflistung ist nicht abschließend und wird fortlaufend ergänzt.
Es besteht kein Anspruch auf Vollständigkeit der Liste.

Land und DatumVorfall / Grund für BußgeldHöhe des BußgeldsAnmerkungen / Hinweise der Datenbeschützerin
Österreich
19.09.2018
Ein Lokalbetreiber zeichnete mit seiner Videoüberwachung einen großflächigen Teil der öffentlichen Straße auf ohne ausreichende Kennzeichnung.4.800,00 €Prüfung, welche Bereiche von der Kamera erfasst werden. Hinweisschilder nach Art. 13 DSGVO anbringen. 
Portugal
23.10.2018
Nicht autorisierte Personen (z.B. Techniker) hatten in einem Krankenhaus Zugriff auf Patientendaten. 400.000,00 €Um einen unberechtigten Zugriff zu vermeiden, ist es unerlässlich ein Zugriffs- und Berechtigungskonzept zu definieren.
Deutschland
22.11.2018
Der Social-Media-Anbieter „Knuddels“ speicherte Passwörter der Nutzer unverschlüsselt auf dem Server ab.20.000,00 €Passwörter sind mittels verschiedenen technischen Möglichkeiten (z.B. Hashes) verschlüsselt zu speichern.
Großbritannien
22.11.2018
Strafe gegen Facebook, da App-Entwickler (Cambridge-Analytics) Zugriff auf Kundendaten hatte
Update 10.05.19: Facebook rechnet mit ein Milliardenstrafe. Die FTC (Federal Trade Commission) prüft die von der Behörde verhängten Auflagen, da gegen diese vermutlich verstoßen wurde.
565.000,00 €
Deutschland
15.01.2019
Gesundheitsdaten wurden im Internet veröffentlicht (Verantwortlicher ist unbekannt)80.000,00 €
Deutschland
20.01.2019
Hamburg: Bußgeld für fehlende Auftragsverarbeitungsverträge. Das Bußgeld ging an den Auftraggeber. Nach Ansicht der Aufsichtsbehörde, hätte er die Zusammenarbeit beenden sollen, da der Auftragnehmer die Einhaltung des Datenschutzes nicht nachweisen konnte.5.000,00 €Einholung des AV-Vertrags als Auftraggeber
Frankreich
21.01.2019
Die Art und Weise der Datensammlung von Google verstöße gegen die DSGVO (Unklarheiten über Datenmengen, Weitergabe, Zweckbestimmung, keine Einwilligung der Nutzer für Werbezwecke)50.000.00,00 €
Österreich
12.02.2019
Die Post in Österreich verarbeitete Daten von Bürgern für die „Parteiaffinität“ zum Zwecke der personalisierten Werbung.unbekannt
Deutschland
13.02.2019
Ein Einwohner von Merseburger schickte Wut-Mails an hunderte E-Mail-Adressen im E-Mail-Verteiler.2.000,00 €In Einzelfällen können Privatpersonen mit einem Bußgeld belangt werden.
USA
28.02.2019
Auf der Lip-Sync-Plattform Musical.ly (jetzt TikTok) wurde Datenschutz für Kinder (COPPA – Children’s Online Privacy Protection) missachtet.5.000.000,00 €
Österreich
12.03.2019
Unerlaubte Videoüberwachung in fünf Fällen
Deutschland
20.03.2019
Lidl erhob und speicherte unzulässigerweise Daten von Krankheiten der Mitarbeiter36.000,00 €
Polen
01.04.2019
Ein Aktienunternehmen erfüllte die Informationspflichten nach Art. 13 und Art. 14 DSGVO nicht.220.000,00 €Informationspflichten nach Art. 13 und Art. 14 DSGVO ordnungsgemäß erstellen und kommunizieren.
Frankreich
18.04.2019
Zugriff auf Kundendaten im Optikerzentrum durch Dritte.25.000,00 €
Dänemark
18.04.2019
Nichteinhaltung von Zweckbindung und Speicherbegrenzung eines Taxiunternehmens.161.000,00 €Zweckbindungen im Verfahrensverzeichnis definieren und einhalten
Norwegen
10.05.2019
Die Stadtverwaltung von Bergen erhielt ein Bußgeld, da Benutzerkonten von Schülern und Schulangestellten offen zugänglich ohne Sicherheitsmaßnahmen. Folglich konnte sich jeder auf die Systeme einloggen. Folgende Daten waren hinterlegt: Name, Adresse, Passwort, Geburtsdatum, Schulzugehörigkeit, Schulnoten, digitale Lerninhalte und Einschätzungen der Lehrer. 
Das Bußgeld wurde aufgrund von Art. 5 Abs.1 lit. f DSGVO erlassen.
170.000,00 €
Deutschland
23.05.2019
Die Onlinebank N26 soll eine schwarze Liste mit Ex-Kunden geführt haben, die keine neuen Konten mehr bei dieser Bank eröffnen können. Der Berliner Datenschutzbeauftragte verhängte somit ein Bußgeld.50.000,00 €
Spanien
12.06.2019
Die App „La Liga“ hat Zugriff auf Positionsdaten und das Mikrofon, ohne dass die Benutzer darüber klar und transparent informiert wurden. La Liga will gerichtlich gegen die Entscheidung vorgehen.250.000,00 €
Dänemark
11.06.2019
Die dänische Firma ID Design wurde mit einen Bußgeld belegt, da diese Kundendaten in ihrem altem System nicht gelöscht hat. Es handelte sich um 385.000 Datensätze, die eigentlich zu löschen gewesen wären.1.500.000,00 €Definition der Löschfristen; Entwicklung von Löschkonzepten; Prüfung, ob Löschkonzepte eingehalten werden
Deutschland
18.06.2019
Ein Bußgeld wurde gegen einen Polizeibeamten aus Baden-Württemberg verhängt. Dieser hat Daten mit seiner dienstlichen Nutzerkennung für private Zwecke zur Kontaktaufnahme abgerufen und genutzt.1.400,00 €In Einzelfällen können Privatpersonen mit einem Bußgeld belangt werden.
Frankreich
26.06.2019
Ein französisches Unternehmen hat mittels eines Videoüberwachungssystems die Mitarbeiter dauerhaft gefilmt. Mitarbeiter reichten bereits im Februar 2018 Beschwerde ein. Die Behörde ermittelte und stellte fest, dass die Büroräume ohne ausreichende Kennzeichnung und Hinweise überwacht werden. Auch waren die PCs nicht passwortgeschützt und die Mitarbeiter griffen auf ein gemeinsames E-Mail-Postfach mit einen bekannten Passwort zu. Zusätzlich zum Bußgeld wird bei Nichtbefolgung ein Säumniszuschlag von 200,00 €/Tag fällig.20.000,00 €Aufnahme der Videoüberwachung in das Verfahrensverzeichnis; Kennzeichnungs- und Informationspflichten ggü. den Betroffenen erfülle.
Großbritannien
08.07.2019
Cyberkriminelle griffen 2018 bei einem Angriff persönliche Daten und Kreditkarteninformationen von Kunden der British Airways ab. Es waren ca. 500.000 Kunden betroffen. Nach Ansicht der Aufsichtsbehörde hätte der Angriff durch höhere Schutzmaßnahmen verhindert werden können.204.000.000,00 €British Airways wird vermutlich Widerspruch gegen das Bußgeld einlegen
Griechenland
31.07.2019
Die griechische Aufsichtsbehörde verhängte ein Bußgeld gegenüber der PwC. Ausschlaggebend war die Verarbeitung aufgrund einer „falschen“ Rechtsgrundlage. PwC ließ sich von den Mitarbeitern die Datenverarbeitung einwilligen (Art. 6 Abs. 1 lit. a DSGVO). Die Aufsichtsbehörde sah darin einen Verstoß gegen Art. 5 Abs. 1 lit. a DSGVO. Daraus resultierend kann PwC seiner Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO nicht nachkommen.150.000,00 €Prüfung, welche Rechtsgrundlage für die Datenverarbeitung einschlägig ist
Deutschland
27.08.2019
Die Videoüberwachung in einem Erotik-Varité wurde als rechtswidrig seitens der Behörde eingestuft. Eine Vor-Ort-Kontrolle bestätigte dies.5.000,00 €Es ist immer zu prüfen, ob eine Videoüberwachungzulässig ist oder nicht
Schweden
29.08.2019
Eine Schule kontrollierte in einem „Experiment“ die Anwesenheit von Schülern mittels Gesichtserkennung. Die Schule holte sich die Einwilligung der Eltern ein, jedoch reichte diese nicht aus. Die Aufsichtsbehörde hätte ebenfalls mit involviert werden müssen20.000,00 €
USA
04.09.2019
Google zahlt für YouTube eine Millionenstrafe. YouTube sammelte Daten von Kindern und schaltete personalisierte Werbung.170.000.000,00 €
Deutschland
19.09.2019
Der Lieferdienst Delivery Hero erhielt ein Bußgeld seitens der Berliner Aufsichtsbehörde. Grund für das Bußgeld waren der Weiterversand von Werbemails, mangelhafte oder unvollständige Datenauskunft und nicht gelöschte Daten.195.000,00 €Es ist daher unerlässlich, die internen Prozesse rund um die Betroffenenrechte ordentlich zu gestalten und auch zu leben. Auch ein ordnungsgemäßes Löschkonzept sollte in diesem Zuge ebenfalls erstellt werden.
Polen
02.10.2019
Das Unternehmen Morele.netz erhielt ein Bußgeld aufgrund zweier Vorfälle. 

1. Die Kundendatenbank wurde von Unbefugten geknackt und hatten Zugang auf die Daten. 
2. Des Weiteren erhielten die Unbefugten Zugriff auf Ratenzahlungsverträge.
660.000,00 €datenschutz-notizen.de
Spanien
25.10.2019
Eine spanische Fluggesellschaft erhielt ein Bußgeld, weil sie keine Einwilligung in die Nutzung von (Marketing) Cookies einholte.30.000,00 €Prüfung, welche Cookies und Plugins auf der Webseite eingesetzt werden. Es ist daraufhin ebenfalls zu prüfen, für welche Cookies und Plugins ein Opt-In benötigt wird. Anschließend ist dies in form eines transparenten Einwilligungsbanner darzustellen

Fehlt Ihnen ein Eintrag? Dann hinterlassen Sie uns gerne einen Kommentar.

Diesen Beitrag teilen

Wie hilfreich war der Artikel?
Danke!
One Comment on “Bußgelder nach der DSGVO”

Leave a reply

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.