Bußgelder wegen Datenschutzfehlern auf der Homepage

Auch bei der Gestaltung einer Website gilt die eiserne Datenschutzregel: werden personenbezogene Daten des Homepagenutzers verarbeitet, benötigt der Verantwortliche dafür zum einen eine Rechtsgrundlage und zum anderem muss er den User über die Verarbeitung informieren. Besonders heikel sind dabei alle Anwendungen und Plugins, die personenbezogene Daten an Dritte wie Google weitergeben.

Da eine Website ein digitales Aushängeschild eines jeden Unternehmens und von sämtlichen Personen leicht einsichtbar ist, fallen Datenschutzverstöße auf Websites besonders schnell auf. So mancher Datenschutzverstoß wurde auch schon von den Behörden mit einem Bußgeld geahndet:

Deutschland

Ein mittelständisches Lebensmittelhandwerksunternehmen stellte über seine Website ein Bewerbungsportal zur Verfügung, über das Bewerbungsunterlagen eingereicht werden konnten. Allerdings war weder die Übertragung der Daten noch deren Speicherung verschlüsselt oder mit einem Passwortschutz versehen. Hinzukam, dass die Bewerberdaten aufgrund einer Verknüpfung mit Google frei über die Suchmaschine abrufbar waren.

England

Dieser Vorfall betraf die Weiterleitung des Nutzerverkehrs auf der Firmenhomepage der Britisch Airways zu einer betrügerischen Website, über die Kundendaten von den Hackern gesammelt wurden. Es wird angenommen, dass ca. 500.000 Kunden betroffen waren. Die Untersuchung des ICO ergab, dass aufgrund der unzureichenden Sicherheitsvorkehrungen im Unternehmen eine Reihe von Informationen abgegriffen wurden, einschließlich Log-in-Daten, Zahlungsinformationen und Reisebuchungsdetails sowie Namen und Adressen.

Frankreich

Gegen die Google LLC sowie die Google Ireland Limited wurde wegen ihrer Cookiepolitik ein Bußgeld in Höhe von 60 Millionen Euro bzw. 40 Millionen Euro verhängt. Auf der französischen Website des Konzerns wurden Cookies gesetzt, ohne vorher eine wirksame, informierte Einwilligung der User einzuholen. Bemängelt wurden insbesondere die unzureichenden Datenschutzhinweise zur Verarbeitung beim Werbetargeting.

Das Bußgeld wurde gegen die Amazon Europe Core wegen Datenschutzverstößen beim Setzen von Cookies verhängt. Der Internetriese speicherte ohne wirksame Einwilligung der User Cookies auf deren Endgeräten. Die zur Verfügung gestellten Datenschutzhinweise waren ebenfalls unvollständig, es fehlten insbesondere Informationen zum Werbetargeting.

Das Bußgeld wurde gegen eine Versicherung verhängt, da aufgrund massiver Sicherheitsprobleme auf der Website mehrere tausend Kundendaten ungeschützt waren. Diese konnten über Hyperlinks abgerufen werden, die über eine Internetsuchmaschine ermittelt werden konnten. Betroffen waren unter anderem Führerscheindaten, Kontoauszüge und Registrierungskarten sowie konkrete Dokumente. Nachdem die Versicherung auch nach Aufforderung der zuständigen Aufsichtsbehörde keine ausreichenden Verbesserungen umsetzte, verhängte diese ein Bußgeld und mahnte die Umsetzung erneut an.

Malta

Weil geeignete Sicherheitsmaßnahmen auf der Internetseite einer Landesbehörde fehlten, wurden über 10 Gigabyte persönliche Daten über eine einfache Google-Suche für die Öffentlichkeit leicht zugänglich. Die Mehrheit dieser Daten enthielt hochsensible Informationen und Korrespondenzen zwischen Einzelpersonen und der Behörde selbst.

Niederlande

Eine orthopädische Praxis in den Niederlanden bot auf ihrer Website die Möglichkeit, sich als Patient zu registrieren und stellte hierfür ein Formular zur Verfügung. Die Übermittlung an die Praxis erfolgte allerdings ungeschützt über eine unverschlüsselte Verbindung, was einen Verstoß gegen Art. 32 Abs. 1 DS-GVO darstellt.

Norwegen

Unzureichende Sicherheitsmaßnahmen ermöglichte es jedem, sich in die verschiedenen Informationssysteme einer Grundschule einzuloggen und auf diese Weise auf verschiedene Kategorien personenbezogener Daten zuzugreifen. Der Vorfall betraf Computerdateien mit Benutzernamen und Kennwörtern für über 35.000 Benutzerkonten von Schülern und Mitarbeitern. Die Anzahl der Betroffenen, bei denen es sich mehrheitlich um Kinder handelte, erhöhte das Bußgeld. Die Gemeinde der Schule war zuvor sowohl von der Behörde als auch von einem internen Hinweisgeber gewarnt worden, dass die Datensicherheit unzureichend ist.

Polen

Ein Sportverband veröffentlichte personenbezogene Daten von Richtern, die eine Schiedsrichterlinz erhalten haben. Es wurden jedoch nicht nur ihre Namen angegeben, sondern auch ihre genauen Adressen und PESEL-Nummern. Mittlerweile gibt für die Veröffentlichung eines so breiten Spektrums an Schiedsrichterinformationen keine rechtlichen Gründe mehr. Die Veröffentlichung der Daten führt zu einem potenziellen Missbrauchsrisiko Obwohl der Verband selbst seinen eigenen Fehler bemerkte, wurde aufgrund der fehlgeschlagenen Versuche, die Daten zu entfernen, eine Geldbuße verhängt. Bei der Festsetzung der Höhe der Geldbuße wurden unter anderem auch die Dauer der Zuwiderhandlung und die große Anzahl von Betroffenen (585 Richter) berücksichtigt. Positiv angerechnet wurde aber die gute Zusammenarbeit mit der Aufsichtsbehörde und, dass den Betroffenen kein nachweisbarer Schaden entstanden ist.

Spanien

Ein Unternehmen verwendete auf seiner Website ein Kontaktformular, über das Name, Standort, E-Mail-Adresse und Telefonnummer der User abgefragt wurden. Für die Datenverarbeitung stellte der Websitebetreiber allerdings keine Datenschutzinformationen (Art. 13 DS-GVO) auf der Homepage zur Verfügung. Zudem gab es für User auf der Website keine Möglichkeit, einzelne Cookies zu aktivieren oder zu deaktivieren, es wurde lediglich auf die Einstellungsmöglichkeit im Browser verwiesen.

Ein Unternehmen hatte auf seiner Website ein Kontaktformular eingebunden, das Adresse, E-Mail-Adresse und Telefonnummer der User abfragte. Allerdings befanden sich auf der Website keine Datenschutzhinweise gem. Art. 13 DS-GVO, über die Betroffene über die Datenverarbeitung informiert worden wären.

Der Websitebetreiber setzte auf seiner Homepage Cookies ein, ohne die Einwilligung der User einzuholen oder sie beim Aufruf der Seite hinreichend zu informieren. Zwar konnten über einen Link detaillierte Informationen zu den Cookies und deren Funktionsweisen eingesehen werden, (einzeln) deaktiviert werden konnten die Cookies dort allerdings nicht. Es wurde lediglich auf die Browsereinstellungen verwiesen. Das ursprüngliche Bußgeld von 3.000 Euro wurde wegen sofortiger Zahlung und Anerkenntnis der Schuld auf 1.800 Euro reduziert.

Auf der Website einer weltweit bekannten Möbelkette wurden auf die Endgeräte der User bis zu 23 Cookies geladen. Hierfür wurde weder die Einwilligung der Betroffenen abgefragt noch war ein Hinweis auf die erforderliche Widerrufsmöglichkeit vorhanden .

Ein Dienstleister für Auslandsaufenthalte hatte auf seiner Website kein funktionales Cookiebanner geschaltet, weshalb die Behörde ein Bußgeld verhängte. Zusätzlich wurde das spanische Unternehmen verwarnt, da die Datenschutzerklärung ausschließlich in englischer Sprache verfasst war.

Der Betreiber eines Online-Shops hatte zwar einen Cookiebanner geschaltet, allerdings wurden dort die Verarbeitungszwecke und die Eigenschaften der verwendeten Dienste nicht ausreichend genau beschrieben. Hinzu kam, dass es keine Möglichkeit zur Ablehnung der Dienste gab. Neben dem Bußgeld wurde das Unternehmen verwarnt, da die Datenschutzhinweise auf der Website unzureichend waren.

Ein Unternehmen hatte auf seiner Website ein Banner geschaltet, bei dem User lediglich zwischen den Button „weitersurfen“ und „Cookie-Richtlinie einsehen“ wählen konnten. Weder im Banner noch in dem PDF-Dokument zur Cookie-Richtlinie konnte der User Veränderungen oder Einstellungen für die eingesetzten Dienste vornehmen. Die Generaleinwilligung über „weitersurfen“ ist nach Ansicht der spanischen Behörde unwirksam.

Bei dem Cookiebanner eines Verpackungsherstellers war kein Link vorhanden, um alle Cookies abzulehnen. Dem spanischen Recht nach muss die Ablehnung von Diensten ebenso einfach sein wie die Zustimmung. Aus diesem Grund hätte im Banner ein Link zu den entsprechenden Cookie-Einstellungen des Browsers vorhanden sein müssen, der allerdings fehlt.

Ein spanischer Onlineshop hatte in den Datenschutzhinweisen weder die eingesetzten Dienste detailliert erläutert noch die Verarbeitungszwecke angegeben. Hinzu kam, dass ein aktives Einwilligen in das Setzen der Cookies nicht möglich war. Aufmerksam wurde die Aufsichtsbehörde auf die Verstöße aufgrund der Beschwerde einer Mitarbeiterin.

Bei dem Cookiebanner auf der Website einer Billigtankstelle fehlte die Möglichkeit, die eingesetzten Dienste zu begrenzen und einzeln zu wählen. Es konnten lediglich alle Cookies akzeptiert oder weitere Informationen eingesehen werden. Über das zweite Feld konnten die User zudem nur allgemeine Informationen zu verschiedensten Cookies einsehen. Details zu den verwendeten Diensten fehlten. Aufgrund der Einsicht des Unternehmens und der fristgerechten Zahlung wurde das Bußgeld von 3.000 Euro auf 1.800 Euro reduziert.

Ein Automobilunternehmen hatte auf seiner Website kein Cookiebanner geschaltet oder den Usern Informationen über das Tracking zur Verfügung gestellt. Eine eingebundene Cookie-Richtlinie enthielt lediglich vage Informationen, die allgemein gehalten und nicht spezifisch waren.

Eine Billigfluglinie hatte auf ihrer Website zwar ein Cookiebanner geschaltet, dieses wies aber lediglich darauf hin, dass der User mit dem Besuch der Seite dem Setzen von Cookies zustimme. Eine Möglichkeit, Cookies einzeln zu wählen oder zu deaktivieren, gab es nicht.

Ausführlicher dazu im Blogbeitrag Fehler bei der Cookie-Banner-Gestaltung: 30.000 € Bußgeld