Bußgelder nach der DSGVO

Knowledge Base der Datenbeschützerin

Mit der DSGVO können höhere Bußgelder als im Gegensatz zum BDSG ausgesprochen werden. Seit dem 25.05.2018 sind bereits einige Bußgelder erlassen worden. Es wurden jedoch bisher nie die „gefürchteten“ 2 Millionen Euro erreichten. (vor allem nicht bei Klein- und Mittelständischen Unternehmern). 

Die Bußgeldberechnung wurde durch das im Oktober 2019 veröffentlichte Bußgeldkonzept der DSK transparenter dargestellt.

In der nachfolgenden Liste erhalten Sie eine Übersicht über die ausgesprochenen Bußgelder in Europa aber auch in den Drittländern durch die zuständigen Aufsichtsbehörden.

Eine Übersicht über Urteile zur DSGVO finden Sie in einem eigenen Beitrag.

Land und DatumVorfall / Grund für BußgeldHöhe des BußgeldsAnmerkungen / Hinweise der Datenbeschützerin
Österreich
19.09.2018
Ein Lokalbetreiber zeichnete mit seiner Videoüberwachung einen großflächigen Teil der öffentlichen Straße auf ohne ausreichende Kennzeichnung.4.800,00 €Prüfung, welche Bereiche von der Kamera erfasst werden. Hinweisschilder nach Art. 13 DSGVO anbringen. 
Portugal
23.10.2018
Nicht autorisierte Personen (z.B. Techniker) hatten in einem Krankenhaus Zugriff auf Patientendaten. 400.000,00 €Um einen unberechtigten Zugriff zu vermeiden, ist es unerlässlich ein Zugriffs- und Berechtigungskonzept zu definieren.
Deutschland
22.11.2018
Der Social-Media-Anbieter „Knuddels“ speicherte Passwörter der Nutzer unverschlüsselt auf dem Server ab.20.000,00 €Passwörter sind mittels verschiedenen technischen Möglichkeiten (z.B. Hashes) verschlüsselt zu speichern.
Großbritannien
22.11.2018
Strafe gegen Facebook, da App-Entwickler (Cambridge-Analytics) Zugriff auf Kundendaten hatte
Update 10.05.19: Facebook rechnet mit ein Milliardenstrafe. Die FTC (Federal Trade Commission) prüft die von der Behörde verhängten Auflagen, da gegen diese vermutlich verstoßen wurde.
565.000,00 €
DeutschlandEin Mitarbeiter eines Immobilienmaklers erhob Daten von Eigentümer und nutzte diese zu werblichen Zwecken. Dabei lag keine Einwilligung der Betroffenen noch eine andere Rechtsgrundlage vor. offenIn unserem Blogbeitrag finden Sie weitere Informationen zum Thema Werbeversand an Privatpersonen, Interessenten und Geschäftspartner
DeutschlandEin Unternehmen von Testsystemen für Labordiagnostik erhielt ein Bußgeld aufgrund unberechtigter Erhebung und Verarbeitung von personenbezogenen Daten sowie einer unrichtigen Auskunftserteilung.fünfstellig (genauer Betrag unbekannt)
Deutschland
15.01.2019
Gesundheitsdaten wurden im Internet veröffentlicht (Verantwortlicher ist unbekannt)80.000,00 €
Deutschland
20.01.2019
Hamburg: Bußgeld für fehlende Auftragsverarbeitungsverträge. Das Bußgeld ging an den Auftraggeber. Nach Ansicht der Aufsichtsbehörde, hätte er die Zusammenarbeit beenden sollen, da der Auftragnehmer die Einhaltung des Datenschutzes nicht nachweisen konnte.5.000,00 €Einholung des AV-Vertrags als Auftraggeber
Frankreich
21.01.2019
Die Art und Weise der Datensammlung von Google verstößt gegen die DSGVO (Unklarheiten über Datenmengen, Weitergabe, Zweckbestimmung, keine Einwilligung der Nutzer für Werbezwecke)50.000.00,00 €
Österreich
12.02.2019
Die Post in Österreich verarbeitete Daten von Bürgern für die „Parteiaffinität“ zum Zwecke der personalisierten Werbung.unbekannt
Deutschland
13.02.2019
Ein Einwohner von Merseburger schickte Wut-Mails an hunderte E-Mail-Adressen im E-Mail-Verteiler.2.000,00 €In Einzelfällen können Privatpersonen mit einem Bußgeld belangt werden.
USA
28.02.2019
Auf der Lip-Sync-Plattform Musical.ly (jetzt TikTok) wurde Datenschutz für Kinder (COPPA – Children’s Online Privacy Protection) missachtet.5.000.000,00 €
Österreich
12.03.2019
Unerlaubte Videoüberwachung in fünf Fällen
Deutschland
20.03.2019
Lidl erhob und speicherte unzulässigerweise Daten von Krankheiten der Mitarbeiter36.000,00 €
Polen
01.04.2019
Ein Aktienunternehmen erfüllte die Informationspflichten nach Art. 13 und Art. 14 DSGVO nicht.220.000,00 €Informationspflichten nach Art. 13 und Art. 14 DSGVO ordnungsgemäß erstellen und kommunizieren.
Frankreich
18.04.2019
Zugriff auf Kundendaten im Optikerzentrum durch Dritte.25.000,00 €
Dänemark
18.04.2019
Nichteinhaltung von Zweckbindung und Speicherbegrenzung eines Taxiunternehmens.161.000,00 €Zweckbindungen im Verfahrensverzeichnis definieren und einhalten
Norwegen
10.05.2019
Die Stadtverwaltung von Bergen erhielt ein Bußgeld, da Benutzerkonten von Schülern und Schulangestellten offen zugänglich ohne Sicherheitsmaßnahmen. Folglich konnte sich jeder auf die Systeme einloggen. Folgende Daten waren hinterlegt: Name, Adresse, Passwort, Geburtsdatum, Schulzugehörigkeit, Schulnoten, digitale Lerninhalte und Einschätzungen der Lehrer. 
Das Bußgeld wurde aufgrund von Art. 5 Abs.1 lit. f DSGVO erlassen.
170.000,00 €
Deutschland
23.05.2019
Die Onlinebank N26 soll eine schwarze Liste mit Ex-Kunden geführt haben, die keine neuen Konten mehr bei dieser Bank eröffnen können. Der Berliner Datenschutzbeauftragte verhängte somit ein Bußgeld.50.000,00 €
Spanien
12.06.2019
Die App „La Liga“ hat Zugriff auf Positionsdaten und das Mikrofon, ohne dass die Benutzer darüber klar und transparent informiert wurden. La Liga will gerichtlich gegen die Entscheidung vorgehen.250.000,00 €
Dänemark
11.06.2019
Die dänische Firma ID Design wurde mit einen Bußgeld belegt, da diese Kundendaten in ihrem altem System nicht gelöscht hat. Es handelte sich um 385.000 Datensätze, die eigentlich zu löschen gewesen wären.1.500.000,00 €Definition der Löschfristen; Entwicklung von Löschkonzepten; Prüfung, ob Löschkonzepte eingehalten werden
Deutschland
18.06.2019
Ein Bußgeld wurde gegen einen Polizeibeamten aus Baden-Württemberg verhängt. Dieser hat Daten mit seiner dienstlichen Nutzerkennung für private Zwecke zur Kontaktaufnahme abgerufen und genutzt.1.400,00 €In Einzelfällen können Privatpersonen mit einem Bußgeld belangt werden.
Frankreich
26.06.2019
Ein französisches Unternehmen hat mittels eines Videoüberwachungssystems die Mitarbeiter dauerhaft gefilmt. Mitarbeiter reichten bereits im Februar 2018 Beschwerde ein. Die Behörde ermittelte und stellte fest, dass die Büroräume ohne ausreichende Kennzeichnung und Hinweise überwacht werden. Auch waren die PCs nicht passwortgeschützt und die Mitarbeiter griffen auf ein gemeinsames E-Mail-Postfach mit einen bekannten Passwort zu. Zusätzlich zum Bußgeld wird bei Nichtbefolgung ein Säumniszuschlag von 200,00 €/Tag fällig.20.000,00 €Aufnahme der Videoüberwachung in das Verfahrensverzeichnis; Kennzeichnungs- und Informationspflichten ggü. den Betroffenen erfülle.
Großbritannien
08.07.2019
Cyberkriminelle griffen 2018 bei einem Angriff persönliche Daten und Kreditkarteninformationen von Kunden der British Airways ab. Es waren ca. 500.000 Kunden betroffen. Nach Ansicht der Aufsichtsbehörde hätte der Angriff durch höhere Schutzmaßnahmen verhindert werden können.

Update Oktober 2020: Das Bußgeld von 200 Mio. auf 20 Mio.
20.000.000 €British Airways wird vermutlich Widerspruch gegen das Bußgeld einlegen
Griechenland
31.07.2019
Die griechische Aufsichtsbehörde verhängte ein Bußgeld gegenüber der PwC. Ausschlaggebend war die Verarbeitung aufgrund einer „falschen“ Rechtsgrundlage. PwC ließ sich von den Mitarbeitern die Datenverarbeitung einwilligen (Art. 6 Abs. 1 lit. a DSGVO). Die Aufsichtsbehörde sah darin einen Verstoß gegen Art. 5 Abs. 1 lit. a DSGVO. Daraus resultierend kann PwC seiner Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO nicht nachkommen.150.000,00 €Prüfung, welche Rechtsgrundlage für die Datenverarbeitung einschlägig ist
Deutschland
27.08.2019
Die Videoüberwachung in einem Erotik-Varité wurde als rechtswidrig seitens der Behörde eingestuft. Eine Vor-Ort-Kontrolle bestätigte dies.5.000,00 €Es ist immer zu prüfen, ob eine Videoüberwachungzulässig ist oder nicht
Schweden
29.08.2019
Eine Schule kontrollierte in einem „Experiment“ die Anwesenheit von Schülern mittels Gesichtserkennung. Die Schule holte sich die Einwilligung der Eltern ein, jedoch reichte diese nicht aus. Die Aufsichtsbehörde hätte ebenfalls mit involviert werden müssen20.000,00 €
USA
04.09.2019
Google zahlt für YouTube eine Millionenstrafe. YouTube sammelte Daten von Kindern und schaltete personalisierte Werbung.170.000.000,00 €
Deutschland
19.09.2019
Der Lieferdienst Delivery Hero erhielt ein Bußgeld seitens der Berliner Aufsichtsbehörde. Grund für das Bußgeld waren der Weiterversand von Werbemails, mangelhafte oder unvollständige Datenauskunft und nicht gelöschte Daten.195.000,00 €Es ist daher unerlässlich, die internen Prozesse rund um die Betroffenenrechte ordentlich zu gestalten und auch zu leben. Auch ein ordnungsgemäßes Löschkonzept sollte in diesem Zuge ebenfalls erstellt werden.
Polen
02.10.2019
Das Unternehmen Morele.netz erhielt ein Bußgeld aufgrund zweier Vorfälle. 

1. Die Kundendatenbank wurde von Unbefugten geknackt und hatten Zugang auf die Daten. 
2. Des Weiteren erhielten die Unbefugten Zugriff auf Ratenzahlungsverträge.
660.000,00 €datenschutz-notizen.de
Spanien
25.10.2019
Eine spanische Fluggesellschaft erhielt ein Bußgeld, weil sie keine Einwilligung in die Nutzung von (Marketing) Cookies einholte.30.000,00 €Prüfung, welche Cookies und Plugins auf der Webseite eingesetzt werden. Es ist daraufhin ebenfalls zu prüfen, für welche Cookies und Plugins ein Opt-In benötigt wird. Anschließend ist dies in form eines transparenten Einwilligungsbanner darzustellen
Deutschland
05.11.2019
Die Deutsche Wohnen SE erhielt ein Bußgeld von 14,5 Mio. Euro. Der ausschlaggebende Grund für die Höhe des Bußgeldes war unter anderem die Nichtbefolgung der dringenden Empfehlung des Berliner Datenschutzbeauftragten.
Im Jahr 2017 prüfte der Berliner Datenschutzbeauftragte die Deutsche Wohnen SE vor Ort. Dabei wurde festgestellt, dass zahlreiche Daten von Mietern z.B. Gehaltsbescheinigungen, Selbstauskunftsformulare etc. gespeichert und gesammelt wurden. Die Empfehlung lautet, das Archivsystem umzustellen.
Dieser Empfehlung ist die Deutsche Wohnen SE nicht gefolgt und nach einer erneuten Prüfung im Oktober 2019 konnte keine Verbesserung festgestellt werden.

14,5 Mio. € Es ist daher unerlässlich sich mit dem Themengebiet „Löschkonzept“ auseinander zu setzen. Die Löschfristen sind zu definieren, worauf hin das ein Löschkonzept zu entwickeln ist. Daraufhin ist auch zu prüfen, ob das Löschkonzept eingehalten und gelebt wird.

Update März 2021: Der Bußgeldbescheid wurden durch das LG Berlin für unwirksam erklärt. Nicht die Höhe oder das Bußgeld selbst, sondern der Bescheid. Der Bescheid erging direkt an die Deutsche Wohnen SE als juristische Person, was nach Ansicht des Gerichts nicht möglich ist.
Deutschland
03.12.2019
Ein Krankenhaus erhielt aufgrund mehrerer Verwechslungen von Patienten ein Bußgeld. In Folge der Verwechslung wurden Rechnungen erstellt und versandt.
Der Datenschutzbeauftragte von Rheinland-Pfalz sieht darin eine Vernachlässigung der TOMs im Bereich des Patientenmanagements.
105.000 €
Deutschland
09.12.2019
Der Telekommunikationsbieter 1&1 traf keine ausreichende TOMs zur Identifizierung von Anrufern und Kunden. Somit konnten unberechtigte Dritte Informationen erhalten. 1&1 fragte zur Identifizierung lediglich den Namen und das Geburtsdatum ab.

UPDATE 11.2020: Das LG Bonn hat in einem Urteil die Bußgeldhöhe heruntergesetzt. Begründet wird das geringere Bußgeld damit, dass das Verschulden von 1&1 eher gering ist und auch der Datenschutzverstoß als geringfügig anzusehen ist (auch nach Ansicht des BfDI).

Des Weiteren wurde ebenfalls gegen den Telekommunikationsanbieter Rapidata GmbH Bußgeld ausgesprochen. Dieser hatte trotz mehrmaliger Aufforderung kein betrieblichen DSB bestellt.
9.550.000,00 €
900.000,00 €



10.000,00 €
Ein geeignetes Verfahren zur Identifizierung der Betroffenen sollte angestrebt werden. Dabei sollten jedoch nur Daten abgefragt werden, die bereits vorhanden sind (z.B. Kundennummer, letzte Rechnungsnummer etc.).




Prüfung, ob ein Datenschutzbeauftragter nach Art. 37 DSGVO iVm. § 38 Abs. 1 BDSG-neu (ab 20 Personen) zu bestellen ist.
Großbritannien
21.12.2019
Eine Apotheke erhielt ein Bußgeld aufgrund mangelnder Sicherheitsvorkehrungen von sensiblen Daten.

So wurden Dokumente mit persönlichen Daten in unverschlossenen Kisten, Entsorgungssäcken und Pappkartons aufbewahrt. Der Zugriff durch unberechtigte Dritte konnte somit nicht ausgeschlossen werden.
322.000,00 €Physikalische und digitale Daten, insbesondere sensible personenbezogene Daten nach Art. 9 DSGVO, sind mittels technischer und organisatorischer Maßnahmen (TOMs) zu schützen.

Jedes Unternehmen hat die TOMs aufgrund der Risikoanalyse zu definieren.
Italien
27.01.2020
Ein italienischer Energiekonzern erhielt wegen unerlaubter Werbeanrufe an Verbraucher ein Bußgeld.

Des Weiteren wurde ein weiteres Bußgeld ausgesprochen, da viele Verbraucher über den Vertragsschluss beim Energiekonzern nicht informiert wurden und die Datenverarbeitung nicht transparent dargelegt wurde.
11,5 Mio. €Die Betreibung von Werbung bei Endverbrauchern setzt eine Einwilligung voraus. Das Thema Werbung und DSGVO finden Sie in einem weiterem Blogartikel.

Des Weiteren sind die Prozesse der Datenverarbeitung im Verfahrensverzeichnis zu dokumentieren und die Betroffenen mittels der Informationspflicht zu informieren.
Deutschland
27.01.2020
H&M steht ein Bußgeldverfahren bevor. Der Modehändler speicherte von seinen Mitarbeitern sehr private und vertrauensvolle Informationen (z.B. aktueller Gesundheitszustand, Todesfälle, Urlaube etc.).

Ein Mitarbeiter von H&M entdeckte die Ordner und Dateien zufällig.
35,3 Mio. €Das Bußgeldverfahren wird von der zuständigen Aufsichtsbehörde Hamburg geleitet.
Italien
01.01.2020
Eine italienische Telefongesellschaft erhält ebenfalls ein Bußgeld, wegen unerlaubter Telefonwerbung.

Seitens der Betroffenen lag keine Einwilligung vor bzw. deren Widerspruch bezüglich Werbung wurde nicht berücksichtigt.

Des Weiteren wurden Lücken innerhalb des Datenschutz-Managements seitens der Behörde festgestellt. Insbesondere die Definition der Rechtsgrundlagen für die Verarbeitung, die Prozessdefinition mit dem Umgang von Datenschutzverstößen und die Implementierung der TOMs erwiesen sich als nicht vollständig.

Weiterhin kam die Telefongesellschaft seiner Informationspflicht gegen über den Betroffenen unzureichend nach.
27,8 Mio. €Aufgrund des Bußgeldes kristallisiert sich heraus, dass das gesamtheitliche Datenschutz-Management (VVZ, Informationspflichten, Prozessbeschreibung Datenschutzvorfall und Betroffenenrechte, Definition und Umsetzung der TOMs, etc.) in Bezug auf die Dokumentations- und Rechenschaftspflicht ordentlich zu führen ist.

Gerne unterstützten wir Sie bei der Umsetzung der gesetzlichen Vorgaben.
Deutschland
30.06.2020
Die baden-württembergische Aufsichtsbehörde erließ gegen die AOK ein Bußgeld.

Die AOK verwendete angegebene Daten von Gewinnspielen zu Werbezwecke ohne die Einwilligung des Betroffenen.
1,2 Mio. €Sofern die Daten zu anderen Zwecken bei Gewinnspielen verarbeitet werden, ist eine Einwilligung seitens des Betroffenen bzw. des Teilnehmers nötig.

Die Einwilligung kann z.B. beim Ausfüllen des Teilnehmerbogens abgefragt werden. Weiterhin ist der Teilnehmer mittels der Informationspflicht über die Datennutzung zu informieren.
Belgien
16.07.2020
Die belgische Aufsichtsbehörde verhängte ein Bußgeld gegen Google.

Grund für das Bußgeld ist das Nichtumsetzen des Rechts auf Vergessenwerden.

Weiterhin erfüllt Google die Transparenzgebote der DSGVO bei der Beantwortung der Betroffenenanfragen nicht.
600.000,00 €
Deutschland
17.07.2020
Die Verbraucherzentrale verhängte ein Bußgeld an den Mobilcom-Debitel aufgrund von unerwünschten Werbeanrufen.

Bereits in der Vergangenheit hat Mobilcom unerlaubterweise Werbeanrufe getätigt und wiederholt.

Betroffene haben sich an die Verbraucherzentrale gewendet und vorgetragen, dass trotz Werbewiderspruch immer noch Anrufe erfolgten.
145.000,00 €Die Rechte der Betroffenen sind zu achten (hier Werbewiderspruch). Des Weiteren ist zu prüfen, welche Werbemaßnahmen und -mittel datenschutzkonform eingesetzt werden können.

Vor allem bei Endverbrauchern wird man um eine aktive Einwilligung nicht herumkommen.

Weitere Informationen zum Thema Werbung finden Sie hier.
Italien
27.07.2020
Das italienische Telekommunikationsunternehmen Wind Tre verstieß mehrfach gegen die DSGVO.

Insbesondere die Kontaktaufnahme über SMS, E-Mail, Fax und Anrufen zu Werbezwecke zu den Endverbrauchern ohne Einwilligung wiegt hier besonders schwer. Die Werbewidersprüche wurden nicht eingehalten bzw. vermerkt.

Weiterhin mussten die App-Nutzer von Wind Tre zustimmen, das ihre Daten zu Marketingzwecken, Profilingzwecken und Geoortung verarbeitet werden. Ein Widerspruch war erst nach 24 Stunden möglich.
17 Mio. € Die Betreibung von Werbung bei Endverbrauchern setzt eine Einwilligung voraus. Das Thema Werbung und DSGVO finden Sie in einem weiterem Blogartikel.

Des Weiteren sind die Prozesse der Datenverarbeitung im Verfahrensverzeichnis zu dokumentieren und die Betroffenen mittels der Informationspflicht zu informieren.
Frankreich
28.07.2020
Die französische Aufsichtsbehörde erließ ein Bußgeld gegen den Online-Shop Spartoo.

Zum Bußgeld kam es durch zahlreiche Verstöße. Dazu zählten insbesondere:
– Aufzeichnen von Anrufen mit dem gesamten Inhalt – auch Bankdaten wurden mit aufgezeichnet und für 15 Tage im Klartext gespeichert
– Personalausweiskopien zu Identifikationszwecken ist nicht mehr erforderlich nach Ansicht der Aufsichtsbehörde
– Verstoß gegen den Grundsatz der Speicherbegrenzung
– Nichteinhaltung der Informationspflicht nach Art. 13 DSGVO
– unzureichende TOMs (unsichere Passwörter, unsichere Aufbewahrung von Kopien der Kundenbankkarten)
250.000,00 €Dieser Fall zeigt deutlich, dass nicht alle Datenerhebungen gerechtfertigt bzw. zulässig sind.

Daher ist es umso wichtiger, eine saubere Verfahrensdokumentation anzulegen, die Risiken dabei zu identifizieren und durch Maßnahmenvorschläge zu minimieren.

Weiterhin sind die Betroffenen von der Datenverarbeitung nach Art. 13 und Art. 14 DSGVO zu informieren.
Deutschland
14.08.2020
Die Aufsichtsbehörde Hamburg kontrollierte stichprobenartig im Juni 2020 verschiedene Lokale und Gaststätten in Bezug auf die Datenerhebung und den -umgang.

Bei den Prüfungen wurde festgestellt, dass bei einem Drittel der Geprüften, die Kontaktlisten öffentlich zugänglich sind.

Die erneute Nachkontrolle zeigte eine wesentliche Verbesserung bei Gastronomen, jedoch nicht bei allen. Aus diesem Grund werden nun Bußgeldverfahren eingeleitet.
offen
Norwegen
09.2020
Die angebrachten Verkehrsüberwachungsaufnahmen der Kameras wurden seitens der öffentlichen Straßenverwaltung auch zu anderen fremden Zwecken verarbeitet.

Mittels der Videoaufzeichnungen wurden Vertragspartner, Subunternehmer und auch Mitarbeiter gewollt überwacht, was einen Verstoß gegen den eigentlichen Zweck (Verkehrssicherheit und Gewährleistung eines optimalen Verkehrsflusses).
37.400,00 €
Deutschland
12.2020
Das Unternehmen notebooksbilliger.de erhält ein Bußgeld aufgrund einer Überwachung der Mitarbeiter mittels einer Videokamera; ohne das eine Rechtsgrundlage vorlag.

Weiterhin waren auch Kunden in den Verkaufsräumen betroffen. Insbesondere wurden Bereiche gefilmt, die zum längeren Verweilen einluden, um die Geräte ausführlicher zu testen. Hier wurden die schutzwürdigen Interessen der Betroffenen verletzt.

Des Weiteren wurden die Aufnahmen 60 Tage, anstatt der vorhergesehenen max. 72 Stunden, gespeichert.

Die Begründung des Unternehmens beruft sich auf die Diebstahlprävention und Vermeidung von Straftaten. Die Aufsichtsbehörde kritisierte dies immens.

Die Videoüberwachung zur Straftatenvermeidung ist nur rechtmäßig, wenn ein begründeter Verdacht gegen eine konkrete Person vorliegt. In diesem Fall ist eine zeitlich begrenzte Überwachung möglich.
10,4 Mio. €Mit diesem Bußgeld wurde ein neuer Rekord in Bezug auf unerlaubte Videoüberwachung ausgesprochen.

Dieser Fall zeigt auch, dass es hier auch auf die Einzelheiten z.B. Kamerawinkel etc..

Es ist daher dringend anzuraten, sich im Vorfeld konkrete Gedanken über den Einsatz einer Videokamera zu machen und vor allem „mildere Mittel“ vorher auszuschöpfen.
Deutschland
01.2021
Die Bundesnetzagentur verhängte ein Bußgeld gegen das Callcenter Cell it! in Hamburg. Grund hierfür waren die unerlaubten Werbeanrufe bei Endverbrauchern für Drittanbieterprodukte (z.B. Abos für Hörbücher, Zeitschriften etc.) im Auftrag von mobilcom-debitel.
Weiterhin betrieb das Callcenter im Namen von Sky Deutschland Neukundenakquise ohne gültige Einwilligung der Endverbraucher. Die Adressen wurden über einen Adresshändler eingekauft. Durch eine angebliche Teilnahme an einem Gewinnspiel hätte der Betroffene auch somit sein Werbeeinverständnis erteilt.
Gegen die beiden Auftraggeber wird ebenfalls ein entsprechendes Bußgeldverfahren eingeleitet.
145.000,00 €Das Bußgeld ist noch nicht rechtskräftig.
Norwegen
01.2021
Die E-Mails von einem länger erkrankten Mitarbeiter wurden automatisch weitergeleitet. Der Mitarbeiter legte daraufhin Beschwerde bei der Aufsichtsbehörde ein, die dem Mitarbeiter zustimmte. 40.000 € (umgerechnet) Gerade das Thema E-Mail-Weiterleitung beschert immer wieder Anlass für potentielle Datenschutzverstöße.

Es ist dringend anzuraten, dies intern schriftlich zu fixieren, wann und und unter welchem Umständen die Mails weitergeleitet werden dürfen. Weiterhin ist klar zu definieren, ob die private Nutzung der Mail-Adresse erlaubt ist oder nicht (Stichwort: Postgeheiminis!).
Frankreich
01.2021
Die französische Datenschutzbehörde verhängte ein Bußgeld gegen einen Webshop-Betreiber und dessen Auftragsverarbeiteter, da unzureichende Schutzmaßnahmen zur Abwehr von Credential Stuffing Angriffen durchgeführt wurden.
 
Durch diese Methode ist den Angreifern möglich auf Nutzerkonten zuzugreifen, wenn die ausgespähten oder erbeuteten Zugangsdaten korrekt sind. Der Onlineshop wurde täglich von Millionen Nutzern besucht.
 
Interessant an diesem Sachverhalt ist vor allem, dass der Auftragsverarbeiter ebenfalls mit einem Bußgeld belangt wird. Die Aufsichtsbehörde betont, dass der Auftraggeber seinem Auftragsverarbeiter entsprechende dokumentiere Anweisungen zu geben hat; der Auftragsverarbeiter jedoch im Gegenzug auch eigenständig nach geeigneten TOMs suchen muss, um das Sicherheitslevel auch zu garantieren hat.
150.000,00 € gegen Webshop-Betreiber

75.000,00 € gegen Auftragsverarbeiter
Auch wenn Auftragsverarbeiter auf Weisung handeln, so hat dieser auch das Sicherheitsniveau durch geeignete TOMs sicherzustellen.
Deutschland
03.02.2021
Fußballfans des VfB Stuttgart müssen jetzt stark sein! Gegen den Fußballverein wird ein Bußgeldverfahren durch die Datenschutzbehörde von Baden-Württemberg eingeleitet. Die Aufsichtsbehörde prüfte die Datenverarbeitung zur Mitgliederversammlung im Jahr 2017 sowie die Datenübermittlung an externe Dienstleister. Die vorgelegten und geprüften Dokumente geben Anhaltspunkte, dass mehrere Datenschutz-Verstöße vorliegen. Die Aufsichtsbehörde verhängt ein Bußgeld wegen der unzureichenden Rechenschaftspflichten.300.000,00 €Dieses Bußgeld verdeutlicht die Wichtigkeit der Dokumentation und damit den Nachweis über die gesetzliche Rechenschaftspflicht.
Deutschland
11.02.2021
Die Bundesnetzagentur verhängte gegen den Energieversorger mivolta GmbH ein Bußgeld wegen unerlaubter Telefonwerbung bei Endverbrauchern.

Das Unternehmen rief durch die eigens dafür eingesetzten Vertriebspartner bei Endverbrauchern an, um Werbung für ihr eigene Produkte zu machen.

Was jedoch auch die Höhe des Bußgeldes mit ausmacht ist vor allem die Vorgehensweise und die Art der Anrufe. Teilweise erfolgten die Anrufe anonym, da die Rufnummer unterdrückt wurde. Somit hatten die Angerufenen keine Möglichkeit zurückzurufen oder einen Kontakt herzustellen.

Weiterhin gaben sich die Anrufer als den aktuellen Stromlieferanten aus und erlangten somit Zählerstände und -nummer. Die Betroffenen erhielten im Anschluss daran Vertragsunterlagen für einen neuen Tarif, der nur schwer zu widerrufen war.

Zudem kommt noch hinzu, dass die Werbeeinwilligungen erst nach dem Anruf datiert wurden. Letztendlich stellte die Bundesnetzagentur auch noch fest, dass die vorhandenen Einwilligungserklärungen aus Online-Gewinnspielen intransparent formuliert waren.
250.000,00 €Das Bußgeld ist noch nicht rechtskräftig. Über einen möglich Einspruch entscheidet das Amtsgericht Bonn.

Die Bundesnetzagentur teilt zudem mit, dass ein Bußgeld von bis zu 10.000 € fällig werden kann, wenn Unternehmen ihre Identität verschleiern und nicht zur Kennung geben.

Wenn Sie auch von Werbeanrufen belästigt werden, können Sie eine Beschwerde bei der Bundesnetzagentur unter: https://www.bundesnetzagentur.de/DE/Vportal/TK/Aerger/Faelle/UEW/beschwerde/start.html reinreichen.

Weiterhin haben Sie auch die Möglichkeit, sich bei der zuständigen Aufsichtsbehörde für den Datenschutz zu beschweren.
Italien
03.2021
Die Datenweitergabe von Gesundheitsdaten an den Ehemann führte zu einem hohen Bußgeld in einem italienischen Krankenhaus.

Eine Patientin führte einen Schwangerschaftsabbruch durch. Sie wies das Personal an, bei weiteren Rückfragen eine gesonderte Nummer anzurufen und niemanden über den Vorgang zu berichten. Nach der Entlassung kontaktiere eine Krankenschwester die Patienten aber über die in der Krankenakte hinterlegte Festnetznummer. Am Telefon nahm der Ehemann das Gespräch entgegen und die Krankenschwester teilte diesem die Informationen und das weitere Vorgehen zur Behandlung diesem mit.
50.000,00 €Dieser Vorfall zeigt, dass es unerlässlich, die Mitarbeiter auf die Weitergabe von Daten zu sensibilisieren und zu schulen.

Auch der Ehepartner ist in erster Linie als „Dritter“ anzusehen.
Niederlande
11.03.2021
Im Zentrum einer Gemeinde wurde ein WLAN-Tracking ohne gültige Rechtsgrundlage der Passanten durchgeführt.

Im Jahr 2017 wurden Messboxen in der Innenstadt angebracht, um den Andrang zu messen. Dabei wurden die WLAN-Signale der Endgeräte erfasst und mit einer eindeutigen Kennzeichnung versehen.
600.000,00 €Für jede Datenverarbeitung ist eine Rechtsgrundlage nach Art. 6 DSGVO zu definieren. Sofern keine Rechtsgrundlage definiert wurde, ist die Datenverarbeitung unzulässig.
Italien
25.03.2021
Ein Medienunternehmen veröffentlichte einen Artikel, in welchem sie Bezug auf den Betroffenen nahmen.

Der Betroffene verlangte Auskunft über die Daten. Dieser Anfrage ist das Unternehmen nicht umfänglich aufgrund der automatischen Entscheidungsfindung nicht nachgekommen. Der Betroffene verlangte weiterhin die Löschung des Artikels oder zumindest die Anonymisierung.
20.000,00 €
Niederlande
04.2021
Der Anbieter booking.com muss ein hohes Bußgeld aufgrund einer verspäteten Datenschutzmeldung an die Aufsichtsbehörde zahlen.

Hacker haben durch die Mitarbeiterkonten von booking.com Zugriff auf tausende Kundendaten, darunter auch Kreditkartendaten.
Booking.com sieht jedoch hier den Fehler nicht bei sich, da der Angriff nicht über die eigene Infrastruktur erfolgte, sondern ggf. durch Phishing oder Social-Engineering sich Zugriff verschafft wurde.

Die niederländische Aufsichtsbehörde sieht hier dennoch eine Verantwortlichkeit bei booking.com. Jedoch liegt der schwerwiegendere Fehler in der verspäteten Meldung an die Behörde. 22 Tage nach dem Vorfall wurden die Kunden informiert und erst nach 25(!!!) Tagen die Behörde.

Damit liegt ein Verstoß bei Meldefrist gem. Art. 33 Abs. 1 DSGVO vor.
475.000,00 €Die internen Prozesse zur Bearbeitung und Meldung von Datenschutzvorfällen müssen definiert und mit den Mitarbeitern kommuniziert werden.

Insbesondere ist der Datenschutzbeauftragte bei einem Vorfall zu kontaktieren. Mit diesem ist dann das weitere Vorgehen zu besprechen.
Ungarn
04.2021
Die Stadtregierung von Budapest speicherte Testdaten von Schnelltest und Genesenen in einer unverschlüsselten Excel-Datei. Diese Datei wurde ungeschützt per Mail an die Arztpraxis verschickt. 27.403,00 €Sensible Daten sind mit entsprechenden TOMs zu schützen. Beim E-Mail-Versand ist entweder das Dokument selbst mittels Passwort zu schützen oder die Mail mittels Inhaltsverschlüsselung zu versehen.
Norwegen
21.04.2021
Ein Restaurantinhaber filmte rund um die Uhr den Betrieb im Lokal. Teilweise wurde auch der öffentliche Teil, welcher nicht mehr zum Grundstück gehörte, überwacht. Davon betroffen waren die Mitarbeiter, die Kunden und Passanten.

Des Weiteren wurde ein Verstoß gegen die Informationspflicht nach Art. 13 DSGVO festgestellt.
20.007,00 €
Italien
27.05.2021
In 48 Fällen wurden durch ein Gesundheitsunternehmen die Gesundheitsdaten an die Hausärzte ohne die Einwilligung der Patienten übermittelt. Von dem Vorfall waren auch Daten von Minderjährigen und von Frauen, die einen Schwangerschaftsabbruch durchführten, betroffen.
Die Datenpanne ist aufgrund eines Softwarefehlers entstanden.

Der Vorfall wurde auch an die italienische Aufsichtsbehörde gemeldet. Das Unternehmen und die Behörden kooperierten bei dem Vorfall eng miteinander, um weitere Vorfälle zu vermeiden.
120.000,00 €Gesundheitsdaten bedürfen eines hohen Schutzniveaus. Auch wenn das Unternehmen richtig gehandelt hat und den Vorfall bei der Behörde gemeldet hat, so ist die Vermeidung eines Bußgelds nicht immer möglich.
Luxemburg
07.2021
Rekordstrafe für Amazon!? Eine französische Bürgerrechtsorganisation legte Beschwerde bei der Luxemburger Aufsichtsbehörde ein.

Die Organisation sieht einen Verstoß gegen die DSGVO bei den eingesetzten Werbemaßnahmen durch Amazon.

Amazon sieht diese Vorwürfe als unbegründet an.

Die zuständige Behörde bestätigt diesen Verstoß und sieht eines der höchsten Bußgelder seit Inkrafttreten der DSGVO vor.
746.000.000,00 €Amazon kündigte bereits an, gegen den Bescheid vorzugehen. Sofern hier neue Informationen veröffentlicht werden, wird der Beitrag ergänzt.
Spanien
12.07.2021
Das spanische Telekommunikationsunternehmen Vodafone Espana S.A.U. erhielt wegen nicht erfolgter Datenlöschungen ein Bußgeld.

Die betroffene Person erhielt durch das beauftragte Inkassounternehmen von Vodafone die Aufforderung zur Begleichung der ausstehenden Gebühren. Jedoch wurde der Vertrag nicht auf die betroffene Person abgeschlossen, sondern über einen Dritten. Dieser erhielt unrechtmäßigerweise den Namen und die ID-Nummer der Betroffenen und schloss den Vertrag auf die betroffene Person ab.

Die Betroffene forderte Vodafone zur Auflösung des Vertrags und zur Datenlöschung auf. Vodafone reagierte nicht darauf und die Betroffene wandte sich an die Aufsichtsbehörde.
96.000,00 €Betroffenenrechte sind zu beachten und auch umzusetzen. Es ist daher intern unerlässlich, dass ein Prozess zum Umgang mit Betroffenenanfragen definiert und auch umgesetzt wird. Sämtliche Mitarbeiter sind im Prozess natürlich auch zu involvieren.
Italien
22.07.2021
Der Essenslieferant Deliveroo Italy s.r.l. erhielt ein beachtliches Bußgeld aufgrund von massiven Datenschutzverstößen bei ca. 8.000 Personen.

Das Unternehmen setzte einen App ein, indem die Arbeitsweise der Fahrer bewertete wurde und somit ein Profiling stattfand. Die Fahrer wurden über diese Systematik nicht ausreichend informiert. Des Weiteren wurde festgestellt, dass die Speicherbegrenzung nicht beachtet wurde. Die App erfasste alle 12 Sekunden die Standortdaten der Fahrer. Die Daten wurden für 6 Jahre durch das Unternehmen gespeichert.
2.500.000,00 €Die Überwachung der Mitarbeiter, gerade im Bereich der GPS-Ortung sollte gut bedacht werden und auch ausreichend dokumentiert sein. Bei GPS-Ortungen ist auch nach Ansicht der Behörden eine DSFA durchzuführen.

Wenn die Abwägungen und Risikoanalysen ergeben, dass der Einsatz von GPS-Ortungen zulässig ist, sind die Betroffenen (meist Mitarbeiter) ausführlich über die Datenverarbeitung nach Art. 13 DSGVO zu informieren.
Spanien
27.07.2021
Eine spanische Bank erteilte Telefonauskünfte an Kunden ohne konkrete Authentifizierung. Die Kunden mussten lediglich die Ausweisnummer nennen, um auf Transkationen eines Kontos zuzugreifen.

Die Aufsichtsbehörde sieht darin eine Verstoß gegen die TOMs nach Art. 32 DSGVO.
120.000,00 €Einen ähnlichen Fall hat es auch in Deutschland beim Anbieter 1&1 gegeben. Dieser erhielt ebenfalls ein Bußgeld, da die Kunden nach Ansicht der Behörden nicht ausreichend identifiziert wurden.

Die Bußgelder zeigen deutlich, wie wichtig die Definition der TOMs nach Art der personenbezogenen Daten sind. Bei vertraulichen oder sensiblen Daten (wie bei Banken oder TK-Anbietern) ist eine erhöhte Sicherheit für die Identifizierung nötig.
Deutschland
08.2021
In einem Webshop wurde eine veraltete Software genutzt, woraufhin ein SQL-Injection-Angriff möglich war, um Kundendaten (Zugangsdaten, Passwörter im Klartext) abzugreifen. Auch der Hersteller wies auf die veraltete Version und warnte sogar, diese nicht mehr zu nutzen.

Die Passwörter in der Datenbank wurden zwar mit einer Hashfunktion (MD5) verschlüsselt, die allerdings nicht auf den Einsatz von Passwortverschlüsselungen ausgelegt ist. Des Weiteren wurden auch kein Salt genutzt

Die Behörde kam zum Entschluss, dass die getroffenen TOMs nicht ausreichend waren, da eine Softwareaktualisierung mit wenig Aufwand verbunden ist.
65.000,00 €Exkurs: Was ist ein SQL-Injection-Angriff: Mit SQL-Injection-Angriffen können Angreifer ind ne Besitz der Zugangsdaten aller in der Anwendung registrierten Personen kommen. Dieser Angrifssvektor entsteht, wenn nicht alle vom Endanwender veränderbare Eingaben so maskiert werden, dass die Datenbank sie nicht als Befahl verstehen kann. Ohne Maskierung führt die DAtenbank jeglichen Befehl mit eigenen Rechten aus. So können ganze DAtenbanktabellen ausgegeben oder gelöscht werden. Auch das Herunterfahren des Servers kann möglich sein.
Österreich
08.2021
In dem „jö Bonus Club“ der österreichischen Rewe-Gruppe mit seinen Partnern wurden nach Ansicht der Behörde die darin registrierten 4 Mio. Kunden nicht ordnungsgemäß über die Datenverarbeitung informiert.

Insbesondere geht es dabei um das Profiling, über welches in den AGBs informiert und damit die automatische Zustimmung der Kunden eingeholt wurde.

Die Aufsichtsbehörde bemängelt auch den die Webseite des Clubs sowie auch das Anmeldformular zum Club. Für die Kunden war die Zustimmung für das Profiling nicht immer eindeutig erkennbar. Der Club hat das Anmeldeverfahren dahingehend verändert. Es wurden dennoch weiterhin Daten von ca. 2,3 Mio. Personen unberechtigterweise weiter verarbeitet.
2.000.000,00 €
England
02.08.2021
Das britische Telekommunikationsunternehmen YCSL erhielt ein Bußgeld, weil dieses trotz Werbewidersprüchen weiterhin Werbeanrufe an Kunden tätigte.

Die britische Aufsichtsbehörde stellte fest, dass ca. 200.000 Anrufe ohne eine Einwilligung oder anderweitige Rechtsgrundlage erfolgte.

Es stellte sich zudem noch heraus, dass die Nummern im sog. TPS-Register vermerkt wurden. Das Register dient eigentlich dem Schutz vor ungewollten Werbeanrufen. Die Behörde erreichten 13 Beschwerden.
170.000,00 €Das Thema Werbung und Datenschutz kommt immer wieder zur Sprache und auch die Frage: Was ist erlaubt? Wann und von wem wird eine Einwilligung benötigt?

Mit diesen Fragen haben wir uns in einem Blogartikel beschäftigt.
Italien
02.08.2021
Die italienische Aufsichtsbehörde erließ ein Bußgeld gegen den Flughafen Bologna wegen einer nicht durchgeführten DSFA.

Die DSFA hätten für die TOMs für das Hinweisgebersystem (Whistleblowing) durchgeführt werden müssen. Des Weiteren wurde keine Verschlüsselung für die Daten vorgenommen.

Der Verantwortliche argumentierte, dass u.a. nur eine begrenzte Anzahl von Meldungen und damit verarbeiteten Daten vorgenommen wird; eine Verschlüsselung nur bei einer Vielzahl von Datensätzen nötig gewesen werden wäre etc.

Die Behörde hielt die Argumentation für unbegründet und verhängte das Bußgeld.
40.000,00 €Die Pflicht zur Durchführung einer DSFA ist in Art. 35 DSGVO festgeschrieben. Als Hilfestellung hat die DSK eine Blacklist veröffentlicht, wann eine DSFA durchzuführen ist. Ist man sich dennoch unsicher, ist ein Kontakt zur Behörde sinnvoll, um den Sachverhalt zu besprechen.
Irland
09.2021
WhatsApp bzw. der Mutterkonzern Facebook erhält seitens der irischen Landesdatenschutzbehörde ein Bußgeld in Höhe von 225 Mio. Euro.

Der Fall resultiert bereits aus dem Jahr 2018. Facebook wurde vorgeworfen gegen die Transparenzpflicht nach Art. 12 ff. DSGVO zu verstoßen.

Die irische Datenschutzbehörde prüfte den Fall und „nach einer langwierigen und umfassenden Untersuchung“ kam die Behörde zu einem Ergebnis. Facebook sollte „lediglich“ 50 Mio. Euro zahlen. Allerdings sah der der Europäische Datenschutzausschuss darin keine Verhältnismäßigkeit und forderte die Behörde dazu auf den Fall nochmals neu zu bewerten und das Bußgeld zu erhöhen.

Ein Sprecher von WhatsApp erklärte, dass sie mit dem Bußgeld nicht einverstanden sind und Rechtsmittel einlegen wollen.
225.000.000,00 €Sofern hier weitere Informationen zur Verfügung stehen, werden wir den Beitrag ergänzen.
Auch hat sich Max Schrems (noyb) zu dieser Entscheidung geäußert:

„Wir begrüßen die erste Entscheidung der irischen Aufsichtsbehörde. Allerdings erhält die DPC seit 2018 etwa zehntausend Beschwerden pro Jahr, und dies ist die erste größere Geldstrafe. Die Datenschutzbehörde hatte ursprünglich eine Geldbuße von 50 Millionen Euro vorgeschlagen und wurde von den anderen europäischen Datenschutzbehörden gezwungen, sich auf 225 Millionen Euro zu bewegen, was immer noch nur 0,08 % des Umsatzes der Facebook-Gruppe entspricht. Die Datenschutz-Grundverordnung sieht Geldbußen von bis zu 4 % des Umsatzes vor. Dies zeigt, dass die Datenschutzbehörde immer noch extrem dysfunktional ist.“
Deutschland
01.10.2021
Der Energiekonzern Vattenfall hatte im Zeitraum von August 2018 bis Dezember 2019 Daten von Neukunden intern abgeglichen, um wechselhaltiges und ggf. missbräuchliches Verhalten zu erkennen.

Der Hamburgische Datenschutzbeauftragte prüfte den Fall und stimmte zu, dass die Datenverarbeitung an sich rechtmäßig war.

Allerdings versäumte es die Vattenfall die Neukunden mit der Informationspflicht über diese Verarbeitungstätigkeit zu informieren.

Vattenfall akzeptiert das Bußgeld und besser auch die Informationspflichten entsprechend nach.
900.000,00 €Dieser Fall zeigt, dass nicht zwingend ein Datenschutzverstoß vorliegen muss, um ein hohes Bußgeld auszusprechen. Es ist auch schon ausreichend, wenn die Vorgaben zur Transparenzpflicht nicht gewahrt und umgesetzt werden.

Daher ist auch eine regelmäßige Überprüfung der Datenschutz-Unterlagen nötig, um neue Verfahren zu identifizieren und damit auch die Informationspflichten zu aktualisieren.

Die Auflistung ist nicht abschließend und wird fortlaufend ergänzt.
Es besteht kein Anspruch auf Vollständigkeit der Liste.

Fehlt Ihnen ein Eintrag? Dann hinterlassen Sie uns gerne einen Kommentar.

Diesen Beitrag teilen

Wie hilfreich war der Artikel?
Danke!
3 Comments on “Bußgelder nach der DSGVO

Leave a reply

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.