Bußgeldübersicht

Um sicherzustellen, dass sich Unternehmen an die Vorschriften der DS-GVO halten, hat der europäische Gesetzgeber eine Reihe unterschiedlicher Sanktionen für Datenschutzverletzungen vorgesehen. Die bekannteste Sanktion, die Aufsichtsbehörden verhängen können, ist das Bußgeld. Bereits nach dem alten deutschen Datenschutzrecht konnten Verstöße gegen das Datenschutzrecht mit einem Bußgeld geahndet werden. Dieses lag aber weit unter den jetzt drohenden Summen. Mit Inkrafttreten der DS-GVO hat sich der Bußgeldrahmen um das 66-Fache erhöht. In besonders gravierenden Fällen kann daher ein Bußgeld von 20 Millionen Euro oder vier Prozent des Jahresumsatzes drohen – je nachdem, welcher Betrag höher ist.

Der zulässige Maximalbetrag wird aber eher selten verhängt. Die Aufsichtsbehörden sind verpflichtet, bei der Festsetzung eines Bußgelds drei Kriterien zu beachten: Das Bußgeld muss abschreckend, wirksam und angemessen sein. Aktuell arbeiten die Aufsichtsbehörden an einem einheitlichen Verfahren zur Ermittlung der konkreten Höhe eines Bußgelds. Hierzu wird voraussichtlich aus der Unternehmensgröße und aus der Art der Datenschutzverletzung ein Betrag X errechnet, der anschließend anhand verschiedener Einzelfallkriterien an den individuellen Einzelfall angepasst wird. Zu den bußgeldbeeinflussenden Faktoren gehören z. B.

  • die Anzahl der von der Datenschutzverletzung betroffenen Personen.
  • Maßnahmen, die zur Schadensabwendung ergriffen wurden.
  • die Kooperationsbereitschaft mit der Aufsichtsbehörde.
  • die Anzahl vorhandener Verwarnungen oder Bußgelder.

Wie hoch ein Bußgeld im Einzelfall ausfällt, ist damit von unterschiedlichen Komponenten abhängig. Bereits verhängte Bußgelder können daher nur als grobe Orientierung dienen. Bisher gibt es nur sehr wenige Fälle, in denen ein empfindliches Bußgeld in sechs- oder siebenstelliger Höhe verhängt wurde. Nachfolgend finden Sie die bisher bekannt gewordenen Bußgelder , die aber keinesfalls als Festbeträge für vergleichbare Fälle angesehen werden dürfen. Einen einheitlichen Bußgeldkatalog wie im Straßenverkehrsrecht wird es aufgrund der von der DS-GVO vorgeschriebenen drei Einzelfallkriterien Abschreckung, Wirksamkeit und Angemessenheit auch bei einheitlichen Berechnungsmethoden nicht geben.

Bußgelder aus Deutschland

Baden-Württemberg

Nach einem Hackerangriff im Juli 2019 wurden personenbezogene Daten von rd. 330.000 Benutzern, darunter Passwörter und E-Mail-Adressen, bekannt gegeben. Das betroffene Unternehmen war nach dem Datenschutzverstoß besonders kooperativ, hat seine Melde- und Informationspflichten erfüllt und alles Mögliche getan, um den Schaden für die Betroffenen so gering wie möglich zu halten. Deshalb hat die Aufsichtsbehörde das Bußgeld im Verhältnis zu den Verstößen eher niedrig bemessen.

Gesundheitsdaten wurden versehentlich im Internet veröffentlicht. Weitere Informationen zu der Strafe werden von der zuständigen Datenschutzbehörde nicht veröffentlicht.

Ein Polizist hat unter Verwendung seiner amtlichen Benutzerkennung für private Zwecke das Kennzeichen und anschließend die Telefonnummern einer Person abgefragt und diese telefonisch kontaktiert – ohne offiziellen Grund oder das Einverständnis des Betroffenen.

Bei einem mittelständischen Lebensmittelhandwerksunternehmen über seine Unterlagen über ein Bewerberprotal einreichen, das auf der Webseite eingebunden war. Die Datenübermittlung wurde aber nicht verschlüsselt. Auch die Speicherung der Bewerberdaten erfolgte unverschlüsselt und war auch nicht passwortgeschützt. Zudem bestand zu den ungesicherten Bewerberdaten eine Verknüpfung zu Google, was zur Folge hatte, dass die Bewerbungsunterlagen im Rahmen einer Suche des Bewerbernamens über Google für jedermann aufrufbar waren.

Berlin

Das Bußgeld wurde gegen einen Lieferdienst für eine Reihe von einzelnen Verstößen verhängt. Bei den meisten geahndeten Einzelverstößen handelt es sich um die Verletzung von Betroffenenrechten wie unerwünschte Werbung, die Missachtung von Löschfristen, die Missachtung des Werbewiderspruchs sowie von Auskunftsersuchen. Außerdem spielte bei der Höhe des Bußgelds auch das Ausbleiben weiterer Maßnahmen zur pflichtgemäßen Erfüllung von Betroffenenrechten eine Rolle. Das Unternehmen wurde im Vorfeld bereits mehrfach aufgefordert, seine grundsätzlichen strukturellen Organisationsprobleme zu beheben.

Das Bußgeld wurde gegen eine Immobiliengesellschaft wegen Verletzung der Löschpflichten verhängt. Das eingesetzte Archivsystem war technisch nicht in der Lage, nicht mehr erforderliche Daten zu löschen. Außerdem wurden personenbezogene Daten gespeichert, ohne dass die Zulässigkeit dieser Verarbeitung geprüft wurde. Betroffen waren persönliche und finanzielle Informationen von Mietern, beispielsweise Gehaltsbescheinigungen, Kontoauszüge sowie Steuer-, Sozial- und Krankenversicherungsdaten.

Das Bußgeld wurde gegen eine Online Bank verhängt. Die Online Bank führte eine „schwarze Liste“ mit Daten von ehemaligen Kunden. Eine solche Liste ist jedoch nur zulässig, wenn es sich um Kunden handelt, die unter Geldwäscheverdacht stehen. Die auf der schwarzen Liste geführten Personen konnten so keine Konten mehr eröffnen.

Die Berliner Beauftragte für Datenschutz und Informationsfreiheit verhängte ein Bußgeld in Höhe von 6.000 Euro gegen den Landesverband einer Berliner Partei. Dieser veröffentlichte im Februar 2018 auf seiner Internseite eine Karte von Google Maps, auf der Einrichtungen für Asylsuchende verzeichnet waren. Zu jedem dieser Standorte wurden auch die Namen, Telefon- und Handynummern sowie die E-Mail-Adressen der dort tätigen Helfer angegeben. Die Karte wurde zwar von Goolge gesperrt, da diese auch Verletzungen der Google eigenen Richtlinien aufwies, jedoch waren die Daten weiterhin leicht über den Quelltext der Seite abzurufen.

Ein berechtigtes Interesse des Landesverbands war aus Sicht der Aufsichtsbehörde jedoch hier nicht gegeben. Die schutzwürdigen Interessen der Flüchtlingshelfer, dass deren Kontaktdaten nicht auf einer Plattform für Flüchtlingsgegnerinnen- und gegner bekannt gemacht werden, wiegen eindeutig höher, als das Interesse des Verbandes die Daten zu veröffentlichen. Folglich hätte der Verband Einwilligungen der betroffenen Personen einholen müssen. Da dies vorliegend nicht der Fall war und die Daten ohne Zustimmung der Betroffenen veröffentlicht wurden, verhängte die Aufsichtsbehörde ein Bußgeld.

Bonn

Das Authentifizierungsverfahren eines Telekommunikationsdienstleisters bei telefonischen Anfragen war nicht ausreichend, um eine Person eindeutig zu identifizieren. Teilweise waren die Angabe des Namens und des Geburtsdatums ausreichend, um weitere persönliche Informationen zu erhalten. Zwar hatte das Unternehmen rasch reagiert und das Verfahren angepasst, jedoch entschied sich der Bundesdatenschutzbeauftragte trotzdem das Bußgeld zu verhängen, da das unzureichende Authentifizierungsverfahren für den gesamten Kundenstamm des Unternehmens darstellte.

Your Content Goes HereEin Telekommunikationsanbieter kam seiner Pflicht zur Bestellung eines Datenschutzbeauftragten nicht nach. Dieser wurde bereits im Vorfeld mehrfach von der Behörde aufgefordert, seiner Bestellpflicht nachzukommen. Bei der Bemessung der Bußgeldhöhe wurde berücksichtigt, dass es sich um ein Kleinstunternehmen handelt.

Brandenburg

Das Authentifizierungsverfahren eines Telekommunikationsdienstleisters bei telefonischen Anfragen war nicht ausreichend, um eine Person eindeutig zu identifizieren. Teilweise waren die Angabe des Namens und des Geburtsdatums ausreichend, um weitere persönliche Informationen zu erhalten. Zwar hatte das Unternehmen rasch reagiert und das Verfahren angepasst, jedoch entschied sich der Bundesdatenschutzbeauftragte trotzdem das Bußgeld zu verhängen, da das unzureichende Authentifizierungsverfahren für den gesamten Kundenstamm des Unternehmens darstellte.

Your Content Goes HereEin Telekommunikationsanbieter kam seiner Pflicht zur Bestellung eines Datenschutzbeauftragten nicht nach. Dieser wurde bereits im Vorfeld mehrfach von der Behörde aufgefordert, seiner Bestellpflicht nachzukommen. Bei der Bemessung der Bußgeldhöhe wurde berücksichtigt, dass es sich um ein Kleinstunternehmen handelt.

Hamburg

Der Betreiber eines Schwimmbades hat seine Gäste und Mitarbeiter in unzulässiger Weise mittels Videokameras überwacht und die Aufnahmen gespeichert. Mit der Wartung der Videoüberwachungsanlage wurde ein Dienstleister beauftragt, der Zugriff auf die Videoaufnahmen hatte. Der für diesen Auftrag erforderliche Vertrag zur Auftragsverarbeitung wurde aber nicht abgeschlossen.
Darüber benannte der Schwimmbadbetreiber über mehrere Jahre hinweg auch keinen Datenschutzbeauftragten.

Das Unternehmen hat gegen das Gebot der Transparenz nach Art. 12 Abs. 1 DSGVO verstoßen, indem es für die Erteilung einer Auskunft nach Art. 15 DSGVO einen Dienstleister einsetzte, der sein eigenes Firmenlogo in der Auskunft verwendete. Den Kunden war aber nicht mitgeteilt worden, dass hierfür ein Dienstleister beauftragt wurde. Weiterhin lag mit dem Dienstleister kein Vertrag zur Auf-tragsverarbeitung gemäß Art. 28 DS-GVO vor. Da der Dienstleister die entsprechenden Auskünfte zunächst nur in englischer Sprache an die Kunden sendete, wurde zusätzlich noch gegen das Gebot der Verständlichkeit nach Art. 12 Abs. 1 DSGVO verstoßen.

Nordrhein-Westfalen

Mobilcom-Debitel, das Tochterunternehmen von Freenet, führte Werbeanrufe ohne wirksame Einwilligung der Betroffenen durch. Grund für die Unwirksamkeit der Einwilligung war, dass die Einwilligung im Kleingedruckten der Mobilfunkverträge versteckt und unklar formuliert war. Für Kunden war nicht ersichtlich, dass sich die Einwilligung auch auf Werbeanrufe anderer Firmen bezog. Die angerufenen Kunden beschwerten sich bei der Bundesnetzagentur. Besonders prekär: einige wurden trotz schriftlicher Untersagung weiterhin angerufen. Doch nicht nur dieses Vorgehen rügte die Bundesnetzagentur, sondern auch die Tatsache, dass Mobilcom durch die Telefonwerbung ihren Kunden Vertragsabschlüsse unterjubelte, die so niemals abgeschlossen worden sind. So wurden die Kunden am Telefon über Abos für Hörbücher und Zeitschriften, Video-on-Demand-Dienste, Sicherheitssoftware oder Handyversicherungen informiert. In vielen Fällen erhielten die Kunden anschließend Vertragsbestätigungen, obwohl sie nur weiteres Informationsmaterial wollten. Um den Vertrag zu widerrufen, mussten die Betroffenen dann selbst aktiv werden.
Ursache für das Fehlverhalten von Mobilcom, sollen unterschiedliche Datenbestände der beteiligten Callcenter gewesen sein. Das Bußgeld gegen Mobilcom ist noch nicht rechtskräftig.

Rheinland-Pfalz

Die Geldbuße wurde gegen ein Krankenhaus verhängt, das strukturelle Defizite im Patientenmanagement aufwies. Grund für das Bußgeldes waren mehrere Verstöße gegen die DS-GVO wegen unzureichender Technisch-Organisatorischer Maßnahmen beim Patientenmanagement. Bekannt wurden die Schwächen im Zusammenhang mit einer Patientenverwechslung bei der Aufnahme des Patienten, die eine falsche Rechnungsstellung zur Folge hatte.

Sachsen-Anhalt

Die Geldbuße wurde gegen eine Privatperson verhängt, die zwischen Juli und September 2018 mehrere E-Mails verschickte, in denen sie persönliche, für alle Empfänger sichtbare E-Mail-Adressen verwendete. So konnte jeder Empfänger unzählige andere Empfänger lesen. Dem Mann wurden zwischen Mitte Juli und Ende Juli 2018 zehn Straftaten vorgeworfen. Laut Schreiben der Behörde waren zwischen 131 und 153 persönliche E-Mail-Adressen in seiner Mailingliste erkennbar. Das Buß-geld wirkt auf den ersten Blick eher gering. Da es aber gegen eine Privatperson verhängt wurde, ist es doch verhältnismäßig hoch.

Bußgelder aus anderen europäischen Ländern

Bußgelder aus Bulgarien

Ein Mitarbeiter hat an seinen Arbeitgeber einen Antrag auf Zugang zu seinen persönlichen Daten gerichtet. Die Anfrage wurde nicht rechtzeitig und nicht vollständig beantwortet.

Eine Bank hat personenbezogene Daten über einen Studenten ohne Rechtsgrundlage erhalten.

Das Bußgeld wurde gegen ein medizinisches Zentrum verhängt, das eine Software verwendete, um ein Registrierungsformular für den Wechsel des Hausarztes eines Betroffenen zu erstellen, das der regionalen Krankenversicherung und anschließend einem anderen medizinischen Zentrum übermittelt wurde, das die Daten rechtswidrig verarbeitete.

Die DSK Bank ist ihren Schutzpflichten bei der Verarbeitung personenbezogener Daten nur äußerst unzureichend nachgekommen. Es wurden keine geeigneten technischen und organisatorischen Maßnahmen ergriffen zum Schutz der Daten ergriffen. Die eingesetzten Systeme und Dienste entsprachen deshalb nicht den sicherheitsrelevanten Kriterien. Dadurch gelangten vertrauliche Daten von rund 33.500 Bankkunden in die Hände Krimineller.
Sie erhielten dabei folgende Informationen über Privatpersonen: Name, Staatsbürgerschaft, persönliche Identifikationsnummer, aktuelle Anschrift, Kopie des Personalausweises und der darin enthaltenen biometrischen Daten sowie das Einkommen und den Gesundheitszustand der Kreditnehmer und Dritter.

Bußgelder aus Dänemark

Während das Unternehmen die Namen seiner Kunden nach zwei Jahren aus all seinen Aufzeichnungen löschte, umfasste die Löschung nicht die übrigen Aufzeichnungen der Fahrten (etwa 8.873.333 Taxifahrten). Damit hielt das Unternehmen zu Unrecht an den Telefonnummern der Einzelpersonen fest.

IDdesign hatte personenbezogene Daten von rund 385.000 Kunden länger als für die Zwecke, für die sie verarbeitet wurden, erforderlich, verarbeitet. Darüber hinaus hatte das Unternehmen in seinem neuen CRM-System keine Fristen für die Löschung personenbezogener Daten festgelegt und dokumentiert. Die für das alte System festgelegten Fristen wurden nach Ablauf der Frist für die Information nicht gelöscht. Außerdem wurden die Löschvorgänge für personenbezogene Daten nicht ausreichend dokumentiert.

Der Stadtverwaltung Gladsaxe wurde ein Computer mit Daten von 20.620 Einwohnern gestohlen. Die Aufsichtsbehörde bemängelt die unzureichenden Sicherheitsmaßnahmen, insbesondere die fehlende Verschlüsselung der Festplatte des Computers.

Ein Unternehmen hat personenbezogene Daten, die von einer Zugriffsanfrage betroffen waren, ohne rechtlichen Grund gelöscht.

Bußgelder aus England

Dieser Vorfall betraf zum Teil die Weiterleitung des Nutzerverkehrs auf der Firmenhomepage der Britisch Airways zu einer betrügerischen Website, über die Kundendaten von den Hackern gesammelt wurden. Es wird angenommen, dass ca. 500.000 Kunden betroffen waren. Die Untersuchung des ICO ergab, dass aufgrund der unzureichenden Sicherheitsvorkehrungen im Unternehmen eine Reihe von Informationen abgegriffen wurden, einschließlich Log-in-Daten, Zahlungsinformationen und Reisebuchungsdetails sowie Namen und Adressen.

Die Hotelgruppe Marriott International ist mit einem Bußgeld von über 110 Mio. Euro belangt worden. Der Grund hierfür liegt in einem jahrelang offenen System, über das Hacker Zugriff auf Kundendaten hatten. Es waren Daten von rund 339 Millionen Gästen der Hotelgruppe weltweit betroffen.

Bußgelder aus Finnland

Der führende finnische Postdienstleister Posti Oy gab die Adressen von Änderungsmitteilungen an Dritte weiter. Daraufhin erhielten die Betroffenen Direktwerbung und beschwerten sich darüber. Die betroffenen Kunden wurden nicht über die Weitergabe der Daten informiert. Alleine im Jahr 2019 waren 161.000 Kunden betroffen.

Ein Unternehmen verarbeitete die Standortdaten von Fahrzeugen, die durch Mitarbeiter geführt wurden. Die Daten wurden u.a. zur Überwachung der Arbeitszeiten verwendet. Von der Aufsichtsbehörde wurde hier bemängelt, dass für diese Verarbeitungen keine Datenschutz-Folgenabschätzung durchgeführt wurde.

Das beschuldigte Unternehmen fragte Bewerber nach nicht für die Bewerbung erforderlichen Daten wie z. B. deren Religionszugehörigkeit, deren Gesundheitszustand, einer möglichen Schwangerschaft und deren Familienstand. Die Aufsichtsbehörde bemängelt, dass diese Daten für eine Bewerbung nicht erforderlich sind. Weiterhin wurden Mängel in der Dokumentation zur Rechenschaftspflicht festgestellt.

Bußgelder aus Frankreich

Trotz mehrfacher Beschwerden und Aufforderungen der Aufsichtsbehörde behob der Arbeitgeber die gerügten Datenschutzverletzungen bei der Videoüberwachung nicht. Für die Höhe des Bußgelds spielte die Anzahl der Mitarbeiter (9) und die angespannte finanzielle Situation des Unternehmens eine Rolle.

Google hat den Nutzern die Informationen zur Verwendung der erhobenen Daten und zum Speicherzeitraum nicht einfach genug zugänglich macht. Die Informationen waren über mehrere Dokumente verteilt und nur über mehrere Links und Buttons erreichbar. Außerdem waren einige der Informationen unklar formuliert. Aufgrund der unzureichenden Information war auch die eingeholte Zustimmung zur Anzeige personalisierter Werbung ungültig.

Das Bußgeld wurde gegen eine Immobilienfirma verhängt, da sensible Benutzerdokumente, die von Mietkandidaten hochgeladen wurden, online zugänglich waren, ohne dass ein Authentifizierungsverfahren vorhanden war. Obwohl die Sicherheitslücke dem Unternehmen seit März 2018 bekannt war, wurde sie erst im September 2018 endgültig behoben. Darüber hinaus bewahrte das Unternehmen die von den Bewerbern zur Verfügung gestellten Unterlagen länger als erforderlich auf. Die Aufsichtsbehörde berücksichtigte unter anderem die Schwere des Verstoßes (mangelnde Sorgfalt bei der Beseitigung von Sicherheitslücken und die Tatsache, dass die Dokumente sehr intime Aspekte des Lebens der Nutzer enthüllten), die Größe des Unternehmens und seine finanzielle Leistungsfähigkeit.

Die französische Aufsichtsbehörde (CNIL) verhängte gegen ein Unternehmen ein Bußgeld in Höhe von 500.000 Euro. Bei den Verstößen handelte es sich um die fehlende Dokumentation von Werbewidersprüchen, die Missachtung von Informationspflichten sowie die Übermittlung von Daten in Drittländer ohne ausreichende Rechtsgrundlage. Hauptgrund für die Verhängung des Bußgeldes war allerdings der Verstoß gegen den Grundsatz der Datenminimierung im CRM-System des Unternehmens.
Während der Telefonate mit Interessenten und Kunden wurden unter anderem auch Informationen zum Gesundheitszustand sowie Unmutsäußerungen des Gesprächspartners gesammelt und im CRM-System gespeichert. Bei der Bemessung der Bußgeldhöhe kam hinzu, dass die Aufsichtsbehörde den Verantwortlichen bereits Ende September 2018 dazu aufgefordert hatte, die Missstände zu beheben und dem Grundsatz der Datenminimierung zu entsprechen. Das Unternehmen zeigte sich jedoch wenig kooperativ und verstieß damit gegen seine Mitwirkungspflicht.

Die Versicherung Active Assurances wurde mit einem Bußgeld von 180.000 Euro belegt, weil es massive Sicherheitsprobleme auf der Webseite gab, die einen uneingeschränkten Zutritt in tausende von Kundendaten ermöglichten. Die Kundenkonten waren über Hyperlinks zugänglich, auf die in einer Internet-Suchmaschine verwiesen wurde. Auf konkrete Dokumente und Details der Kundendaten – Führerschein, Registrierungskarten, Kontoauszüge – konnten Dritte ebenfalls ohne weiteres zugreifen.
Die Datenschutzbehörde machte das Unternehmen auf diesen Fehler aufmerksam, jedoch wurde nach einer weiteren Prüfung festgestellt, dass die nur unzureichende Verbesserungen getätigt worden sind. Daraufhin mahnte die Behörde mit einem detaillierten Katalog das Unternehmen erneut an, außerdem wurde u. a. aufgrund der neuerlichen Versäumnisse ein Bußgeld von 180.000 Euro verhängt.

Bußgelder aus Griechenland

PwC Business Solutions stützte sich bei der Datenverarbeitung auf eine Einwilligung, obwohl die Datenverarbeitung eigentlich auf der Erfüllung von (Arbeits-)Verträgen, der Einhaltung gesetzlicher Pflichten oder anderen Rechtsgrundlagen basiert. Zudem wurde der Grundsatz der Transparenz verletzt, da gegenüber den Angestellten der Eindruck erweckt wurde, die Daten werden auf Grundlage einer Einwilligung verarbeitet, obwohl dies eigentlich unter einer anderen Rechtsgrundlage geschah. Dies geht mit einem Verstoß gegen die Informationspflichten einher. Das Unternehmen konnte gegenüber der HDPA nicht nachweisen, dass geeignete Rechtsgrundlagen geprüft wurden, was zusätzlich gegen die Rechenschaftspflicht verstößt.

Bußgelder aus Irland

Die irische Datenschutzaufsichtsbehörde verhing erstmalig ein Bußgeld gegen eine öffentliche Stelle aufgrund von Verstößen gegen die DSGVO. Eine irische Behörde für Kinder und Familien meldete im Zeitraum von Februar bis Mai 2019 drei Datenschutzverletzungen, die daraufhin von der Datenschutzbehörde untersucht wurden:

  1. Die Kontakt- und Standortdaten eines Kindes und deren Mutter wurden gegenüber einem mutmaßlichen Täter (Missbrauch) offengelegt
  2. Die Adress-, Standort- und Schuldaten eines Kindes und dessen Pflegefamilie wurden den Großeltern des Kindes offengelegt. Die Großeltern konnten das Kind somit kontaktieren.
  3. Die Adressdaten eines Kindes und dessen Pflegefamilie wurden dem inhaftierten leiblichen Vater des Kindes offengelegt.

In allen drei Fällen bemängelte die Behörde auch die mangelhafte Umsetzung technischer und organisatorischer Maßnahmen im Umgang mit den personenbezogenen Daten der Betroffenen.

Bußgelder aus Italien

Das Unternehmen beauftragte ein Callcenter, für ein drittes Unternehmen neue Kunden zu akquirieren, wobei das Callcenter hierfür eigene Kontakte verwendete. Hatten die Angerufenen Interesse am Abschluss eines Vertrages, wurden ihre Daten an das Unternehmen weitergeleitet. Das beauftragende Unternehmen als verantwortliche Stelle wurde dabei nirgends erwähnt und alle Vorgänge erfolgten, ohne die Betroffenen über ihre Rechte aufzuklären oder deren Einwilligung einzuholen.

Bei der Aufsichtsbehörde wurden hunderte Beschwerden über unerwünschte Werbeanrufe des italienischen Telekommunikationsanbieters TIM eingereicht. Untersuchungen der Behörde ergaben, dass für viele der millionenfachen Anrufe keine wirksame Einwilligung vorlag. In zahlreichen Fällen lag sogar ein Werbewiderspruch oder ein Eintrag in einer öffentlichen Opt-Out-Liste vor.
Weiterhin bemängelt die Auf-sichtsbehörde, dass für die Apps von TIM unrichtige und intransparente Informationen zur Datenver-arbeitung erteilt wurden. Auch der Abgleich von Werbewidersprüchen zwischen TIM und den beauftrag-ten Call-Centern und aufgezeichneten telefonischen Bestellungen war inkonsistent. Zudem wurden die Aufnahmen länger als zulässig gespeichert.

Bußgelder aus Litauen

Bei einer Inspektion stellte die Datenschutzbehörde fest, dass der für die Verarbeitung Verantwortliche, ein Zahlungsdienstleister, mehr Daten verarbeitete als zur Erfüllung des Zwecks erforderlich waren. Darüber hinaus wurde bekannt, dass vom 09. bis 10. Juli 2018 Zahlungsdaten aufgrund unzureichender technischer und organisatorischer Maßnahmen im Internet öffentlich verfügbar waren. Betroffen waren 9.000 Zahlungen mit 12 Banken aus verschiedenen Ländern. Die notwendige Meldung des Datenverstoßes gem. Art. 33 DS-GVO blieb aus.

Bußgelder aus Malta

Aufgrund des Fehlens geeigneter Sicherheitsmaßnahmen auf der Internetseite einer Landesbehörde wurden über 10 Gigabyte an persönlichen Daten über eine einfache Google-Suche für die Öffentlichkeit leicht zugänglich. Die Mehrheit der durchgesickerten Daten enthielt hochsensible Informationen und Korrespondenzen zwischen Einzelpersonen und der Behörde selbst.

Bußgelder aus Niederlande

Die Mitarbeiter eines Unternehmens musste, um ihre Arbeitszeit zu dokumentieren, die Arbeitszeiten mittels Fingerabdruck-Scan erfassen. Die Fingerabdrücke wurden sowohl im Zeiterfassungssystem, als auch als Dateien auf einem anderen Dateisystem gespeichert. Begründung des Unternehmens für die Einführung des Fingerabruck-Scans war die Verhinderung von missbräuchlichen Zeitbuchungen. Die Aufsichtsbehörde stellte jedoch fest, dass die biometrischen Daten der Mitarbeiter, auch der ehemaligen Mitarbeiter, ohne deren Einwilligung gespeichert wurden. Zudem gaben einige Mitarbeiter an, dass das System verpflichtend eingeführt wurde.

Bußgelder aus Norwegen

Der Vorfall betrifft Computerdateien mit Benutzernamen und Kennwörtern für über 35.000 Benutzerkonten von Schülern und Mitarbeitern einer Grundschule im Computersystem der Gemeinde. Das Fehlen von Sicherheitsmaßnahmen ermöglichte es jedem, sich in die verschiedenen Informationssysteme der Schule einzuloggen und auf diese Weise auf verschiedene Kategorien personenbezogener Daten zuzugreifen. Als erschwerend wurde die Anzahl der Betroffenen angesehen und, dass die Mehrheit davon Kinder sind. Die Gemeinde war auch mehrmals sowohl von der Behörde als auch von einem internen Hinweisgeber gewarnt worden, dass die Datensicherheit unzureichend sei.

Bußgelder aus Österreich

Die Videoüberwachung war nicht ausreichend markiert und ein großer Teil des Gehsteigs der Anlage wurde aufgezeichnet. Eine Überwachung des öffentlichen Raums in großem Umfang durch Privatpersonen ist nicht zulässig.

Bußgelder aus Polen

Die Geldbuße betraf das Verfahren im Zusammenhang mit der Tätigkeit eines Unternehmens, das die Daten der betroffenen Personen aus öffentlich zugänglichen Quellen verarbeitete und die Daten für kommerzielle Zwecke nutzte. Das Unternehmen hat aus Kostengründen ausschließlich die Betroffenen informiert, deren E-Mail-Adressen bekannt waren. Die Übrigen wurden nicht direkt in Kennt-nis gesetzt, sondern über eine Informationsklausel auf der Website. Dies reicht nach Ansicht der polnischen Aufsichtsbehörde nicht aus.

Ein Sportverband veröffentlichte personenbezogene Daten von Richtern, denen eine richterliche Genehmigung online erteilt wurde. Es wurden jedoch nicht nur ihre Namen angegeben, sondern auch ihre genauen Adressen und PESEL-Nummern, wofür es keine Rechtsgrundlage gibt. Durch die Veröffentlichung stellte der Administrator ein potenzielles Risiko für ihre nicht autorisierte Verwendung dar. Obwohl der Verband selbst seinen eigenen Fehler bemerkte, wurde aufgrund der fehlgeschlagenen Versuche, die Daten zu entfernen, eine Geldbuße verhängt. Bei der Festsetzung der Höhe der Geldbuße wurden unter anderem auch die Dauer der Zuwiderhandlung und die große Anzahl von Betroffenen (585 Richter) berücksichtigt. Positiv berücksichtigt wurde die gute Zusammenarbeit mit der Aufsichtsbehörde und, dass den Betroffenen kein nachweisbarer Schaden entstanden ist.

Bußgelder aus Portugal

Die Untersuchung der Beschwerde ergab, dass die Mitarbeiter des Krankenhauses durch falsche Benutzerrollen Zugang zu Patientendaten hatten, die sie nicht benötigten. Das Profilverwaltungssystem schien unzulänglich zu sein – das Krankenhaus hatte 985 registrierte Arztprofile, während es nur 296 Ärzte gab. Darüber hinaus hatten die Ärzte uneingeschränkten Zugang zu allen Patientenakten unabhängig von der Spezialisierung des Arztes.

Bußgelder aus Rumänien

Eine Bank hat aufgrund mangelhafter technischer- und organisatorischer Maßnahmen bei Überweisungen den Empfängern die Identifikationsnummer und Adresse des Auftraggebers offengelegt. Dies verletzte den Grundsatz Data Protection by Design, da die technischen Prozesse bei der Bank nicht so gestaltet waren, dass die Rechte und Freiheiten der Betroffenen angemessen geschützt werden. Betroffen waren hier ca. 337.000 Kunden.

Ein Mitarbeiter einer rumänischen Bank hat Ausweiskopien von minderjährigen Kunden sowie deren gesetzlichen Vertretern über sein privates Smartphone via WhatsApp versandt. Die Aufsichtsbehörde stellt fest, dass die Bank keine angemessenen technischen-organisatorischen-Maßnahmen getroffen hat, um ein angemessenes Maß an Informationssicherheit zu gewährleisten.

Bußgelder aus Schweden

Bei einem Unternehmen in Schweden, das für die Koordinierung der Verwaltung von Regierungsbehörden zuständig ist, führte ein Fehler im IT-System der Gehaltsabrechnung zu einer Datenpanne. Durch den Fehler erhielten Unbefugte Zugriff auf personenbezogene Daten des Personals. Das Unternehmen meldete die Datenpanne jedoch nicht sofort, sondern erst nach 3 Monaten der Aufsichtsbehörde und nach 5 Monaten den betroffenen Personen. Daher verhängte die Schwedische Datenschutzbehörde ein Bußgeld in Höhe von umgerechnet 18.700 Euro.

Ein Mitarbeiter einer rumänischen Bank hat Ausweiskopien von minderjährigen Kunden sowie deren gesetzlichen Vertretern über sein privates Smartphone via WhatsApp versandt. Die Aufsichtsbehörde stellt fest, dass die Bank keine angemessenen technischen-organisatorischen-Maßnahmen getroffen hat, um ein angemessenes Maß an Informationssicherheit zu gewährleisten.

Bußgelder aus Spanien

Der Inhaber der App – der Ausrichter einer spanischen Fußballliga – wollte Gaststätten und Kneipen ausfindig machen, in denen ohne Lizenz Fußballspiele der Liga übertragen werden. Hierzu verlangte er zur Nutzung der App Zugriff auf das Mikrofon der Smartphones und ihren Standort und wertete diese Daten dann aus. Über diese Erhebung und Verarbeitung ihrer Daten wurden die Nutzer der App nur sehr undurchsichtig informiert, erst nach einem Update der Nutzungsbedingungen infolge des Inkrafttretens der DS-GVO ist die Spionage aufgefallen.

Aufgrund von fehlenden geeigneten Maßnahmen zur telefonischen Authentifizierung, war es einem Unberechtigten gelungen, sich als vertretungsberechtigt auszugeben und den Vertragsnehmer eines Energieversorgungsvertrags zu ändern. Die von dem angeblichen Vertreter des Vertragsnehmers genannten personenbezogenen Daten des Betroffenen wurden daher vom Mitarbeiter der EDP Comercializadora, SA ungeprüft erfasst und zur weiteren Vertragsdurchführung genutzt. Die spanische Aufsichtsbehörde bewertete die Verarbeitung der personenbezogenen Daten des Betroffenen als unrechtmäßig, da kein Vertragsverhältnis zw. dem Betroffenen und der EDP Comercializadora, SA bestehe. Es wurde ein Bußgeld in Höhe von EUR 75.000 verhängt. Zudem erhielt die EDP Comercializadora, SA die Auflage, eine geeignete Methode zur Identitätsfeststellung zu implementieren.

Der Bußgeldempfänger hat ohne Einwilligung und ohne zu informieren per WhatsApp ein Dokument mit Vornamen, Nachnamen und Personalausweisnummer (DNI) einer Mutter und ihrer zwei Kinder an einen Dritten versandt.

Vodafone hat keine angemessenen technischen und organisatori-schen Maßnahmen getroffen. Dies führte zu einem unberechtigten Zugang eines Dritten zu Kundendaten des Beschwerdeführers.

Beim Besuch der Webseite von Ikea Spanien wurden auf das Endgerät des Webseitenbenutzers bis zu 23 Cookies heruntergeladen ohne vorher eine informierte Einwilligung abzufragen und ohne auf die erforderliche Widerrufsmöglichkeit hinzuweisen.

Bußgelder aus der Tschechischen Republik

Die Verarbeitung personenbezogener Daten erfolgte nicht auf eine Weise, die eine angemessene Sicherheit der Daten, einschließlich des Schutzes vor unbefugter oder rechtswidriger Verarbeitung sowie vor versehentlichem Verlust, Zerstörung oder Beschädigung, durch geeignete technische oder organisatorische Maßnahmen („Integrität und Vertraulichkeit“) gewährleistet.

Die Daten wurden nicht nur dann verarbeitet, wenn dies für die Zwecke, für die sie verarbeitet werden, angemessen, relevant und auf das Notwendige beschränkt ist („Datenminimierung“). Außerdem erfolgte die Verarbeitung nicht nur in einer Form, die die Identifizierung der betroffenen Personen nicht länger als erforderlich ermöglicht für die Zwecke, für die die personenbezogenen Daten verarbeitet werden („Speicherbeschränkung“).

Bußgelder aus Ungarn

Die Geldbuße wurde gegen eine Privatperson verhängt, die zwischen Juli und September 2018 mehrere E-Mails verschickte, in denen sie persönliche, für alle Empfänger sichtbare E-Mail-Adressen verwendete. So konnte jeder Empfänger unzählige andere Empfänger lesen. Dem Mann wurden zwischen Mitte Juli und Ende Juli 2018 zehn Straftaten vorgeworfen. Laut Schreiben der Behörde waren zwischen 131 und 153 per-sönliche E-Mail-Adressen in seiner Mailingliste erkennbar. Das Bußgeld wirkt auf den ersten Blick eher gering. Da es aber gegen eine Privatperson verhängt wurde, ist es doch verhältnismäßig hoch.

Das Bußgeld wurde gegen ein Finanzinstitut verhängt, weil es unrechtmäßig den Antrag eines Kunden auf Löschung seiner Telefonnummer zurückgewiesen hatte. In seiner Entscheidung betonte die Aufsichtsbehörde, dass die Telefonnummer des Kunden nicht zum Zweck des Inkassobetriebs erforderlich ist, da der Gläubiger auch mit dem Schuldner auf dem Postweg kommunizieren kann. Daher verstieß die Aufrechterhaltung der Telefonnummer des Schuldners gegen die Grundsätze der Datenminimierung und der Zweckbindung.

Eine Bank hat versehentlich SMS-Nachrichten über die Kreditkartenschulden eines Kunden an die Telefonnummer einer anderen Person gesendet. Nachdem die Bank zum Zeitpunkt des Vertragsabschlusses eine falsche Telefonnummer erhalten hatte, entsprach die Bank nicht der Aufforderung der betroffenen Person, die Daten zu löschen, und sandte weiterhin eine SMS an die falsche Telefonnummer.

Die Geldbuße wurde gegen das Bürgermeisteramt der Stadt Kecskemét verhängt, nachdem ein Mitarbeiter einer von ihr beaufsichtigten Organisation eine Beschwerde im öffentlichen Interesse direkt gegen seinen Arbeitgeber eingereicht hatte. Nachdem die Organisation von der Beschwerde erfahren hatte, bat sie um Einzelheiten, um Nachforschungen anzustellen und die örtliche Regierung gab versehentlich den Namen des Beschwerdeführers bekannt. Die Aufsichtsbehörde betrachtete es als einen erschwerenden Faktor, dass die Organisation als Folge des Datenverstoßes die Person entließ, die den Bericht erstattete.

Ein für die Datenverarbeitung Verantwortlicher verwendete aus Sicht der Aufsichtsbehörde eine falsche Rechtsgrundlage für die Verarbeitung personenbezogener Daten (Art. 6. Abs. 1 lit. b) DS-GVO) für die Abtretung von Ansprüchen.

Das Bußgeld wurde gegen Facebook aufgrund irreführender Werbung verhängt. Das Unternehmen wirbt damit, kostenlos zu sein, was aber nicht der Fall sei. Die Aufsichtsbehörde begründete das Bußgeld damit, dass das Geschäftsmodell von Facebook darin besteht, detaillierte Daten über die Nutzer zusammenzustellen und gezielte Werbemöglichkeiten an Geschäftskunden zu verkaufen. Der Preis für die Nutzung sind die persönlichen Daten der User, die Werbung mit einer kostenlosen Mitgliedschaft sei damit falsch und irreführend. Das Unternehmen wurde seit dem Jahr 2010 mehrfach ermahnt, dennoch wurden die Nutzungsbedingungen nach Ansicht der Aufsichtsbehörde nicht ausreichend angepasst.

Eine betroffene Person forderte Informationen über ihre verarbeiteten Daten an und verlangte gleichzeitig deren Löschung. Das Unternehmen lehnte die Anfrage ab und erklärte, dass es die betroffene Person nicht identifizieren könne. Nach erfolgreicher Identifizierung weigerte es sich weiterhin, der Auskunfts- und Löschanforderung nachzukommen. Es argumentierte u. a., dass es gesetzlich verpflichtet sei, Sicherungskopien gemäß Rechnungslegungsgesetz und internen Richtlinien aufzubewahren. Da das Unternehmen über die Richtlinien nicht ordnungsgemäß informierte, verstieß es nach Ansicht der Aufsichtsbehörde gegen den Grundsatz der Transparenz.