Mehr als ein Jahr nach Inkrafttreten der europäischen Datenschutzgrundverordnung (DSGVO) sind die Aufsichtsbehörden der Länder tätig geworden und verhängten bereits zahlreiche Bußgelder wegen Verstößen gegen die DSGVO. Zudem veröffentlichte die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder ein Konzept zur Bußgeldbemessung. In unserem Bußgeldatlas sammeln wir die bisher bekannten Bußgelder und zeigen die begangenen Verstöße in einer Übersicht je nach Bundesland. Auch international zeigt die DSGVO ihre scharfen Zähne.
Bundesbeauftragte für den Datenschutz und die Informationsfreiheit
Website: https://www.bfdi.bund.de/DE/Home/home_node.html
Bekannte Bußgelder:
Verstoß | Höhe des Bußgeldes in Euro |
Keine hinreichenden technisch-organisatorischen Maßnahmen, um zu verhindern, dass Unberechtigte bei der telefonischen Kundenbetreuung Auskünfte zu Kundendaten erhalten können | 9.550.000,00 |
Keine Benennung einer Datenschutzbeauftragten trotz gesetzlicher Auflage | 10.000,00 |
Landesbeauftragte für Datenschutz und Informationsfreiheit
Website: https://www.baden-wuerttemberg.datenschutz.de
Bekannte Bußgelder:
Verstoß | Höhe des Bußgeldes in Euro |
Unverschlüsselte Speicherung von Passwörtern | 20.000,00 |
Offenlegung von Gesundheitsdaten
| 80.000,00 |
Verstoß gegen Zweckbindung bei der Verarbeitung von personenbezogenen Daten | 2.500,00 |
Private Nutzung von dienstlich erlangten personenbezogenen Daten durch einen Polizeibeamten | 1.400,00 |
Unsachgemäße Entsorgung von personenbezogenen Daten (Finanzsektor) | 80.000,00 |
Quellen:
https://www.handelsblatt.com/politik/deutschland/datenschutzgrundverordnung-behoerden-verhaengen-erste-bussgelder-wegen-verstoessen-gegen-dsgvo/23872806.html
https://www.handelsblatt.com/politik/deutschland/datenschutz-verstoesse-datenschuetzer-kelber-verspricht-mehr-transparenz-bei-dsgvo-bussgeldern/23886998.html?ticket=ST-903506-7Al7dIBNlQDOfXEIR27Y-ap2
https://www.baden-wuerttemberg.datenschutz.de/lfdi-baden-wuerttemberg-verhaengt-bussgeld-gegen-frueheren-juso-landeschef/
Der Bayerische Landesbeauftragte für den Datenschutz
Website: https://www.datenschutz-bayern.de
Bekannte Bußgelder:
Verstoß | Höhe des Bußgeldes in Euro |
|
|
|
|
Quellen:
Berliner Beauftragte für Datenschutz und Informationsfreiheit
Website: https://www.datenschutz-berlin.de
Bekannte Bußgelder:
Verstoß | Höhe des Bußgeldes in Euro |
Unbefugte Verarbeitung von personenbezogenen Daten von ehemaligen Kundinnen und Kunden | 50.000,00 |
Diverse Einzelverstöße, wie Nichtachtung der Betroffenenrechte (Recht auf Auskunft, Löschung, Widerspruch), Übermittlung von unerwünschten Werbe-E-Mails. | 195.407,00 (Summe aus zwei Bußgeldbescheiden) |
Speicherung von Daten in einem Archivsystem, bei dem keine Möglichkeit zur Löschung vorgesehen war (Verstoß gegen Artikel 25 Abs. 1 DSGVO sowie Artikel 5 DSGVO) und welches trotz Aufforderung der Aufsichtsbehörde innerhalb eines längeren Zeitraumes nicht überarbeitet wurde | 14,5 Mio. |
Quellen:
https://amp.welt.de/finanzen/article193326155/DSGVO-Verstoesse-Bundeslaender-ziehen-Bussgeld-Bilanz.html?__twitter_impression=true
https://www.welt.de/regionales/berlin/article198434489/Berlin-will-Datenschutz-Bussgeld-in-Millionenhoehe-verhaengen.html
https://www.datenschutz-berlin.de/fileadmin/user_upload/pdf/pressemitteilungen/2019/20190919-PM-Bussgelder.pdf
Die Landesbeauftragte für den Datenschutz und für das Recht auf Akteneinsicht
Website: https://www.lda.brandenburg.de
Bekannte Bußgelder:
Verstoß | Höhe des Bußgeldes in Euro |
Falsche Auskunft und fehlender schriftlicher Auftragsverarbeitungsvertrag | 50.000,00 |
|
|
Quellen:
Die Landesbeauftragte für Datenschutz und Informationsfreiheit
Website: https://www.datenschutz.bremen.de/
Bekannte Bußgelder:
Verstoß | Höhe des Bußgeldes in Euro |
|
|
|
|
Quellen:
Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit
Website:
Verstoß | Höhe des Bußgeldes in Euro |
Fehlender Auftragsverarbeitungsvertrag | 5.000,00 (wurde von der Aufsichtsbehörde jedoch wieder zurückgenommen) |
Verspätete Meldung eines Data Breaches und unterbliebene Information der Betroffenen | 20.000,00 |
Quellen:
https://www.heise.de/newsticker/meldung/DSGVO-5000-Euro-Bussgeld-fuer-fehlenden-Auftragsverarbeitungsvertrag-4282737.html
https://www.handelsblatt.com/politik/deutschland/datenschutzgrundverordnung-behoerden-verhaengen-erste-bussgelder-wegen-verstoessen-gegen-dsgvo/23872806.html
https://www.handelsblatt.com/politik/deutschland/datenschutz-verstoesse-datenschuetzer-kelber-verspricht-mehr-transparenz-bei-dsgvo-bussgeldern/23886998.html?ticket=ST-903506-7Al7dIBNlQDOfXEIR27Y-ap2
https://datenschutz-hamburg.de/assets/pdf/27._Taetigkeitsbericht_Datenschutz_2018_HmbBfDI.pdf
Der Hessische Beauftragte für Datenschutz und Informationsfreiheit
Website: https://datenschutz.hessen.de/
Bekannte Bußgelder:
Verstoß | Höhe des Bußgeldes in Euro |
|
|
|
|
Quellen:
Der Landesbeauftragte für Datenschutz und Informationsfreiheit
Website: https://www.datenschutz-mv.de
Bekannte Bußgelder:
Verstoß | Höhe des Bußgeldes in Euro |
|
|
|
|
Quellen:
Die Landesbeauftragte für den Datenschutz Niedersachsen
Website: https://www.lfd.niedersachsen.de
Bekannte Bußgelder:
Verstoß | Höhe des Bußgeldes in Euro |
|
|
|
|
Quellen:
Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen
Website:
Bekannte Bußgelder:
Verstoß | Höhe des Bußgeldes in Euro |
Offenlegung von Kontoauszüge an Unbefugte beim Online-Banking | n.a. |
Unzulässige Werbe-E-Mails | n.a. |
Unbefugte Kopie von Kundendaten bei einem Hackerangriff auf einen Webshop | n.a. |
Offene E-Mail-Verteiler | n.a. |
Unzulässige Videoüberwachung von Kunden und Arbeitnehmern | n.a. |
Quellen:
https://www.handelsblatt.com/politik/deutschland/datenschutz-verstoesse-datenschuetzer-kelber-verspricht-mehr-transparenz-bei-dsgvo-bussgeldern/23886998.html?ticket=ST-903506-7Al7dIBNlQDOfXEIR27Y-ap2
https://www.handelsblatt.com/politik/deutschland/datenschutzgrundverordnung-behoerden-verhaengen-erste-bussgelder-wegen-verstoessen-gegen-dsgvo/23872806.html
Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit
Website: https://www.datenschutz.rlp.de/
Bekannte Bußgelder:
Verstoß | Höhe des Bußgeldes in Euro |
Technische und organisatorische Defizite des Krankenhauses beim Patientenmanagement, durch welche es zu Verwechslung von Patienten kam, sodass falsche Rechnungen ausgestellt wurden. | 105.000,00 |
|
|
Quellen:
Unabhängiges Datenschutzzentrum Saarland
Website: https://www.datenschutz.saarland.de
Bekannte Bußgelder:
Verstoß | Höhe des Bußgeldes in Euro |
Veröffentlichung personenbezogener Daten eines Dritten | 118,50 |
|
|
Der Sächsische Datenschutzbeauftragte
Website: https://www.saechsdsb.de
Bekannte Bußgelder:
Verstoß | Höhe des Bußgeldes in Euro |
|
|
|
|
Quellen:
Landesbeauftragter für den Datenschutz Sachsen-Anhalt
Website: https://www.datenschutz.sachsen-anhalt.de
Bekannte Bußgelder:
Verstoß | Höhe des Bußgeldes in Euro |
Offener Mail-Verteiler, in dem personenbezogene Mail-Adressen erkennbar sind | 2.628,50 |
|
|
Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein
Website: https://www.datenschutzzentrum.de
Bekannte Bußgelder:
Verstoß | Höhe des Bußgeldes in Euro |
|
|
|
|
Quellen:
Thüringer Landesbeauftragter für den Datenschutz und die Informationsfreiheit
Website: https://www.tlfdi.de/
Bekannte Bußgelder:
Verstoß | Höhe des Bußgeldes in Euro |
Unzulässige Datenübergabe an einen Geschäftsnachfolger ohne Einwilligung der zahlreichen Betroffenen | >10.000,00 |
Videoaufnahmen in einer Gaststätte | >10.000,00 |
Quellen:
https://www.thueringer-allgemeine.de/web/zgt/politik/detail/-/specific/65-Bussgeldverfahren-in-Thueringen-nach-Verstoessen-gegen-den-Datenschutz-1067921680
https://www.thueringer-allgemeine.de/web/zgt/leben/detail/-/specific/Datenschutzgrundverordnung-Bisher-keine-Prozesse-in-Thueringen-147650259
Die französische Datenschutzbehörde CNIL verhängte Anfang des Jahres ein Bußgeld von 50 Millionen Euro gegen Google. Der Konzernriese arbeite ohne Einwilligungen zur Datenverarbeitung und missachte das Transparenzprinzip. Google plant, gegen das Bußgeld vorzugehen.
Die griechische Datenschutzaufsichtsbehörde verhängte gegen einen der „Big Four“, PricewaterhouseCoopers (PwC) ein Bußgeld in Höhe von 150.000 Euro. Grund dafür war, dass PwC für die Verarbeitung der personenbezogenen Daten von Beschäftigten eine falsche Rechtsgrundlage angegeben hatten. Sie stützten ihre Datenverarbeitung auf eine Einwilligung, obwohl diese Rechtsgrundlage nicht einschlägig war, sodass ein Verstoß gegen die DSGVO vorliege. Denn die Datenverarbeitung habe rechtmäßig, nach Treu und Glauben und in transparenter Weise zu erfolgen. Die Einhaltung dieser Prinzipien habe der Verantwortliche nachzuweisen, jedoch konnte PwC dieser Rechenschaftspflicht nicht nachkommen.
Quelle:
https://dataagenda.de/wp-content/uploads/2019/08/Newsbox_08_2019.pdf
In Großbritannien hat die Datenschutzaufsicht ICO noch keine bekannten Bußgelder verhängt, jedoch zwei sehr hohe Bußgelder angedroht; beide aufgrund nicht ausreichender Sicherheitsvorkehrungen. Sowohl bei British Airways als auch bei der Hotelkette Marriott sind Cyberangriffe bekanntgeworden, bei denen unzählige Kundendaten abgegriffen worden. Das gegenüber der Airline British Airways angedrohte Bußgeld soll ca. 204,6 Mio. Euro (1,5 Prozent des Jahresumsatzes) betragen. Auch die Hotelkette Marriott soll ein Bußgeld (110,39 Mio. Euro) zahlen.
Ein italienisches Unternehmen muss ein Bußgeld i. H. v. 2 Millionen Euro zahlen (je 6.000 €/Verstoß für 78 Verstöße gegen das Erhebungsverbot + je 10.000 €/Verstoß für 155 Verstöße gegen das Verarbeitungsverbot). Sie hatten im Rahmen ihres Telemarketings die Betroffenen weder über ihre Rechte aufgeklärt, noch lag eine schriftliche Einwilligung der Betroffenen zur Datenverarbeitung vor. Bei der Bemessung des Bußgeldes hat sich die Schwere der Verstöße und das ausgeprägte Desinteresse des Unternehmens an der Gewährleistung eines angemessenen Datenschutzes ausgewirkt.
Quelle:
https://www.datenschutzticker.de/2019/06/bussgeld-von-ueber-2-millionen-euro-fuer-telemarketing/
Die holländische Aufsichtsbehörde hat eine Art Bußgeldkatalog veröffentlicht, der unter folgendem Link abrufbar ist: https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/stcrt-2019-14586.pdf
Die Aufsichtsbehörde in Österreich verhängte ein Bußgeld in Höhe von 18 Mio. Euro gegen die Post, weil sie Daten sammelte zu Parteiaffinitäten. Darüber hinaus habe die Aufsichtsbehörde eine Rechtsverletzung wegen der Weiterverarbeitung von Daten über die Paketfrequenz und die Häufigkeit von Umzügen zum Zweck des Direktmarketings festgestellt.
Die polnische Aufsichtsbehörde gab in einer Pressemitteilung bekannt, dass sie ein Bußgeld in Höhe von ca. 650.000 Euro (2,8 Mio. polnische Zloty) verhängt hat. Das betroffene Unternehmen habe keine ausreichenden technische und organisatorische Maßnahmen zum Schutz von personenbezogenen Daten genutzt, sodass Daten von mehr als 2,2 Mio. Menschen in falsche Hände gelangt seien. Es habe an geeignete Reaktionsmechanismen gefehlt, um dem Auftreten von ungewöhnlichem Netzwerkverkehr zu begegnen.
| 21.09.2020 |
Frankfurt a. M. | Das neue Geschäftsgeheimnisgesetz, Management Circle Intensiv-Seminar | Seminar | >> |
|---|---|---|---|---|
| 24.09.2020 |
online | Internationaler Datentransfer nach „Schrems II“ Datentransfer in die USA und das übrige EU-Ausland nach dem Ende des Privacy Shields rechtssicher ausgestalten | Webinar | >> |
| 24.09.2020 |
online | Webinar: Corona-Arbeitsschutz - Fit für den Herbst!? | Webinar | >> |
Facebook
Twitter
Linkedin
XING
Youtube