Bußgelder nach der DSGVO

Knowledge Base der Datenbeschützerin

Mit der DSGVO können höhere Bußgelder als im Gegensatz zum BDSG ausgesprochen werden. Seit dem 25.05.2018 sind bereits einige Bußgelder erlassen worden. Es wurden jedoch bisher nie die „gefürchteten“ 2 Millionen Euro erreichten. (vor allem nicht bei Klein- und Mittelständischen Unternehmern). 

Die Bußgeldberechnung wurde durch das im Oktober 2019 veröffentlichte Bußgeldkonzept der DSK transparenter dargestellt.

In der nachfolgenden Liste erhalten Sie eine Übersicht über die ausgesprochenen Bußgelder in Europa aber auch in den Drittländern durch die zuständigen Aufsichtsbehörden.

Eine Übersicht über Urteile zur DSGVO finden Sie in einem eigenen Beitrag.

Die Auflistung ist nicht abschließend und wird fortlaufend ergänzt.
Es besteht kein Anspruch auf Vollständigkeit der Liste.

Land und DatumVorfall / Grund für BußgeldHöhe des BußgeldsAnmerkungen / Hinweise der Datenbeschützerin
Österreich
19.09.2018
Ein Lokalbetreiber zeichnete mit seiner Videoüberwachung einen großflächigen Teil der öffentlichen Straße auf ohne ausreichende Kennzeichnung.4.800,00 €Prüfung, welche Bereiche von der Kamera erfasst werden. Hinweisschilder nach Art. 13 DSGVO anbringen. 
Portugal
23.10.2018
Nicht autorisierte Personen (z.B. Techniker) hatten in einem Krankenhaus Zugriff auf Patientendaten. 400.000,00 €Um einen unberechtigten Zugriff zu vermeiden, ist es unerlässlich ein Zugriffs- und Berechtigungskonzept zu definieren.
Deutschland
22.11.2018
Der Social-Media-Anbieter „Knuddels“ speicherte Passwörter der Nutzer unverschlüsselt auf dem Server ab.20.000,00 €Passwörter sind mittels verschiedenen technischen Möglichkeiten (z.B. Hashes) verschlüsselt zu speichern.
Großbritannien
22.11.2018
Strafe gegen Facebook, da App-Entwickler (Cambridge-Analytics) Zugriff auf Kundendaten hatte
Update 10.05.19: Facebook rechnet mit ein Milliardenstrafe. Die FTC (Federal Trade Commission) prüft die von der Behörde verhängten Auflagen, da gegen diese vermutlich verstoßen wurde.
565.000,00 €
DeutschlandEin Mitarbeiter eines Immobilienmaklers erhob Daten von Eigentümer und nutzte diese zu werblichen Zwecken. Dabei lag keine Einwilligung der Betroffenen noch eine andere Rechtsgrundlage vor. offenIn unserem Blogbeitrag finden Sie weitere Informationen zum Thema Werbeversand an Privatpersonen, Interessenten und Geschäftspartner
DeutschlandEin Unternehmen von Testsystemen für Labordiagnostik erhielt ein Bußgeld aufgrund unberechtigter Erhebung und Verarbeitung von personenbezogenen Daten sowie einer unrichtigen Auskunftserteilung.fünfstellig (genauer Betrag unbekannt)
Deutschland
15.01.2019
Gesundheitsdaten wurden im Internet veröffentlicht (Verantwortlicher ist unbekannt)80.000,00 €
Deutschland
20.01.2019
Hamburg: Bußgeld für fehlende Auftragsverarbeitungsverträge. Das Bußgeld ging an den Auftraggeber. Nach Ansicht der Aufsichtsbehörde, hätte er die Zusammenarbeit beenden sollen, da der Auftragnehmer die Einhaltung des Datenschutzes nicht nachweisen konnte.5.000,00 €Einholung des AV-Vertrags als Auftraggeber
Frankreich
21.01.2019
Die Art und Weise der Datensammlung von Google verstöße gegen die DSGVO (Unklarheiten über Datenmengen, Weitergabe, Zweckbestimmung, keine Einwilligung der Nutzer für Werbezwecke)50.000.00,00 €
Österreich
12.02.2019
Die Post in Österreich verarbeitete Daten von Bürgern für die „Parteiaffinität“ zum Zwecke der personalisierten Werbung.unbekannt
Deutschland
13.02.2019
Ein Einwohner von Merseburger schickte Wut-Mails an hunderte E-Mail-Adressen im E-Mail-Verteiler.2.000,00 €In Einzelfällen können Privatpersonen mit einem Bußgeld belangt werden.
USA
28.02.2019
Auf der Lip-Sync-Plattform Musical.ly (jetzt TikTok) wurde Datenschutz für Kinder (COPPA – Children’s Online Privacy Protection) missachtet.5.000.000,00 €
Österreich
12.03.2019
Unerlaubte Videoüberwachung in fünf Fällen
Deutschland
20.03.2019
Lidl erhob und speicherte unzulässigerweise Daten von Krankheiten der Mitarbeiter36.000,00 €
Polen
01.04.2019
Ein Aktienunternehmen erfüllte die Informationspflichten nach Art. 13 und Art. 14 DSGVO nicht.220.000,00 €Informationspflichten nach Art. 13 und Art. 14 DSGVO ordnungsgemäß erstellen und kommunizieren.
Frankreich
18.04.2019
Zugriff auf Kundendaten im Optikerzentrum durch Dritte.25.000,00 €
Dänemark
18.04.2019
Nichteinhaltung von Zweckbindung und Speicherbegrenzung eines Taxiunternehmens.161.000,00 €Zweckbindungen im Verfahrensverzeichnis definieren und einhalten
Norwegen
10.05.2019
Die Stadtverwaltung von Bergen erhielt ein Bußgeld, da Benutzerkonten von Schülern und Schulangestellten offen zugänglich ohne Sicherheitsmaßnahmen. Folglich konnte sich jeder auf die Systeme einloggen. Folgende Daten waren hinterlegt: Name, Adresse, Passwort, Geburtsdatum, Schulzugehörigkeit, Schulnoten, digitale Lerninhalte und Einschätzungen der Lehrer. 
Das Bußgeld wurde aufgrund von Art. 5 Abs.1 lit. f DSGVO erlassen.
170.000,00 €
Deutschland
23.05.2019
Die Onlinebank N26 soll eine schwarze Liste mit Ex-Kunden geführt haben, die keine neuen Konten mehr bei dieser Bank eröffnen können. Der Berliner Datenschutzbeauftragte verhängte somit ein Bußgeld.50.000,00 €
Spanien
12.06.2019
Die App „La Liga“ hat Zugriff auf Positionsdaten und das Mikrofon, ohne dass die Benutzer darüber klar und transparent informiert wurden. La Liga will gerichtlich gegen die Entscheidung vorgehen.250.000,00 €
Dänemark
11.06.2019
Die dänische Firma ID Design wurde mit einen Bußgeld belegt, da diese Kundendaten in ihrem altem System nicht gelöscht hat. Es handelte sich um 385.000 Datensätze, die eigentlich zu löschen gewesen wären.1.500.000,00 €Definition der Löschfristen; Entwicklung von Löschkonzepten; Prüfung, ob Löschkonzepte eingehalten werden
Deutschland
18.06.2019
Ein Bußgeld wurde gegen einen Polizeibeamten aus Baden-Württemberg verhängt. Dieser hat Daten mit seiner dienstlichen Nutzerkennung für private Zwecke zur Kontaktaufnahme abgerufen und genutzt.1.400,00 €In Einzelfällen können Privatpersonen mit einem Bußgeld belangt werden.
Frankreich
26.06.2019
Ein französisches Unternehmen hat mittels eines Videoüberwachungssystems die Mitarbeiter dauerhaft gefilmt. Mitarbeiter reichten bereits im Februar 2018 Beschwerde ein. Die Behörde ermittelte und stellte fest, dass die Büroräume ohne ausreichende Kennzeichnung und Hinweise überwacht werden. Auch waren die PCs nicht passwortgeschützt und die Mitarbeiter griffen auf ein gemeinsames E-Mail-Postfach mit einen bekannten Passwort zu. Zusätzlich zum Bußgeld wird bei Nichtbefolgung ein Säumniszuschlag von 200,00 €/Tag fällig.20.000,00 €Aufnahme der Videoüberwachung in das Verfahrensverzeichnis; Kennzeichnungs- und Informationspflichten ggü. den Betroffenen erfülle.
Großbritannien
08.07.2019
Cyberkriminelle griffen 2018 bei einem Angriff persönliche Daten und Kreditkarteninformationen von Kunden der British Airways ab. Es waren ca. 500.000 Kunden betroffen. Nach Ansicht der Aufsichtsbehörde hätte der Angriff durch höhere Schutzmaßnahmen verhindert werden können.

Update Oktober 2020: Das Bußgeld von 200 Mio. auf 20 Mio.
20.000.000 €British Airways wird vermutlich Widerspruch gegen das Bußgeld einlegen
Griechenland
31.07.2019
Die griechische Aufsichtsbehörde verhängte ein Bußgeld gegenüber der PwC. Ausschlaggebend war die Verarbeitung aufgrund einer „falschen“ Rechtsgrundlage. PwC ließ sich von den Mitarbeitern die Datenverarbeitung einwilligen (Art. 6 Abs. 1 lit. a DSGVO). Die Aufsichtsbehörde sah darin einen Verstoß gegen Art. 5 Abs. 1 lit. a DSGVO. Daraus resultierend kann PwC seiner Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO nicht nachkommen.150.000,00 €Prüfung, welche Rechtsgrundlage für die Datenverarbeitung einschlägig ist
Deutschland
27.08.2019
Die Videoüberwachung in einem Erotik-Varité wurde als rechtswidrig seitens der Behörde eingestuft. Eine Vor-Ort-Kontrolle bestätigte dies.5.000,00 €Es ist immer zu prüfen, ob eine Videoüberwachungzulässig ist oder nicht
Schweden
29.08.2019
Eine Schule kontrollierte in einem „Experiment“ die Anwesenheit von Schülern mittels Gesichtserkennung. Die Schule holte sich die Einwilligung der Eltern ein, jedoch reichte diese nicht aus. Die Aufsichtsbehörde hätte ebenfalls mit involviert werden müssen20.000,00 €
USA
04.09.2019
Google zahlt für YouTube eine Millionenstrafe. YouTube sammelte Daten von Kindern und schaltete personalisierte Werbung.170.000.000,00 €
Deutschland
19.09.2019
Der Lieferdienst Delivery Hero erhielt ein Bußgeld seitens der Berliner Aufsichtsbehörde. Grund für das Bußgeld waren der Weiterversand von Werbemails, mangelhafte oder unvollständige Datenauskunft und nicht gelöschte Daten.195.000,00 €Es ist daher unerlässlich, die internen Prozesse rund um die Betroffenenrechte ordentlich zu gestalten und auch zu leben. Auch ein ordnungsgemäßes Löschkonzept sollte in diesem Zuge ebenfalls erstellt werden.
Polen
02.10.2019
Das Unternehmen Morele.netz erhielt ein Bußgeld aufgrund zweier Vorfälle. 

1. Die Kundendatenbank wurde von Unbefugten geknackt und hatten Zugang auf die Daten. 
2. Des Weiteren erhielten die Unbefugten Zugriff auf Ratenzahlungsverträge.
660.000,00 €datenschutz-notizen.de
Spanien
25.10.2019
Eine spanische Fluggesellschaft erhielt ein Bußgeld, weil sie keine Einwilligung in die Nutzung von (Marketing) Cookies einholte.30.000,00 €Prüfung, welche Cookies und Plugins auf der Webseite eingesetzt werden. Es ist daraufhin ebenfalls zu prüfen, für welche Cookies und Plugins ein Opt-In benötigt wird. Anschließend ist dies in form eines transparenten Einwilligungsbanner darzustellen
Deutschland
05.11.2019
Die Deutsche Wohnen SE erhielt ein Bußgeld von 14,5 Mio. Euro. Der ausschlaggebende Grund für die Höhe des Bußgeldes war unter anderem die Nichtbefolgung der dringenden Empfehlung des Berliner Datenschutzbeauftragten.
Im Jahr 2017 prüfte der Berliner Datenschutzbeauftragte die Deutsche Wohnen SE vor Ort. Dabei wurde festgestellt, dass zahlreiche Daten von Mietern z.B. Gehaltsbescheinigungen, Selbstauskunftsformulare etc. gespeichert und gesammelt wurden. Die Empfehlung lautet, das Archivsystem umzustellen.
Dieser Empfehlung ist die Deutsche Wohnen SE nicht gefolgt und nach einer erneuten Prüfung im Oktober 2019 konnte keine Verbesserung festgestellt werden.

14,5 Mio. € Es ist daher unerlässlich sich mit dem Themengebiet „Löschkonzept“ auseinander zu setzen. Die Löschfristen sind zu definieren, worauf hin das ein Löschkonzept zu entwickeln ist. Daraufhin ist auch zu prüfen, ob das Löschkonzept eingehalten und gelebt wird.
Deutschland
03.12.2019
Ein Krankenhaus erhielt aufgrund mehrerer Verwechslungen von Patienten ein Bußgeld. In Folge der Verwechslung wurden Rechnungen erstellt und versandt.
Der Datenschutzbeauftragte von Rheinland-Pfalz sieht darin eine Vernachlässigung der TOMs im Bereich des Patientenmanagements.
105.000 €
Deutschland
09.12.2019
Der Telekommunikationsbieter 1&1 traf keine ausreichende TOMs zur Identifizierung von Anrufern und Kunden. Somit konnten unberechtigte Dritte Informationen erhalten. 1&1 fragte zur Identifizierung lediglich den Namen und das Geburtsdatum ab.

UPDATE 11.2020: Das LG Bonn hat in einem Urteil die Bußgeldhöhe heruntergesetzt. Begründet wird das geringere Bußgeld damit, dass das Verschulden von 1&1 eher gering ist und auch der Datenschutzverstoß als geringfügig anzusehen ist (auch nach Ansicht des BfDI).

Des Weiteren wurde ebenfalls gegen den Telekommunikationsanbieter Rapidata GmbH Bußgeld ausgesprochen. Dieser hatte trotz mehrmaliger Aufforderung kein betrieblichen DSB bestellt.
9.550.0000,00 €
900.000,00 €



10.000,00 €
Ein geeignetes Verfahren zur Identifizierung der Betroffenen sollte angestrebt werden. Dabei sollten jedoch nur Daten abgefragt werden, die bereits vorhanden sind (z.B. Kundennummer, letzte Rechnungsnummer etc.).




Prüfung, ob ein Datenschutzbeauftragter nach Art. 37 DSGVO iVm. § 38 Abs. 1 BDSG-neu (ab 20 Personen) zu bestellen ist.
Großbritannien
21.12.2019
Eine Apotheke erhielt ein Bußgeld aufgrund mangelnder Sicherheitsvorkehrungen von sensiblen Daten.

So wurden Dokumente mit persönlichen Daten in unverschlossenen Kisten, Entsorgungssäcken und Pappkartons aufbewahrt. Der Zugriff durch unberechtigte Dritte konnte somit nicht ausgeschlossen werden.
322.000,00 €Physikalische und digitale Daten, insbesondere sensible personenbezogene Daten nach Art. 9 DSGVO, sind mittels technischer und organisatorischer Maßnahmen (TOMs) zu schützen.

Jedes Unternehmen hat die TOMs aufgrund der Risikoanalyse zu definieren.
Italien
27.01.2020
Ein italienischer Energiekonzern erhielt wegen unerlaubter Werbeanrufe an Verbraucher ein Bußgeld.

Des Weiteren wurde ein weiteres Bußgeld ausgesprochen, da viele Verbraucher über den Vertragsschluss beim Energiekonzern nicht informiert wurden und die Datenverarbeitung nicht transparent dargelegt wurde.
11,5 Mio. €Die Betreibung von Werbung bei Endverbrauchern setzt eine Einwilligung voraus. Das Thema Werbung und DSGVO finden Sie in einem weiterem Blogartikel.

Des Weiteren sind die Prozesse der Datenverarbeitung im Verfahrensverzeichnis zu dokumentieren und die Betroffenen mittels der Informationspflicht zu informieren.
Deutschland
27.01.2020
H&M steht ein Bußgeldverfahren bevor. Der Modehändler speicherte von seinen Mitarbeitern sehr private und vertrauensvolle Informationen (z.B. aktueller Gesundheitszustand, Todesfälle, Urlaube etc.).

Ein Mitarbeiter von H&M entdeckte die Ordner und Dateien zufällig.
35,3 Mio. €Das Bußgeldverfahren wird von der zuständigen Aufsichtsbehörde Hamburg geleitet.
Italien
01.01.2020
Eine italienische Telefongesellschaft erhält ebenfalls ein Bußgeld, wegen unerlaubter Telefonwerbung.

Seitens der Betroffenen lag keine Einwilligung vor bzw. deren Widerspruch bezüglich Werbung wurde nicht berücksichtigt.

Des Weiteren wurden Lücken innerhalb des Datenschutz-Managements seitens der Behörde festgestellt. Insbesondere die Definition der Rechtsgrundlagen für die Verarbeitung, die Prozessdefinition mit dem Umgang von Datenschutzverstößen und die Implementierung der TOMs erwiesen sich als nicht vollständig.

Weiterhin kam die Telefongesellschaft seiner Informationspflicht gegen über den Betroffenen unzureichend nach.
27,8 Mio. €Aufgrund des Bußgeldes kristallisiert sich heraus, dass das gesamtheitliche Datenschutz-Management (VVZ, Informationspflichten, Prozessbeschreibung Datenschutzvorfall und Betroffenenrechte, Definition und Umsetzung der TOMs, etc.) in Bezug auf die Dokumentations- und Rechenschaftspflicht ordentlich zu führen ist.

Gerne unterstützten wir Sie bei der Umsetzung der gesetzlichen Vorgaben.
Deutschland
30.06.2020
Die baden-württembergische Aufsichtsbehörde erließ gegen die AOK ein Bußgeld.

Die AOK verwendete angegebene Daten von Gewinnspielen zu Werbezwecke ohne die Einwilligung des Betroffenen.
1,2 Mio. €Sofern die Daten zu anderen Zwecken bei Gewinnspielen verarbeitet werden, ist eine Einwilligung seitens des Betroffenen bzw. des Teilnehmers nötig.

Die Einwilligung kann z.B. beim Ausfüllen des Teilnehmerbogens abgefragt werden. Weiterhin ist der Teilnehmer mittels der Informationspflicht über die Datennutzung zu informieren.
Belgien
16.07.2020
Die belgische Aufsichtsbehörde verhängte ein Bußgeld gegen Google.

Grund für das Bußgeld ist das Nichtumsetzen des Rechts auf Vergessenwerden.

Weiterhin erfüllt Google die Transparenzgebote der DSGVO bei der Beantwortung der Betroffenenanfragen nicht.
600.000,00 €
Deutschland
17.07.2020
Die Verbraucherzentrale verhängte ein Bußgeld an den Mobilcom-Debitel aufgrund von unerwünschten Werbeanrufen.

Bereits in der Vergangenheit hat Mobilcom unerlaubterweise Werbeanrufe getätigt und wiederholt.

Betroffene haben sich an die Verbraucherzentrale gewendet und vorgetragen, dass trotz Werbewiderspruch immer noch Anrufe erfolgten.
145.000,00 €Die Rechte der Betroffenen sind zu achten (hier Werbewiderspruch). Des Weiteren ist zu prüfen, welche Werbemaßnahmen und -mittel datenschutzkonform eingesetzt werden können.

Vor allem bei Endverbrauchern wird man um eine aktive Einwilligung nicht herumkommen.

Weitere Informationen zum Thema Werbung finden Sie hier.
Italien
27.07.2020
Das italienische Telekommunikationsunternehmen Wind Tre verstieß mehrfach gegen die DSGVO.

Insbesondere die Kontaktaufnahme über SMS, E-Mail, Fax und Anrufen zu Werbezwecke zu den Endverbrauchern ohne Einwilligung wiegt hier besonders schwer. Die Werbewidersprüche wurden nicht eingehalten bzw. vermerkt.

Weiterhin mussten die App-Nutzer von Wind Tre zustimmen, das ihre Daten zu Marketingzwecken, Profilingzwecken und Geoortung verarbeitet werden. Ein Widerspruch war erst nach 24 Stunden möglich.
17 Mio. € Die Betreibung von Werbung bei Endverbrauchern setzt eine Einwilligung voraus. Das Thema Werbung und DSGVO finden Sie in einem weiterem Blogartikel.

Des Weiteren sind die Prozesse der Datenverarbeitung im Verfahrensverzeichnis zu dokumentieren und die Betroffenen mittels der Informationspflicht zu informieren.
Frankreich
28.07.2020
Die französische Aufsichtsbehörde erließ ein Bußgeld gegen den Online-Shop Spartoo.

Zum Bußgeld kam es durch zahlreiche Verstöße. Dazu zählten insbesondere:
– Aufzeichnen von Anrufen mit dem gesamten Inhalt – auch Bankdaten wurden mit aufgezeichnet und für 15 Tage im Klartext gespeichert
– Personalausweiskopien zu Identifikationszwecken ist nicht mehr erforderlich nach Ansicht der Aufsichtsbehörde
– Verstoß gegen den Grundsatz der Speicherbegrenzung
– Nichteinhaltung der Informationspflicht nach Art. 13 DSGVO
– unzureichende TOMs (unsichere Passwörter, unsichere Aufbewahrung von Kopien der Kundenbankkarten)
250.000,00 €Dieser Fall zeigt deutlich, dass nicht alle Datenerhebungen gerechtfertigt bzw. zulässig sind.

Daher ist es umso wichtiger, eine saubere Verfahrensdokumentation anzulegen, die Risiken dabei zu identifizieren und durch Maßnahmenvorschläge zu minimieren.

Weiterhin sind die Betroffenen von der Datenverarbeitung nach Art. 13 und Art. 14 DSGVO zu informieren.
Deutschland
14.08.2020
Die Aufsichtsbehörde Hamburg kontrollierte stichprobenartig im Juni 2020 verschiedene Lokale und Gaststätten in Bezug auf die Datenerhebung und den -umgang.

Bei den Prüfungen wurde festgestellt, dass bei einem Drittel der Geprüften, die Kontaktlisten öffentlich zugänglich sind.

Die erneute Nachkontrolle zeigte eine wesentliche Verbesserung bei Gastronomen, jedoch nicht bei allen. Aus diesem Grund werden nun Bußgeldverfahren eingeleitet.
offen
Norwegen
09.2020
Die angebrachten Verkehrsüberwachungsaufnahmen der Kameras wurden seitens der öffentlichen Straßenverwaltung auch zu anderen fremden Zwecken verarbeitet.

Mittels der Videoaufzeichnungen wurden Vertragspartner, Subunternehmer und auch Mitarbeiter gewollt überwacht, was einen Verstoß gegen den eigentlichen Zweck (Verkehrssicherheit und Gewährleistung eines optimalen Verkehrsflusses).
37.400,00 €

Fehlt Ihnen ein Eintrag? Dann hinterlassen Sie uns gerne einen Kommentar.

Diesen Beitrag teilen

Wie hilfreich war der Artikel?
Danke!
One Comment on “Bußgelder nach der DSGVO”

Leave a reply

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.