DSGVO Bußgeldatlas

Mehr als ein Jahr nach Inkrafttreten der europäischen Datenschutzgrundverordnung (DSGVO) sind die Aufsichtsbehörden der Länder tätig geworden und verhängten bereits zahlreiche Bußgelder wegen Verstößen gegen die DSGVO. Zudem veröffentlichte die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder ein Konzept zur Bußgeldbemessung. In unserem Bußgeldatlas sammeln wir die bisher bekannten Bußgelder und zeigen die begangenen Verstöße in einer Übersicht je nach Bundesland. Auch international zeigt die DSGVO ihre scharfen Zähne.

National

Bund

Bundesbeauftragte für den Datenschutz und die Informationsfreiheit

Website: https://www.bfdi.bund.de/DE/Home/home_node.html

 

Bekannte Bußgelder:

Verstoß

Höhe des Bußgeldes in Euro

Keine hinreichenden technisch-organisatorischen Maßnahmen, um zu verhindern, dass Unberechtigte bei der telefonischen Kundenbetreuung Auskünfte zu Kundendaten erhalten können

9.550.000,00

Keine Benennung einer Datenschutzbeauftragten trotz gesetzlicher Auflage

10.000,00

Baden-Württemberg

Landesbeauftragte für Datenschutz und Informationsfreiheit

Website: https://www.baden-wuerttemberg.datenschutz.de

 

Bekannte Bußgelder:

Verstoß

Höhe des Bußgeldes in Euro

Unverschlüsselte Speicherung von Passwörtern

20.000,00

Offenlegung von Gesundheitsdaten

 

80.000,00

Verstoß gegen Zweckbindung bei der Verarbeitung von personenbezogenen Daten

2.500,00

Private Nutzung von dienstlich erlangten personenbezogenen Daten durch einen Polizeibeamten

1.400,00

Unsachgemäße Entsorgung von personenbezogenen Daten (Finanzsektor)

80.000,00

Quellen:
https://www.handelsblatt.com/politik/deutschland/datenschutzgrundverordnung-behoerden-verhaengen-erste-bussgelder-wegen-verstoessen-gegen-dsgvo/23872806.html
https://www.handelsblatt.com/politik/deutschland/datenschutz-verstoesse-datenschuetzer-kelber-verspricht-mehr-transparenz-bei-dsgvo-bussgeldern/23886998.html?ticket=ST-903506-7Al7dIBNlQDOfXEIR27Y-ap2

https://www.baden-wuerttemberg.datenschutz.de/lfdi-baden-wuerttemberg-verhaengt-bussgeld-gegen-frueheren-juso-landeschef/

Bayern

Der Bayerische Landesbeauftragte für den Datenschutz

Website: https://www.datenschutz-bayern.de

Bekannte Bußgelder:

Verstoß

Höhe des Bußgeldes in Euro

 

 

 

 

Quellen:

Berlin

Berliner Beauftragte für Datenschutz und Informationsfreiheit

Website: https://www.datenschutz-berlin.de

 

Bekannte Bußgelder:

Verstoß

Höhe des Bußgeldes in Euro

Unbefugte Verarbeitung von personenbezogenen Daten von ehemaligen Kundinnen und Kunden

50.000,00

Diverse Einzelverstöße, wie Nichtachtung der Betroffenenrechte (Recht auf Auskunft, Löschung, Widerspruch), Übermittlung von unerwünschten Werbe-E-Mails.

195.407,00 (Summe aus zwei Bußgeldbescheiden)

Speicherung von Daten in einem Archivsystem, bei dem keine Möglichkeit zur Löschung vorgesehen war (Verstoß gegen Artikel 25 Abs. 1 DSGVO sowie Artikel 5 DSGVO) und welches trotz Aufforderung der Aufsichtsbehörde innerhalb eines längeren Zeitraumes nicht überarbeitet wurde

14,5 Mio.

Quellen:
https://amp.welt.de/finanzen/article193326155/DSGVO-Verstoesse-Bundeslaender-ziehen-Bussgeld-Bilanz.html?__twitter_impression=true
https://www.welt.de/regionales/berlin/article198434489/Berlin-will-Datenschutz-Bussgeld-in-Millionenhoehe-verhaengen.html
https://www.datenschutz-berlin.de/fileadmin/user_upload/pdf/pressemitteilungen/2019/20190919-PM-Bussgelder.pdf

Brandenburg

Die Landesbeauftragte für den Datenschutz und für das Recht auf Akteneinsicht

Website: https://www.lda.brandenburg.de

Bekannte Bußgelder:

Verstoß

Höhe des Bußgeldes in Euro

Falsche Auskunft und fehlender schriftlicher Auftragsverarbeitungsvertrag

50.000,00

 

 

Quellen:

https://www.dr-bahr.com/news/datenschutzbeauftragter-brandenburg-50000-dsgvo-bussgeld-wegen-falscher-auskunft-und-fehlendem-a.html

Bremen

Die Landesbeauftragte für Datenschutz und Informationsfreiheit

Website: https://www.datenschutz.bremen.de/

Bekannte Bußgelder:

Verstoß

Höhe des Bußgeldes in Euro

 

 

 

 

Quellen:

Hamburg
Hessen

Der Hessische Beauftragte für Datenschutz und Informationsfreiheit

Website: https://datenschutz.hessen.de/

Bekannte Bußgelder:

Verstoß

Höhe des Bußgeldes in Euro

 

 

 

 

Quellen:

Mecklenburg-Vorpommern

Der Landesbeauftragte für Datenschutz und Informationsfreiheit

Website: https://www.datenschutz-mv.de

Bekannte Bußgelder:

Verstoß

Höhe des Bußgeldes in Euro

 

 

 

 

Quellen:

Niedersachsen

Die Landesbeauftragte für den Datenschutz Niedersachsen

Website: https://www.lfd.niedersachsen.de

Bekannte Bußgelder:

Verstoß

Höhe des Bußgeldes in Euro

 

 

 

 

Quellen:

Nordrhein-Westfalen

Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen

Website:

 

Bekannte Bußgelder:

Verstoß

Höhe des Bußgeldes in Euro

Offenlegung von Kontoauszüge an Unbefugte beim Online-Banking

n.a.

Unzulässige Werbe-E-Mails

n.a.

Unbefugte Kopie von Kundendaten bei einem Hackerangriff auf einen Webshop

n.a.

Offene E-Mail-Verteiler

n.a.

Unzulässige Videoüberwachung von Kunden und Arbeitnehmern

n.a.

Quellen:
https://www.handelsblatt.com/politik/deutschland/datenschutz-verstoesse-datenschuetzer-kelber-verspricht-mehr-transparenz-bei-dsgvo-bussgeldern/23886998.html?ticket=ST-903506-7Al7dIBNlQDOfXEIR27Y-ap2 
https://www.handelsblatt.com/politik/deutschland/datenschutzgrundverordnung-behoerden-verhaengen-erste-bussgelder-wegen-verstoessen-gegen-dsgvo/23872806.html

Rheinland-Pfalz

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit

Website: https://www.datenschutz.rlp.de/

Bekannte Bußgelder:

Verstoß

Höhe des Bußgeldes in Euro

Technische und organisatorische Defizite des Krankenhauses beim Patientenmanagement, durch welche es zu Verwechslung von Patienten kam, sodass falsche Rechnungen ausgestellt wurden.

105.000,00

 

 

Quellen:

Saarland

Unabhängiges Datenschutzzentrum Saarland

Website: https://www.datenschutz.saarland.de

Bekannte Bußgelder:

Verstoß

Höhe des Bußgeldes in Euro

Veröffentlichung personenbezogener Daten eines Dritten

118,50

 

 

Quellen:
http://www.jura.uni-saarland.de/ein-dsgvo-bussgeld-durch-unabhaengiges-datenschutzzentrum-saarland-verhaengt/

Sachsen

Der Sächsische Datenschutzbeauftragte

Website: https://www.saechsdsb.de

Bekannte Bußgelder:

Verstoß

Höhe des Bußgeldes in Euro

 

 

 

 

Quellen:

Sachsen-Anhalt

Landesbeauftragter für den Datenschutz Sachsen-Anhalt

Website: https://www.datenschutz.sachsen-anhalt.de

Bekannte Bußgelder:

Verstoß

Höhe des Bußgeldes in Euro

Offener Mail-Verteiler, in dem personenbezogene Mail-Adressen erkennbar sind

2.628,50

 

 

Quellen:
https://www.mz-web.de/merseburg/hunderte-adressen-im-verteiler-merseburger-muss-fuer-wut-mails-ueber-2-000-euro-zahlen-32033308

Schleswig-Holstein

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein

Website: https://www.datenschutzzentrum.de

Bekannte Bußgelder:

Verstoß

Höhe des Bußgeldes in Euro

 

 

 

 

Quellen:

Thüringen

Thüringer Landesbeauftragter für den Datenschutz und die Informationsfreiheit

Website: https://www.tlfdi.de/

Bekannte Bußgelder:

Verstoß

Höhe des Bußgeldes in Euro

Unzulässige Datenübergabe an einen Geschäftsnachfolger ohne Einwilligung der zahlreichen Betroffenen

>10.000,00

Videoaufnahmen in einer Gaststätte

>10.000,00

Quellen:
https://www.thueringer-allgemeine.de/web/zgt/politik/detail/-/specific/65-Bussgeldverfahren-in-Thueringen-nach-Verstoessen-gegen-den-Datenschutz-1067921680
https://www.thueringer-allgemeine.de/web/zgt/leben/detail/-/specific/Datenschutzgrundverordnung-Bisher-keine-Prozesse-in-Thueringen-147650259

International

Frankreich

Die französische Datenschutzbehörde CNIL verhängte Anfang des Jahres ein Bußgeld von 50 Millionen Euro gegen Google. Der Konzernriese arbeite ohne Einwilligungen zur Datenverarbeitung und missachte das Transparenzprinzip. Google plant, gegen das Bußgeld vorzugehen.

Quellen:
https://www.heise.de/newsticker/meldung/DSGVO-Verstoesse-Frankreich-verhaengt-Millionen-Strafe-gegen-Google-4283765.html
https://www.helpnetsecurity.com/2019/02/07/gdpr-numbers-january-2019/

Griechenland

Die griechische Datenschutzaufsichtsbehörde verhängte gegen einen der „Big Four“, PricewaterhouseCoopers (PwC) ein Bußgeld in Höhe von 150.000 Euro. Grund dafür war, dass PwC für die Verarbeitung der personenbezogenen Daten von Beschäftigten eine falsche Rechtsgrundlage angegeben hatten. Sie stützten ihre Datenverarbeitung auf eine Einwilligung, obwohl diese Rechtsgrundlage nicht einschlägig war, sodass ein Verstoß gegen die DSGVO vorliege. Denn die Datenverarbeitung habe rechtmäßig, nach Treu und Glauben und in transparenter Weise zu erfolgen. Die Einhaltung dieser Prinzipien habe der Verantwortliche nachzuweisen, jedoch konnte PwC dieser Rechenschaftspflicht nicht nachkommen.

Quelle:
https://dataagenda.de/wp-content/uploads/2019/08/Newsbox_08_2019.pdf

Großbritannien

In Großbritannien hat die Datenschutzaufsicht ICO noch keine bekannten Bußgelder verhängt, jedoch zwei sehr hohe Bußgelder angedroht; beide aufgrund nicht ausreichender Sicherheitsvorkehrungen. Sowohl bei British Airways als auch bei der Hotelkette Marriott sind Cyberangriffe bekanntgeworden, bei denen unzählige Kundendaten abgegriffen worden. Das gegenüber der Airline British Airways angedrohte Bußgeld soll ca. 204,6 Mio. Euro (1,5 Prozent des Jahresumsatzes) betragen. Auch die Hotelkette Marriott soll ein Bußgeld (110,39 Mio. Euro) zahlen.

Quellen:
https://www.heise.de/newsticker/meldung/Datenschutzpanne-British-Airways-soll-etwa-204-Millionen-Euro-Strafe-zahlen-4465412.html
https://www.heise.de/newsticker/meldung/DSGVO-Strafe-110-Millionen-Euro-Bussgeld-fuer-Hotelkette-Marriott-angesetzt-4466555.html

Italien

Ein italienisches Unternehmen muss ein Bußgeld i. H. v. 2 Millionen Euro zahlen (je 6.000 €/Verstoß für 78 Verstöße gegen das Erhebungsverbot + je 10.000 €/Verstoß für 155 Verstöße gegen das Verarbeitungsverbot). Sie hatten im Rahmen ihres Telemarketings die Betroffenen weder über ihre Rechte aufgeklärt, noch lag eine schriftliche Einwilligung der Betroffenen zur Datenverarbeitung vor. Bei der Bemessung des Bußgeldes hat sich die Schwere der Verstöße und das ausgeprägte Desinteresse des Unternehmens an der Gewährleistung eines angemessenen Datenschutzes ausgewirkt.

Quelle:
https://www.datenschutzticker.de/2019/06/bussgeld-von-ueber-2-millionen-euro-fuer-telemarketing/

Niederlande

Die holländische Aufsichtsbehörde hat eine Art Bußgeldkatalog veröffentlicht, der unter folgendem Link abrufbar ist: https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/stcrt-2019-14586.pdf

Österreich

Die Aufsichtsbehörde in Österreich verhängte ein Bußgeld in Höhe von 18 Mio. Euro gegen die Post, weil sie Daten sammelte zu Parteiaffinitäten. Darüber hinaus habe die Aufsichtsbehörde eine Rechtsverletzung wegen der Weiterverarbeitung von Daten über die Paketfrequenz und die Häufigkeit von Umzügen zum Zweck des Direktmarketings festgestellt.

Quelle:
https://wien.orf.at/stories/3019396/

Polen

Die polnische Aufsichtsbehörde gab in einer Pressemitteilung bekannt, dass sie ein Bußgeld in Höhe von ca. 650.000 Euro (2,8 Mio. polnische Zloty) verhängt hat. Das betroffene Unternehmen habe keine ausreichenden technische und organisatorische Maßnahmen zum Schutz von personenbezogenen Daten genutzt, sodass Daten von mehr als 2,2 Mio. Menschen in falsche Hände gelangt seien. Es habe an geeignete Reaktionsmechanismen gefehlt, um dem Auftreten von ungewöhnlichem Netzwerkverkehr zu begegnen.

Quelle:
https://www.uodo.gov.pl/en/553/1087