Nach Inkrafttreten der europäischen Datenschutzgrundverordnung (DSGVO) sind die Aufsichtsbehörden der Länder tätig geworden und verhängten bereits zahlreiche Bußgelder wegen Verstößen gegen die DSGVO. Zudem veröffentlichte die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder ein Konzept zur Bußgeldbemessung. In unserem Bußgeldatlas sammeln wir die bisher bekannten Bußgelder und zeigen die begangenen Verstöße in einer Übersicht je nach Bundesland.
Aber auch die Datenschutzaufsichtsbehörden unserer europäischen Nachbarn verhängten aufgrund von DSGVO-Verstößen bereits einige Bußgelder, die wir hier ebenfalls auflisten.
Bundesbeauftragte für den Datenschutz und die Informationsfreiheit
Website: https://www.bfdi.bund.de/DE/Home/home_node.html
Bekannte Bußgelder:
Verstoß | Höhe des Bußgeldes in Euro |
Keine hinreichenden technisch-organisatorischen Maßnahmen, um zu verhindern, dass Unberechtigte bei der telefonischen Kundenbetreuung Auskünfte zu Kundendaten erhalten können | 900.000,00 (heruntergesetzt durch ein Gericht, ursprünglich: 9.550.000,00) |
Keine Benennung einer Datenschutzbeauftragten trotz gesetzlicher Auflage | 10.000,00 |
Quelle:
Pressemitteilung27-2020-vom-11_11_2020-Bussgeld-gegen-Telekommunikationsd___.pdf (nrw.de)
Landesbeauftragte für Datenschutz und Informationsfreiheit
Website: https://www.baden-wuerttemberg.datenschutz.de
Bekannte Bußgelder:
Verstoß | Höhe des Bußgeldes in Euro |
Unverschlüsselte Speicherung von Passwörtern | 20.000,00 |
Offenlegung von Gesundheitsdaten
| 80.000,00 |
Verstoß gegen Zweckbindung bei der Verarbeitung von personenbezogenen Daten | 2.500,00 |
Private Nutzung von dienstlich erlangten personenbezogenen Daten durch einen Polizeibeamten | 1.400,00 |
Unsachgemäße Entsorgung von personenbezogenen Daten (Finanzsektor) | 80.000,00 |
| Mangels ausreichender technischer und organisatorischer Maßnahmen kam es zur Verarbeitung von Kontaktdaten zu Werbezwecken ohne Einwilligung der Betroffenen | 1,24 Mio. |
Quellen:
https://www.handelsblatt.com/politik/deutschland/datenschutzgrundverordnung-behoerden-verhaengen-erste-bussgelder-wegen-verstoessen-gegen-dsgvo/23872806.html
https://www.handelsblatt.com/politik/deutschland/datenschutz-verstoesse-datenschuetzer-kelber-verspricht-mehr-transparenz-bei-dsgvo-bussgeldern/23886998.html?ticket=ST-903506-7Al7dIBNlQDOfXEIR27Y-ap2
https://www.baden-wuerttemberg.datenschutz.de/lfdi-baden-wuerttemberg-verhaengt-bussgeld-gegen-frueheren-juso-landeschef/
https://www.datenschutzticker.de/2020/07/bussgeld-in-hoehe-von-124-millionen-euro-gegen-die-aok-baden-wuerttemberg-verhaengt/
Der Bayerische Landesbeauftragte für den Datenschutz
Website: https://www.datenschutz-bayern.de
Bekannte Bußgelder:
Verstoß | Höhe des Bußgeldes in Euro |
|
|
|
|
Quellen:
Berliner Beauftragte für Datenschutz und Informationsfreiheit
Website: https://www.datenschutz-berlin.de
Bekannte Bußgelder:
Verstoß | Höhe des Bußgeldes in Euro |
Unbefugte Verarbeitung von personenbezogenen Daten von ehemaligen Kundinnen und Kunden | 50.000,00 |
Diverse Einzelverstöße, wie Nichtachtung der Betroffenenrechte (Recht auf Auskunft, Löschung, Widerspruch), Übermittlung von unerwünschten Werbe-E-Mails. | 195.407,00 (Summe aus zwei Bußgeldbescheiden) |
Speicherung von Daten in einem Archivsystem, bei dem keine Möglichkeit zur Löschung vorgesehen war (Verstoß gegen Artikel 25 Abs. 1 DSGVO sowie Artikel 5 DSGVO) und welches trotz Aufforderung der Aufsichtsbehörde innerhalb eines längeren Zeitraumes nicht überarbeitet wurde | 14,5 Mio. |
Quellen:
https://amp.welt.de/finanzen/article193326155/DSGVO-Verstoesse-Bundeslaender-ziehen-Bussgeld-Bilanz.html?__twitter_impression=true
https://www.welt.de/regionales/berlin/article198434489/Berlin-will-Datenschutz-Bussgeld-in-Millionenhoehe-verhaengen.html
https://www.datenschutz-berlin.de/fileadmin/user_upload/pdf/pressemitteilungen/2019/20190919-PM-Bussgelder.pdf
Die Landesbeauftragte für den Datenschutz und für das Recht auf Akteneinsicht
Website: https://www.lda.brandenburg.de
Bekannte Bußgelder:
Verstoß | Höhe des Bußgeldes in Euro |
Falsche Auskunft und fehlender schriftlicher Auftragsverarbeitungsvertrag | 50.000,00 |
|
|
Quellen:
Die Landesbeauftragte für Datenschutz und Informationsfreiheit
Website: https://www.datenschutz.bremen.de/
Bekannte Bußgelder:
Verstoß | Höhe des Bußgeldes in Euro |
|
|
|
|
Quellen:
Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit
Website:
Verstoß | Höhe des Bußgeldes in Euro |
Erfassung und Speicherung des Urlaubs, der krankheitsbedingten Abwesenheit (inkl. Symptomen und Diagnose) von Mitarbeitern sowie deren privaten Lebensumständen über einen Zeitraum von ca. 6 Jahren durch einen großen Modekonzern | 35.258.707,95 |
Fehlender Auftragsverarbeitungsvertrag | 5.000,00 (wurde von der Aufsichtsbehörde jedoch wieder zurückgenommen) |
Verspätete Meldung eines Data Breaches und unterbliebene Information der Betroffenen | 20.000,00 |
Quellen:
https://www.heise.de/newsticker/meldung/DSGVO-5000-Euro-Bussgeld-fuer-fehlenden-Auftragsverarbeitungsvertrag-4282737.html
https://www.handelsblatt.com/politik/deutschland/datenschutzgrundverordnung-behoerden-verhaengen-erste-bussgelder-wegen-verstoessen-gegen-dsgvo/23872806.html
https://www.handelsblatt.com/politik/deutschland/datenschutz-verstoesse-datenschuetzer-kelber-verspricht-mehr-transparenz-bei-dsgvo-bussgeldern/23886998.html?ticket=ST-903506-7Al7dIBNlQDOfXEIR27Y-ap2
https://datenschutz-hamburg.de/assets/pdf/27._Taetigkeitsbericht_Datenschutz_2018_HmbBfDI.pdf
https://datenschutz-hamburg.de/pressemitteilungen/2020/10/2020-10-01-h-m-verfahren
Der Hessische Beauftragte für Datenschutz und Informationsfreiheit
Website: https://datenschutz.hessen.de/
Bekannte Bußgelder:
Verstoß | Höhe des Bußgeldes in Euro |
|
|
|
|
Quellen:
Der Landesbeauftragte für Datenschutz und Informationsfreiheit
Website: https://www.datenschutz-mv.de
Bekannte Bußgelder:
Verstoß | Höhe des Bußgeldes in Euro |
|
|
|
|
Quellen:
Die Landesbeauftragte für den Datenschutz Niedersachsen
Website: https://www.lfd.niedersachsen.de
Bekannte Bußgelder:
Verstoß | Höhe des Bußgeldes in Euro |
|
|
|
|
Quellen:
Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen
Website:
Bekannte Bußgelder:
Verstoß | Höhe des Bußgeldes in Euro |
Offenlegung von Kontoauszüge an Unbefugte beim Online-Banking | n.a. |
Unzulässige Werbe-E-Mails | n.a. |
Unbefugte Kopie von Kundendaten bei einem Hackerangriff auf einen Webshop | n.a. |
Offene E-Mail-Verteiler | n.a. |
Unzulässige Videoüberwachung von Kunden und Arbeitnehmern | n.a. |
Quellen:
https://www.handelsblatt.com/politik/deutschland/datenschutz-verstoesse-datenschuetzer-kelber-verspricht-mehr-transparenz-bei-dsgvo-bussgeldern/23886998.html?ticket=ST-903506-7Al7dIBNlQDOfXEIR27Y-ap2
https://www.handelsblatt.com/politik/deutschland/datenschutzgrundverordnung-behoerden-verhaengen-erste-bussgelder-wegen-verstoessen-gegen-dsgvo/23872806.html
Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit
Website: https://www.datenschutz.rlp.de/
Bekannte Bußgelder:
Verstoß | Höhe des Bußgeldes in Euro |
Technische und organisatorische Defizite des Krankenhauses beim Patientenmanagement, durch welche es zu Verwechslung von Patienten kam, sodass falsche Rechnungen ausgestellt wurden. | 105.000,00 |
|
|
Quellen:
Unabhängiges Datenschutzzentrum Saarland
Website: https://www.datenschutz.saarland.de
Bekannte Bußgelder:
Verstoß | Höhe des Bußgeldes in Euro |
Veröffentlichung personenbezogener Daten eines Dritten | 118,50 |
|
|
Der Sächsische Datenschutzbeauftragte
Website: https://www.saechsdsb.de
Bekannte Bußgelder:
Verstoß | Höhe des Bußgeldes in Euro |
|
|
|
|
Quellen:
Landesbeauftragter für den Datenschutz Sachsen-Anhalt
Website: https://www.datenschutz.sachsen-anhalt.de
Bekannte Bußgelder:
Verstoß | Höhe des Bußgeldes in Euro |
Offener Mail-Verteiler, in dem personenbezogene Mail-Adressen erkennbar sind | 2.628,50 |
|
|
Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein
Website: https://www.datenschutzzentrum.de
Bekannte Bußgelder:
Verstoß | Höhe des Bußgeldes in Euro |
|
|
|
|
Quellen:
Thüringer Landesbeauftragter für den Datenschutz und die Informationsfreiheit
Website: https://www.tlfdi.de/
Bekannte Bußgelder:
Verstoß | Höhe des Bußgeldes in Euro |
Unzulässige Datenübergabe an einen Geschäftsnachfolger ohne Einwilligung der zahlreichen Betroffenen | >10.000,00 |
Videoaufnahmen in einer Gaststätte | >10.000,00 |
Quellen:
https://www.thueringer-allgemeine.de/web/zgt/politik/detail/-/specific/65-Bussgeldverfahren-in-Thueringen-nach-Verstoessen-gegen-den-Datenschutz-1067921680
https://www.thueringer-allgemeine.de/web/zgt/leben/detail/-/specific/Datenschutzgrundverordnung-Bisher-keine-Prozesse-in-Thueringen-147650259
Bekannte Bußgelder:
Verstoß | Höhe des Bußgeldes in Euro |
| Verstoß gegen das Zweckbindungsgebot bei der Verarbeitung von Wählerverzeichnissen zur Erstellung einer neuen Wählerliste; Verstoß gegen Art. 13, 14 DSGVO | 3.000,00 |
| Rechtswidrige Verwendung von E-Mail-Adressen zu Wahlzwecken | 5.000,00 |
| Ablehnung eines Antrags auf Löschung eines Artikels, der personenbezogene Daten enthielt (Verstoß gegen Art. 17 DSGVO) sowie Verstoß gegen das Transparenzverbot aufgrund unzureichender Begründung der Ablehnung | 600.000,00 |
| Versendung einer E-Mail ohne Zustimmung des Betroffenen und darauffolgende Nichtbeantwortung eines Auskunftsersuchens dieses Betroffenen | 10.000,00 |
| Versendung von Werbe-E-Mail trotz Widerspruch der Betroffenen; keine Kooperation mit der Aufsichtsbehörde | 1.000,00 |
| Verwendung von unrechtmäßig erlangten Kontaktdaten zu Zwecken der Wahlwerbung | 5.000,00 |
| Versendung von Direktmarketing-Nachrichten, obwohl die Betroffenen hinsichtlich ihrer Kontaktdaten von ihrem Löschungs- und Widerspruchsrecht Gebrauch gemacht hatten | 1.000,00 |
| Versendung von Einladungen durch einen Social Media Provider an Kontakte, die von seinen Nutzern ohne Zustimmung der Betroffenen und ohne eine andere gesetzliche Grundlage hochgeladen wurden | 50.000,00 |
| Nicht ausreichende Einbindung der Datenschutzbeauftragten in die Verarbeitung von Datenschutzvorfällen sowie mangelnde Unabhängigkeit der Datenschutzbeauftragten | 50.000,00 |
| Keine Reaktion auf Auskunftsersuche von Betroffenen sowie keine Löschung der Daten | 2.000,00 |
| Die Datenschutzerklärung wurde lediglich in englischer Sprache zur Verfügung gestellt, obwohl sich die Website an niederländisch- und französischsprachiges Publikum richtete; Einsatz von Google Analytics ohne Zustimmung der Website-Besucher | 15.000,00 |
| Verwendung von E-Mail-Adressen ohne Rechtsgrundlage | 5.000,00 |
| Missbräuchliche Verwendung von personenbezogenen Daten durch einen Bürgermeister zu Wahlkampfzwecken | 2.000,00 |
Quellen:
https://www.gegevensbeschermingsautoriteit.be/publications/beslissing-ten-gronde-nr.-39-2020.pdf
https://www.gegevensbeschermingsautoriteit.be/publications/beslissing-ten-gronde-nr.-53-2020.pdf
https://www.beck.de/cms/?toc=ZD.ARC.201907&docid=418612
https://www.dsgvo-portal.de/dsgvo-bussgeld-gegen-stadtrat-2019-11-28-BE-214.php
https://www.meineberater.at/falscher-datenschutzbeauftragter-50-000-euro-strafe/
https://www.datenschutzticker.de/2020/06/bussgeld-von-1000-euro-fuer-direktwerbung/
Bekannte Bußgelder:
Verstoß | Höhe des Bußgeldes in Euro |
| Fälschung von Unterschriften für eine Wählerliste durch eine Partei | 2.000,00 |
| Nichtbeachtung von Betroffenenrechten (Auskunftsrecht) | 1.800,00 |
Mangelnde technische und organisatorische Maßnahmen, wodurch Hacker in die Datenbank einer Finanzbehörde eindringen und Daten von ca. 5 Mio. Bürgern abgreifen konnten | 2,61 Mio. |
| Mangelnde technische und organisatorische Maßnahmen, durch die unbefugte Zugriff auf Kundendaten einer Bank hatten | 511.000,00 |
Quellen:
https://easygdpr.eu/de/gdpr-incident/datenauskunft-verweigert-dsgvo-strafe-in-bulgarien/
https://www.pinsentmasons.com/out-law/news/gdpr-fines-for-data-breaches-in-bulgaria
Bekannte Bußgelder:
Verstoß | Höhe des Bußgeldes in Euro |
| Mangelnde technische und organisatorische Maßnahmen, wodurch Dritte Einsicht in vertrauliche personenbezogene Daten enthielten | 20.149,50 |
| Kein Löschung von personenbezogenen Daten innerhalb der vom Unternehmen im Löschkonzept festgesetzten Fristen | 147.763,00 |
| Veröffentlichung von Sitzungsprotokollen durch das städtische Kinder- und Jugendzentrum, die besonders sensible Informationen und personenbezogene Daten enthielten | 6.700,00 |
| Löschung von personenbezogenen Daten ohne rechtlichen Grund nach einer Zugangsantrage durch die betroffene Person | 6.700,00 |
| Ein Computer wurde aus dem Rathaus gestohlen, auf dem sensible Informationen von ca. 20.620 Bürgern unverschlüsselt gespeichert waren | 14.000,00 |
| Einem Mitarbeiter der Stadtverwaltung wurde sein Arbeitscomputer gestohlen, der die persönlichen und u.a. sehr sensiblen Daten von etwa 1.600 Mitarbeitern der Stadtverwaltung enthielt | 7.000,00 |
| Fehlendes Löschkonzept (Festlegung und Dokumentation von Fristen) für das CRM-System. Ferner wurden Daten länger verarbeitet, als es für die erhobenen Zwecke erforderlich war. | 200.850,00 |
| Verstoß gegen das Prinzip der Datenminimierung mangels Löschung der personenbezogenen Daten nach einer gewissen Frist | 161.000,00 |
Quellen:
https://www.datatilsynet.dk/presse-og-nyheder/nyhedsarkiv
https://www.procado.de/daenische_aufsichtsbehoerde_empfiehlt_bussgeld_von_ueber_160000_euro
https://www.datatilsynet.dk/presse-og-nyheder/nyhedsarkiv/2020/maj/jobteam-indstillet-til-boede/
https://www.datatilsynet.dk/presse-og-nyheder/nyhedsarkiv/2020/mar/to-kommuner-indstillet-til-boede/
https://www.datenschutzticker.de/2020/06/bussgeld-von-1000-euro-fuer-direktwerbung/
Bekannte Bußgelder:
Verstoß | Höhe des Bußgeldes in Euro |
| Veröffentlichung von Fotos von Personen ohne deren Zustimmung | 500,00 |
| Unbefugter Zugriff auf Daten in einer Datenbank einer öffentlichen Stelle | 48,00 bzw. 56,00 (zwei voneinander unabhängige Bußgelder) |
Quellen:
https://www.enforcementtracker.com/
https://www.aki.ee/et/uudised/uudishimuparing-toi-vaarteotrahvi
Bekannte Bußgelder:
Verstoß | Höhe des Bußgeldes in Euro |
| Verarbeitung von Mitarbeiterdaten ohne ausreichende Rechtsgrundlage | 12.500,00 |
| Nichtdurchführung einer Datenschutz-Folgenabschätzung hinsichtlich der Verarbeitung von Standortdaten von Mitarbeiten | 16.000,00 |
| Zusendung von Werbung trotz Aufforderung der Betroffenen, ihre Daten zu löschen sowie Verstoß gegen das Transparenzgebot in der Datenschutzerklärung | 100.000,00 |
| Mehrere Verstöße, unter anderem Nichtdurchführung einer Datenschutz-Folgenabschätzung im Kontext mit Video-/Audioüberwachung sowie der Verarbeitung von Standortdaten | 72.000,00 |
| Versendung von Direktmarketing-Nachrichten ohne Zustimmung der Betroffenen; Nichtbeachtung der Betroffenenrechte | 7.000,00 |
Quellen:
Bekannte Bußgelder:
Verstoß | Höhe des Bußgeldes in Euro |
| Nach vorherigem Hinweis der Aufsichtsbehörde Verstoß gegen den Grundsatz der Datenminimierung, die Pflicht zur Begrenzung der Speicherfríst, Informationspflichten gegenüber der Betroffenen und mangelnde technische und organisatorische Maßnahmen. | 250.000,00 |
| Unangemeldete Anrufe nach Beschwerde der Betroffenen, dass zu viele Daten über Kunden und ihre Gesundheit gespeichert worden seien. Ferner wurden die Betroffenen nicht ausreichend über die Datenverarbeitungen informiert und über die Aufzeichnung der Telefongespräche aufgeklärt | 500.000,00 |
| Ermöglichung des unbefugten Zugangs (online) zu einer Vielzahl von sensiblen Kundendaten ohne jegliche vorherige Authentifizierung | 180.000,00 |
| Rechtswidrige Videoüberwachung von Mitarbeitern trotz mehrmaliger Aufforderung der Aufsichtsbehörde, die Videoüberwachung dem geltenden Recht anzupassen | 20.000,00 |
| Veröffentlichung von sensiblen personenbezogener Daten (bspw. Personalausweis, Gesundheitskarten, Steuerbescheide, Kontodaten) aufgrund mangelnder Sicherheitsmaßnahmen; langsame Beseitigung der Sicherheitsmängel; zu lange Speicherung von Daten | 400.000,00 |
| Die Datenschutzbehörde verhängte Anfang 2019 ein Bußgeld gegen Google, da der Konzernriese ohne Einwilligungen zur Datenverarbeitung arbeite und das Transparenzprinzip missachte | 50 Mio. |
Quellen:
https://www.helpnetsecurity.com/2019/02/07/gdpr-numbers-january-2019/
Bekannte Bußgelder:
Verstoß | Höhe des Bußgeldes in Euro |
| Rechtswidrige Verarbeitung von personenbezogenen Daten von Mitarbeitern (falsche Rechtsgrundlage); Verstoß gegen die Rechenschaftspflicht | 150.000,00 |
Quellen:
https://dataagenda.de/wp-content/uploads/2019/08/Newsbox_08_2019.pdf
Bekannte Bußgelder:
Verstoß | Höhe des Bußgeldes in Euro |
| Weitergabe von sehr sensiblen Daten durch die Child and Family Agency an unbefugte Dritte | 75.000,00 |
| Versand eines Briefes durch die Child and Family Agency, der Missbrauchsvorwürfe enthielt, an einen unbefugten Dritten, der den Brief veröffentlichte. Der Vorfall wurde auch nicht der Datenschutzaufsichtsbehörde gemeldet. | 40.000,00 |
| Entsorgung von Patientendaten in öffentlicher Recycling-Anlage | 65.000,00 |
| Verspätete Meldung eines Datenschutzvorfalls | 450.000,00 |
Quellen:
https://iapp.org/news/a/irish-dpc-fines-tusla-75k-euros-for-gdpr-violations/
https://www.irishlegal.com/article/tusla-fined-40-000-in-second-gdpr-breach
https://www.irishexaminer.com/news/arid-40075673.html
Bekannte Bußgelder:
Verstoß | Höhe des Bußgeldes in Euro |
| Rechtswidrige Weitergabe von Gesundheitsdaten (detaillierte medizinische Informationen über 252 Personen sowie 3.000 Namen von Personen, die wegen Alkohol- und Drogenmissbrauchs behandelt wurden) wegen mangelnder technischer und organisatorisches Maßnahmen | 20.600,00 |
| Versendung einer E-Mail durch einen Lehrer mit ungewolltem Anhang, in dem sensible personenbezogene Daten enthalten waren, aufgrund mangelnder technischer und organisatorischer Maßnahmen | 9.000,00 |
Quellen:
Bekannte Bußgelder:
Verstoß | Höhe des Bußgeldes in Euro |
| Verarbeitung von personenbezogenen Daten ohne schriftliche Einwilligung oder sonstige Rechtsgrundlage; Verstoß gegen Informationspflichten: kein Hinweis zu Betroffenenrechten | 2 Mio. (je 6.000 €/Verstoß für 78 Verstöße + je 10.000 €/Verstoß für 155 andere Verstöße) |
Quellen:
https://www.datenschutzticker.de/2019/06/bussgeld-von-ueber-2-millionen-euro-fuer-telemarketing/
Bekannte Bußgelder:
Verstoß | Höhe des Bußgeldes in Euro |
| Weigerung eines Kreditinstituts, seinen Kunden (ca. 2.500 Anträge) Zugang zu ihren personenbezogenen Daten in Kreditdokumenten zu gewähren über einen Zeitraum von knapp einem Jahr | 20 Mio. |
Quellen:
Bekannte Bußgelder:
Verstoß | Höhe des Bußgeldes in Euro |
| Der Verantwortliche missachtete das Recht der Betroffenen auf Löschung und übermittelte der Aufsichtsbehörde nach einer entsprechenden Aufforderung nicht die geforderten Informationen | 7.000,00 |
Quellen:
Bekannte Bußgelder:
Verstoß | Höhe des Bußgeldes in Euro |
| Zahlungsdienstleiser verarbeitete mehr Daten, als erforderlich. Zudem wurde ein Datenschutzvorfall bekannt, welcher der Aufsichtsbehörde nicht gemeldet wurde; es waren zeitweise Transaktionen, die von dem Zahlungsdienstleister verarbeitet wurden, online zugänglich. | 61.500,00 |
| Unsachgemäße Verarbeitung personenbezogener Daten der Eltern eines adoptierten Kindes | 15.000,00 |
Quellen:
Bekannte Bußgelder:
Verstoß | Höhe des Bußgeldes in Euro |
|
|
Quellen:
Bekannte Bußgelder:
Verstoß | Höhe des Bußgeldes in Euro |
| Mangelnde Sicherheitsmaßnahmen, durch die eine Vielzahl von personenbezogenen Daten bei einer einfach Google-Suche zugänglich gemacht wurden, darunter auch sehr sensible Informationen. | 5.000,00 |
Quellen:
https://www.gvzh.com.mt/malta-news/idpc-fines-lands-authority-data-breach/
Die niederländische Aufsichtsbehörde hat eine Art Bußgeldkatalog veröffentlicht, der unter folgendem Link abrufbar ist: https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/stcrt-2019-14586.pdf
Bekannte Bußgelder:
Verstoß | Höhe des Bußgeldes in Euro |
Mangelnde technische und organisatorische Maßnahmen, durch die eine Vielzahl von Mitarbeitern Zugriff auf Patientenakten hatten | 460.000,00 |
| Mangelnde Sicherheit, da keine mehrstufige Authentifizierung bei dem Zugriff auf das Online-Portal eines Arbeitgebers vorgesehen war, bei dem auch krankheitsbedingte Abwesenheit von Mitarbeitern (=Gesundheitsdaten) einsehbar sind | 900.000,00 |
| Unzulässige Erschwerung von Auskunftsersuchen; keine Gewährung eines kostenlosen elektronischen Zugangs zu personenbezogenen Daten im Zusammenhang mit dem Auskunftsrecht nach Art. 15 DSGVO | 830.000,00 |
| Verkauf von personenbezogenen Daten ohne entsprechende Rechtsgrundlage, um den betroffenen Werbeangebot übermitteln zu können | 525.000,00 |
| Rechtswidrige Verarbeitung von Fingerabdrücken von Mitarbeitern ohne (freiwillige) Zustimmung der Betroffenen; Verstoß gegen das Transparenzgebot bei der Verarbeitung | 725.000,00 |
Quellen:
https://www.dr-datenschutz.de/bussgeld-in-holland-unrechtmaessige-verarbeitung-von-fingerabdruecken/
Bekannte Bußgelder:
Verstoß | Höhe des Bußgeldes in Euro |
| Fehlende technische und organisatorische Maßnahmen, insbesondere kein Berechtigungskonzept, sodass ein unbefugter Zugriff auf eine Vielzahl von personenbezogene Daten leicht möglich war | 170.000,00 |
| Einsatz einer App durch eine Schule, die eine mangelhafte Datensicherheit aufwies und einen unbefugten Zugriff durch Dritte ermöglichte | 120.000,00 |
| Einsatz einer Lernplattform, durch die ein Zugriff auf sensible Informationen von Schülern möglich war; keine Durchführung einer Datenschutz-Folgenabschätzung | 44.826,00 |
| Kein Löschkonzept, sodass 20 Jahre alte Daten ohne Rechtsgrund archiviert wurden | 358.610,00 |
| Verbreitung und Veröffentlichung einer Videoaufnahme einer Überwachungskamera aus einem Supermarkt ohne Rechtsgrundlage | 37.976,00 |
| Nutzung eines Voicemail-Systems, welches für Hackangriffe anfällig war; keine Meldung von Datenschutzvorfällen | 134.578,00 |
| Mangelnde technische und organisatorische Maßnahmen sowie ein unzureichendes Sicherheitskonzept bei einem Kommunikations-Tool, über das eine Schule mit Eltern kommunizierte | 269.155,00 |
| Verarbeitung von personenbezogenen Daten ohne Rechtsgrundlage durch ein Unternehmen, dass die Bonität von Personen bewertet | 26.916,00 |
| Verarbeitung von personenbezogenen Daten eines Einzelunternehmers ohne Rechtsgrundlage durch ein Unternehmen, dass die Bonität von Personen bewertet | 27.813,00 |
| Unzulässige Videoüberwachung von Straßenarbeiten durch Verkehrskameras | 37.847,00 |
| Fehlendes Zugriffskonzept auf sensible personenbezogene Daten (Gesundheitsdaten), keine Protokollierung der Zugriffe, Verstoß über 6 Jahre | 780.000,00 |
Quellen:
https://www.datatilsynet.no/aktuelt/aktuelle-nyheter-2020/varsel-om-gebyr-til-ralingen-kommune/
https://www.dsgvo-portal.de/dsgvo-bussgeld-gegen-coop-finnmark-sa-2020-03-11-NO-425.php
https://www.datatilsynet.no/aktuelt/aktuelle-nyheter-2020/varsel-om-gebyr-aquateknikk/
Bekannte Bußgelder:
Verstoß | Höhe des Bußgeldes in Euro |
| Veröffentlichung von Patientendaten (Namen, Befunddaten, etc) auf der privaten FacebookSeite | 600,00 |
| Videoaufnahme von einer Person in sensibler Situation | 150,00 |
| Rechtswidriges Kopieren eines Personalausweises | n.A. |
| Rechtswidrige Erstellung von Profilen, die Informationen über Wohnadressen, persönliche Vorlieben, Gewohnheiten und Parteiaffinitäten enthielten – diese wurden anschließend z.B. an politische Parteien und Unternehmen weiterverkauft | 18 Mio. |
| Keine Bestellung einer Datenschutzbeauftragten; keine Prüfung, ob einer Datenschutz-Folgenabschätzung für gewisse Verarbeitungsvorgänge notwendig ist; Nichteinhaltung von Informationspflichten; Fehlerhafte Einholung von Einwilligungen der Betroffenen | 50.000,00 |
| Videoüberwachung in Gemeinschaftsräumen eines Wohnhauses (Flur, Parkplatz, etc.) ohne die Zustimmung der aufgenommenen Personen und ungeeignete Kennzeichnung der Videoüberwachung | 2.200,00 |
| Videoüberwachung im öffentlichen Raum einer Vielzahl von Personen, ungeeignete Kennzeichnung der Videoüberwachung, keine Löschung der Aufnahmen innerhalb einer angemessenen Frist und fehlende Protokollierung der Verarbeitungsvorgänge | 4.800,00 |
| Videoaufnahmen im öffentlichen Raum sowie zu lange Speicherdauer und mangelnde Kennzeichnung der Videoüberwachung | 1.500,00 |
| Unrechtmäßige Nutzung einer Dashcam (Verstoß gegen die DSGVO und nationales Datenschutzrecht) | 300,00 |
Quellen:
https://wien.orf.at/stories/3019396/
Bekannte Bußgelder:
Verstoß | Höhe des Bußgeldes in Euro |
| Unzureichende technische und organisatorische Maßnahmen, sodass personenbezogene Daten von mehr als 2,2 Mio. Menschen in falsche Hände gelangt seien | 650.000,00 |
| Nichterfüllung von Informationspflichten gegenüber 6 Mio. betroffenen Personen nach Aufforderung der Aufsichtsbehörde | 220.000,00 |
| Veröffentlichung von personenbezogenen Daten auf einer Website ohne Rechtsgrundlage | 13.000,00 |
| Fehlende Verträge über die Verarbeitung von personenbezogenen Daten; fehlendes Löschkonzept; Verstoß gegen die Rechenschaftspflicht | 8.778,57 |
| Keine ausreichenden technischen und organisatorischen Maßnahmen, die einen Widerruf der Zustimmung und die Ausübung des Rechts auf Löschung ermöglichen würden | 44.112,00 |
| Verarbeitung von biometrischen Daten (Fingerabdruck) ohne wirksame (freiwillige) Einwilligung | 4.563,00 |
| Vereitelung der Durchführung einer Überprüfung durch die Datenschutzbehörde | 4.389,00 |
| Keine bzw. unzureichende Rückmeldung auf Anfragen der Aufsichtsbehörde | 3.292,00 |
| Nachdem das Unternehmen der Aufsichtsbehörde einen Datenschutzvorfall meldete. Auf Rückanfragen der Aufsichtsbehörde erfolgte keine Reaktion | 1.098,00 |
| Während einer Untersuchung durch die Aufsichtsbehörde gewährte das Unternehmen keinen ausreichenden Zugang zu den Räumlichkeiten und maßgeblichen Informationen | 21.574,00 |
| Veröffentlichung von personenbezogenen Daten (Name, Adresse, Grundbuchnummer) | 21.968,00 |
| Mangelnde technische und organisatorische Maßnahmen, durch die ein Mitarbeiter 5 Jahre lang personenbezogene Daten auf seinem privaten Laptop speichern konnte | 10.984,00 |
Quellen:
https://www.uodo.gov.pl/en/553/1087
https://iapp.org/news/a/polands-dpa-issues-first-gdpr-fine/
https://uodo.gov.pl/decyzje/ZSPR.440.43.2019
https://uodo.gov.pl/en/553/1091
https://edpb.europa.eu/news/national-news/2019/polish-dpa-withdrawal-consent-shall-not-be-impeded_en
Bekannte Bußgelder:
Verstoß | Höhe des Bußgeldes in Euro |
| Mangelnde technische und organisatorische Maßnahmen, sodass Mitarbeiter eines Krankenhauses unbefugten Zugriff zu Patientenakten hatten | 400.000,00 |
| Nicht ausreichende Erfüllung der Informationspflichten | 2.000,00 |
| Verweigerung des Auskunftsrechts der betroffenen Personen | 20.000,00 |
| Versand von Marketingmitteilungen ohne entsprechende Rechtsgrundlage | 107.000,00 |
Quellen:
https://www.impulse.de/recht-steuern/rechtsratgeber/dsgvo-bussgelder/7337056.html
https://inplp.com/latest-news/article/portugal-recent-fines-for-the-breach-of-the-gdpr/
Bekannte Bußgelder:
Verstoß | Höhe des Bußgeldes in Euro |
|
|
Quellen:
Bekannte Bußgelder:
Verstoß | Höhe des Bußgeldes in Euro |
| Rechtswidriger Einsatz einer Gesichtserkennungssoftwarfe in einer Schule | 18.820,00 |
| Rechtswidrige Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Strafverfahren | 35.000,00 |
| Keine Behebung von Mängeln nach Aufforderung der Aufsichtsbehörde; bereits im Jahr 2017 war das Unternehmen aufgefordert worden, dem Recht der Betroffenen auf Löschung nachzukommen | 7,06 Mio. |
| Verspätete Meldung von Datenschutzvorfällen | 18.800,00 |
| Rechtswidrige Veröffentlichung von personenbezogenen Daten eines Betroffenen, unter anderem auch sensible Gesundheitsdaten, auf einer Webseite | 11.280,00 |
| Videoüberwachung in dem Treppenhaus eines Mietshauses durch den Vermieter ohne ausreichende Rechtsgrundlage | 1.882,00 |
Quellen:
https://www.datainspektionen.se/globalassets/dokument/beslut/beslut-tillsyn-mrkoll.pdf
https://www.datainspektionen.se/globalassets/dokument/beslut/2020-03-11-beslut-google.pdf
https://www.datainspektionen.se/globalassets/dokument/beslut/beslut-tillsyn-ssc-20200428.pdf
Bekannte Bußgelder:
Verstoß | Höhe des Bußgeldes in Euro |
| Mangelnde technische und organisatorische Maßnahmen: Briefe einer Sozialversicherung mit sensiblen personenbezogenen Daten wurden nicht als Einschreiben, sondern auf dem Postweg verschickt und gingen verloren | 50.000,00 |
| Versand von Verträgen, die bereits ausgefüllt waren (Name, Anschrift, Personalausweisnummer, etc.) an unbefugte Dritte durch eine Telekommunikationsanbieter | 40.000,00 |
| Verspätete Antwort (67 Tage) auf ein Auskunftsersuchen einer betroffenen Person | 10.000,00 |
Quellen:
Bekannte Bußgelder:
Verstoß | Höhe des Bußgeldes in Euro |
|
|
Quellen:
Bekannte Bußgelder:
Verstoß | Höhe des Bußgeldes in Euro |
|
|
Quellen:
Bekannte Bußgelder:
Verstoß | Höhe des Bußgeldes in Euro |
|
|
Quellen:
Bekannte Bußgelder:
Verstoß | Höhe des Bußgeldes in Euro |
| Nichtachtung der Betroffenenrechte (Art. 15 Abs. 1, 3, Art. 18 DSGVO) | 2.738,00 |
| Versendung einer SMS mit personenbezogenen Daten einer anderen Person; keine Löschung der Telefonnummer | 1.370,00 |
| Nichtachtung von Betroffenenrechten (Art. 15, Art. 17 DSGVO). Verstoß gegen das Transparenzgebot, da der Verantwortliche die betroffenen Person nicht vor der Erhebung der Daten darüber informierte, dass das Recht auf Löschung aufgrund von Aufbewahrungsfristen eingeschränkt wird | 1.370,00 |
| Weitergabe von personenbezogenen Daten ohne entsprechende Rechtsgrundlage an Unbefugte | 2.738,00 |
| Nichtachtung der Rechts auf Löschung; Verarbeitung von Daten ohne Rechtsgrundlage; Verstoß gegen den Grundsatz der Zweckbindung | 2.738,00 |
| Nichtachtung des Auskunftsrechts | 1.642,00 |
| Nichtachtung des Auskunftsrechts sowie Verstoß gegen das Transparenzgebot, die Rechenschaftspflicht, die Richtigkeit der verarbeiteten Daten | 5.474,00 |
| Verarbeitung von personenbezogenen Daten ohne Rechtsgrundlage und Verstoß gegen die Rechenschaftspflicht | 2.738,00 |
| Versäumnis der Frist von einem Monat zur Auskunft über personenbezogene Daten | 28,00 |
Quellen:
https://www.naih.hu/files/NAIH-2018-5559-H-hatarozat.pdf
https://www.naih.hu/files/NAIH-2019_363_hatarozat.pdf
https://www.naih.hu/files/NAIH-2019-1841_hatarozat.pdf
https://www.naih.hu/files/NAIH-2019-2526-2-H-hatarozat.pdf
https://www.naih.hu/files/NAIH_2019_133_hatarozat.pdf
https://www.naih.hu/files/NAIH-2019-167-hatarozat.pdf
https://www.onlinehaendler-news.de/e-recht/abmahnungen/133387-google-28-euro-dsgvo-bussgeld
Bekannte Bußgelder:
Verstoß | Höhe des Bußgeldes in Euro |
| Mangelnde technische und organisatorische Maßnahmen, die Cyberangriffe ermöglichten, durch die unzählige Kundendaten abgegriffen werden konnten | 204,6 Mio. |
| Mangelnde technische und organisatorische Maßnahmen, die Cyberangriffe ermöglichten, durch die unzählige Kundendaten abgegriffen werden konnten. Grund für die mangelnden Maßnahmen war, dass keine ausreichende Due-Diligence-Prüfung bei der Übernahme des Unternehmens durchgeführt wurde | 110,39 Mio. |
| Aufbewahrung von einer Vielzahl von Dokumenten, die personenbezogene Daten enthielten, in unversiegelten Behältern, wodurch die Dokumente beschädigt wurden. | 320.000,00 |
| Versand von Werbe-SMS an eine Vielzahl von Personen ohne deren Einwilligung | 65.694,00 |
| Rechtswidrige Anrufe zum Zwecke des Direktmarketings ohne Einwilligung der betroffenen Personen | 142.337,00 |
| Rechtswidrige Anrufe zum Zwecke des Direktmarketings ohne Einwilligung der betroffenen Personen | 87.624,00 |
Quellen:
https://www.coreview.com/blog/alpin-gdpr-fines-list/
https://ico.org.uk/media/action-weve-taken/mpns/2618330/dgel-mpn-20200922.pdf
https://ico.org.uk/media/action-weve-taken/mpns/2618232/cps-advisory-limited-mpn.pdf
Bekannte Bußgelder:
Verstoß | Höhe des Bußgeldes in Euro |
| Einsatz eines Tools, mit welchem die krankheitsbedingten Fehlzeiten von Arbeitnehmern erfasst wurden. Dabei handelte es sich um besondere Kategorien von personenbezogenen Daten und es fehlte eine entsprechende Rechtsgrundlage zur Verarbeitung | 70.000,00 |
| Einsatz eines Tools, mit welchem die krankheitsbedingten Fehlzeiten von Arbeitnehmern erfasst wurden. Dabei handelte es sich um besondere Kategorien von personenbezogenen Daten und es fehlte eine entsprechende Rechtsgrundlage zur Verarbeitung | 10.000,00 |
| Einsatz eines Tools, mit welchem die krankheitsbedingten Fehlzeiten von Arbeitnehmern erfasst wurden. Dabei handelte es sich um besondere Kategorien von personenbezogenen Daten und es fehlte eine entsprechende Rechtsgrundlage zur Verarbeitung | 2.000,00 |
| Weigerung, einem Patienten eine Kopie seiner Patientenakte zur Verfügung stellen | 5.000,00 |
| Mangelnde technischen und organisatorischen Maßnahmen hinsichtlich Passwortschutz und fehlende Kooperation mit der Datenschutzbehörde | 9.000,00 |
| Ungewünschtes Zusenden von Werbe-SMS aufgrund mangelnder organisatorischer Maßnahmen, auch nach Widerspruch der betroffenen Person | 1.200,00 |
| Versand von unerwünschten Werbe-SMS ohne eine kostenfreie Möglichkeit, dies zu unterbinden | 1.000,00 |
| Veröffentlichung von Lichtbildern und Namen von Polizisten ohne deren Zustimmung in einer Lokalzeitung (u.a. Verstoß gegen den Grundsatz der Datenminimierung) | 10.000,00 |
| Veröffentlichung von personenbezogenen Daten einer Patientin auf sozialen Netzwerken ohne Zustimmung der betroffenen Person | 14.000,00 |
Quellen:
https://www.serapion.de/fast-1-jahr-dsgvo-im-gesundheitswesen-zwischenfaelle-und-bussgelder/
https://www.dsgvo-portal.de/dsgvo-bussgeld-gegen-zypriotische-polizei-2020-01-13-CY-327.php
https://www.dataguidance.com/news/cyprus-commissioner-fines-doctor-%E2%82%AC14000-gdpr-violations
https://www.privacyminders.com/news/gdpr-10-000-fine-on-a-newspaper-for-publishing/
https://www.privacyminders.com/news/gdpr-10-000-fine-on-a-newspaper-for-publishing/
Facebook
Twitter
Linkedin
XING
Youtube