Nach Inkrafttreten der europäischen Datenschutzgrundverordnung (DSGVO) sind die Aufsichtsbehörden der Länder tätig geworden und verhängten bereits zahlreiche Bußgelder wegen Verstößen gegen die DSGVO. Zudem veröffentlichte die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder ein Konzept zur Bußgeldbemessung. In unserem Bußgeldatlas sammeln wir die bisher bekannten Bußgelder und zeigen die begangenen Verstöße in einer Übersicht je nach Bundesland.
Aber auch die Datenschutzaufsichtsbehörden unserer europäischen Nachbarn verhängten aufgrund von DSGVO-Verstößen bereits einige Bußgelder, die wir hier ebenfalls auflisten.
Bundesbeauftragte für den Datenschutz und die Informationsfreiheit
Website:
Bekannte Bußgelder:
Verstoß | Höhe des Bußgeldes in Euro |
Keine hinreichenden technisch-organisatorischen Maßnahmen, um zu verhindern, dass Unberechtigte bei der telefonischen Kundenbetreuung Auskünfte zu Kundendaten erhalten können | 900.000,00 (die ursprüngliche Geldbuße in Höhe von 9.550.000,00 wurde durch ein Urteil heruntergesetzt) |
Keine Benennung einer Datenschutzbeauftragten trotz gesetzlicher Auflage | 10.000,00 |
Quelle:
Pressemitteilung27-2020-vom-11_11_2020-Bussgeld-gegen-Telekommunikationsd___.pdf (nrw.de)
Landesbeauftragte für Datenschutz und Informationsfreiheit
Website: https://www.baden-wuerttemberg.datenschutz.de
Bekannte Bußgelder:
Verstoß | Höhe des Bußgeldes in Euro |
Unverschlüsselte Speicherung von Passwörtern | 20.000,00 |
Offenlegung von Gesundheitsdaten
| 80.000,00 |
Verstoß gegen Zweckbindung bei der Verarbeitung von personenbezogenen Daten | 2.500,00 |
Private Nutzung von dienstlich erlangten personenbezogenen Daten durch einen Polizeibeamten | 1.400,00 |
Unsachgemäße Entsorgung von personenbezogenen Daten (Finanzsektor) | 80.000,00 |
Mangels ausreichender technischer und organisatorischer Maßnahmen kam es zur Verarbeitung von Kontaktdaten zu Werbezwecken ohne Einwilligung der Betroffenen | 1,24 Mio. |
Nicht ausreichender Schutz von Bewerberdaten mangels ausreichender technischer und organisatorischer Maßnahmen. | 100.000,00 |
Fahrlässige Verletzung der obliegenden Rechenschaftspflicht aus Art. 5 Abs. 2 DSGVO | 300.000,00 |
Unzulässige Aufnahme und Speicherung von Besuchern und Mitarbeitern in einem Schwimmbad. Verstoß gegen Art. 28 Abs. 9, 6 Abs. 1 DSGVO | 12.000,00 |
Quellen:
https://www.dsgvo-portal.de/dsgvo-bussgeld-gegen-vfb-stuttgart-2021-03-10-DE-1122.php
https://www.dsgvo-portal.de/dsgvo-bussgeld-gegen-betreiber-eines-schwimmbades-2020-03-24-DE-443.php
Der Bayerische Landesbeauftragte für den Datenschutz
Website: https://www.datenschutz-bayern.de
Bekannte Bußgelder:
Verstoß | Höhe des Bußgeldes in Euro |
Verweigerung des Zugangs zu den Geschäftsräumen und Datenverarbeitungsanlagen bei einer unangekündigten Vor-Ort-Kontrolle, Art. 58 Abs. 1 lit. f) DSGVO | 7000,00 |
|
|
Quellen:
7.000 Euro Bußgeld gegen Unternehmen | 13.07.2021 | DSGVO Bußgeld-Datenbank (dsgvo-portal.de)
Berliner Beauftragte für Datenschutz und Informationsfreiheit
Website: https://www.datenschutz-berlin.de
Bekannte Bußgelder:
Verstoß | Höhe des Bußgeldes in Euro |
Unbefugte Verarbeitung von personenbezogenen Daten von ehemaligen Kundinnen und Kunden | 50.000,00 |
Diverse Einzelverstöße, wie Nichtachtung der Betroffenenrechte (Recht auf Auskunft, Löschung, Widerspruch), Übermittlung von unerwünschten Werbe-E-Mails. | 195.407,00 (Summe aus zwei Bußgeldbescheiden) |
Speicherung von Daten in einem Archivsystem, bei dem keine Möglichkeit zur Löschung vorgesehen war (Verstoß gegen Artikel 25 Abs. 1 DSGVO sowie Artikel 5 DSGVO) und welches trotz Aufforderung der Aufsichtsbehörde innerhalb eines längeren Zeitraumes nicht überarbeitet wurde. Nach Einstellung des gerichtlichen Verfahrens hat die Staatsanwaltschaft nun Beschwerde eingelegt.
| Ursprünglich 14,5 Mio. (Laufendes Verfahren) |
Quellen:
Die Landesbeauftragte für den Datenschutz und für das Recht auf Akteneinsicht
Website: https://www.lda.brandenburg.de
Bekannte Bußgelder:
Verstoß | Höhe des Bußgeldes in Euro |
Falsche Auskunft und fehlender schriftlicher Auftragsverarbeitungsvertrag | 50.000,00 |
|
|
Quellen:
Die Landesbeauftragte für Datenschutz und Informationsfreiheit
Website: https://www.datenschutz.bremen.de/
Bekannte Bußgelder:
Verstoß | Höhe des Bußgeldes in Euro |
|
|
|
|
Quellen:
Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit
Website: https://datenschutz-hamburg.de/
Bekannte Bußgelder:
Verstoß | Höhe des Bußgeldes in Euro |
Erfassung und Speicherung des Urlaubs, der krankheitsbedingten Abwesenheit (inkl. Symptomen und Diagnose) von Mitarbeitern sowie deren privaten Lebensumständen über einen Zeitraum von ca. 6 Jahren durch einen großen Modekonzern
| 35.258.707,95 |
Verspätete Meldung eines Data Breaches und unterbliebene Information der Betroffenen | 20.000,00 |
Unterlassen der Mitteilung über den neuen Daten-schutzbeauftragten als Ver-stoß gegen Art. 37 Abs. 7 DSGVO | 51.000,00 |
Quellen:
https://datenschutz-hamburg.de/assets/pdf/27._Taetigkeitsbericht_Datenschutz_2018_HmbBfDI.pdf
https://datenschutz-hamburg.de/pressemitteilungen/2020/10/2020-10-01-h-m-verfahren
https://datenschutz-hamburg.de/assets/pdf/28._Taetigkeitsbericht_Datenschutz_2019_HmbBfDI.pdf
Der Hessische Beauftragte für Datenschutz und Informationsfreiheit
Website: https://datenschutz.hessen.de/
Bekannte Bußgelder:
Verstoß | Höhe des Bußgeldes in Euro |
|
|
|
|
Quellen:
Der Landesbeauftragte für Datenschutz und Informationsfreiheit
Website: https://www.datenschutz-mv.de
Bekannte Bußgelder:
Verstoß | Höhe des Bußgeldes in Euro |
Erstellung von Nachbarschaftslisten ohne Einwilligung | 200,00 |
|
|
Quellen:
https://www.datenschutz-mv.de/static/DS/Dateien/Publikationen/Taetigkeitsberichte/lfdmvtb15.pdf
Die Landesbeauftragte für den Datenschutz Niedersachsen
Website: https://www.lfd.niedersachsen.de
Bekannte Bußgelder:
Verstoß | Höhe des Bußgeldes in Euro |
Videoüberwachung der Beschäftigten über einen Zeitraum von zwei Jahren ohne Rechtsgrundlage. Verstoß gegen Art. 5, 6 DSGVO | 10,4 Mio. |
Aufbewahrung von Personalakten über den erforderlichen Zeitraum hinaus. Verstoß gegen Art. 5 Abs. 1 lit. e) DSGVO | 294.000,00 |
Fehlende Sicherheitsupdates einer veralteten Software für einen Web-Shop seit 2014, Art. 25, 32 DSGVO | 65.500,00 |
Quellen:
Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen
Website: https://www.ldi.nrw.de/
Bekannte Bußgelder:
Verstoß | Höhe des Bußgeldes in Euro |
Offenlegung von Kontoauszüge an Unbefugte beim Online-Banking | n.a. |
Unzulässige Werbe-E-Mails | n.a. |
Unbefugte Kopie von Kundendaten bei einem Hackerangriff auf einen Webshop | n.a. |
Offene E-Mail-Verteiler | n.a. |
Unzulässige Videoüberwachung von Kunden und Arbeitnehmern | n.a. |
Lkw-Fahrer nahm mit Dash-Cam andere Verkehrsteilnehmer samt Kennzeichen auf und veröffentlichte die Aufnahmen auf seinem Youtube-Kanal. Verstoß gegen Art. 6 Abs. 1 lit. f), 12ff. DSGVO | 229,00 |
Quellen:
https://www.dsgvo-portal.de/dsgvo-bussgeld-gegen-lkw-fahrer-2020-03-14-DE-427.php
Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit
Website: https://www.datenschutz.rlp.de/
Bekannte Bußgelder:
Verstoß | Höhe des Bußgeldes in Euro |
Technische und organisatorische Defizite des Krankenhauses beim Patientenmanagement, durch welche es zu Verwechslung von Patienten kam, sodass falsche Rechnungen ausgestellt wurden. | 105.000,00 |
Unerlaubte Verarbeitung der personenbezogenen Daten eines vermeintlichen Schuldners. Verstoß gegen Art. 5, 6 DSGVO | 8.000 |
Quellen:
https://www.dsgvo-portal.de/dsgvo-bussgeld-gegen-rechtsanwalt-2020-09-03-DE-641.php
Unabhängiges Datenschutzzentrum Saarland
Website: https://www.datenschutz.saarland.de
Bekannte Bußgelder:
Verstoß | Höhe des Bußgeldes in Euro |
Veröffentlichung personenbezogener Daten eines Dritten | 118,50 |
Unzulässige Videoüberwachung im Gastraum eines Restaurants. Verstoß gegen Art. 5 Abs. 1 lit. b), c) DSG-VO | 2.000,00 |
Quellen:
https://www.datenschutz.saarland.de/fileadmin/user_upload/uds/tberichte/tb28_2019.pdf
Der Sächsische Datenschutzbeauftragte
Website: https://www.saechsdsb.de
Bekannte Bußgelder:
Verstoß | Höhe des Bußgeldes in Euro |
Unrechtmäßiger Betrieb einer Dash-Cam. Verstoß gegen Art. 6 DSGVO | Zwischen 50,00 und 800,00 |
Verstoß gegen die Auskunftspflicht | 500,00 |
Quellen:
Landesbeauftragter für den Datenschutz Sachsen-Anhalt
Website: https://www.datenschutz.sachsen-anhalt.de
Bekannte Bußgelder:
Verstoß | Höhe des Bußgeldes in Euro |
Offener Mail-Verteiler, in dem personenbezogene Mail-Adressen erkennbar sind | 2.628,50 |
Unverschlüsselte Übermittlung von Bilddateien als Beweismaterial zu Verkehrsverstößen an die Bußgeldabteilung einer Stadt. Verstoß gegen Art. 5, 32 DSGVO | 200,00 |
Quellen:
Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein
Website: https://www.datenschutzzentrum.de
Bekannte Bußgelder:
Verstoß | Höhe des Bußgeldes in Euro |
|
|
|
|
Quellen:
Thüringer Landesbeauftragter für den Datenschutz und die Informationsfreiheit
Website: https://www.tlfdi.de/
Bekannte Bußgelder:
Verstoß | Höhe des Bußgeldes in Euro |
Unzulässige Datenübergabe an einen Geschäftsnachfolger ohne Einwilligung der zahlreichen Betroffenen | >10.000,00 |
Videoaufnahmen in einer Gaststätte | >10.000,00 |
Quellen:
Bekannte Bußgelder:
Verstoß | Höhe des Bußgeldes in Euro |
Unautorisierte Zuweisung einer Telefonnummer an einen Dritten für die Dauer mehrerer Tage. Eine anschließende Unterrichtung der Behörde oder des Betroffenen unterblieb, Art. 5, 24, 32 33, 34 DSGVO | 25.000,00 |
Betrieb einer Fan-Page auf Facebook ohne Einwilligung der betroffenen Person, Art. 5, 12, 21 DSGVO | 10.000,00 |
Unzureichende Erfüllung der Betroffenenrechte, Art. 5, 6, 12, 14, 15, 24 DSGVO | 50.000,00 |
Unzureichende Erfüllung der Betroffenenrechte, Art. 5, 6, 12, 14, 24 DSGVO | 15.000,00 |
Verstoß gegen das Zweckbindungsgebot bei der Verarbeitung von Wählerverzeichnissen zur Erstellung einer neuen Wählerliste. Verstoß gegen Art. 13, 14 DSGVO | 3.000,00 |
Rechtswidrige Verwendung von E-Mail-Adressen zu Wahlzwecken | 5.000,00 |
Ablehnung eines Antrags auf Löschung eines Artikels, der personenbezogene Daten enthielt (Verstoß gegen Art. 17 DSGVO) sowie Verstoß gegen das Transparenzverbot aufgrund unzureichender Begründung der Ablehnung | 600.000,00 |
Versendung einer E-Mail ohne Zustimmung des Betroffenen und darauffolgende Nichtbeantwortung eines Auskunftsersuchens dieses Betroffenen | 10.000,00 |
Versendung von Werbe-E-Mail trotz Widerspruch der Betroffenen; keine Kooperation mit der Aufsichtsbehörde | 1.000,00 |
Verwendung von unrechtmäßig erlangten Kontaktdaten zu Zwecken der Wahlwerbung | 5.000,00 |
Versendung von Direktmarketing-Nachrichten, obwohl die Betroffenen hinsichtlich ihrer Kontaktdaten von ihrem Löschungs- und Widerspruchsrecht Gebrauch gemacht hatten | 1.000,00 |
Versendung von Einladungen durch einen Social Media Provider an Kontakte, die von seinen Nutzern ohne Zustimmung der Betroffenen und ohne eine andere gesetzliche Grundlage hochgeladen wurden | 50.000,00 |
Nicht ausreichende Einbindung der Datenschutzbeauftragten in die Verarbeitung von Datenschutzvorfällen sowie mangelnde Unabhängigkeit der Datenschutzbeauftragten | 50.000,00 |
Keine Reaktion auf Auskunftsersuche von Betroffenen sowie keine Löschung der Daten | 2.000,00 |
Die Datenschutzerklärung wurde lediglich in englischer Sprache zur Verfügung gestellt, obwohl sich die Website an niederländisch- und französischsprachiges Publikum richtete; Einsatz von Google Analytics ohne Zustimmung der Website-Besucher | 15.000,00 |
Verwendung von E-Mail-Adressen ohne Rechtsgrundlage | 5.000,00 |
Missbräuchliche Verwendung von personenbezogenen Daten durch einen Bürgermeister zu Wahlkampfzwecken | 2.000,00 |
Verstoß gegen die Pflicht zu ausreichenden organisatorischen Maßnahmen durch unzureichende Schutzmaßnahmen vor unberechtigten Abfragen, Art. 5 Abs. 1 lit. f), 32 DSGVO | 100.000,00 |
Fortgesetzte Werbeanrufe bei werdenden Müttern trotz widerrufener Einwilligung, Art. 5, 6 DSGVO | 50.000,00 |
Weiterbetrieb des E-Mail-Postfachs Angestellter für eine Zeitraum von 2,5 Jahren nach Beendigung des Arbeitsverhältnisses, Art. 5, 6, 17 DSGVO | 15.000,00 |
Verwendung von Daten zum Zwecke der Wahlwerbung ohne erforderliche Einwilligung, Art. 5, 6 DSGVO | 5.000,00 |
Fortdauernde Verarbeitung trotz Widerruf des Betroffenen. Unterlassene Aufklärung anderer verarbeitender Herausgeber über den Widerruf, Art. 5, 6, 7, 24 DSGVO | 20.000,00 |
Quellen:
https://www.gegevensbeschermingsautoriteit.be/publications/beslissing-ten-gronde-nr.-39-2020.pdf
https://www.gegevensbeschermingsautoriteit.be/publications/beslissing-ten-gronde-nr.-53-2020.pdf
https://www.beck.de/cms/?toc=ZD.ARC.201907&docid=418612
https://www.dsgvo-portal.de/dsgvo-bussgeld-gegen-stadtrat-2019-11-28-BE-214.php
https://www.meineberater.at/falscher-datenschutzbeauftragter-50-000-euro-strafe/
https://www.datenschutzticker.de/2020/06/bussgeld-von-1000-euro-fuer-direktwerbung/
https://www.enforcementtracker.com/
https://www.datenschutzticker.de/2020/06/bussgeld-von-1000-euro-fuer-direktwerbung/
https://www.gegevensbeschermingsautoriteit.be/publications/beslissing-ten-gronde-nr.-42-2020.pdf
https://www.gegevensbeschermingsautoriteit.be/publications/beslissing-ten-gronde-nr.-53-2020.pdf
https://www.gegevensbeschermingsautoriteit.be/publications/beslissing-ten-gronde-nr.-64-2020.pdf
https://www.gegevensbeschermingsautoriteit.be/publications/beslissing-ten-gronde-nr.-81-2020.pdf
https://www.autoriteprotectiondonnees.be/publications/decision-quant-au-fond-n-02-2021.pdf
https://www.gegevensbeschermingsautoriteit.be/publications/beslissing-ten-gronde-nr.-05-2021.pdf
https://edpb.europa.eu/news/national-news/2021/belgian-dpa-imposes-eu50000-fine-family-service_en
https://www.autoriteprotectiondonnees.be/publications/decision-quant-au-fond-n-56-2021.pdf
Verstoß | Höhe des Bußgeldes in Euro |
Fälschung von Unterschriften für eine Wählerliste durch eine Partei | 2.000,00 |
Nichtbeachtung von Betroffenenrechten (Auskunftsrecht) | 1.800,00 |
Mangelnde technische und organisatorische Maßnahmen, wodurch Hacker in die Datenbank einer Finanzbehörde eindringen und Daten von ca. 5 Mio. Bürgern abgreifen konnten | 2,61 Mio. |
Mangelnde technische und organisatorische Maßnahmen, durch die unbefugte Zugriff auf Kundendaten einer Bank hatten | 511.000,00 |
Übermittlung von Inkasso-Daten ohne Rechtsgrundlage, Art. 10 DSGVO | 5113,00 |
|
|
Quellen:
https://easygdpr.eu/de/gdpr-incident/datenauskunft-verweigert-dsgvo-strafe-in-bulgarien/
https://www.pinsentmasons.com/out-law/news/gdpr-fines-for-data-breaches-in-bulgaria
Verstoß | Höhe des Bußgeldes in Euro |
Mangelnde technische und organisatorische Maßnahmen, wodurch Dritte Einsicht in vertrauliche personenbezogene Daten enthielten | 20.149,50 |
Keine Löschung von personenbezogenen Daten innerhalb der vom Unternehmen im Löschkonzept festgesetzten Fristen | 147.763,00 |
Veröffentlichung von Sitzungsprotokollen durch das städtische Kinder- und Jugendzentrum, die besonders sensible Informationen und personenbezogene Daten enthielten | 6.700,00 |
Löschung von personenbezogenen Daten ohne rechtlichen Grund nach einer Zugangsanfrage durch die betroffene Person | 6.700,00 |
Ein Computer wurde aus dem Rathaus gestohlen, auf dem sensible Informationen von ca. 20.620 Bürgern unverschlüsselt gespeichert waren | 13.384,00 |
Einem Mitarbeiter der Stadtverwaltung wurde sein Arbeitscomputer gestohlen, der die persönlichen und u.a. sehr sensiblen Daten von etwa 1.600 Mitarbeitern der Stadtverwaltung enthielt | 7.000,00 |
Fehlendes Löschkonzept (Festlegung und Dokumentation von Fristen) für das CRM-System. Ferner wurden Daten länger verarbeitet, als es für die erhobenen Zwecke erforderlich war. | 13.390,00 |
Verstoß gegen das Prinzip der Datenminimierung mangels Löschung der personenbezogenen Daten nach einer gewissen Frist | 161.000,00 |
Unzureichende technische und organisatorische Maßnahmen einer Gemeinde bei Versendung automatisierter Begrüßungsbriefe, Art. 32 DSGVO | 26.895,00 |
Unzureichendes Berechtigungsmanagement und Fehlen einer Risikoanalyse bei Übermittlung von Daten zu COVID-19 Tests mittels WhatsApp in einer Gruppe der Mitarbeiter, Art. 32, 5 Abs. 1 lit. f) DSGVO | 80.681,00 |
Verstoß gegen die Implementierung ausreichender technischer und organisatorischer Maßnahmen durch unterhalten einer Datenbank für klinische Zwecke und Forschungszwecke ohne ausreichende Zugriffskontrolle, Art. 32 DSGVO | 67.227,00 |
Unzureichende technische und organisatorische Maßnahmen führten zur Aufnahme von Verfahren aufgrund Protokollfehlern bei der Einwanderungsbehörde, Art. 5, 32 DSGVO | 20.171,00 |
Quellen:
https://www.datatilsynet.dk/presse-og-nyheder/nyhedsarkiv
https://www.procado.de/daenische_aufsichtsbehoerde_empfiehlt_bussgeld_von_ueber_160000_euro
https://www.datatilsynet.dk/presse-og-nyheder/nyhedsarkiv/2020/maj/jobteam-indstillet-til-boede/
https://www.datatilsynet.dk/presse-og-nyheder/nyhedsarkiv/2020/mar/to-kommuner-indstillet-til-boede/
Verstoß | Höhe des Bußgeldes in Euro |
Veröffentlichung von Fotos von Personen ohne deren Zustimmung | 500,00 |
Unbefugter Zugriff auf Daten in einer Datenbank einer öffentlichen Stelle | 48,00 bzw. 56,00 (zwei voneinander unabhängige Bußgelder) |
Videoüberwachung mit vier Videokameras in den Toilettenräumen, Art. 6 DSGVO | 24.000,00 |
Quelle:
https://www.enforcementtracker.com/
https://www.aki.ee/et/uudised/uudishimuparing-toi-vaarteotrahvi
Verstoß | Höhe des Bußgeldes in Euro |
Verarbeitung von Mitarbeiterdaten ohne ausreichende Rechtsgrundlage | 12.500,00 |
Nichtdurchführung einer Datenschutz-Folgenabschätzung hinsichtlich der Verarbeitung von Standortdaten von Mitarbeiten | 16.000,00 |
Zusendung von Werbung trotz Aufforderung der Betroffenen, ihre Daten zu löschen sowie Verstoß gegen das Transparenzgebot in der Datenschutzerklärung | 100.000,00 |
Mehrere Verstöße, unter anderem Nichtdurchführung einer Datenschutz-Folgenabschätzung im Kontext mit Video-/Audioüberwachung sowie der Verarbeitung von Standortdaten | 72.000,00 |
Versendung von Direktmarketing-Nachrichten ohne Zustimmung der Betroffenen; Nichtbeachtung der Betroffenenrechte | 7000,00 |
Verstoß gegen Betroffenenrechte sowie Gebot der Speicherbegrenzung und der Datenminimierung, Art. 5, 12, 14, 17, 25 DSGVO | 75.000,00 |
Unrechtmäßige Erfassung der Standortdaten bei der Nutzung einer App zur Zeiterfassung der Beschäftigten, Art. 5, 6 DSGVO | 25.000,00 |
Quellen:
Verstoß | Höhe des Bußgeldes in Euro |
Nach vorherigem Hinweis der Aufsichtsbehörde Verstoß gegen den Grundsatz der Datenminimierung, die Pflicht zur Begrenzung der Speicherfríst, Informationspflichten gegenüber der Betroffenen und mangelnde technische und organisatorische Maßnahmen. | 250.000,00 |
Unangemeldete Anrufe nach Beschwerde der Betroffenen, dass zu viele Daten über Kunden und ihre Gesundheit gespeichert worden seien. Ferner wurden die Betroffenen nicht ausreichend über die Datenverarbeitungen informiert und über die Aufzeichnung der Telefongespräche aufgeklärt | 500.000,00 |
Ermöglichung des unbefugten Zugangs (online) zu einer Vielzahl von sensiblen Kundendaten ohne jegliche vorherige Authentifizierung | 180.000,00 |
Rechtswidrige Videoüberwachung von Mitarbeitern trotz mehrmaliger Aufforderung der Aufsichtsbehörde, die Videoüberwachung dem geltenden Recht anzupassen | 20.000,00 |
Veröffentlichung von sensiblen personenbezogener Daten (bspw. Personalausweis, Gesundheitskarten, Steuerbescheide, Kontodaten) aufgrund mangelnder Sicherheitsmaßnahmen; langsame Beseitigung der Sicherheitsmängel; zu lange Speicherung von Daten | 400.000,00 |
Die Datenschutzbehörde verhängte Anfang 2019 ein Bußgeld gegen Google, da der Konzernriese ohne Einwilligungen zur Datenverarbeitung arbeite und das Transparenzprinzip missachte | 50 Mio. |
Vorhalten einer Datei mit personenbezogenen Daten zu mehr als 200 einflussreichen Personen ohne die Personen darüber zu informieren sowie Erstellung der Datei ohne Abschluss eines Vertrags über die Auftragsverarbeitung, Art. 14, 28 DGVO | 400.000,00 |
Aufbewahrung von Kundendaten einer Versicherung über die Aufbewahrungsfrist hinaus sowie anschließende Verletzung der Betroffenenrechte durch Nichteinhaltung der Informationspflicht, Art. 5, 13, 14 DSGVO | 1.750.000,00 |
Verstoß gegen das Prinzip der Speicherbegrenzung bei personenbezogenen Daten der Accounts von 130.000 Interessenten/Kunden eines Online-Shops sowie Verletzung der Betroffenenrechte und unzureichender technischer wie auch organisatorischer Maßnahmen, Art. 5, 13, 17, 32 DSGVO | 500.000,00 |
Nicht ausreichende technische und organisatorische Maßnahmen nach wiederholten Datenschutzpannen. Verstoß gegen Art. 32 DSGVO | 150.000,00 |
Nicht ausreichende technische und organisatorische Maßnahmen nach wiederholten Datenschutzpannen. Subunternehmer entwickelte in nicht hinreichender Art du Weise ein Tool. Verstoß gegen Art. 32 DSGVO. | 75.000,00 |
Lieferdienst verletzte auf seiner Website die Informationspflichten gegenüber seinen Nutzern. Die technischen und organisatorischen Maßnahmen bei Erstellung eines Nutzerkontos genügten nicht den Anforderungen, indem ein sicheres Passwort nicht erzwungen wurde. Verstoß gegen Art. 12, 13, 32 DSGVO. | 20.000,00 |
Nicht ausreichende technische und organisatorische Maßnahmen durch mangelnde Verschlüsselung von Patientendaten. Verletzung der Meldepflicht nach Hinweis der Behörde auf einen Verstoß. Verstoß gegen Art. 32, 33 DSGVO | 3.000,00 |
Nicht ausreichende technische und organisatorische Maßnahmen durch mangelnde Verschlüsselung des Servers. Im Übrigen unverschlüsselte Patientendaten auf dem Laptop. Verletzung der Meldepflicht nach Hinweis der Behörde auf einen Verstoß. Verstoß gegen Art. 32, 33 DSGVO | 6.000,00 |
Versendung von Werbung trotz Widerspruchs. Verletzung von Fristen bei Auskunftsansprüchen. Nicht erfolgte Löschung von nicht mehr erforderlichen Daten. Mangelnde Zugänglichkeit auf der Website zu Informationen nach Art. 12, 13 DSGVO. Keine ausreichenden technischen und organisatorischen Maßnahmen. Verstoß gegen Art. 5, 12ff, 32, 33 DSGVO. | 2.250.000,00 |
Empfänger der erhobenen Daten wird nicht ordnungsgemäß angegeben. Mangelnde Zugänglichkeit auf der Website zu Informationen. Verstoß gegen Art. 5 Abs. 1 lit. a), 12, 13 DSGVO. | 800.000,00 |
Quellen:
https://www.helpnetsecurity.com/2019/02/07/gdpr-numbers-january-2019/
https://www.cnil.fr/fr/violations-de-donnees-de-sante-la-cnil-sanctionne-deux-medecins
https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000042563756
https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000042564657
https://www.cnil.fr/fr/sanction-de-500-000-euros-lencontre-de-la-societe-brico-prive
https://www.cnil.fr/fr/sanction-1-75-million-deuros-ag2r-la-mondiale
Verstoß | Höhe des Bußgeldes in Euro |
Rechtswidrige Verarbeitung von personenbezogenen Daten von Mitarbeitern (falsche Rechtsgrundlage); Verstoß gegen die Rechenschaftspflicht | 150.000,00 |
Organisation für Vorschulbildung veröffentlichte Bewerbungsunterlagen ohne Rechtsgrundlage und reagierte im Anschluss nicht auf die dazu gehörige Löschanfrage, Art. 5, 6, 17 DSGVO | 10.000,00 |
Unzulässige Videoüberwachung in den Büroräumen und der Küche, Art. 5 DSGVO | 15.000,00 |
Quellen:
https://dataagenda.de/wp-content/uploads/2019/08/Newsbox_08_2019.pdf
Verstoß | Höhe des Bußgeldes in Euro |
Weitergabe von sehr sensiblen Daten durch die Child and Family Agency an unbefugte Dritte | 75.000,00 |
Versand eines Briefes durch die Child and Family Agency, der Missbrauchsvorwürfe enthielt, an einen unbefugten Dritten, der den Brief veröffentlichte. Der Vorfall wurde auch nicht der Datenschutzaufsichtsbehörde gemeldet. | 40.000,00 |
Entsorgung von Patientendaten in öffentlicher Recycling-Anlage | 65.000,00 |
Verspätete Meldung eines Datenschutzvorfalls | 450.000,00 |
Quellen:
https://iapp.org/news/a/irish-dpc-fines-tusla-75k-euros-for-gdpr-violations/
https://www.irishlegal.com/article/tusla-fined-40-000-in-second-gdpr-breach
Verstoß | Höhe des Bußgeldes in Euro |
Rechtswidrige Weitergabe von Gesundheitsdaten (detaillierte medizinische Informationen über 252 Personen sowie 3.000 Namen von Personen, die wegen Alkohol- und Drogenmissbrauchs behandelt wurden) wegen mangelnder technischer und organisatorisches Maßnahmen | 20.600,00 |
Versendung einer E-Mail durch einen Lehrer mit ungewolltem Anhang, in dem sensible personenbezogene Daten enthalten waren, aufgrund mangelnder technischer und organisatorischer Maßnahmen | 9.000,00 |
Nicht autorisierte Nutzer konnten auf personenbezogene Daten von mehr als 400 größtenteils minderjährigen Schülern zugreifen verursacht durch die fehlende Prüfung der Berechtigung, Art. 5, 6, 32 DSGVO. | 23.100,00 |
Unrechtmäßige Videoüberwachung der Beschäftigten bei einem Eisdielenbetreiber sowie Verletzung der Gebote der Transparenz und Datenminimierung, Art. 5, 6, 12, 13 DSGVO | 34.000,00 |
Quellen:
https://www.personuvernd.is/urlausnir/nr/2885
Verstoß | Höhe des Bußgeldes in Euro |
Verarbeitung von personenbezogenen Daten ohne schriftliche Einwilligung oder sonstige Rechtsgrundlage; Verstoß gegen Informationspflichten: kein Hinweis zu Betroffenenrechten | 2 Mio. (je 6.000 €/Verstoß für 78 Verstöße + je 10.000 €/Verstoß für 155 andere Verstöße) |
Verstoß gegen Datenschutzvorgaben bei Terminvergaben. Keine ordnungsgemäße Information der Kunden über die Verarbeitung. Die ergriffenen technischen und organisatorischen Maßnahmen erwiesen sich als nicht ausreichend. Verstoß gegen Art. 5 Abs. 1 lit. a), 13, 14, 28 Abs. 2, 3, 32 DSGVO | 500.000,00 |
Vertragsverlängerung im Kundenerfassungssystem ohne Einwilligung. Verstoß gegen Art. 5 Abs. 1 lit. a) DSGVO | 3,0 Mio. |
Unrechtmäßige Übermittlung von Gesundheitsdaten in 48 Fällen von Patienten, Art. 5, 9 DSGVO | 120.000,00 |
Unzureichende technische und organisatorische Maßnahmen eines Software-Unternehmens mangels Verwendung eines sicheren Netzwerkprotokolls sowie fehlender Datenverschlüsselung bei der Meldung von Missständen im Unternehmen. Verstoß durch das Fehlen eines Vertrags über die Auftragsverarbeitung, Art. 28, 32 DSGVO | 20.000,00 |
Unzureichender Umgang mit Arbeitnehmerdaten durch einen Essenszulieferdienst in 8000 Fällen. Das Unternehmen informierte die Arbeitnehmer nicht über die Funktion des Systems und beging Verstöße gegen die Grundsätze der Datenminimierung und Speicherbegrenzung, indem es pauschal Daten der Fahrer für 12 Jahre speicherte und einer Erhebung der Standortdaten im Abstand von 12 Sekunden. Es fehlten zureichende technische und organisatorische Maßnahmen, ein ausreichendes Verarbeitungsverzeichnis, eine ordnungsgemäße Meldung des Datenschutzbeauftragten sowie die Vornahme einer Datenschutzfolgenabschätzung, Art. 5, 13, 25, 32, 35, 37 DSGVO | 2,5 Mio. |
Quellen:
https://www.datenschutzticker.de/2019/06/bussgeld-von-ueber-2-millionen-euro-fuer-telemarketing/
https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9524175
https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9244351
https://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/9682669
https://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/9685947
https://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/9685994
Verstoß | Höhe des Bußgeldes in Euro |
Weigerung eines Kreditinstituts, seinen Kunden (ca. 2.500 Anträge) Zugang zu ihren personenbezogenen Daten in Kreditdokumenten zu gewähren über einen Zeitraum von knapp einem Jahr | n.a. |
Quelle:
Verstoß | Höhe des Bußgeldes in Euro |
Der Verantwortliche missachtete das Recht der Betroffenen auf Löschung und übermittelte der Aufsichtsbehörde nach einer entsprechenden Aufforderung nicht die geforderten Informationen | 7.000,00 |
Quellen:
Verstoß | Höhe des Bußgeldes in Euro |
Zahlungsdienstleiser verarbeitete mehr Daten, als erforderlich. Zudem wurde ein Datenschutzvorfall bekannt, welcher der Aufsichtsbehörde nicht gemeldet wurde; es waren zeitweise Transaktionen, die von dem Zahlungsdienstleister verarbeitet wurden, online zugänglich. | 61.500,00 |
Unsachgemäße Verarbeitung personenbezogener Daten der Eltern eines adoptierten Kindes | 15.000,00 |
Quellen:
Verstoß | Höhe des Bußgeldes in Euro |
Übermäßige Videoüberwachung als Verstoß gegen Art. 5 Abs. 1 lit. c), 13 DSGVO | 12.500,00 |
Unrechtmäßige Verarbeitung personenbezogener Daten in einer Vielzahl von Fällen | 746 Mio. |
Quellen:
Verstoß | Höhe des Bußgeldes in Euro |
Mangelnde Sicherheitsmaßnahmen, durch die eine Vielzahl von personenbezogenen Daten bei einer einfach Google-Suche zugänglich gemacht wurden, darunter auch sehr sensible Informationen. | 5.000,00 |
Quellen:
https://www.gvzh.com.mt/malta-news/idpc-fines-lands-authority-data-breach/
Die niederländische Aufsichtsbehörde hat eine Art Bußgeldkatalog veröffentlicht, der unter folgendem Link abrufbar ist: https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/stcrt-2019-14586.pdf
Verstoß | Höhe des Bußgeldes in Euro |
Mangelnde technische und organisatorische Maßnahmen, durch die eine Vielzahl von Mitarbeitern Zugriff auf Patientenakten hatten | 460.000,00 |
Mangelnde Sicherheit, da keine mehrstufige Authentifizierung bei dem Zugriff auf das Online-Portal eines Arbeitgebers vorgesehen war, bei dem auch krankheitsbedingte Abwesenheit von Mitarbeitern (=Gesundheitsdaten) einsehbar sind | 900.000,00 |
Unzulässige Erschwerung von Auskunftsersuchen; keine Gewährung eines kostenlosen elektronischen Zugangs zu personenbezogenen Daten im Zusammenhang mit dem Auskunftsrecht nach Art. 15 DSGVO | 830.000,00 |
Verkauf von personenbezogenen Daten ohne entsprechende Rechtsgrundlage, um den betroffenen Werbeangebot übermitteln zu können | 525.000,00 |
Rechtswidrige Verarbeitung von Fingerabdrücken von Mitarbeitern ohne (freiwillige) Zustimmung der Betroffenen; Verstoß gegen das Transparenzgebot bei der Verarbeitung | 725.000,00 |
Überhöhte Anforderungen an das Ersuchen einer Auskunft durch den Betroffenen durch das erheben einer Gebühr für die Auskunft, Art. 12, 15 DSGVO | 830.000,00 |
Unzureichende technische und organisatorische Maßnahmen durch den unautorisierter Zugriff auf die Patientenakten eines Krankenhauses | 440.000,00 |
Nicht fristgerechte Meldung der Datenpanne des Diebstahls der Daten von über 4000 Kunden eines Online-Buchungsunternehmens, Art. 33 DSGVO | 475.000,00 |
Rechtswidriges WLAN-Tracking durch das Erfassen der WLAN-Signale der Mobiltelefone von Passanten bei Passieren dafür errichteter Messboxen über einen Zeitraum von zwei Jahren, Art. 5, 6 DSGVO | 600.000,00 |
Verletzung der Meldepflicht im Anschluss an eine Datenpanne, Art. 33 DSGVO | 7.500,00 |
Unrechtmäßige Veröffentlichung der Kontaktdaten auf der Unternehmenswebsite sowie fehlende Benennung eines in der EU niedergelassenen Vertreters, Art. 6, 27 DSGVO | 525.0000,00 |
Unrechtmäßige Verarbeitung von Gesundheitsdaten der Angestellten durch die Speicherung der Krankheitsursachen, Beschwerden und Schmerzen. Unzureichende technische und organisatorische Maßnahmen bei Verarbeitung der Gesundheitsdaten durch Eingabe über ein Online-Formular mit einfachem Login über Benutzername und Passwort, Art. 9, 32 DSGVO | 15.000,00 |
Unzureichende technische und organisatorische Maßnahmen durch die ungeschützte Übermittlung von Patientendaten bei der Registrierung auf der Website einer Arztpraxis, Art. 32 DSGVO | 12.000,00 |
Unrechtmäßige Versendung personenbezogener Daten von 15.000 Personen in Gruppennachrichten an neun unbefugte Empfänger aufgrund unzureichender technischer und organisatorischer Maßnahmen sowie anschließende Verletzung der Betroffenenrechte, Art. 13, 32 DSGVO | 450.000,00 |
Verstoß gegen die Pflicht zu transparenter Information durch eine Datenschutzerklärung in englischer Sprache, Art. 12 DSGVO | 750.000,00 |
|
|
Quellen:
https://www.dr-datenschutz.de/bussgeld-in-holland-unrechtmaessige-verarbeitung-von-fingerabdruecken/
https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/besluit_boete_booking.pdf
https://autoriteitpersoonsgegevens.nl/nl/nieuws/boete-gemeente-enschede-om-wifitracking
https://autoriteitpersoonsgegevens.nl/nl/nieuws/boete-pvv-overijssel-vanwege-niet-melden-datalek
https://autoriteitpersoonsgegevens.nl/en/news/dutch-dpa-imposes-fine-%E2%82%AC525000-locatefamilycom
Verstoß | Höhe des Bußgeldes in Euro |
Fehlende technische und organisatorische Maßnahmen, insbesondere kein Berechtigungskonzept, sodass ein unbefugter Zugriff auf eine Vielzahl von personenbezogene Daten leicht möglich war | 170.000,00 |
Einsatz einer App durch eine Schule, die eine mangelhafte Datensicherheit aufwies und einen unbefugten Zugriff durch Dritte ermöglichte | 120.000,00 |
Einsatz einer Lernplattform, durch die ein Zugriff auf sensible Informationen von Schülern möglich war; keine Durchführung einer Datenschutz-Folgenabschätzung | 44.826,00 |
Kein Löschkonzept, sodass 20 Jahre alte Daten ohne Rechtsgrund archiviert wurden | 358.610,00 |
Verbreitung und Veröffentlichung einer Videoaufnahme einer Überwachungskamera aus einem Supermarkt ohne Rechtsgrundlage | 37.976,00 |
Nutzung eines Voicemail-Systems, welches für Hackangriffe anfällig war; keine Meldung von Datenschutzvorfällen | 134.578,00 |
Mangelnde technische und organisatorische Maßnahmen sowie ein unzureichendes Sicherheitskonzept bei einem Kommunikations-Tool, über das eine Schule mit Eltern kommunizierte | 269.155,00 |
Verarbeitung von personenbezogenen Daten ohne Rechtsgrundlage durch ein Unternehmen, dass die Bonität von Personen bewertet | 26.916,00 |
Verarbeitung von personenbezogenen Daten eines Einzelunternehmers ohne Rechtsgrundlage durch ein Unternehmen, dass die Bonität von Personen bewertet | 27.813,00 |
Unzulässige Videoüberwachung von Straßenarbeiten durch Verkehrskameras | 37.847,00 |
Fehlendes Zugriffskonzept auf sensible personenbezogene Daten (Gesundheitsdaten), keine Protokollierung der Zugriffe, Verstoß über 6 Jahre | 71.900,00 |
Rechtswidrige Videoüberwachung in einem Waxing-Salon, Art. 6 DSGVO | 9.565,00 |
Quellen:
https://www.datatilsynet.no/aktuelt/aktuelle-nyheter-2020/varsel-om-gebyr-til-ralingen-kommune/
https://www.dsgvo-portal.de/dsgvo-bussgeld-gegen-coop-finnmark-sa-2020-03-11-NO-425.php
https://www.datatilsynet.no/aktuelt/aktuelle-nyheter-2020/varsel-om-gebyr-aquateknikk/
https://www.datatilsynet.no/aktuelt/aktuelle-nyheter-2021/gebyr-til-waxing-palace-as/
Verstoß | Höhe des Bußgeldes in Euro |
Rechtswidriges Kopieren eines Personalausweises | n.A. |
Rechtswidrige Erstellung von Profilen, die Informationen über Wohnadressen, persönliche Vorlieben, Gewohnheiten und Parteiaffinitäten enthielten – diese wurden anschließend z.B. an politische Parteien und Unternehmen weiterverkauft | 18 Mio. |
Keine Bestellung einer Datenschutzbeauftragten; keine Prüfung, ob einer Datenschutz-Folgenabschätzung für gewisse Verarbeitungsvorgänge notwendig ist; Nichteinhaltung von Informationspflichten; Fehlerhafte Einholung von Einwilligungen der Betroffenen | 50.000,00 |
Videoüberwachung in Gemeinschaftsräumen eines Wohnhauses (Flur, Parkplatz, etc.) ohne die Zustimmung der aufgenommenen Personen und ungeeignete Kennzeichnung der Videoüberwachung | 2.200,00 |
Videoüberwachung im öffentlichen Raum einer Vielzahl von Personen, ungeeignete Kennzeichnung der Videoüberwachung, keine Löschung der Aufnahmen innerhalb einer angemessenen Frist und fehlende Protokollierung der Verarbeitungsvorgänge | 4.800,00 |
Videoaufnahmen im öffentlichen Raum sowie zu lange Speicherdauer und mangelnde Kennzeichnung der Videoüberwachung | 1.500,00 |
Unrechtmäßige Nutzung einer Dashcam (Verstoß gegen die DSGVO und nationales Datenschutzrecht) | 300,00 |
Veröffentlichung von Patientendaten (Namen, Befunddaten, etc.) auf der privaten Facebook Seite | 600,00 |
Videoaufnahme von einer Person in sensibler Situation | 150,00 |
Unzulängliches Formular bei der Anmeldung einer Club-Mitgliedschaft von 2,3 Millionen Kunden durch eine unzureichende Formatierung und eine Aufklärung erst nach erfolgter Einwilligung. Weiter erfolgte die Verschleierung von Profiling. Verletzung der Betroffenenrechte durch die fehlende Information der Betroffenen, Art. 6, 7, 12, 13 DSGVO | 2 Mio. |
Quellen:
https://wien.orf.at/stories/3019396/
https://www.heise.de/news/Rewe-wird-fuer-Kunden-Profiling-in-Oesterreich-bestraft-6153577.html
Verstoß | Höhe des Bußgeldes in Euro |
Unzureichende technische und organisatorische Maßnahmen, sodass personenbezogene Daten von mehr als 2,2 Mio. Menschen in falsche Hände gelangt seien | 650.000,00 |
Nichterfüllung von Informationspflichten gegenüber 6 Mio. betroffenen Personen nach Aufforderung der Aufsichtsbehörde | 220.000,00 |
Veröffentlichung von personenbezogenen Daten auf einer Website ohne Rechtsgrundlage | 13.000,00 |
Fehlende Verträge über die Verarbeitung von personenbezogenen Daten; fehlendes Löschkonzept; Verstoß gegen die Rechenschaftspflicht | 8.778,57 |
Keine ausreichenden technischen und organisatorischen Maßnahmen, die einen Widerruf der Zustimmung und die Ausübung des Rechts auf Löschung ermöglichen würden | 44.112,00 |
Verarbeitung von biometrischen Daten (Fingerabdruck) ohne wirksame (freiwillige) Einwilligung | 4.563,00 |
Vereitelung der Durchführung einer Überprüfung durch die Datenschutzbehörde | 4.389,00 |
Keine bzw. unzureichende Rückmeldung auf Anfragen der Aufsichtsbehörde | 3.292,00 |
Nachdem das Unternehmen der Aufsichtsbehörde einen Datenschutzvorfall meldete. Auf Rückanfragen der Aufsichtsbehörde erfolgte keine Reaktion | 1.098,00 |
Während einer Untersuchung durch die Aufsichtsbehörde gewährte das Unternehmen keinen ausreichenden Zugang zu den Räumlichkeiten und maßgeblichen Informationen | 21.574,00 |
Veröffentlichung von personenbezogenen Daten (Name, Adresse, Grundbuchnummer) | 21.968,00 |
Mangelnde technische und organisatorische Maßnahmen, durch die ein Mitarbeiter 5 Jahre lang personenbezogene Daten auf seinem privaten Laptop speichern konnte | 10.984,00 |
Meldung einer Datenpanne nach der unautorisierten Versendung einer E-Mail an unbefugte Personen erfolgte nicht unverzüglich, Art. 33, 34 DSGVO | 19.344,00 |
Unzureichende technische und organisatorische Maßnahmen bei einem Unternehmen für Telekommunikationsdienstleistungen im Wege der Ausgabe einer Bestätigung für die SIM-Karten Registrierung durch die Möglichkeit unautorisierten Zugriffs von Seiten unbefugter Dritter aufgrund fehlender Risikoanalysen und Testläufe, Art. 5, 32 DSGVO | 440.000 |
In Folge mangelnder technischer und organisatorischer Schutzmaßnahmen wurden bei dem Neustart einer Sicherheitssoftware die Einstellungen auf die Betriebseinstellungen zurückgesetzt, wodurch personenbezogene Daten von über 140.000 Kunden veröffentlicht wurden und von Kriminellen erlangt werden konnten. Das Unternehmen hatte nicht angemessen auf Sicherheitslücken reagiert und eine Information über die Verfügbarkeit der betroffenen Daten nicht überprüft. Im Anschluss kam es der unverzüglichen Meldepflicht nicht nach, Art. 5, 25, 32 DSGVO | 240.000,00 |
Verstoß gegen die Meldepflicht gegenüber den Betroffenen nach einer Datenpanne mit Bezug zu Patientendaten, Art. 34 DSGVO | 20.000,00 |
Rechtswidrige Veröffentlichung von etwa 50.000 Nutzern einer Plattform zur Weiterbildung. Bestehen unzureichender technischer und organisatorischer Maßnahmen zur Gewährleistung der Vertraulichkeit erhobener Daten. Der Vertrag zur entsprechenden Auftragsverarbeitung genügte nicht den rechtlichen Anforderungen, Art. 5, 25, 28, 32 DSGVO | 22.235,00 |
Verstoß gegen die gesetzliche Meldepflicht innerhalb von 72 Stunden, Art. 33 DSGVO | 30.135,00 |
Trotz wiederholter Falschzustellungen und Sendungsverlusten reagierte das Unternehmen nicht durch Einführung entsprechender Mechanismen zur Risikominimierung erneuter Verluste und Falschzustellungen. Im Anschluss hielt es die 72 Stunden Frist für die Meldung einer Datenpanne nicht ein, Art. 32, 34 DSGVO | 241.000,00 |
Ein Versicherungsunternehmen unterließ die fristgerechte Meldung bei der Behörde und dem Betroffenen nach Versendung einer E-Mail mit personenbezogenen Daten an einen falschen Empfänger, Art. 34 DSGVO | 35.116 |
|
|
Quellen:
https://www.uodo.gov.pl/en/553/1087
https://iapp.org/news/a/polands-dpa-issues-first-gdpr-fine/
https://uodo.gov.pl/decyzje/ZSPR.440.43.2019
https://uodo.gov.pl/en/553/1091
https://edpb.europa.eu/news/national-news/2019/polish-dpa-withdrawal-consent-shall-not-be-impeded_en
https://uodo.gov.pl/decyzje/ZSZZS.440.768.2018
https://www.uodo.gov.pl/decyzje/ZSO%C5%9AS.421.25.2019
https://www.uodo.gov.pl/pl/138/2095
https://uodo.gov.pl/decyzje/DKN.5131.5.2020
https://uodo.gov.pl/decyzje/DKN.5112.1.2020
https://uodo.gov.pl/decyzje/DKN.5130.2024.2020
https://uodo.gov.pl/decyzje/DKN.5131.7.2020
Verstoß | Höhe des Bußgeldes in Euro |
Mangelnde technische und organisatorische Maßnahmen, sodass Mitarbeiter eines Krankenhauses unbefugten Zugriff zu Patientenakten hatten | 400.000,00 |
Nicht ausreichende Erfüllung der Informationspflichten | 2.000,00 |
Verweigerung des Auskunftsrechts der betroffenen Personen | 20.000,00 |
Versand von Marketingmitteilungen ohne entsprechende Rechtsgrundlage | 107.000,00 |
Quellen:
https://www.impulse.de/recht-steuern/rechtsratgeber/dsgvo-bussgelder/7337056.html
https://inplp.com/latest-news/article/portugal-recent-fines-for-the-breach-of-the-gdpr/
Verstoß | Höhe des Bußgeldes in Euro |
Unberechtigte Veröffentlichung der Daten von 300.000 Kunden durch eine Bank aufgrund unzureichender Schutzmaßnahmen innerhalb der Datenverarbeitung, Art. 5, 25 DSGVO. | 130.000,00 |
Unzureichende technische und organisatorische Maßnahmen ermöglichten die Veröffentlichung einer Gästeliste mit über 40 Personen, Art. 32 DGVO | 15.000,00 |
Verstoß gegen die Meldepflicht und die Vorhaltung angemessener technischer und organisatorischer Maßnahmen, Art. 32, 33 DSGVO | 20.000,00 |
Unzureichende technische und organisatorische Maßnahmen durch die Nutzung von WhatsApp für die Einholung von Bonitätseinkünften bei über 1000 Personen, Art. 32, 33 DSGVO | 150.000,00 |
Kurierdienst mit unzureichenden technischen und organisatorischen Maßnahmen bei etwa 1100 betroffenen Personen, Art. 32 DSGVO | 11.000,00 |
Fehlen ausreichender technischer und organisatorischer Maßnahmen sowie datenschutzfreundlicher Voreinstellungen bei dem Abrechnungsprozess der Kartentransaktionen von über 200.000 Kunden, Art. 25, 32 DSGVO | 80.000,00 |
Unbefugte Veröffentlichung einer Passagierliste im Internet aufgrund unzureichender technischer und organisatorischer Maßnahmen bei einer Fluggesellschaft, Art. 32 DSGVO | 20.000,00 |
Verstoß gegen die Datenschutzgrundsätze, die 72 Stunden Frist für die Meldepflicht nach einer Datenpanne und die Vorhaltung angemessener technischer und organisatorischer Maßnahmen sowie datenschutzfreundliche Voreinstellungen bei einem Kreditunternehmen, Art. 5, 25, 32, 33 DSGVO | 14.000,00 |
Rechtswidrige Videoüberwachung in den Umkleideräumen und rechtswidrige Verarbeitung biometrischer Fingerabdrücke von Arbeitnehmern sowie Verletzung der Informationspflichten gegenüber den Betroffenen, Art. 6, 9, 13 DSGVO | 10.000,00 |
Unzureichende technische und organisatorische Maßnahmen, durch Veröffentlichung eines Screenshot mit Zugangspasswort zu einem geschützten Bereich mit Teilnehmerformularen, Art. 32 DSGVO | 15.000,00 |
Unzureichende technische und organisatorische Maßnahmen gegen unautorisierte Zugriffe von Mitarbeitern, Art. 32 DSGVO | 100.000,00 |
Unzureichende technische und organisatorische Maßnahmen bei der Versendung von Rechnungen. Durch die Ablage der Rechnungsadressen in der falschen Datenbank erfolgte die Versendung an die falsche Rechnungsadressen, Art. 32 DSGVO | 13.000,00 |
|
|
Quellen:
https://www.dataprotection.ro/?page=Comunicat_Amenda_Unicredit&lang=ro
https://www.dataprotection.ro/index.jsp?page=O_noua_amenda_GDPR&lang=ro
https://www.dataprotection.ro/?page=Comunicat_Presa_09_10_2019&lang=ro
https://www.dataprotection.ro/?page=O_noua_amenda_in_baza_RGPD&lang=ro
https://www.dataprotection.ro/index.jsp?page=Amenda_ING_RGPD&lang=ro
https://www.dataprotection.ro/index.jsp?page=Sanctiune_CN_TAROM&lang=ro
https://www.dataprotection.ro/?page=Alta_amenda_pentru_incalcarea_RGPD_2020_1&lang=ro
https://www.dataprotection.ro/?page=O_noua_sanctiune_pentru_incalcarea_RGPD_2020_3&lang=ro
https://www.dataprotection.ro/?page=Comunicat_09_07_20&lang=ro
https://www.dataprotection.ro/?page=Comunicat_17_12_2020&lang=ro
https://www.dataprotection.ro/?page=Comunicat_30_/_03_/_2021&lang=ro
Verstoß | Höhe des Bußgeldes in Euro |
Rechtswidriger Einsatz einer Gesichtserkennungssoftwarfe in einer Schule | 18.820,00 |
Rechtswidrige Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Strafverfahren | 35.000,00 |
Verspätete Meldung von Datenschutzvorfällen | 18.800,00 |
Rechtswidrige Veröffentlichung von personenbezogenen Daten eines Betroffenen, unter anderem auch sensible Gesundheitsdaten, auf einer Webseite | 11.280,00 |
Videoüberwachung in dem Treppenhaus eines Mietshauses durch den Vermieter ohne ausreichende Rechtsgrundlage | 1.882,00 |
Fehlen einer Risikoanalyse durch mangelhaftes Berechtigungskonzept im Hinblick auf Patientendaten in acht Gesundheitseinrichtungen, Verstöße gegen Art. 5 Abs. 1 lit. f), Abs. 2, 32 DSGVO | 1,15 - 2,9 Mio. |
Unrechtmäßige Verarbeitung von besonderen Kategorien von Daten. Die Daten über strafrechtliche Verurteilungen wurden nach Anordnung nicht ordnungsgemäß gelöscht. Keine fristgemäße Entfernung von Suchergebnissen aus Listing. Verstoß gegen Art. 5, 6, 9, 17 DSGVO | 5,1 Mio. |
Verarbeitung sensibler personenbezogener Daten innerhalb einer Cloud ohne angemessene technische und organisatorische Schutzmaßnahmen sowie Verstoß gegen die Meldepflicht, Art. 32, 33 DSGVO | 55.000,00 |
Verstoß gegen die Pflicht vor Beginn der Verarbeitung über die Verarbeitung zu informieren bei Gesprächsaufnahmen eines medizinischen Beratungsdienstes, Art. 13 DSGVO | 24.000,00 |
Ungeschützte Speicherung der Gesprächsaufzeichnungen eines medizinischen Beratungsdienstes auf einem Webserver, Art. 32 DSGVO | 65.000,00 |
Verstöße eines Gesundheitsdienstleisters durch die freie Verfügbarkeit der aufgezeichneten Telefongespräche eines medizinischen Beratungsdienstes auf einem Webserver ohne Sicherheitsmaßnahmen oder Passwortschutz sowie anschließende Verletzung der Informationspflicht gegenüber Betroffenen, Art. 5, 6, 9, 13, 32 DSGVO | 1,19 Mio. |
Rechtswidrige Videoüberwachung von sechs Feuerwehrwachen bei unzureichenden technischen und organisatorischen Maßnahmen, Art. 5, 32 DSGVO | 35.000,00 |
Übermäßiger Einsatz von Körperkameras im Zuge der Fahrkartenkontrolle im Nahverkehr mit einer Voraufnahmezeit von einer Minute sowie Verletzung der Informationspflicht im Zuge der Aufnahme, | 1,6 Mio. |
Quellen:
https://www.datainspektionen.se/globalassets/dokument/beslut/beslut-tillsyn-mrkoll.pdf
https://www.datainspektionen.se/globalassets/dokument/beslut/2020-03-11-beslut-google.pdf
https://www.datainspektionen.se/globalassets/dokument/beslut/beslut-tillsyn-ssc-20200428.pdf
https://www.imy.se/nyheter/universitet-brast-i-skyddet-av-kansliga-personuppgifter/
https://edpb.europa.eu/news/national-news/2021/swedish-dpa-investigation-1177-incident-finalized_en
https://www.imy.se/nyheter/fel-kamerabevaka-brandman-dygnet-runt/
https://edpb.europa.eu/news/national-news/2021/unlawful-use-body-cams-stockholms-public-transport_en
Verstoß | Höhe des Bußgeldes in Euro |
Mangelnde technische und organisatorische Maßnahmen: Briefe einer Sozialversicherung mit sensiblen personenbezogenen Daten wurden nicht als Einschreiben, sondern auf dem Postweg verschickt und gingen verloren | 50.000,00 |
Versand von Verträgen, die bereits ausgefüllt waren (Name, Anschrift, Personalausweisnummer, etc.) an unbefugte Dritte durch eine Telekommunikationsanbieter | 40.000,00 |
Verspätete Antwort (67 Tage) auf ein Auskunftsersuchen einer betroffenen Person | 10.000,00 |
Quellen:
Verstoß | Höhe des Bußgeldes in Euro |
|
|
Quellen:
Verstoß | Höhe des Bußgeldes in Euro |
Erteilung mangelhafter Datenschutzhinweise im Hinblick auf die Informationspflichten und Rechtmäßigkeit der Verarbeitung. Es fehlten insbesondere Zweck, Rechtsgrundlage sowie Angabe der Datenkategorien. Anforderungen an eine informierte Einwilligung wurden nicht erfüllt. Im Übrigen war die Rechtfertigung für das berechtigte Interesse unzureichend. Verstöße gegen Art. 6, 13, 14 DSGVO. | 5,0 Mio. |
Rechtswidrige Verarbeitung von Daten des Betroffenen bei Beantragung eines Mikrokredit durch den Identitätsdieb, Art. 6 DSGVO | 12.000,00 |
Falschausstellung von Zahlungserinnerungen eines Telekommunikationsunternehmens, Art. 6 DSGVO | 60.000,00 |
Entschlüsselungstool auf den Unternehmenssystemen sowie eine nicht getrennte Speicherung von Kreditkartendaten und sonstigen personenbezogenen Daten. Keine Meldung einer Datenpanne innerhalb von 72 Stunden, Art. 32, 33 DSGVO | 600.000,00 |
Auf Löschungsbegehren eines Bankkunden wurden Daten nur vorübergehend gesperrt und nicht unwiderruflich gelöscht, Art. 17 DSGVO | 60.000,00 |
SMS-Versand über Vorliegen neuer Rechnung bereits nach Vertragsende, Art. 6 DSGVO | 90.000,00 |
Energieversorger erteilte betroffenen Personen insbesondere keine ausreichenden Informationen über den für die Verarbeitung Verantwortlichen, die Rechtsgrundlage für die Verarbeitung, die nicht auf einer Einwilligung beruht, die Zwecke der Verarbeitung im Zusammenhang mit dem Profiling auf der Grundlage eines berechtigten Interesses sowie die Möglichkeit des Widerspruchs gegen Verarbeitungen, die der für die Verarbeitung Verantwortliche auf sein berechtigtes Interesse stützt, Art. 13, 25 DSGVO | 1,5 Mio. |
Rechnung eines Versicherungsunternehmens ohne vertragliche Beziehung, Art. 6 DSGVO | 30.000,00 |
Keine systematische Abgleichung von Rufnummern mit der Robinson Liste vor Werbeanrufen durch ein Telekommunikationsunternehmen sowie fehlende Kommunikation dieser Tatsache an seinen Auftragsverarbeiter, Art. 28 DSGVO | 100.000,00 |
Rechtswidrige Verarbeitung im Rahmen einer Servicebuchung und bei Übermittlung an ein Inkasso-Unternehmen durch eine Telekommunikationsunternehmen in Zusammenhang mit einer tatsächlich nicht gebuchten Leistung, Art. 6 DSGVO | 45.000,00 |
Aufnahme in Kreditauskunftsverzeichnis ohne Rechtsgrundlage, Art. 6 DSGVO | 20.000,00 |
Rechtswidrige Videoüberwachung der Geschäftsräume mit 14 Kameras sowie Verletzung der Informationspflicht, Art. 5, 12 DSGVO | 19.600,00 |
Falsche Angaben bei der Rechnungsstellung an den Betroffenen, wodurch personenbezogene Daten des Betroffenen dessen Arbeitgeber offengelegt wurden, Art. 5 DSGVO | 10.000,00 |
Zusendung unerwünschter Werbung auf postalischem Wege entgegen der ablehnenden Aufforderung des Betroffenen, Art. 6 DSGVO | 50.000,00 |
Unrechtmäßige Verarbeitung der Telefonnummer und des Kundenprofils durch ein Telekommunikationsunternehmen, Art. 6 DSGVO | 45.000,00 |
Vorhalten personenbezogener Daten trotz berechtigter Aufforderung zur Löschung von Seiten der betroffenen Person, Art. 17 DSGVO | 10.000,00 |
Unbeantwortete Auskunftsersuchen des Betroffenen mit Blick auf angeblich bestehende Schulden beim Bußgeldempfänger, Art. 6, 15 DSGVO | 60.000,00 |
Ablehnung der Berichtigung geänderter Adressdaten, Art. 16 DSGVO | 30.000,00 |
Systematische und großflächige Verwendung einer Gesichtserkennung in 40 Filialen eines Supermarktes, Unterlassen einer Datenschutzfolgenabschätzung und Verletzung der Betroffenenrechte, Art. 5, 6, 9, 12, 13, 25, 35 DSGVO | 2,52 Mio. |
Rechtswidrige Verarbeitung von personenbezogenen Daten und Verletzung der Betroffenenrechte durch die fehlende Antwort auf eine Löschanfrage, Art. 6, 17 DSGVO | 96.000,00 |
Quellen:
https://www.aepd.es/es/documento/ps-00070-2019.pdf
https://www.aepd.es/es/documento/ps-00061-2021.pdf
https://www.aepd.es/es/documento/ps-00484-2020.pdf
https://www.aepd.es/es/documento/ps-00179-2020.pdf
https://www.aepd.es/es/documento/ps-00473-2020.pdf
https://www.aepd.es/es/documento/ps-00085-2021.pdf
https://www.aepd.es/es/documento/ps-00123-2021.pdf
https://www.aepd.es/es/documento/ps-00030-2021.pdf
https://www.aepd.es/es/documento/ps-00135-2021.pdf
https://www.aepd.es/es/documento/ps-00140-2021.pdf
https://www.aepd.es/es/documento/ps-00261-2020.pdf
https://www.aepd.es/es/documento/ps-00301-2020.pdf
https://www.aepd.es/es/documento/ps-00259-2020.pdf
https://www.aepd.es/es/documento/ps-00488-2020.pdf
https://www.aepd.es/es/documento/ps-00467-2020.pdf
https://www.aepd.es/es/documento/ps-00180-2021.pdf
Verstoß | Höhe des Bußgeldes in Euro |
|
|
Quellen:
Verstoß | Höhe des Bußgeldes in Euro |
Nichtachtung der Betroffenenrechte (Art. 15 Abs. 1, 3, Art. 18 DSGVO) | 2.738,00 |
Versendung einer SMS mit personenbezogenen Daten einer anderen Person; keine Löschung der Telefonnummer | 1370,00 |
Nichtachtung von Betroffenenrechten (Art. 15, Art. 17 DSGVO). Verstoß gegen das Transparenzgebot, da der Verantwortliche die betroffenen Person nicht vor der Erhebung der Daten darüber informierte, dass das Recht auf Löschung aufgrund von Aufbewahrungsfristen eingeschränkt wird | 1370,00 |
Weitergabe von personenbezogenen Daten ohne entsprechende Rechtsgrundlage an Unbefugte | 2.738,00 |
Nichtachtung der Rechts auf Löschung; Verarbeitung von Daten ohne Rechtsgrundlage; Verstoß gegen den Grundsatz der Zweckbindung | 2.738,00 |
Nichtachtung des Auskunftsrechts | 1.642,00 |
Nichtachtung des Auskunftsrechts sowie Verstoß gegen das Transparenzgebot, die Rechenschaftspflicht, die Richtigkeit der verarbeiteten Daten | 5.474,00 |
Verarbeitung von personenbezogenen Daten ohne Rechtsgrundlage und Verstoß gegen die Rechenschaftspflicht | 2.738,00 |
Versäumnis der Frist von einem Monat zur Auskunft über personenbezogene Daten | 28,00 |
Quellen:
https://www.naih.hu/files/NAIH-2018-5559-H-hatarozat.pdf
https://www.naih.hu/files/NAIH-2019_363_hatarozat.pdf
https://www.naih.hu/files/NAIH-2019-1841_hatarozat.pdf
https://www.naih.hu/files/NAIH-2019-2526-2-H-hatarozat.pdf
https://www.naih.hu/files/NAIH_2019_133_hatarozat.pdf
https://www.naih.hu/files/NAIH-2019-167-hatarozat.pdf
https://www.onlinehaendler-news.de/e-recht/abmahnungen/133387-google-28-euro-dsgvo-bussgeld
Verstoß | Höhe des Bußgeldes in Euro |
Mangelnde technische und organisatorische Maßnahmen, die Cyberangriffe ermöglichten, durch die unzählige Kundendaten abgegriffen werden konnten | 22,18 Mio. |
Mangelnde technische und organisatorische Maßnahmen, die Cyberangriffe ermöglichten, durch die unzählige Kundendaten abgegriffen werden konnten. Grund für die mangelnden Maßnahmen war, dass keine ausreichende Due-Diligence-Prüfung bei der Übernahme des Unternehmens durchgeführt wurde | 20,35 Mio. |
Aufbewahrung von einer Vielzahl von Dokumenten, die personenbezogene Daten enthielten, in unversiegelten Behältern, wodurch die Dokumente beschädigt wurden. | 320.000,00 |
Versand von Werbe-SMS an eine Vielzahl von Personen ohne deren Einwilligung | 65.694,00 |
Rechtswidrige Anrufe zum Zwecke des Direktmarketings ohne Einwilligung der betroffenen Personen | 142.337,00 |
Rechtswidrige Anrufe zum Zwecke des Direktmarketings ohne Einwilligung der betroffenen Personen | 87.624,00 |
Quellen:
https://www.e-recht24.de/news/datenschutz/12429-marriott-bussgeld-corona.htmlhttps://www.coreview.com/blog/alpin-gdpr-fines-list/
https://ico.org.uk/media/action-weve-taken/mpns/2618330/dgel-mpn-20200922.pdf
https://ico.org.uk/media/action-weve-taken/mpns/2618232/cps-advisory-limited-mpn.pdf
Verstoß | Höhe des Bußgeldes in Euro |
Einsatz eines Tools, mit welchem die krankheitsbedingten Fehlzeiten von Arbeitnehmern erfasst wurden. Dabei handelte es sich um besondere Kategorien von personenbezogenen Daten und es fehlte eine entsprechende Rechtsgrundlage zur Verarbeitung | 70.000,00 |
Einsatz eines Tools, mit welchem die krankheitsbedingten Fehlzeiten von Arbeitnehmern erfasst wurden. Dabei handelte es sich um besondere Kategorien von personenbezogenen Daten und es fehlte eine entsprechende Rechtsgrundlage zur Verarbeitung | 10.000,00 |
Einsatz eines Tools, mit welchem die krankheitsbedingten Fehlzeiten von Arbeitnehmern erfasst wurden. Dabei handelte es sich um besondere Kategorien von personenbezogenen Daten und es fehlte eine entsprechende Rechtsgrundlage zur Verarbeitung | 2.000,00 |
Weigerung, einem Patienten eine Kopie seiner Patientenakte zur Verfügung stellen | 5.000,00 |
Mangelnde technischen und organisatorischen Maßnahmen hinsichtlich Passwortschutz und fehlende Kooperation mit der Datenschutzbehörde | 9.000,00 |
Ungewünschtes Zusenden von Werbe-SMS aufgrund mangelnder organisatorischer Maßnahmen, auch nach Widerspruch der betroffenen Person | 1.200,00 |
Versand von unerwünschten Werbe-SMS ohne eine kostenfreie Möglichkeit, dies zu unterbinden | 1.000,00 |
Veröffentlichung von Lichtbildern und Namen von Polizisten ohne deren Zustimmung in einer Lokalzeitung (u.a. Verstoß gegen den Grundsatz der Datenminimierung) | 10.000,00 |
Veröffentlichung von personenbezogenen Daten einer Patientin auf sozialen Netzwerken ohne Zustimmung der betroffenen Person | 14.000,00 |
Quellen:
https://www.serapion.de/fast-1-jahr-dsgvo-im-gesundheitswesen-zwischenfaelle-und-bussgelder/
https://www.dsgvo-portal.de/dsgvo-bussgeld-gegen-zypriotische-polizei-2020-01-13-CY-327.php
https://www.dataguidance.com/news/cyprus-commissioner-fines-doctor-%E2%82%AC14000-gdpr-violations
https://www.privacyminders.com/news/gdpr-10-000-fine-on-a-newspaper-for-publishing/
https://www.privacyminders.com/news/gdpr-10-000-fine-on-a-newspaper-for-publishing/
| 20.09.2021 |
Deutsche Universität für Verwaltungswissenschaften Freiherr vom Stein Str. 2 67346 Speyer | Speyerer Vergaberechtstage 2021 | Vortrag | >> |
|---|---|---|---|---|
| 22.09.2021 |
Hilton Düsseldorf oder online | Forum Institut I NRW-Vergaberecht 2021 | Vortrag | >> |
| 23.09.2021 |
online | IHK Außenwirtschaftstag 2021 | LUTHER Fachforum China 2025 – Kampfansage oder Zukunftsmarkt | Das neue Lieferkettengesetz und seine Auswirkungen auf das Asien-Geschäft | Tagung | >> |
Facebook
Twitter
Linkedin
XING
Youtube