Bußgeldübersicht

Um sicherzustellen, dass sich Unternehmen an die Vorschriften der DS-GVO halten, hat der europäische Gesetzgeber eine Reihe unterschiedlicher Sanktionen für Datenschutzverletzungen vorgesehen. Die bekannteste Sanktion, die Aufsichtsbehörden verhängen können, ist das Bußgeld. Bereits nach dem alten deutschen Datenschutzrecht konnten Verstöße gegen das Datenschutzrecht mit einem Bußgeld geahndet werden. Dieses lag aber weit unter den jetzt drohenden Summen. Mit Inkrafttreten der DS-GVO hat sich der Bußgeldrahmen um das 66-Fache erhöht. In besonders gravierenden Fällen kann daher ein Bußgeld von 20 Millionen Euro oder vier Prozent des Jahresumsatzes drohen – je nachdem, welcher Betrag höher ist.

Der zulässige Maximalbetrag wird aber eher selten verhängt. Die Aufsichtsbehörden sind verpflichtet, bei der Festsetzung eines Bußgelds drei Kriterien zu beachten: Das Bußgeld muss abschreckend, wirksam und angemessen sein. Aktuell arbeiten die Aufsichtsbehörden an einem einheitlichen Verfahren zur Ermittlung der konkreten Höhe eines Bußgelds. Hierzu wird voraussichtlich aus der Unternehmensgröße und aus der Art der Datenschutzverletzung ein Betrag X errechnet, der anschließend anhand verschiedener Einzelfallkriterien an den individuellen Einzelfall angepasst wird. Zu den bußgeldbeeinflussenden Faktoren gehören z. B.

  • die Anzahl der von der Datenschutzverletzung betroffenen Personen.
  • Maßnahmen, die zur Schadensabwendung ergriffen wurden.
  • die Kooperationsbereitschaft mit der Aufsichtsbehörde.
  • die Anzahl vorhandener Verwarnungen oder Bußgelder.

Wie hoch ein Bußgeld im Einzelfall ausfällt, ist damit von unterschiedlichen Komponenten abhängig. Bereits verhängte Bußgelder können daher nur als grobe Orientierung dienen. Bisher gibt es nur sehr wenige Fälle, in denen ein empfindliches Bußgeld in sechs- oder siebenstelliger Höhe verhängt wurde. Nachfolgend finden Sie die bisher bekannt gewordenen Bußgelder , die aber keinesfalls als Festbeträge für vergleichbare Fälle angesehen werden dürfen. Einen einheitlichen Bußgeldkatalog wie im Straßenverkehrsrecht wird es aufgrund der von der DS-GVO vorgeschriebenen drei Einzelfallkriterien Abschreckung, Wirksamkeit und Angemessenheit auch bei einheitlichen Berechnungsmethoden nicht geben.

Bußgelder aus Deutschland

Baden-Württemberg

Nach einem Hackerangriff im Juli 2019 wurden personenbezogene Daten von rd. 330.000 Benutzern, darunter Passwörter und E-Mail-Adressen, bekannt gegeben. Das betroffene Unternehmen war nach dem Datenschutzverstoß besonders kooperativ, hat seine Melde- und Informationspflichten erfüllt und alles Mögliche getan, um den Schaden für die Betroffenen so gering wie möglich zu halten. Deshalb hat die Aufsichtsbehörde das Bußgeld im Verhältnis zu den Verstößen eher niedrig bemessen.

Gesundheitsdaten wurden versehentlich im Internet veröffentlicht. Weitere Informationen zu der Strafe werden von der zuständigen Datenschutzbehörde nicht veröffentlicht.

Ein Polizist hat unter Verwendung seiner amtlichen Benutzerkennung für private Zwecke das Kennzeichen und anschließend die Telefonnummern einer Person abgefragt und diese telefonisch kontaktiert – ohne offiziellen Grund oder das Einverständnis des Betroffenen.

Berlin

Das Bußgeld wurde gegen einen Lieferdienst für eine Reihe von einzelnen Verstößen verhängt. Bei den meisten geahndeten Einzelverstößen handelt es sich um die Verletzung von Betroffenenrechten wie unerwünschte Werbung, die Missachtung von Löschfristen, die Missachtung des Werbewiderspruchs sowie von Auskunftsersuchen. Außerdem spielte bei der Höhe des Bußgelds auch das Ausbleiben weiterer Maßnahmen zur pflichtgemäßen Erfüllung von Betroffenenrechten eine Rolle. Das Unternehmen wurde im Vorfeld bereits mehrfach aufgefordert, seine grundsätzlichen strukturellen Organisationsprobleme zu beheben.

Das Bußgeld wurde gegen eine Immobiliengesellschaft wegen Verletzung der Löschpflichten verhängt. Das eingesetzte Archivsystem war technisch nicht in der Lage, nicht mehr erforderliche Daten zu löschen. Außerdem wurden personenbezogene Daten gespeichert, ohne dass die Zulässigkeit dieser Verarbeitung geprüft wurde. Betroffen waren persönliche und finanzielle Informationen von Mietern, beispielsweise Gehaltsbescheinigungen, Kontoauszüge sowie Steuer-, Sozial- und Krankenversicherungsdaten.

Das Bußgeld wurde gegen eine Online Bank verhängt. Die Online Bank führte eine „schwarze Liste“ mit Daten von ehemaligen Kunden. Eine solche Liste ist jedoch nur zulässig, wenn es sich um Kunden handelt, die unter Geldwäscheverdacht stehen. Die auf der schwarzen Liste geführten Personen konnten so keine Konten mehr eröffnen.

Bonn

Das Authentifizierungsverfahren eines Telekommunikationsdienstleisters bei telefonischen Anfragen war nicht ausreichend, um eine Person eindeutig zu identifizieren. Teilweise waren die Angabe des Namens und des Geburtsdatums ausreichend, um weitere persönliche Informationen zu erhalten. Zwar hatte das Unternehmen rasch reagiert und das Verfahren angepasst, jedoch entschied sich der Bundesdatenschutzbeauftragte trotzdem das Bußgeld zu verhängen, da das unzureichende Authentifizierungsverfahren für den gesamten Kundenstamm des Unternehmens darstellte.

Your Content Goes HereEin Telekommunikationsanbieter kam seiner Pflicht zur Bestellung eines Datenschutzbeauftragten nicht nach. Dieser wurde bereits im Vorfeld mehrfach von der Behörde aufgefordert, seiner Bestellpflicht nachzukommen. Bei der Bemessung der Bußgeldhöhe wurde berücksichtigt, dass es sich um ein Kleinstunternehmen handelt.

Hamburg

Ein Datenschutzverstoß wurde verspätet gemeldet und die betroffenen Personen nicht informiert.

Das betroffene Unternehmen hatte eine Anfrage an die Datenschutzbehörde Hessens gestellt, in der es wissen wollte, wie mit einem Diensteanbieter umgegangen werden muss, der keine AVV unterschreiben möchte. Der Fall wurde an die örtlich zuständige Datenschutzbehörde von Hamburg weitergeleitet. Diese verhängte daraufhin eine Geldbuße gegen das Unternehmen als Verantwortlichen, da es personenbezogene Daten ohne AVV verarbeiten ließ. Das Unternehmen legte aber erfolgreich Rechtsmittel gegen diese Entscheidung ein.

Rheinland-Pfalz

Die Geldbuße wurde gegen ein Krankenhaus verhängt, das strukturelle Defizite im Patientenmanagement aufwies. Grund für das Bußgeldes waren mehrere Verstöße gegen die DS-GVO wegen unzureichender Technisch-Organisatorischer Maßnahmen beim Patientenmanagement. Bekannt wurden die Schwächen im Zusammenhang mit einer Patientenverwechslung bei der Aufnahme des Patienten, die eine falsche Rechnungsstellung zur Folge hatte.

Sachsen-Anhalt

Die Geldbuße wurde gegen eine Privatperson verhängt, die zwischen Juli und September 2018 mehrere E-Mails verschickte, in denen sie persönliche, für alle Empfänger sichtbare E-Mail-Adressen verwendete. So konnte jeder Empfänger unzählige andere Empfänger lesen. Dem Mann wurden zwischen Mitte Juli und Ende Juli 2018 zehn Straftaten vorgeworfen. Laut Schreiben der Behörde waren zwischen 131 und 153 persönliche E-Mail-Adressen in seiner Mailingliste erkennbar. Das Buß-geld wirkt auf den ersten Blick eher gering. Da es aber gegen eine Privatperson verhängt wurde, ist es doch verhältnismäßig hoch.

Bußgelder aus anderen europäischen Ländern

Bußgelder aus Bulgarien

Ein Mitarbeiter hat an seinen Arbeitgeber einen Antrag auf Zugang zu seinen persönlichen Daten gerichtet. Die Anfrage wurde nicht rechtzeitig und nicht vollständig beantwortet.

Eine Bank hat personenbezogene Daten über einen Studenten ohne Rechtsgrundlage erhalten.

Bußgelder aus Dänemark

Während das Unternehmen die Namen seiner Kunden nach zwei Jahren aus all seinen Aufzeichnungen löschte, umfasste die Löschung nicht die übrigen Aufzeichnungen der Fahrten (etwa 8.873.333 Taxifahrten). Damit hielt das Unternehmen zu Unrecht an den Telefonnummern der Einzelpersonen fest.

IDdesign hatte personenbezogene Daten von rund 385.000 Kunden länger als für die Zwecke, für die sie verarbeitet wurden, erforderlich, verarbeitet. Darüber hinaus hatte das Unternehmen in seinem neuen CRM-System keine Fristen für die Löschung personenbezogener Daten festgelegt und dokumentiert. Die für das alte System festgelegten Fristen wurden nach Ablauf der Frist für die Information nicht gelöscht. Außerdem wurden die Löschvorgänge für personenbezogene Daten nicht ausreichend dokumentiert.

Bußgelder aus England

Dieser Vorfall betraf zum Teil die Weiterleitung des Nutzerverkehrs auf der Firmenhomepage der Britisch Airways zu einer betrügerischen Website, über die Kundendaten von den Hackern gesammelt wurden. Es wird angenommen, dass ca. 500.000 Kunden betroffen waren. Die Untersuchung des ICO ergab, dass aufgrund der unzureichenden Sicherheitsvorkehrungen im Unternehmen eine Reihe von Informationen abgegriffen wurden, einschließlich Log-in-Daten, Zahlungsinformationen und Reisebuchungsdetails sowie Namen und Adressen.

Bußgelder aus Frankreich

Trotz mehrfacher Beschwerden und Aufforderungen der Aufsichtsbehörde behob der Arbeitgeber die gerügten Datenschutzverletzungen bei der Videoüberwachung nicht. Für die Höhe des Bußgelds spielte die Anzahl der Mitarbeiter (9) und die angespannte finanzielle Situation des Unternehmens eine Rolle.

Die Geldbuße wurde auf der Grundlage von Beschwerden einer österreichischen und einer französischen Organisation verhängt, die unmittelbar nach Inkrafttreten der DS-GVO eingereicht wurden. Die Beschwerden betrafen die Einrichtung eines Google-Kontos bei der Konfiguration eines Mobiltelefons unter Verwendung des Android-Betriebssystems. Die erhaltenen Zustimmungen waren nicht „spezifisch“ und nicht „eindeutig“.

Das Bußgeld wurde gegen eine Immobilienfirma verhängt, da sensible Benutzerdokumente, die von Mietkandidaten hochgeladen wurden, online zugänglich waren, ohne dass ein Authentifizierungsverfahren vorhanden war. Obwohl die Sicherheitslücke dem Unternehmen seit März 2018 bekannt war, wurde sie erst im September 2018 endgültig behoben. Darüber hinaus bewahrte das Unternehmen die von den Bewerbern zur Verfügung gestellten Unterlagen länger als erforderlich auf. Die Aufsichtsbehörde berücksichtigte unter anderem die Schwere des Verstoßes (mangelnde Sorgfalt bei der Beseitigung von Sicherheitslücken und die Tatsache, dass die Dokumente sehr intime Aspekte des Lebens der Nutzer enthüllten), die Größe des Unternehmens und seine finanzielle Leistungsfähigkeit.

Die französische Aufsichtsbehörde (CNIL) verhängte gegen ein Unternehmen ein Bußgeld in Höhe von 500.000 Euro. Bei den Verstößen handelte es sich um die fehlende Dokumentation von Werbewidersprüchen, die Missachtung von Informationspflichten sowie die Übermittlung von Daten in Drittländer ohne ausreichende Rechtsgrundlage. Hauptgrund für die Verhängung des Bußgeldes war allerdings der Verstoß gegen den Grundsatz der Datenminimierung im CRM-System des Unternehmens.
Während der Telefonate mit Interessenten und Kunden wurden unter anderem auch Informationen zum Gesundheitszustand sowie Unmutsäußerungen des Gesprächspartners gesammelt und im CRM-System gespeichert. Bei der Bemessung der Bußgeldhöhe kam hinzu, dass die Aufsichtsbehörde den Verantwortlichen bereits Ende September 2018 dazu aufgefordert hatte, die Missstände zu beheben und dem Grundsatz der Datenminimierung zu entsprechen. Das Unternehmen zeigte sich jedoch wenig kooperativ und verstieß damit gegen seine Mitwirkungspflicht.

Bußgelder aus Griechenland

PwC Business Solutions stützte sich bei der Datenverarbeitung auf eine Einwilligung, obwohl die Datenverarbeitung eigentlich auf der Erfüllung von (Arbeits-)Verträgen, der Einhaltung gesetzlicher Pflichten oder anderen Rechtsgrundlagen basiert. Zudem wurde der Grundsatz der Transparenz verletzt, da gegenüber den Angestellten der Eindruck erweckt wurde, die Daten werden auf Grundlage einer Einwilligung verarbeitet, obwohl dies eigentlich unter einer anderen Rechtsgrundlage geschah. Dies geht mit einem Verstoß gegen die Informationspflichten einher. Das Unternehmen konnte gegenüber der HDPA nicht nachweisen, dass geeignete Rechtsgrundlagen geprüft wurden, was zusätzlich gegen die Rechenschaftspflicht verstößt.

Bußgelder aus Italien

Das Unternehmen beauftragte ein Callcenter, für ein drittes Unternehmen neue Kunden zu akquirieren, wobei das Callcenter hierfür eigene Kontakte verwendete. Hatten die Angerufenen Interesse am Abschluss eines Vertrages, wurden ihre Daten an das Unternehmen weitergeleitet. Das beauftragende Unternehmen als verantwortliche Stelle wurde dabei nirgends erwähnt und alle Vorgänge erfolgten, ohne die Betroffenen über ihre Rechte aufzuklären oder deren Einwilligung einzuholen.

Bußgelder aus Litauen

Bei einer Inspektion stellte die Datenschutzbehörde fest, dass der für die Verarbeitung Verantwortliche, ein Zahlungsdienstleister, mehr Daten verarbeitete als zur Erfüllung des Zwecks erforderlich waren. Darüber hinaus wurde bekannt, dass vom 09. bis 10. Juli 2018 Zahlungsdaten aufgrund unzureichender technischer und organisatorischer Maßnahmen im Internet öffentlich verfügbar waren. Betroffen waren 9.000 Zahlungen mit 12 Banken aus verschiedenen Ländern. Die notwendige Meldung des Datenverstoßes gem. Art. 33 DS-GVO blieb aus.

Bußgelder aus Malta

Aufgrund des Fehlens geeigneter Sicherheitsmaßnahmen auf der Internetseite einer Landesbehörde wurden über 10 Gigabyte an persönlichen Daten über eine einfache Google-Suche für die Öffentlichkeit leicht zugänglich. Die Mehrheit der durchgesickerten Daten enthielt hochsensible Informationen und Korrespondenzen zwischen Einzelpersonen und der Behörde selbst.

Bußgelder aus Norwegen

Der Vorfall betrifft Computerdateien mit Benutzernamen und Kennwörtern für über 35.000 Benutzerkonten von Schülern und Mitarbeitern einer Grundschule im Computersystem der Gemeinde. Das Fehlen von Sicherheitsmaßnahmen ermöglichte es jedem, sich in die verschiedenen Informationssysteme der Schule einzuloggen und auf diese Weise auf verschiedene Kategorien personenbezogener Daten zuzugreifen. Als erschwerend wurde die Anzahl der Betroffenen angesehen und, dass die Mehrheit davon Kinder sind. Die Gemeinde war auch mehrmals sowohl von der Behörde als auch von einem internen Hinweisgeber gewarnt worden, dass die Datensicherheit unzureichend sei.

Bußgelder aus Österreich

Die Videoüberwachung war nicht ausreichend markiert und ein großer Teil des Gehsteigs der Anlage wurde aufgezeichnet. Eine Überwachung des öffentlichen Raums in großem Umfang durch Privatpersonen ist nicht zulässig.

Bußgelder aus Polen

Die Geldbuße betraf das Verfahren im Zusammenhang mit der Tätigkeit eines Unternehmens, das die Daten der betroffenen Personen aus öffentlich zugänglichen Quellen verarbeitete und die Daten für kommerzielle Zwecke nutzte. Das Unternehmen hat aus Kostengründen ausschließlich die Betroffenen informiert, deren E-Mail-Adressen bekannt waren. Die Übrigen wurden nicht direkt in Kennt-nis gesetzt, sondern über eine Informationsklausel auf der Website. Dies reicht nach Ansicht der polnischen Aufsichtsbehörde nicht aus.

Ein Sportverband veröffentlichte personenbezogene Daten von Richtern, denen eine richterliche Genehmigung online erteilt wurde. Es wurden jedoch nicht nur ihre Namen angegeben, sondern auch ihre genauen Adressen und PESEL-Nummern, wofür es keine Rechtsgrundlage gibt. Durch die Veröffentlichung stellte der Administrator ein potenzielles Risiko für ihre nicht autorisierte Verwendung dar. Obwohl der Verband selbst seinen eigenen Fehler bemerkte, wurde aufgrund der fehlgeschlagenen Versuche, die Daten zu entfernen, eine Geldbuße verhängt. Bei der Festsetzung der Höhe der Geldbuße wurden unter anderem auch die Dauer der Zuwiderhandlung und die große Anzahl von Betroffenen (585 Richter) berücksichtigt. Positiv berücksichtigt wurde die gute Zusammenarbeit mit der Aufsichtsbehörde und, dass den Betroffenen kein nachweisbarer Schaden entstanden ist.

Bußgelder aus Portugal

Die Untersuchung der Beschwerde ergab, dass die Mitarbeiter des Krankenhauses durch falsche Benutzerrollen Zugang zu Patientendaten hatten, die sie nicht benötigten. Das Profilverwaltungssystem schien unzulänglich zu sein – das Krankenhaus hatte 985 registrierte Arztprofile, während es nur 296 Ärzte gab. Darüber hinaus hatten die Ärzte uneingeschränkten Zugang zu allen Patientenakten unabhängig von der Spezialisierung des Arztes.

Bußgelder aus Rumänien

Eine Bank hat aufgrund mangelhafter technischer- und organisatorischer Maßnahmen bei Überweisungen den Empfängern die Identifikationsnummer und Adresse des Auftraggebers offengelegt. Dies verletzte den Grundsatz Data Protection by Design, da die technischen Prozesse bei der Bank nicht so gestaltet waren, dass die Rechte und Freiheiten der Betroffenen angemessen geschützt werden. Betroffen waren hier ca. 337.000 Kunden.

Bußgelder aus Spanien

Der Inhaber der App – der Ausrichter einer spanischen Fußballliga – wollte Gaststätten und Kneipen ausfindig machen, in denen ohne Lizenz Fußballspiele der Liga übertragen werden. Hierzu verlangte er zur Nutzung der App Zugriff auf das Mikrofon der Smartphones und ihren Standort und wertete diese Daten dann aus. Über diese Erhebung und Verarbeitung ihrer Daten wurden die Nutzer der App nur sehr undurchsichtig informiert, erst nach einem Update der Nutzungsbedingungen infolge des Inkrafttretens der DS-GVO ist die Spionage aufgefallen.

Aufgrund von fehlenden geeigneten Maßnahmen zur telefonischen Authentifizierung, war es einem Unberechtigten gelungen, sich als vertretungsberechtigt auszugeben und den Vertragsnehmer eines Energieversorgungsvertrags zu ändern. Die von dem angeblichen Vertreter des Vertragsnehmers genannten personenbezogenen Daten des Betroffenen wurden daher vom Mitarbeiter der EDP Comercializadora, SA ungeprüft erfasst und zur weiteren Vertragsdurchführung genutzt. Die spanische Aufsichtsbehörde bewertete die Verarbeitung der personenbezogenen Daten des Betroffenen als unrechtmäßig, da kein Vertragsverhältnis zw. dem Betroffenen und der EDP Comercializadora, SA bestehe. Es wurde ein Bußgeld in Höhe von EUR 75.000 verhängt. Zudem erhielt die EDP Comercializadora, SA die Auflage, eine geeignete Methode zur Identitätsfeststellung zu implementieren.

Bußgelder aus der Tschechischen Republik

Die Verarbeitung personenbezogener Daten erfolgte nicht auf eine Weise, die eine angemessene Sicherheit der Daten, einschließlich des Schutzes vor unbefugter oder rechtswidriger Verarbeitung sowie vor versehentlichem Verlust, Zerstörung oder Beschädigung, durch geeignete technische oder organisatorische Maßnahmen („Integrität und Vertraulichkeit“) gewährleistet.

Die Daten wurden nicht nur dann verarbeitet, wenn dies für die Zwecke, für die sie verarbeitet werden, angemessen, relevant und auf das Notwendige beschränkt ist („Datenminimierung“). Außerdem erfolgte die Verarbeitung nicht nur in einer Form, die die Identifizierung der betroffenen Personen nicht länger als erforderlich ermöglicht für die Zwecke, für die die personenbezogenen Daten verarbeitet werden („Speicherbeschränkung“).

Bußgelder aus Ungarn

Die Geldbuße wurde gegen eine Privatperson verhängt, die zwischen Juli und September 2018 mehrere E-Mails verschickte, in denen sie persönliche, für alle Empfänger sichtbare E-Mail-Adressen verwendete. So konnte jeder Empfänger unzählige andere Empfänger lesen. Dem Mann wurden zwischen Mitte Juli und Ende Juli 2018 zehn Straftaten vorgeworfen. Laut Schreiben der Behörde waren zwischen 131 und 153 per-sönliche E-Mail-Adressen in seiner Mailingliste erkennbar. Das Bußgeld wirkt auf den ersten Blick eher gering. Da es aber gegen eine Privatperson verhängt wurde, ist es doch verhältnismäßig hoch.

Das Bußgeld wurde gegen ein Finanzinstitut verhängt, weil es unrechtmäßig den Antrag eines Kunden auf Löschung seiner Telefonnummer zurückgewiesen hatte. In seiner Entscheidung betonte die Aufsichtsbehörde, dass die Telefonnummer des Kunden nicht zum Zweck des Inkassobetriebs erforderlich ist, da der Gläubiger auch mit dem Schuldner auf dem Postweg kommunizieren kann. Daher verstieß die Aufrechterhaltung der Telefonnummer des Schuldners gegen die Grundsätze der Datenminimierung und der Zweckbindung.

Eine Bank hat versehentlich SMS-Nachrichten über die Kreditkartenschulden eines Kunden an die Telefonnummer einer anderen Person gesendet. Nachdem die Bank zum Zeitpunkt des Vertragsabschlusses eine falsche Telefonnummer erhalten hatte, entsprach die Bank nicht der Aufforderung der betroffenen Person, die Daten zu löschen, und sandte weiterhin eine SMS an die falsche Telefonnummer.

Die Geldbuße wurde gegen das Bürgermeisteramt der Stadt Kecskemét verhängt, nachdem ein Mitarbeiter einer von ihr beaufsichtigten Organisation eine Beschwerde im öffentlichen Interesse direkt gegen seinen Arbeitgeber eingereicht hatte. Nachdem die Organisation von der Beschwerde erfahren hatte, bat sie um Einzelheiten, um Nachforschungen anzustellen und die örtliche Regierung gab versehentlich den Namen des Beschwerdeführers bekannt. Die Aufsichtsbehörde betrachtete es als einen erschwerenden Faktor, dass die Organisation als Folge des Datenverstoßes die Person entließ, die den Bericht erstattete.

Ein für die Datenverarbeitung Verantwortlicher verwendete aus Sicht der Aufsichtsbehörde eine falsche Rechtsgrundlage für die Verarbeitung personenbezogener Daten (Art. 6. Abs. 1 lit. b) DS-GVO) für die Abtretung von Ansprüchen.

Das Bußgeld wurde gegen Facebook aufgrund irreführender Werbung verhängt. Das Unternehmen wirbt damit, kostenlos zu sein, was aber nicht der Fall sei. Die Aufsichtsbehörde begründete das Bußgeld damit, dass das Geschäftsmodell von Facebook darin besteht, detaillierte Daten über die Nutzer zusammenzustellen und gezielte Werbemöglichkeiten an Geschäftskunden zu verkaufen. Der Preis für die Nutzung sind die persönlichen Daten der User, die Werbung mit einer kostenlosen Mitgliedschaft sei damit falsch und irreführend. Das Unternehmen wurde seit dem Jahr 2010 mehrfach ermahnt, dennoch wurden die Nutzungsbedingungen nach Ansicht der Aufsichtsbehörde nicht ausreichend angepasst.