DSGVO Bußgeldatlas

Nach Inkrafttreten der europäischen Datenschutzgrundverordnung (DSGVO) sind die Aufsichtsbehörden der Länder tätig geworden und verhängten bereits zahlreiche Bußgelder wegen Verstößen gegen die DSGVO. Zudem veröffentlichte die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder ein Konzept zur Bußgeldbemessung. In unserem Bußgeldatlas sammeln wir die bisher bekannten Bußgelder und zeigen die begangenen Verstöße in einer Übersicht je nach Bundesland.

Aber auch die Datenschutzaufsichtsbehörden unserer europäischen Nachbarn verhängten aufgrund von DSGVO-Verstößen bereits einige Bußgelder, die wir hier ebenfalls auflisten.

National

Bund

Bundesbeauftragte für den Datenschutz und die Informationsfreiheit

Website:

Bekannte Bußgelder:

Verstoß

Höhe des Bußgeldes in Euro

Keine hinreichenden technisch-organisatorischen Maßnahmen, um zu verhindern, dass Unberechtigte bei der telefonischen Kundenbetreuung Auskünfte zu Kundendaten erhalten können

900.000,00 

(die ursprüngliche Geldbuße in Höhe von 9.550.000,00 wurde durch ein Urteil heruntergesetzt)

Keine Benennung einer Datenschutzbeauftragten trotz gesetzlicher Auflage

10.000,00

Quelle:

Pressemitteilung27-2020-vom-11_11_2020-Bussgeld-gegen-Telekommunikationsd___.pdf (nrw.de)

https://dataagenda.de/wp-content/uploads/2020/04/DataAgenda-Arbeitspapier-16_DS-GVO-Bu%C3%9Fgelder.pdf

Baden-Württemberg

Landesbeauftragte für Datenschutz und Informationsfreiheit

Website: https://www.baden-wuerttemberg.datenschutz.de

Bekannte Bußgelder:

Verstoß

Höhe des Bußgeldes in Euro

Unverschlüsselte Speicherung von Passwörtern

20.000,00

Offenlegung von Gesundheitsdaten

 

80.000,00

Verstoß gegen Zweckbindung bei der Verarbeitung von personenbezogenen Daten

2.500,00

Private Nutzung von dienstlich erlangten personenbezogenen Daten durch einen Polizeibeamten

1.400,00

Unsachgemäße Entsorgung von personenbezogenen Daten (Finanzsektor)

80.000,00

Mangels ausreichender technischer und organisatorischer Maßnahmen kam es zur Verarbeitung von Kontaktdaten zu Werbezwecken ohne Einwilligung der Betroffenen

1,24 Mio.

Nicht ausreichender Schutz von Bewerberdaten mangels ausreichender technischer und organisatorischer Maßnahmen.

100.000,00

Fahrlässige Verletzung der obliegenden Rechenschaftspflicht aus Art. 5 Abs. 2 DSGVO

300.000,00

Unzulässige Aufnahme und Speicherung von Besuchern und Mitarbeitern in einem Schwimmbad. Verstoß gegen Art. 28 Abs. 9, 6 Abs. 1 DSGVO

12.000,00

Quellen:

https://www.handelsblatt.com/politik/deutschland/datenschutzgrundverordnung-behoerden-verhaengen-erste-bussgelder-wegen-verstoessen-gegen-dsgvo/23872806.html

https://www.handelsblatt.com/politik/deutschland/datenschutz-verstoesse-datenschuetzer-kelber-verspricht-mehr-transparenz-bei-dsgvo-bussgeldern/23886998.html?ticket=ST-903506-7Al7dIBNlQDOfXEIR27Y-ap2

https://www.baden-wuerttemberg.datenschutz.de/lfdi-baden-wuerttemberg-verhaengt-bussgeld-gegen-frueheren-juso-landeschef/

https://www.datenschutzticker.de/2020/07/bussgeld-in-hoehe-von-124-millionen-euro-gegen-die-aok-baden-wuerttemberg-verhaengt/

https://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2020/01/35.-T%C3%A4tigkeitsbericht-f%C3%BCr-den-Datenschutz-Web.pdf#page=44&zoom=100,0,0

https://www.dsgvo-portal.de/dsgvo-bussgeld-gegen-vfb-stuttgart-2021-03-10-DE-1122.php

https://www.dsgvo-portal.de/dsgvo-bussgeld-gegen-betreiber-eines-schwimmbades-2020-03-24-DE-443.php

Bayern

Der Bayerische Landesbeauftragte für den Datenschutz

Website: https://www.datenschutz-bayern.de

Bekannte Bußgelder:

Verstoß

Höhe des Bußgeldes in Euro

Verweigerung des Zugangs zu den Geschäftsräumen und Datenverarbeitungsanlagen bei einer unangekündigten Vor-Ort-Kontrolle, Art. 58 Abs. 1 lit. f) DSGVO

7000,00

 

 

Quellen:

7.000 Euro Bußgeld gegen Unternehmen | 13.07.2021 | DSGVO Bußgeld-Datenbank (dsgvo-portal.de)

Berlin

Berliner Beauftragte für Datenschutz und Informationsfreiheit

Website: https://www.datenschutz-berlin.de

 

Bekannte Bußgelder:

Verstoß

Höhe des Bußgeldes in Euro

Unbefugte Verarbeitung von personenbezogenen Daten von ehemaligen Kundinnen und Kunden

50.000,00

Diverse Einzelverstöße, wie Nichtachtung der Betroffenenrechte (Recht auf Auskunft, Löschung, Widerspruch), Übermittlung von unerwünschten Werbe-E-Mails.

195.407,00 (Summe aus zwei Bußgeldbescheiden)

Speicherung von Daten in einem Archivsystem, bei dem keine Möglichkeit zur Löschung vorgesehen war (Verstoß gegen Artikel 25 Abs. 1 DSGVO sowie Artikel 5 DSGVO) und welches trotz Aufforderung der Aufsichtsbehörde innerhalb eines längeren Zeitraumes nicht überarbeitet wurde. Nach Einstellung des gerichtlichen Verfahrens hat die Staatsanwaltschaft nun Beschwerde eingelegt.

 

Ursprünglich 14,5 Mio.  (Laufendes Verfahren)  

Quellen:

https://amp.welt.de/finanzen/article193326155/DSGVO-Verstoesse-Bundeslaender-ziehen-Bussgeld-Bilanz.html?__twitter_impression=true

https://www.welt.de/regionales/berlin/article198434489/Berlin-will-Datenschutz-Bussgeld-in-Millionenhoehe-verhaengen.html

https://www.datenschutz-berlin.de/fileadmin/user_upload/pdf/pressemitteilungen/2019/20190919-PM-Bussgelder.pdf

https://www.haufe.de/immobilien/wirtschaft-politik/deutsche-wohnen-wehrt-sich-gegen-bussgeld-wegen-dsgvo-verstoss_84342_503486.html

Brandenburg

Die Landesbeauftragte für den Datenschutz und für das Recht auf Akteneinsicht

Website: https://www.lda.brandenburg.de

Bekannte Bußgelder:

Verstoß

Höhe des Bußgeldes in Euro

Falsche Auskunft und fehlender schriftlicher Auftragsverarbeitungsvertrag

50.000,00

 

 

Quellen:

https://www.dr-bahr.com/news/datenschutzbeauftragter-brandenburg-50000-dsgvo-bussgeld-wegen-falscher-auskunft-und-fehlendem-a.html

Bremen

Die Landesbeauftragte für Datenschutz und Informationsfreiheit

Website: https://www.datenschutz.bremen.de/

Bekannte Bußgelder:

Verstoß

Höhe des Bußgeldes in Euro

 

 

 

 

Quellen:

Hamburg

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit

Website: https://datenschutz-hamburg.de/

Bekannte Bußgelder:

Verstoß

Höhe des Bußgeldes in Euro

Erfassung und Speicherung des Urlaubs, der krankheitsbedingten Abwesenheit (inkl. Symptomen und Diagnose) von Mitarbeitern sowie deren privaten Lebensumständen über einen Zeitraum von ca. 6 Jahren durch einen großen Modekonzern

 

35.258.707,95

Verspätete Meldung eines Data Breaches und unterbliebene Information der Betroffenen

20.000,00

Unterlassen der Mitteilung über den neuen Daten-schutzbeauftragten als Ver-stoß gegen Art. 37 Abs. 7 DSGVO

51.000,00

Quellen:

https://www.handelsblatt.com/politik/deutschland/datenschutzgrundverordnung-behoerden-verhaengen-erste-bussgelder-wegen-verstoessen-gegen-dsgvo/23872806.html

https://www.handelsblatt.com/politik/deutschland/datenschutz-verstoesse-datenschuetzer-kelber-verspricht-mehr-transparenz-bei-dsgvo-bussgeldern/23886998.html?ticket=ST-903506-7Al7dIBNlQDOfXEIR27Y-ap2

https://datenschutz-hamburg.de/assets/pdf/27._Taetigkeitsbericht_Datenschutz_2018_HmbBfDI.pdf

https://datenschutz-hamburg.de/pressemitteilungen/2020/10/2020-10-01-h-m-verfahren

https://datenschutz-hamburg.de/assets/pdf/28._Taetigkeitsbericht_Datenschutz_2019_HmbBfDI.pdf

Hessen

Der Hessische Beauftragte für Datenschutz und Informationsfreiheit

Website: https://datenschutz.hessen.de/

Bekannte Bußgelder:

Verstoß

Höhe des Bußgeldes in Euro

 

 

 

 

Quellen:

Mecklenburg-Vorpommern

Der Landesbeauftragte für Datenschutz und Informationsfreiheit

Website: https://www.datenschutz-mv.de

Bekannte Bußgelder:

Verstoß

Höhe des Bußgeldes in Euro

Erstellung von Nachbarschaftslisten ohne Einwilligung

200,00

 

 

Quellen:

https://www.datenschutz-mv.de/static/DS/Dateien/Publikationen/Taetigkeitsberichte/lfdmvtb15.pdf

Niedersachsen

Die Landesbeauftragte für den Datenschutz Niedersachsen

Website: https://www.lfd.niedersachsen.de

Bekannte Bußgelder:

Verstoß

Höhe des Bußgeldes in Euro

Videoüberwachung der Beschäftigten über einen Zeitraum von zwei Jahren ohne Rechtsgrundlage. Verstoß gegen Art. 5, 6 DSGVO

10,4 Mio.

Aufbewahrung von Personalakten über den erforderlichen Zeitraum hinaus. Verstoß gegen Art. 5 Abs. 1 lit. e) DSGVO

294.000,00

Fehlende Sicherheitsupdates einer veralteten Software für einen Web-Shop seit 2014, Art. 25, 32 DSGVO

65.500,00

Quellen:

65.500 Euro Bußgeld gegen Online-Shop-Betreiber | 27.05.2021 | DSGVO Bußgeld-Datenbank (dsgvo-portal.de)

LfD Niedersachsen verhängt Bußgeld über 10,4 Millionen Euro gegen notebooksbilliger.de | Die Landesbeauftragte für den Datenschutz Niedersachsen

Rückblick DSGVO Bußgeldverfahren 2019 (dsgvo-portal.de)

Nordrhein-Westfalen

Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen

Website: https://www.ldi.nrw.de/

Bekannte Bußgelder:

Verstoß

Höhe des Bußgeldes in Euro

Offenlegung von Kontoauszüge an Unbefugte beim Online-Banking

n.a.

Unzulässige Werbe-E-Mails

n.a.

Unbefugte Kopie von Kundendaten bei einem Hackerangriff auf einen Webshop

n.a.

Offene E-Mail-Verteiler

n.a.

Unzulässige Videoüberwachung von Kunden und Arbeitnehmern

n.a.

Lkw-Fahrer nahm mit Dash-Cam andere Verkehrsteilnehmer samt Kennzeichen auf und veröffentlichte die Aufnahmen auf seinem

Youtube-Kanal. Verstoß gegen Art. 6 Abs. 1 lit. f), 12ff. DSGVO

229,00

Quellen:

https://www.handelsblatt.com/politik/deutschland/datenschutz-verstoesse-datenschuetzer-kelber-verspricht-mehr-transparenz-bei-dsgvo-bussgeldern/23886998.html?ticket=ST-903506-7Al7dIBNlQDOfXEIR27Y-ap2

https://www.handelsblatt.com/politik/deutschland/datenschutzgrundverordnung-behoerden-verhaengen-erste-bussgelder-wegen-verstoessen-gegen-dsgvo/23872806.html

https://www.dsgvo-portal.de/dsgvo-bussgeld-gegen-lkw-fahrer-2020-03-14-DE-427.php

Rheinland-Pfalz

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit

Website: https://www.datenschutz.rlp.de/

Bekannte Bußgelder:

Verstoß

Höhe des Bußgeldes in Euro

Technische und organisatorische Defizite des Krankenhauses beim Patientenmanagement, durch welche es zu Verwechslung von Patienten kam, sodass falsche Rechnungen ausgestellt wurden.

105.000,00

Unerlaubte Verarbeitung der personenbezogenen Daten eines vermeintlichen Schuldners. Verstoß gegen Art. 5, 6 DSGVO

8.000

Quellen:

https://www.dsgvo-portal.de/dsgvo-bussgeld-gegen-rechtsanwalt-2020-09-03-DE-641.php   

Saarland

Unabhängiges Datenschutzzentrum Saarland

Website: https://www.datenschutz.saarland.de

Bekannte Bußgelder:

Verstoß

Höhe des Bußgeldes in Euro

Veröffentlichung personenbezogener Daten eines Dritten

118,50

Unzulässige Videoüberwachung im Gastraum eines Restaurants. Verstoß gegen Art. 5 Abs. 1 lit. b), c) DSG-VO

2.000,00

Quellen:

http://www.jura.uni-saarland.de/ein-dsgvo-bussgeld-durch-unabhaengiges-datenschutzzentrum-saarland-verhaengt/

https://www.datenschutz.saarland.de/fileadmin/user_upload/uds/tberichte/tb28_2019.pdf

Sachsen

Der Sächsische Datenschutzbeauftragte

Website: https://www.saechsdsb.de

Bekannte Bußgelder:

Verstoß

Höhe des Bußgeldes in Euro

Unrechtmäßiger Betrieb einer Dash-Cam. Verstoß gegen Art. 6 DSGVO

Zwischen 50,00 und 800,00

Verstoß gegen die Auskunftspflicht

500,00

Quellen:

https://www.saechsdsb.de/images/stories/sdb_inhalt/oeb/taetigkeitsberichte/Ttigkeitsbericht_2019_final.pdf

Sachsen-Anhalt

Landesbeauftragter für den Datenschutz Sachsen-Anhalt

Website: https://www.datenschutz.sachsen-anhalt.de

Bekannte Bußgelder:

Verstoß

Höhe des Bußgeldes in Euro

Offener Mail-Verteiler, in dem personenbezogene Mail-Adressen erkennbar sind

2.628,50

Unverschlüsselte Übermittlung von Bilddateien als Beweismaterial zu Verkehrsverstößen an die Bußgeldabteilung einer Stadt. Verstoß gegen Art. 5, 32 DSGVO

200,00

Quellen:

https://www.mz-web.de/merseburg/hunderte-adressen-im-verteiler-merseburger-muss-fuer-wut-mails-ueber-2-000-euro-zahlen-32033308

https://twitter.com/EinRobert1/status/1367163781508440066

Schleswig-Holstein

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein

Website: https://www.datenschutzzentrum.de

Bekannte Bußgelder:

Verstoß

Höhe des Bußgeldes in Euro

 

 

 

 

Quellen:

Thüringen

Thüringer Landesbeauftragter für den Datenschutz und die Informationsfreiheit

Website: https://www.tlfdi.de/

Bekannte Bußgelder:

Verstoß

Höhe des Bußgeldes in Euro

Unzulässige Datenübergabe an einen Geschäftsnachfolger ohne Einwilligung der zahlreichen Betroffenen

>10.000,00

Videoaufnahmen in einer Gaststätte

>10.000,00

Quellen:

https://www.thueringer-allgemeine.de/web/zgt/politik/detail/-/specific/65-Bussgeldverfahren-in-Thueringen-nach-Verstoessen-gegen-den-Datenschutz-1067921680

https://www.thueringer-allgemeine.de/web/zgt/leben/detail/-/specific/Datenschutzgrundverordnung-Bisher-keine-Prozesse-in-Thueringen-147650259

International

Belgien

Bekannte Bußgelder:

Verstoß

Höhe des Bußgeldes in Euro

Unautorisierte Zuweisung einer Telefonnummer an einen Dritten für die Dauer mehrerer Tage. Eine anschließende Unterrichtung der Behörde oder des Betroffenen unterblieb, Art. 5, 24, 32 33, 34 DSGVO

25.000,00

Betrieb einer Fan-Page auf Facebook ohne Einwilligung der betroffenen Person, Art. 5, 12, 21 DSGVO

10.000,00

Unzureichende Erfüllung der Betroffenenrechte, Art. 5, 6, 12, 14, 15, 24 DSGVO

50.000,00

Unzureichende Erfüllung der Betroffenenrechte, Art. 5, 6, 12, 14, 24 DSGVO

15.000,00

Verstoß gegen das Zweckbindungsgebot bei der Verarbeitung von Wählerverzeichnissen zur Erstellung einer neuen Wählerliste. Verstoß gegen Art. 13, 14 DSGVO

3.000,00

Rechtswidrige Verwendung von E-Mail-Adressen zu Wahlzwecken

5.000,00

Ablehnung eines Antrags auf Löschung eines Artikels, der personenbezogene Daten enthielt (Verstoß gegen Art. 17 DSGVO) sowie Verstoß gegen das Transparenzverbot aufgrund unzureichender Begründung der Ablehnung

600.000,00

Versendung einer E-Mail ohne Zustimmung des Betroffenen und darauffolgende Nichtbeantwortung eines Auskunftsersuchens dieses Betroffenen

10.000,00

Versendung von Werbe-E-Mail trotz Widerspruch der Betroffenen; keine Kooperation mit der Aufsichtsbehörde

1.000,00

Verwendung von unrechtmäßig erlangten Kontaktdaten zu Zwecken der Wahlwerbung

5.000,00

Versendung von Direktmarketing-Nachrichten, obwohl die Betroffenen hinsichtlich ihrer Kontaktdaten von ihrem Löschungs- und Widerspruchsrecht Gebrauch gemacht hatten

1.000,00

Versendung von Einladungen durch einen Social Media Provider an Kontakte, die von seinen Nutzern ohne Zustimmung der Betroffenen und ohne eine andere gesetzliche Grundlage hochgeladen wurden

50.000,00

Nicht ausreichende Einbindung der Datenschutzbeauftragten in die Verarbeitung von Datenschutzvorfällen sowie mangelnde Unabhängigkeit der Datenschutzbeauftragten

50.000,00

Keine Reaktion auf Auskunftsersuche von Betroffenen sowie keine Löschung der Daten

2.000,00

Die Datenschutzerklärung wurde lediglich in englischer Sprache zur Verfügung gestellt, obwohl sich die Website an niederländisch- und französischsprachiges Publikum richtete; Einsatz von Google Analytics ohne Zustimmung der Website-Besucher

15.000,00

Verwendung von E-Mail-Adressen ohne Rechtsgrundlage

5.000,00

Missbräuchliche Verwendung von personenbezogenen Daten durch einen Bürgermeister zu Wahlkampfzwecken

2.000,00

Verstoß gegen die Pflicht zu ausreichenden organisatorischen Maßnahmen durch unzureichende Schutzmaßnahmen vor unberechtigten Abfragen, Art. 5 Abs. 1 lit. f), 32 DSGVO

100.000,00

Fortgesetzte Werbeanrufe bei werdenden Müttern trotz widerrufener Einwilligung, Art. 5, 6 DSGVO

50.000,00

Weiterbetrieb des E-Mail-Postfachs Angestellter für eine Zeitraum von 2,5 Jahren nach Beendigung des Arbeitsverhältnisses, Art. 5, 6, 17 DSGVO

15.000,00

Verwendung von Daten zum Zwecke der Wahlwerbung ohne erforderliche Einwilligung, Art. 5, 6 DSGVO

5.000,00

Fortdauernde Verarbeitung trotz Widerruf des Betroffenen. Unterlassene Aufklärung anderer verarbeitender Herausgeber über den Widerruf, Art. 5, 6, 7, 24 DSGVO

20.000,00

 

Quellen:

https://www.gegevensbeschermingsautoriteit.be/publications/beslissing-ten-gronde-nr.-39-2020.pdf

https://www.gegevensbeschermingsautoriteit.be/publications/beslissing-ten-gronde-nr.-53-2020.pdf

https://www.datenschutzticker.de/2020/07/belgische-datenschutzbehoerde-verhaengt-600-000-euro-bussgeld-gegen-google-belgium-sa/

https://www.beck.de/cms/?toc=ZD.ARC.201907&docid=418612

https://www.dsgvo-portal.de/dsgvo-bussgeld-gegen-stadtrat-2019-11-28-BE-214.php

https://www.dataprotect.at/2019/12/30/dsgvo-strafe-wegen-des-einsatzes-von-google-tools-auf-einer-website-in-belgien/

https://www.meineberater.at/falscher-datenschutzbeauftragter-50-000-euro-strafe/

https://www.datenschutzticker.de/2020/06/bussgeld-von-1000-euro-fuer-direktwerbung/

https://www.enforcementtracker.com/

https://www.datenschutzticker.de/2020/06/bussgeld-von-1000-euro-fuer-direktwerbung/

https://www.gegevensbeschermingsautoriteit.be/publications/beslissing-ten-gronde-nr.-42-2020.pdf

https://www.gegevensbeschermingsautoriteit.be/publications/beslissing-ten-gronde-nr.-53-2020.pdf

https://www.gegevensbeschermingsautoriteit.be/publications/beslissing-ten-gronde-nr.-64-2020.pdf

https://www.gegevensbeschermingsautoriteit.be/publications/beslissing-ten-gronde-nr.-81-2020.pdf

https://www.autoriteprotectiondonnees.be/publications/decision-quant-au-fond-n-02-2021.pdf

https://www.gegevensbeschermingsautoriteit.be/publications/beslissing-ten-gronde-nr.-05-2021.pdf

https://edpb.europa.eu/news/national-news/2021/belgian-dpa-imposes-eu50000-fine-family-service_en

https://www.autoriteprotectiondonnees.be/publications/decision-quant-au-fond-n-56-2021.pdf

Bulgarien

Verstoß

Höhe des Bußgeldes in Euro

Fälschung von Unterschriften für eine Wählerliste durch eine Partei

2.000,00

Nichtbeachtung von Betroffenenrechten (Auskunftsrecht)

1.800,00

Mangelnde technische und organisatorische Maßnahmen, wodurch Hacker in die Datenbank einer Finanzbehörde eindringen und Daten von ca. 5 Mio. Bürgern abgreifen konnten

2,61 Mio.

Mangelnde technische und organisatorische Maßnahmen, durch die unbefugte Zugriff auf Kundendaten einer Bank hatten

511.000,00

Übermittlung von Inkasso-Daten ohne Rechtsgrundlage, Art. 10 DSGVO

5113,00

 

 

Quellen:

https://easygdpr.eu/de/gdpr-incident/datenauskunft-verweigert-dsgvo-strafe-in-bulgarien/

https://www.pinsentmasons.com/out-law/news/gdpr-fines-for-data-breaches-in-bulgaria

Dänemark

Verstoß

Höhe des Bußgeldes in Euro

Mangelnde technische und organisatorische Maßnahmen, wodurch Dritte Einsicht in vertrauliche personenbezogene Daten enthielten

20.149,50

Keine Löschung von personenbezogenen Daten innerhalb der vom Unternehmen im Löschkonzept festgesetzten Fristen

147.763,00

Veröffentlichung von Sitzungsprotokollen durch das städtische Kinder- und Jugendzentrum, die besonders sensible Informationen und personenbezogene Daten enthielten

6.700,00

Löschung von personenbezogenen Daten ohne rechtlichen Grund nach einer Zugangsanfrage durch die betroffene Person

6.700,00

Ein Computer wurde aus dem Rathaus gestohlen, auf dem sensible Informationen von ca. 20.620 Bürgern unverschlüsselt gespeichert waren

13.384,00

Einem Mitarbeiter der Stadtverwaltung wurde sein Arbeitscomputer gestohlen, der die persönlichen und u.a. sehr sensiblen Daten von etwa 1.600 Mitarbeitern der Stadtverwaltung enthielt

7.000,00

Fehlendes Löschkonzept (Festlegung und Dokumentation von Fristen) für das CRM-System. Ferner wurden Daten länger verarbeitet, als es für die erhobenen Zwecke erforderlich war.

13.390,00

Verstoß gegen das Prinzip der Datenminimierung mangels Löschung der personenbezogenen Daten nach einer gewissen Frist

161.000,00

Unzureichende technische und organisatorische Maßnahmen einer Gemeinde bei Versendung automatisierter Begrüßungsbriefe, Art. 32 DSGVO

26.895,00

Unzureichendes Berechtigungsmanagement und Fehlen einer Risikoanalyse bei Übermittlung von Daten zu COVID-19 Tests mittels WhatsApp in einer Gruppe der Mitarbeiter, Art. 32, 5 Abs. 1 lit. f) DSGVO

80.681,00

Verstoß gegen die Implementierung ausreichender technischer und organisatorischer Maßnahmen durch unterhalten einer Datenbank für klinische Zwecke und Forschungszwecke ohne ausreichende Zugriffskontrolle, Art. 32 DSGVO

67.227,00

Unzureichende technische und organisatorische Maßnahmen führten zur Aufnahme von Verfahren aufgrund Protokollfehlern bei der Einwanderungsbehörde, Art. 5, 32 DSGVO

20.171,00

 

Quellen:

https://www.datatilsynet.dk/presse-og-nyheder/nyhedsarkiv

https://www.procado.de/daenische_aufsichtsbehoerde_empfiehlt_bussgeld_von_ueber_160000_euro

https://www.datatilsynet.dk/presse-og-nyheder/nyhedsarkiv/2020/aug/datatilsynet-indstiller-privatbo-til-boede

https://www.datatilsynet.dk/presse-og-nyheder/nyhedsarkiv/2020/jun/lejre-kommune-indstilles-til-boede

https://www.datatilsynet.dk/presse-og-nyheder/nyhedsarkiv/2020/maj/jobteam-indstillet-til-boede/

https://www.datatilsynet.dk/presse-og-nyheder/nyhedsarkiv/2020/mar/to-kommuner-indstillet-til-boede/

https://www.datatilsynet.dk/presse-og-nyheder/nyhedsarkiv/2021/jun/vejle-kommune-indstilles-til-boede

https://www.datatilsynet.dk/presse-og-nyheder/nyhedsarkiv/2021/jul/region-syddanmark-indstilles-til-boede

https://www.datatilsynet.dk/presse-og-nyheder/nyhedsarkiv/2021/aug/udlaendingestyrelsen-indstilles-til-boede

Estland

Verstoß

Höhe des Bußgeldes in Euro

Veröffentlichung von Fotos von Personen ohne deren Zustimmung

500,00

Unbefugter Zugriff auf Daten in einer Datenbank einer öffentlichen Stelle

48,00 bzw. 56,00 (zwei voneinander unabhängige Bußgelder)

Videoüberwachung mit vier Videokameras in den Toilettenräumen, Art. 6 DSGVO

24.000,00

Quelle:

https://www.enforcementtracker.com/

https://www.aki.ee/et/uudised/uudishimuparing-toi-vaarteotrahvi

https://www.aki.ee/et/uudised/kroonikeskuse-ja-kagukeskuse-omanikud-said-ettekirjutus-hoiatuse-tualettruumidest-kaamerate

Finnland

Verstoß

Höhe des Bußgeldes in Euro

Verarbeitung von Mitarbeiterdaten ohne ausreichende Rechtsgrundlage

12.500,00

Nichtdurchführung einer Datenschutz-Folgenabschätzung hinsichtlich der Verarbeitung von Standortdaten von Mitarbeiten

16.000,00

Zusendung von Werbung trotz Aufforderung der Betroffenen, ihre Daten zu löschen sowie Verstoß gegen das Transparenzgebot in der Datenschutzerklärung

100.000,00

Mehrere Verstöße, unter anderem Nichtdurchführung einer Datenschutz-Folgenabschätzung im Kontext mit Video-/Audioüberwachung sowie der Verarbeitung von Standortdaten

72.000,00

Versendung von Direktmarketing-Nachrichten ohne Zustimmung der Betroffenen; Nichtbeachtung der Betroffenenrechte

7000,00

Verstoß gegen Betroffenenrechte sowie Gebot der Speicherbegrenzung und der Datenminimierung, Art. 5, 12, 14, 17, 25 DSGVO

75.000,00

Unrechtmäßige Erfassung der Standortdaten bei der Nutzung einer App zur Zeiterfassung der Beschäftigten, Art. 5, 6 DSGVO

25.000,00

 

Quellen:

https://tietosuoja.fi/documents/6927448/22406974/Ty%C3%B6nhakijoiden+henkil%C3%B6tietojen+ker%C3%A4%C3%A4minen+tarpeettomasti.pdf/6cedce13-60cd-c6f9-60cf-b9c8e17db10a/Ty%C3%B6nhakijoiden+henkil%C3%B6tietojen+ker%C3%A4%C3%A4minen+tarpeettomasti.pdf

https://tietosuoja.fi/documents/6927448/22406974/Ty%C3%B6ntekij%C3%B6iden+sijaintitietojen+k%C3%A4sittely+ja+vaikutustenarviointi.pdf/2d04e545-d427-8a0d-3f4d-967de7b428ac/Ty%C3%B6ntekij%C3%B6iden+sijaintitietojen+k%C3%A4sittely+ja+vaikutustenarviointi.pdf

https://tietosuoja.fi/documents/6927448/22406974/P%C3%A4%C3%A4t%C3%B6s+henkil%C3%B6tietojen+k%C3%A4sittelyn+lainmukaisuudesta/60115710-2513-a359-6261-e821818b9ee1/P%C3%A4%C3%A4t%C3%B6s+henkil%C3%B6tietojen+k%C3%A4sittelyn+lainmukaisuudesta.pdf

https://tietosuoja.fi/documents/6927448/22406974/Henkil%C3%B6tietojen+k%C3%A4sittelyn+l%C3%A4pin%C3%A4kyvyys+ja+rekister%C3%B6idylle+toimitettavat+tiedot.pdf/b869b7ba-1a05-572e-d97a-9c8a56998fc1/Henkil%C3%B6tietojen+k%C3%A4sittelyn+l%C3%A4pin%C3%A4kyvyys+ja+rekister%C3%B6idylle+toimitettavat+tiedot.pdf

https://www.enforcementtracker.com/

https://tietosuoja.fi/-/yritykselle-seuraamusmaksu-sahkoisen-suoramarkkinoinnin-harjoittamisesta-ilman-ennalta-annettua-suostumusta-ja-rekisteroidyn-oikeuksien-laiminlyonnista

https://edpb.europa.eu/news/national-news/2021/finnish-dpa-administrative-fine-imposed-parkkipate-data-protection_en

https://tietosuoja.fi/-/korkeakoululle-seuraamusmaksu-tietosuojarikkomuksista-tyoajanseurannassa-kertyneiden-sijaintitietojen-kasittelyssa

Frankreich

Verstoß

Höhe des Bußgeldes in Euro

Nach vorherigem Hinweis der Aufsichtsbehörde Verstoß gegen den Grundsatz der Datenminimierung, die Pflicht zur Begrenzung der Speicherfríst, Informationspflichten gegenüber der Betroffenen und mangelnde technische und organisatorische Maßnahmen.

250.000,00

Unangemeldete Anrufe nach Beschwerde der Betroffenen, dass zu viele Daten über Kunden und ihre Gesundheit gespeichert worden seien. Ferner wurden die Betroffenen nicht ausreichend über die Datenverarbeitungen informiert und über die Aufzeichnung der Telefongespräche aufgeklärt

500.000,00

Ermöglichung des unbefugten Zugangs (online) zu einer Vielzahl von sensiblen Kundendaten ohne jegliche vorherige Authentifizierung

180.000,00

Rechtswidrige Videoüberwachung von Mitarbeitern trotz mehrmaliger Aufforderung der Aufsichtsbehörde, die Videoüberwachung dem geltenden Recht anzupassen

20.000,00

Veröffentlichung von sensiblen personenbezogener Daten (bspw. Personalausweis, Gesundheitskarten, Steuerbescheide, Kontodaten) aufgrund mangelnder Sicherheitsmaßnahmen; langsame Beseitigung der Sicherheitsmängel; zu lange Speicherung von Daten

400.000,00

Die Datenschutzbehörde verhängte Anfang 2019 ein Bußgeld gegen Google, da der Konzernriese ohne Einwilligungen zur Datenverarbeitung arbeite und das Transparenzprinzip missachte

50 Mio.

Vorhalten einer Datei mit personenbezogenen Daten zu mehr als 200 einflussreichen Personen ohne die Personen darüber zu informieren sowie Erstellung der Datei ohne Abschluss eines Vertrags über die Auftragsverarbeitung, Art. 14, 28 DGVO

400.000,00

Aufbewahrung von Kundendaten einer Versicherung über die Aufbewahrungsfrist hinaus sowie anschließende Verletzung der Betroffenenrechte durch Nichteinhaltung der Informationspflicht, Art. 5, 13, 14 DSGVO

1.750.000,00

Verstoß gegen das Prinzip der Speicherbegrenzung bei personenbezogenen Daten der Accounts von 130.000 Interessenten/Kunden eines Online-Shops sowie Verletzung der Betroffenenrechte und unzureichender technischer wie auch organisatorischer Maßnahmen, Art. 5, 13, 17, 32 DSGVO

500.000,00

Nicht ausreichende technische und organisatorische Maßnahmen nach wiederholten Datenschutzpannen. Verstoß gegen Art. 32 DSGVO

150.000,00

Nicht ausreichende technische und organisatorische Maßnahmen nach wiederholten Datenschutzpannen. Subunternehmer entwickelte in nicht hinreichender Art du Weise ein Tool. Verstoß gegen Art. 32 DSGVO.

75.000,00

Lieferdienst verletzte auf seiner Website die Informationspflichten gegenüber seinen Nutzern. Die technischen und organisatorischen Maßnahmen bei Erstellung eines Nutzerkontos genügten nicht den Anforderungen, indem ein sicheres Passwort nicht erzwungen wurde. Verstoß gegen Art. 12, 13, 32 DSGVO.

20.000,00

Nicht ausreichende technische und organisatorische Maßnahmen durch mangelnde Verschlüsselung von Patientendaten. Verletzung der Meldepflicht nach Hinweis der Behörde auf einen Verstoß. Verstoß gegen Art. 32, 33 DSGVO

3.000,00

Nicht ausreichende technische und organisatorische Maßnahmen durch mangelnde Verschlüsselung des Servers. Im Übrigen unverschlüsselte Patientendaten auf dem Laptop. Verletzung der Meldepflicht nach Hinweis der Behörde auf einen Verstoß. Verstoß gegen Art. 32, 33 DSGVO

6.000,00

Versendung von Werbung trotz Widerspruchs. Verletzung von Fristen bei Auskunftsansprüchen. Nicht erfolgte Löschung von nicht mehr erforderlichen Daten. Mangelnde Zugänglichkeit auf der Website zu Informationen nach Art. 12, 13 DSGVO. Keine ausreichenden technischen und organisatorischen Maßnahmen. Verstoß gegen Art. 5, 12ff, 32, 33 DSGVO.

2.250.000,00

Empfänger der erhobenen Daten wird nicht ordnungsgemäß angegeben. Mangelnde Zugänglichkeit auf der Website zu Informationen. Verstoß gegen Art. 5 Abs. 1 lit. a), 12, 13 DSGVO.

800.000,00

 

Quellen:

https://www.heise.de/newsticker/meldung/DSGVO-Verstoesse-Frankreich-verhaengt-Millionen-Strafe-gegen-Google-4283765.html

https://www.helpnetsecurity.com/2019/02/07/gdpr-numbers-january-2019/

https://www.cnil.fr/fr/spartoo-sanction-de-250-000-euros-et-injonction-sous-astreinte-de-se-conformer-au-rgpd

https://www.legifrance.gouv.fr/affichCnil.do?oldAction=rechExpCnil&id=CNILTEXT000038552658&fastReqId=119744754&fastPos=1

https://www.legifrance.gouv.fr/affichCnil.do?oldAction=rechExpCnil&id=CNILTEXT000038629823&fastReqId=946473298&fastPos=1

https://www.cnil.fr/fr/credential-stuffing-la-cnil-sanctionne-un-responsable-de-traitement-et-son-sous-traitant

https://www.cnil.fr/fr/prospection-commerciale-sanction-de-20-000-euros-lencontre-de-la-societe-nestor

https://www.cnil.fr/fr/violations-de-donnees-de-sante-la-cnil-sanctionne-deux-medecins

https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000042563756

https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000042564657

https://www.cnil.fr/fr/sanction-de-500-000-euros-lencontre-de-la-societe-brico-prive

https://www.cnil.fr/fr/sanction-1-75-million-deuros-ag2r-la-mondiale

https://www.cnil.fr/fr/fichier-de-lobbying-sanction-de-400-000-euros-lencontre-de-la-societe-monsanto

Griechenland

Verstoß

Höhe des Bußgeldes in Euro

Rechtswidrige Verarbeitung von personenbezogenen Daten von Mitarbeitern (falsche Rechtsgrundlage); Verstoß gegen die Rechenschaftspflicht

150.000,00

Organisation für Vorschulbildung veröffentlichte Bewerbungsunterlagen ohne Rechtsgrundlage und reagierte im Anschluss nicht auf die dazu gehörige Löschanfrage, Art. 5, 6, 17 DSGVO

10.000,00

Unzulässige Videoüberwachung in den Büroräumen und der Küche, Art. 5 DSGVO

15.000,00

Quellen:

https://dataagenda.de/wp-content/uploads/2019/08/Newsbox_08_2019.pdf

https://www.dpa.gr/el/enimerwtiko/prakseisArxis/epiboli-prostimoy-se-etairia-gia-paranomi-egkatastasi-kai-leitoyrgia

https://www.dpa.gr/el/enimerwtiko/prakseisArxis/epiboli-kyroseon-ston-dopaka-dimoy-tayroy-moshatoy-gia-paranomi

Irland

Verstoß

Höhe des Bußgeldes in Euro

Weitergabe von sehr sensiblen Daten durch die Child and Family Agency an unbefugte Dritte

75.000,00

Versand eines Briefes durch die Child and Family Agency, der Missbrauchsvorwürfe enthielt, an einen unbefugten Dritten, der den Brief veröffentlichte. Der Vorfall wurde auch nicht der Datenschutzaufsichtsbehörde gemeldet.

40.000,00

Entsorgung von Patientendaten in öffentlicher Recycling-Anlage

65.000,00

Verspätete Meldung eines Datenschutzvorfalls

450.000,00

Quellen:

https://iapp.org/news/a/irish-dpc-fines-tusla-75k-euros-for-gdpr-violations/

https://www.irishlegal.com/article/tusla-fined-40-000-in-second-gdpr-breach

https://www.irishexaminer.com/news/arid-40075673.html

https://www.spiegel.de/netzwelt/web/twitter-irische-datenschuetzer-verhaengen-strafe-a-6b699274-6ea7-42c9-9608-4386cd531f11

Island

Verstoß

Höhe des Bußgeldes in Euro

Rechtswidrige Weitergabe von Gesundheitsdaten (detaillierte medizinische Informationen über 252 Personen sowie 3.000 Namen von Personen, die wegen Alkohol- und Drogenmissbrauchs behandelt wurden) wegen mangelnder technischer und organisatorisches Maßnahmen

20.600,00

Versendung einer E-Mail durch einen Lehrer mit ungewolltem Anhang, in dem sensible personenbezogene Daten enthalten waren, aufgrund mangelnder technischer und organisatorischer Maßnahmen

9.000,00

Nicht autorisierte Nutzer konnten auf personenbezogene Daten von mehr als 400 größtenteils minderjährigen Schülern zugreifen verursacht durch die fehlende Prüfung der Berechtigung, Art. 5, 6, 32 DSGVO. 

23.100,00

Unrechtmäßige Videoüberwachung der Beschäftigten bei einem Eisdielenbetreiber sowie Verletzung der Gebote der Transparenz und Datenminimierung, Art. 5, 6, 12, 13 DSGVO

34.000,00

Quellen:

https://www.personuvernd.is/urlausnir/nr/2885

https://www.personuvernd.is/urlausnir/nr/2882

https://edpb.europa.eu/news/national-news/2021/icelandic-dpa-issues-fine-infomentor-inadequate-protection-personal-data_en

https://edpb.europa.eu/news/national-news/2021/icelandic-dpa-has-fined-company-running-ice-cream-parlours-processing_en

Italien

Verstoß

Höhe des Bußgeldes in Euro

Verarbeitung von personenbezogenen Daten ohne schriftliche Einwilligung oder sonstige Rechtsgrundlage; Verstoß gegen Informationspflichten: kein Hinweis zu Betroffenenrechten

2 Mio. (je 6.000 €/Verstoß für 78 Verstöße + je 10.000 €/Verstoß für 155 andere Verstöße)

Verstoß gegen Datenschutzvorgaben bei Terminvergaben. Keine ordnungsgemäße Information der Kunden über die Verarbeitung. Die ergriffenen technischen und organisatorischen Maßnahmen erwiesen sich als nicht ausreichend. Verstoß gegen Art. 5 Abs. 1 lit. a), 13, 14, 28 Abs. 2, 3, 32 DSGVO

500.000,00

Vertragsverlängerung im Kundenerfassungssystem ohne Einwilligung. Verstoß gegen Art. 5 Abs. 1 lit. a) DSGVO

3,0 Mio.

Unrechtmäßige Übermittlung von Gesundheitsdaten in 48 Fällen von Patienten, Art. 5, 9 DSGVO

120.000,00

Unzureichende technische und organisatorische Maßnahmen eines Software-Unternehmens mangels Verwendung eines sicheren Netzwerkprotokolls sowie fehlender Datenverschlüsselung bei der Meldung von Missständen im Unternehmen. Verstoß durch das Fehlen eines Vertrags über die Auftragsverarbeitung, Art. 28, 32 DSGVO

20.000,00

Unzureichender Umgang mit Arbeitnehmerdaten durch einen Essenszulieferdienst in 8000 Fällen. Das Unternehmen informierte die Arbeitnehmer nicht über die Funktion des Systems und beging Verstöße gegen die Grundsätze der Datenminimierung und Speicherbegrenzung, indem es pauschal Daten der Fahrer für 12 Jahre speicherte und einer Erhebung der Standortdaten im Abstand von 12 Sekunden. Es fehlten zureichende technische und organisatorische Maßnahmen, ein ausreichendes Verarbeitungsverzeichnis, eine ordnungsgemäße Meldung des Datenschutzbeauftragten sowie die Vornahme einer Datenschutzfolgenabschätzung, Art. 5, 13, 25, 32, 35, 37 DSGVO

2,5 Mio.

Quellen:

https://www.datenschutzticker.de/2019/06/bussgeld-von-ueber-2-millionen-euro-fuer-telemarketing/

https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9524175

https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9244351

https://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/9682669

https://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/9685947

https://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/9685994

Kroatien

Verstoß

Höhe des Bußgeldes in Euro

Weigerung eines Kreditinstituts, seinen Kunden (ca. 2.500 Anträge) Zugang zu ihren personenbezogenen Daten in Kreditdokumenten zu gewähren über einen Zeitraum von knapp einem Jahr

n.a.

Quelle:

https://azop.hr/rjesenje-kojim-se-izrice-upravno-novcana-kazna-zbog-odbijanja-dostave-osobnih-podataka-ispitanicima/

Lettland

Verstoß

Höhe des Bußgeldes in Euro

Der Verantwortliche missachtete das Recht der Betroffenen auf Löschung und übermittelte der Aufsichtsbehörde nach einer entsprechenden Aufforderung nicht die geforderten Informationen

7.000,00

Quellen:

https://edpb.europa.eu/news/national-news/2019/data-state-inspectorate-latvia-imposes-financial-penalty-7000-euros-against_en

Litauen

Verstoß

Höhe des Bußgeldes in Euro

Zahlungsdienstleiser verarbeitete mehr Daten, als erforderlich. Zudem wurde ein Datenschutzvorfall bekannt, welcher der Aufsichtsbehörde nicht gemeldet wurde; es waren zeitweise Transaktionen, die von dem Zahlungsdienstleister verarbeitet wurden, online zugänglich.

61.500,00

Unsachgemäße Verarbeitung personenbezogener Daten der Eltern eines adoptierten Kindes

15.000,00

Quellen:

https://www.ada.lt/go.php/lit/Imones-atsakomybes-neisvengs--lietuvoje-skirta-zenkli-bauda-uz-bendrojo-duomenu-apsaugos-reglamento-pazeidimus-/1

https://edpb.europa.eu/news/national-news/2020/lithuanian-dpa-imposes-fine-improperly-processed-personal-data-parents_en

Luxemburg

Verstoß

Höhe des Bußgeldes in Euro

Übermäßige Videoüberwachung als Verstoß gegen Art. 5 Abs. 1 lit. c), 13 DSGVO

12.500,00

Unrechtmäßige Verarbeitung personenbezogener Daten in einer Vielzahl von Fällen

746 Mio.

Quellen:

https://www.bloomberg.com/news/articles/2021-07-30/amazon-given-record-888-million-eu-fine-for-data-privacy-breach

Malta

Verstoß

Höhe des Bußgeldes in Euro

Mangelnde Sicherheitsmaßnahmen, durch die eine Vielzahl von personenbezogenen Daten bei einer einfach Google-Suche zugänglich gemacht wurden, darunter auch sehr sensible Informationen.

5.000,00

Quellen:

https://www.gvzh.com.mt/malta-news/idpc-fines-lands-authority-data-breach/

Niederlande

Die niederländische Aufsichtsbehörde hat eine Art Bußgeldkatalog veröffentlicht, der unter folgendem Link abrufbar ist: https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/stcrt-2019-14586.pdf

Verstoß

Höhe des Bußgeldes in Euro

Mangelnde technische und organisatorische Maßnahmen, durch die eine Vielzahl von Mitarbeitern Zugriff auf Patientenakten hatten

460.000,00

Mangelnde Sicherheit, da keine mehrstufige Authentifizierung bei dem Zugriff auf das Online-Portal eines Arbeitgebers vorgesehen war, bei dem auch krankheitsbedingte Abwesenheit von Mitarbeitern (=Gesundheitsdaten) einsehbar sind

900.000,00

Unzulässige Erschwerung von Auskunftsersuchen; keine Gewährung eines kostenlosen elektronischen Zugangs zu personenbezogenen Daten im Zusammenhang mit dem Auskunftsrecht nach Art. 15 DSGVO

830.000,00

Verkauf von personenbezogenen Daten ohne entsprechende Rechtsgrundlage, um den betroffenen Werbeangebot übermitteln zu können

525.000,00

Rechtswidrige Verarbeitung von Fingerabdrücken von Mitarbeitern ohne (freiwillige) Zustimmung der Betroffenen; Verstoß gegen das Transparenzgebot bei der Verarbeitung

725.000,00

Überhöhte Anforderungen an das Ersuchen einer Auskunft durch den Betroffenen durch das erheben einer Gebühr für die Auskunft, Art. 12, 15 DSGVO

830.000,00

Unzureichende technische und organisatorische Maßnahmen durch den unautorisierter Zugriff auf die Patientenakten eines Krankenhauses

440.000,00

Nicht fristgerechte Meldung der Datenpanne des Diebstahls der Daten von über 4000 Kunden eines Online-Buchungsunternehmens, Art. 33 DSGVO

475.000,00

Rechtswidriges WLAN-Tracking durch das Erfassen der WLAN-Signale der Mobiltelefone von Passanten bei Passieren dafür errichteter Messboxen über einen Zeitraum von zwei Jahren, Art. 5, 6 DSGVO

600.000,00

Verletzung der Meldepflicht im Anschluss an eine Datenpanne, Art. 33 DSGVO

7.500,00

Unrechtmäßige Veröffentlichung der Kontaktdaten auf der Unternehmenswebsite sowie fehlende Benennung eines in der EU niedergelassenen Vertreters, Art. 6, 27 DSGVO

525.0000,00

Unrechtmäßige Verarbeitung von Gesundheitsdaten der Angestellten durch die Speicherung der Krankheitsursachen, Beschwerden und Schmerzen. Unzureichende technische und organisatorische Maßnahmen bei Verarbeitung der Gesundheitsdaten durch Eingabe über ein Online-Formular mit einfachem Login über Benutzername und Passwort, Art. 9, 32 DSGVO

15.000,00

Unzureichende technische und organisatorische Maßnahmen durch die ungeschützte Übermittlung von Patientendaten bei der Registrierung auf der Website einer Arztpraxis, Art. 32 DSGVO

12.000,00

Unrechtmäßige Versendung personenbezogener Daten von 15.000 Personen in Gruppennachrichten an neun unbefugte Empfänger aufgrund unzureichender technischer und organisatorischer Maßnahmen sowie anschließende Verletzung der Betroffenenrechte, Art. 13, 32 DSGVO

450.000,00

Verstoß gegen die Pflicht zu transparenter Information durch eine Datenschutzerklärung in englischer Sprache, Art. 12 DSGVO

750.000,00

 

 

Quellen:

https://autoriteitpersoonsgegevens.nl/nl/nieuws/ap-dwingt-uwv-met-sanctie-gegevens-beter-te-beveiligen

https://www.datenschutz-recht-medizin.de/460000-euro-bussgeld-krankenhaus-wegen-datenschutzverstoss/#:~:text=32%20DSGVO)%20und%20einem%20dadurch,deepl%20%C3%BCbersetzt%20werden)%20am%2016.07.

https://www.dr-datenschutz.de/bussgeld-in-holland-unrechtmaessige-verarbeitung-von-fingerabdruecken/

https://autoriteitpersoonsgegevens.nl/nl/nieuws/boete-voor-tennisbond-vanwege-verkoop-van-persoonsgegevens

https://www.datenschutzkanzlei.de/datenschutz-radar/#:~:text=Die%20niederl%C3%A4ndische%20Aufsichtsbeh%C3%B6rde%20(Autoriteit%20Persoonsgegevens,wegen%20unzul%C3%A4ssiger%20Erschwerung%20von%20Auskunftsersuchen.

https://autoriteitpersoonsgegevens.nl/nl/nieuws/boete-voor-bkr-vanwege-kosten-bij-inzage-persoonsgegevens

https://autoriteitpersoonsgegevens.nl/nl/nieuws/ziekenhuis-olvg-beboet-om-onvoldoende-beveiliging-medische-dossiers

https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/besluit_boete_booking.pdf

https://autoriteitpersoonsgegevens.nl/nl/nieuws/boete-gemeente-enschede-om-wifitracking

https://autoriteitpersoonsgegevens.nl/nl/nieuws/boete-pvv-overijssel-vanwege-niet-melden-datalek

https://autoriteitpersoonsgegevens.nl/en/news/dutch-dpa-imposes-fine-%E2%82%AC525000-locatefamilycom

https://autoriteitpersoonsgegevens.nl/nl/nieuws/ap-boete-orthodontiepraktijk-vanwege-onbeveiligde-patientenwebsite

https://edpb.europa.eu/news/national-news/2021/dutch-dpa-cpa-receives-fine-violating-privacy-sick-employees-0_en

https://autoriteitpersoonsgegevens.nl/nl/nieuws/uwv-krijgt-boete-voor-slechte-beveiliging-bij-verzending-groepsberichten

https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/decision_to_impose_a_fine_on_tiktok.pdf

Norwegen

Verstoß

Höhe des Bußgeldes in Euro

Fehlende technische und organisatorische Maßnahmen, insbesondere kein Berechtigungskonzept, sodass ein unbefugter Zugriff auf eine Vielzahl von personenbezogene Daten leicht möglich war

170.000,00

Einsatz einer App durch eine Schule, die eine mangelhafte Datensicherheit aufwies und einen unbefugten Zugriff durch Dritte ermöglichte

120.000,00

Einsatz einer Lernplattform, durch die ein Zugriff auf sensible Informationen von Schülern möglich war; keine Durchführung einer Datenschutz-Folgenabschätzung

44.826,00

Kein Löschkonzept, sodass 20 Jahre alte Daten ohne Rechtsgrund archiviert wurden

358.610,00

Verbreitung und Veröffentlichung einer Videoaufnahme einer Überwachungskamera aus einem Supermarkt ohne Rechtsgrundlage

37.976,00

Nutzung eines Voicemail-Systems, welches für Hackangriffe anfällig war; keine Meldung von Datenschutzvorfällen

134.578,00

Mangelnde technische und organisatorische Maßnahmen sowie ein unzureichendes Sicherheitskonzept bei einem Kommunikations-Tool, über das eine Schule mit Eltern kommunizierte

269.155,00

Verarbeitung von personenbezogenen Daten ohne Rechtsgrundlage durch ein Unternehmen, dass die Bonität von Personen bewertet

26.916,00

Verarbeitung von personenbezogenen Daten eines Einzelunternehmers ohne Rechtsgrundlage durch ein Unternehmen, dass die Bonität von Personen bewertet

27.813,00

Unzulässige Videoüberwachung von Straßenarbeiten durch Verkehrskameras

37.847,00

Fehlendes Zugriffskonzept auf sensible personenbezogene Daten (Gesundheitsdaten), keine Protokollierung der Zugriffe, Verstoß über 6 Jahre

71.900,00

Rechtswidrige Videoüberwachung in einem Waxing-Salon, Art. 6 DSGVO

9.565,00

 

Quellen:

https://edpb.europa.eu/news/national-news/2019/administrative-fine-eu170000-imposed-bergen-municipality_en

https://edpb.europa.eu/news/national-news/2019/norwegian-data-protection-authority-imposes-fine-municipality-oslo-education_en

https://www.datatilsynet.no/aktuelt/aktuelle-nyheter-2020/varsel-om-gebyr-til-ralingen-kommune/

https://www.datatilsynet.no/aktuelt/aktuelle-nyheter-2020/varsel-om-overtredelsesgebyr-til-statens-vegvesen/

https://www.datatilsynet.no/aktuelt/aktuelle-nyheter-2020/varsel-om-overtredelsesgebyr-til-butikk-tilknyttet-coop-finnmark/

https://www.datatilsynet.no/aktuelt/aktuelle-nyheter-2020/varsel-om-irettesettelse-mot-telenor-norge-as/

https://www.dsgvo-portal.de/dsgvo-bussgeld-gegen-coop-finnmark-sa-2020-03-11-NO-425.php

https://www.datatilsynet.no/aktuelt/aktuelle-nyheter-2020/varsel-om-gebyr-aquateknikk/

https://www.dsgvo-portal.de/dsgvo-bussgeld-gegen-norwegische-%C3%B6ffentliche-stra%C3%9Fenverwaltung-2020-08-27-NO-618.php

https://edpb.europa.eu/news/national-news/2020/norwegian-dpa-imposes-administrative-fine-ostfold-hf-hospital_de

https://www.datatilsynet.no/aktuelt/aktuelle-nyheter-2021/gebyr-til-waxing-palace-as/

Österreich

Verstoß

Höhe des Bußgeldes in Euro

Rechtswidriges Kopieren eines Personalausweises

n.A.

Rechtswidrige Erstellung von Profilen, die Informationen über Wohnadressen, persönliche Vorlieben, Gewohnheiten und Parteiaffinitäten enthielten – diese wurden anschließend z.B. an politische Parteien und Unternehmen weiterverkauft

18 Mio.

Keine Bestellung einer Datenschutzbeauftragten; keine Prüfung, ob einer Datenschutz-Folgenabschätzung für gewisse Verarbeitungsvorgänge notwendig ist; Nichteinhaltung von Informationspflichten; Fehlerhafte Einholung von Einwilligungen der Betroffenen

50.000,00

Videoüberwachung in Gemeinschaftsräumen eines Wohnhauses (Flur, Parkplatz, etc.) ohne die Zustimmung der aufgenommenen Personen und ungeeignete Kennzeichnung der Videoüberwachung

2.200,00

Videoüberwachung im öffentlichen Raum einer Vielzahl von Personen, ungeeignete Kennzeichnung der Videoüberwachung, keine Löschung der Aufnahmen innerhalb einer angemessenen Frist und fehlende Protokollierung der Verarbeitungsvorgänge

4.800,00

Videoaufnahmen im öffentlichen Raum sowie zu lange Speicherdauer und mangelnde Kennzeichnung der Videoüberwachung

1.500,00

Unrechtmäßige Nutzung einer Dashcam (Verstoß gegen die DSGVO und nationales Datenschutzrecht)

300,00

Veröffentlichung von Patientendaten (Namen, Befunddaten, etc.) auf der privaten Facebook Seite

600,00

Videoaufnahme von einer Person in sensibler Situation

150,00

Unzulängliches Formular bei der Anmeldung einer Club-Mitgliedschaft von 2,3 Millionen Kunden durch eine unzureichende Formatierung und eine Aufklärung erst nach erfolgter Einwilligung. Weiter erfolgte die Verschleierung von Profiling. Verletzung der Betroffenenrechte durch die fehlende Information der Betroffenen, Art. 6, 7, 12, 13 DSGVO 

2 Mio.

Quellen:

https://wien.orf.at/stories/3019396/

https://www.dsb.gv.at/documents/22758/115212/Newsletter_DSB_1_2020.pdf/a640bbb8-9297-4230-86e4-163bc9ccb844

https://www.ris.bka.gv.at/Dokumente/Dsk/DSBT_20180927_DSB_D550_084_0002_DSB_2018_00/DSBT_20180927_DSB_D550_084_0002_DSB_2018_00.pdf

https://www.dsb.gv.at/documents/22758/116802/Straferkenntnis+DSB-D550.038+0003-DSB+2018.pdf/fb0bb313-8651-44ac-a713-c286d83e3f19

https://www.ris.bka.gv.at/Dokumente/Dsk/DSBT_20181220_DSB_D550_037_0003_DSB_2018_00/DSBT_20181220_DSB_D550_037_0003_DSB_2018_00.pdf

https://www.ris.bka.gv.at/Dokumente/Dsk/DSBT_20181116_DSB_D213_692_0001_DSB_2018_00/DSBT_20181116_DSB_D213_692_0001_DSB_2018_00.html

https://www.ris.bka.gv.at/Dokument.wxe?ResultFunctionToken=f40e6a89-d994-4e49-af4a-fcf3d89c1ccd&Position=1&Abfrage=Dsk&Entscheidungsart=Undefined&Organ=Undefined&SucheNachRechtssatz=True&SucheNachText=True&GZ=&VonDatum=01.01.1990&BisDatum=&Norm=&ImRisSeitVonDatum=&ImRisSeitBisDatum=&ImRisSeit=Undefined&ResultPageSize=100&Suchworte=&Dokumentnummer=DSBT_20201019_2020_0_111_488_00

https://www.ris.bka.gv.at/Dokument.wxe?ResultFunctionToken=3e78f5a9-f724-41df-a8b6-4f95524b02a4&Position=1&SkipToDocumentPage=True&Abfrage=Dsk&Entscheidungsart=Undefined&Organ=Undefined&SucheNachRechtssatz=True&SucheNachText=True&GZ=&VonDatum=01.10.2020&BisDatum=03.12.2020&Norm=&ImRisSeitVonDatum=&ImRisSeitBisDatum=&ImRisSeit=Undefined&ResultPageSize=100&Suchworte=&Dokumentnummer=DSBT_20201019_2020_0_550_322_00

https://www.heise.de/news/Rewe-wird-fuer-Kunden-Profiling-in-Oesterreich-bestraft-6153577.html

Polen

Verstoß

Höhe des Bußgeldes in Euro

Unzureichende technische und organisatorische Maßnahmen, sodass personenbezogene Daten von mehr als 2,2 Mio. Menschen in falsche Hände gelangt seien

650.000,00

Nichterfüllung von Informationspflichten gegenüber 6 Mio. betroffenen Personen nach Aufforderung der Aufsichtsbehörde

220.000,00

Veröffentlichung von personenbezogenen Daten auf einer Website ohne Rechtsgrundlage

13.000,00

Fehlende Verträge über die Verarbeitung von personenbezogenen Daten; fehlendes Löschkonzept; Verstoß gegen die Rechenschaftspflicht

8.778,57

Keine ausreichenden technischen und organisatorischen Maßnahmen, die einen Widerruf der Zustimmung und die Ausübung des  Rechts auf Löschung ermöglichen würden

44.112,00

Verarbeitung von biometrischen Daten (Fingerabdruck) ohne wirksame (freiwillige) Einwilligung

4.563,00

Vereitelung der Durchführung einer Überprüfung durch die Datenschutzbehörde

4.389,00

Keine bzw. unzureichende Rückmeldung auf Anfragen der Aufsichtsbehörde

3.292,00

Nachdem das Unternehmen der Aufsichtsbehörde einen Datenschutzvorfall meldete. Auf Rückanfragen der Aufsichtsbehörde erfolgte keine Reaktion

1.098,00

Während einer Untersuchung durch die Aufsichtsbehörde gewährte das Unternehmen keinen ausreichenden Zugang zu den Räumlichkeiten und maßgeblichen Informationen

21.574,00

Veröffentlichung von personenbezogenen Daten (Name, Adresse, Grundbuchnummer)

21.968,00

Mangelnde technische und organisatorische Maßnahmen, durch die ein Mitarbeiter 5 Jahre lang personenbezogene Daten auf seinem privaten Laptop speichern konnte

10.984,00

Meldung einer Datenpanne nach der unautorisierten Versendung einer E-Mail an unbefugte Personen erfolgte nicht unverzüglich, Art. 33, 34 DSGVO

19.344,00

Unzureichende technische und organisatorische Maßnahmen bei einem Unternehmen für Telekommunikationsdienstleistungen im Wege der Ausgabe einer Bestätigung für die SIM-Karten Registrierung durch die Möglichkeit unautorisierten Zugriffs von Seiten unbefugter Dritter aufgrund fehlender Risikoanalysen und Testläufe, Art. 5, 32 DSGVO

440.000

In Folge mangelnder technischer und organisatorischer Schutzmaßnahmen wurden bei dem Neustart einer Sicherheitssoftware die Einstellungen auf die Betriebseinstellungen zurückgesetzt, wodurch personenbezogene Daten von über 140.000 Kunden veröffentlicht wurden und von Kriminellen erlangt werden konnten. Das Unternehmen hatte nicht angemessen auf Sicherheitslücken reagiert und eine Information über die Verfügbarkeit der betroffenen Daten nicht überprüft. Im Anschluss kam es der unverzüglichen Meldepflicht nicht nach, Art. 5, 25, 32 DSGVO

240.000,00

Verstoß gegen die Meldepflicht gegenüber den Betroffenen nach einer Datenpanne mit Bezug zu Patientendaten, Art. 34 DSGVO

20.000,00

Rechtswidrige Veröffentlichung von etwa 50.000 Nutzern einer Plattform zur Weiterbildung. Bestehen unzureichender technischer und organisatorischer Maßnahmen zur Gewährleistung der Vertraulichkeit erhobener Daten. Der Vertrag zur entsprechenden Auftragsverarbeitung genügte nicht den rechtlichen Anforderungen, Art. 5, 25, 28, 32 DSGVO

22.235,00

Verstoß gegen die gesetzliche Meldepflicht innerhalb von 72 Stunden, Art. 33 DSGVO

30.135,00

Trotz wiederholter Falschzustellungen und Sendungsverlusten reagierte das Unternehmen nicht durch Einführung entsprechender Mechanismen zur Risikominimierung erneuter Verluste und Falschzustellungen. Im Anschluss hielt es die 72 Stunden Frist für die Meldung einer Datenpanne nicht ein, Art. 32, 34 DSGVO

241.000,00

Ein Versicherungsunternehmen unterließ die fristgerechte Meldung bei der Behörde und dem Betroffenen nach Versendung einer E-Mail mit personenbezogenen Daten an einen falschen Empfänger, Art. 34 DSGVO

35.116

 

 

Quellen:

https://www.uodo.gov.pl/en/553/1087

https://iapp.org/news/a/polands-dpa-issues-first-gdpr-fine/

https://uodo.gov.pl/decyzje/ZSPR.440.43.2019

https://uodo.gov.pl/en/553/1091

https://edpb.europa.eu/news/national-news/2019/polish-dpa-withdrawal-consent-shall-not-be-impeded_en

https://uodo.gov.pl/decyzje/ZSZZS.440.768.2018

https://edpb.europa.eu/news/national-news/2020/fine-imposed-preventing-supervisory-authority-performing-inspection_en

https://edpb.europa.eu/news/national-news/2020/president-personal-data-protection-office-imposes-fine-cross-border_en

https://edpb.europa.eu/news/national-news/2020/polish-dpa-fines-non-public-nursery-and-pre-school-lack-cooperation_en

https://edpb.europa.eu/news/national-news/2020/polish-dpa-fines-surveyor-general-poland-full-inspection-must-be-carried-out_en

https://edpb.europa.eu/news/national-news/2020/polish-dpa-fines-surveyor-general-poland-full-inspection-must-be-carried-out_en

https://www.uodo.gov.pl/decyzje/ZSO%C5%9AS.421.25.2019

https://www.uodo.gov.pl/pl/138/2095

https://uodo.gov.pl/decyzje/DKN.5131.5.2020

https://uodo.gov.pl/decyzje/DKN.5112.1.2020

https://edpb.europa.eu/news/national-news/2021/polish-dpa-id-finance-poland-checking-potential-system-vulnerabilities_en

https://edpb.europa.eu/news/national-news/2021/polish-dpa-first-fine-non-compliance-administrative-decision-order_en

https://uodo.gov.pl/decyzje/DKN.5130.2024.2020

https://uodo.gov.pl/decyzje/DKN.5131.7.2020

https://www.uodo.gov.pl/decyzje/DKN.5130.3114.2020

https://www.uodo.gov.pl/pl/138/2096

Portugal

Verstoß

Höhe des Bußgeldes in Euro

Mangelnde technische und organisatorische Maßnahmen, sodass Mitarbeiter eines Krankenhauses unbefugten Zugriff zu Patientenakten hatten

400.000,00

Nicht ausreichende Erfüllung der Informationspflichten

2.000,00

Verweigerung des Auskunftsrechts der betroffenen Personen

20.000,00

Versand von Marketingmitteilungen ohne entsprechende Rechtsgrundlage

107.000,00

Quellen:

https://www.impulse.de/recht-steuern/rechtsratgeber/dsgvo-bussgelder/7337056.html

https://inplp.com/latest-news/article/portugal-recent-fines-for-the-breach-of-the-gdpr/

Rumänien

Verstoß

Höhe des Bußgeldes in Euro

Unberechtigte Veröffentlichung der Daten von 300.000 Kunden durch eine Bank aufgrund unzureichender Schutzmaßnahmen innerhalb der Datenverarbeitung, Art. 5, 25 DSGVO.

130.000,00

Unzureichende technische und organisatorische Maßnahmen ermöglichten die Veröffentlichung einer Gästeliste mit über 40 Personen, Art. 32 DGVO

15.000,00

Verstoß gegen die Meldepflicht und die Vorhaltung angemessener technischer und organisatorischer Maßnahmen, Art. 32, 33 DSGVO

20.000,00

Unzureichende technische und organisatorische Maßnahmen durch die Nutzung von WhatsApp für die Einholung von Bonitätseinkünften bei über 1000 Personen, Art. 32, 33 DSGVO

150.000,00

Kurierdienst mit unzureichenden technischen und organisatorischen Maßnahmen bei etwa 1100 betroffenen Personen, Art. 32 DSGVO

11.000,00

Fehlen ausreichender technischer und organisatorischer Maßnahmen sowie datenschutzfreundlicher Voreinstellungen bei dem Abrechnungsprozess der Kartentransaktionen von  über 200.000 Kunden, Art. 25, 32 DSGVO

80.000,00

Unbefugte Veröffentlichung einer Passagierliste im Internet aufgrund unzureichender technischer und organisatorischer Maßnahmen bei einer Fluggesellschaft, Art. 32 DSGVO

20.000,00

Verstoß gegen die Datenschutzgrundsätze, die 72 Stunden Frist für die Meldepflicht nach einer Datenpanne und die Vorhaltung angemessener technischer und organisatorischer Maßnahmen sowie datenschutzfreundliche Voreinstellungen bei einem Kreditunternehmen, Art. 5, 25, 32, 33 DSGVO

14.000,00

Rechtswidrige Videoüberwachung in den Umkleideräumen und rechtswidrige Verarbeitung biometrischer Fingerabdrücke von Arbeitnehmern sowie Verletzung der Informationspflichten gegenüber den Betroffenen, Art. 6, 9, 13 DSGVO

10.000,00

Unzureichende technische und organisatorische Maßnahmen, durch Veröffentlichung eines Screenshot mit Zugangspasswort zu einem geschützten Bereich mit Teilnehmerformularen, Art. 32 DSGVO

15.000,00

Unzureichende technische und organisatorische Maßnahmen gegen unautorisierte Zugriffe von Mitarbeitern, Art. 32 DSGVO

100.000,00

Unzureichende technische und organisatorische Maßnahmen bei der Versendung von Rechnungen. Durch die Ablage der Rechnungsadressen in der falschen Datenbank erfolgte die Versendung an die falsche Rechnungsadressen, Art. 32 DSGVO

13.000,00

 

 

Quellen:

https://www.dataprotection.ro/?page=Comunicat_Amenda_Unicredit&lang=ro

https://www.dataprotection.ro/index.jsp?page=O_noua_amenda_GDPR&lang=ro

https://www.dataprotection.ro/?page=Comunicat_Presa_09_10_2019&lang=ro

https://www.dataprotection.ro/?page=O_noua_amenda_in_baza_RGPD&lang=ro

https://www.dataprotection.ro/index.jsp?page=Amenda_ING_RGPD&lang=ro

https://www.dataprotection.ro/index.jsp?page=Sanctiune_CN_TAROM&lang=ro

https://www.dataprotection.ro/?page=Alta_amenda_pentru_incalcarea_RGPD_2020_1&lang=ro

https://www.dataprotection.ro/?page=O_noua_sanctiune_pentru_incalcarea_RGPD_2020_3&lang=ro

https://www.dataprotection.ro/?page=Comunicat_09_07_20&lang=ro

https://www.dataprotection.ro/?page=Comunicat_17_12_2020&lang=ro

https://www.dataprotection.ro/?page=Comunicat_30_/_03_/_2021&lang=ro

Schweden

Verstoß

Höhe des Bußgeldes in Euro

Rechtswidriger Einsatz einer Gesichtserkennungssoftwarfe in einer Schule

18.820,00

Rechtswidrige Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Strafverfahren

35.000,00

Verspätete Meldung von Datenschutzvorfällen

18.800,00

Rechtswidrige Veröffentlichung von personenbezogenen Daten eines Betroffenen, unter anderem auch sensible Gesundheitsdaten, auf einer Webseite

11.280,00

Videoüberwachung in dem Treppenhaus eines Mietshauses durch den Vermieter ohne ausreichende Rechtsgrundlage

1.882,00

Fehlen einer Risikoanalyse durch mangelhaftes Berechtigungskonzept im Hinblick auf Patientendaten in acht Gesundheitseinrichtungen, Verstöße gegen Art. 5 Abs. 1 lit. f), Abs. 2, 32 DSGVO

1,15 - 2,9 Mio.

Unrechtmäßige Verarbeitung von besonderen Kategorien von Daten. Die Daten über strafrechtliche Verurteilungen wurden nach Anordnung nicht ordnungsgemäß gelöscht. Keine fristgemäße Entfernung von Suchergebnissen aus Listing. Verstoß gegen Art. 5, 6, 9, 17 DSGVO

5,1 Mio.

Verarbeitung sensibler personenbezogener Daten innerhalb einer Cloud ohne angemessene technische und organisatorische Schutzmaßnahmen sowie Verstoß gegen die Meldepflicht, Art. 32, 33 DSGVO

55.000,00

Verstoß gegen die Pflicht vor Beginn der Verarbeitung über die Verarbeitung zu informieren bei Gesprächsaufnahmen eines medizinischen Beratungsdienstes, Art. 13 DSGVO

24.000,00

Ungeschützte Speicherung der Gesprächsaufzeichnungen eines medizinischen Beratungsdienstes auf einem Webserver, Art. 32 DSGVO

65.000,00

Verstöße eines Gesundheitsdienstleisters durch die freie Verfügbarkeit der aufgezeichneten Telefongespräche eines medizinischen Beratungsdienstes auf einem Webserver ohne Sicherheitsmaßnahmen oder Passwortschutz sowie anschließende Verletzung der Informationspflicht gegenüber Betroffenen, Art. 5, 6, 9, 13, 32 DSGVO

1,19 Mio.

Rechtswidrige Videoüberwachung von sechs Feuerwehrwachen bei unzureichenden technischen und organisatorischen Maßnahmen, Art. 5, 32 DSGVO

35.000,00

Übermäßiger Einsatz von Körperkameras im Zuge der Fahrkartenkontrolle im Nahverkehr mit einer Voraufnahmezeit von einer Minute sowie Verletzung der Informationspflicht im Zuge der Aufnahme,

1,6 Mio.

 

Quellen:

https://www.lhr-law.de/magazin/datenschutzrecht/schwedische-schule-verstoesst-durch-gesichtserkennungssoftware-gegen-die-dsgvo-bussgeld/

https://www.datainspektionen.se/globalassets/dokument/beslut/beslut-tillsyn-mrkoll.pdf

https://www.datainspektionen.se/globalassets/dokument/beslut/2020-03-11-beslut-google.pdf

https://www.datainspektionen.se/globalassets/dokument/beslut/beslut-tillsyn-ssc-20200428.pdf

https://edpb.europa.eu/news/national-news/2020/wrongful-publish-sensitive-personal-data-region-orebro-countys-website_en

https://edpb.europa.eu/news/national-news/2020/co-operative-housing-association-banned-using-video-surveillance-entrance_en

https://www.imy.se/nyheter/deficiencies-in-how-healthcare-providers-control-staff-access-to-patient-journal-data/   

https://www.domstol.se/forvaltningsratten-i-stockholm/nyheter/2020/11/googles-rutin-strider-mot-gdpr/

https://www.imy.se/nyheter/universitet-brast-i-skyddet-av-kansliga-personuppgifter/

https://edpb.europa.eu/news/national-news/2021/swedish-dpa-investigation-1177-incident-finalized_en

https://www.imy.se/nyheter/fel-kamerabevaka-brandman-dygnet-runt/

https://edpb.europa.eu/news/national-news/2021/unlawful-use-body-cams-stockholms-public-transport_en

Slowakei

Verstoß

Höhe des Bußgeldes in Euro

Mangelnde technische und organisatorische Maßnahmen: Briefe einer Sozialversicherung mit sensiblen personenbezogenen Daten wurden nicht als Einschreiben, sondern auf dem Postweg verschickt und gingen verloren

50.000,00

Versand von Verträgen, die bereits ausgefüllt waren (Name, Anschrift, Personalausweisnummer, etc.) an unbefugte Dritte durch eine Telekommunikationsanbieter

40.000,00

Verspätete Antwort (67 Tage) auf ein Auskunftsersuchen einer betroffenen Person

10.000,00

Quellen:

https://www.mondaq.com/data-protection/956316/on-the-second-anniversary-of-the-gdpr-in-slovakia-what-has-changed

Slowenien

Verstoß

Höhe des Bußgeldes in Euro

 

 

Quellen:

Spanien

Verstoß

Höhe des Bußgeldes in Euro

Erteilung mangelhafter Datenschutzhinweise im Hinblick auf die Informationspflichten und Rechtmäßigkeit der Verarbeitung. Es fehlten insbesondere Zweck, Rechtsgrundlage sowie Angabe der Datenkategorien. Anforderungen an eine informierte Einwilligung wurden nicht erfüllt. Im Übrigen war die Rechtfertigung für das berechtigte Interesse unzureichend. Verstöße gegen Art. 6, 13, 14 DSGVO.

5,0 Mio.

Rechtswidrige Verarbeitung von Daten des Betroffenen bei Beantragung eines Mikrokredit durch den Identitätsdieb, Art. 6 DSGVO

12.000,00

Falschausstellung von Zahlungserinnerungen eines Telekommunikationsunternehmens, Art. 6 DSGVO

60.000,00

Entschlüsselungstool auf den Unternehmenssystemen sowie eine nicht getrennte Speicherung von Kreditkartendaten und sonstigen personenbezogenen Daten. Keine Meldung einer Datenpanne innerhalb von 72 Stunden, Art. 32, 33 DSGVO

600.000,00

Auf Löschungsbegehren eines Bankkunden wurden Daten nur vorübergehend gesperrt und nicht unwiderruflich gelöscht, Art. 17 DSGVO

60.000,00

SMS-Versand über Vorliegen neuer Rechnung bereits nach Vertragsende, Art. 6 DSGVO

90.000,00

Energieversorger erteilte betroffenen Personen insbesondere keine ausreichenden Informationen über den für die Verarbeitung Verantwortlichen, die Rechtsgrundlage für die Verarbeitung, die nicht auf einer Einwilligung beruht, die Zwecke der Verarbeitung im Zusammenhang mit dem Profiling auf der Grundlage eines berechtigten Interesses sowie die Möglichkeit des Widerspruchs gegen Verarbeitungen, die der für die Verarbeitung Verantwortliche auf sein berechtigtes Interesse stützt, Art. 13, 25 DSGVO

1,5 Mio.

Rechnung eines Versicherungsunternehmens ohne vertragliche Beziehung, Art. 6 DSGVO

30.000,00

Keine systematische Abgleichung von Rufnummern mit der Robinson Liste vor Werbeanrufen durch ein Telekommunikationsunternehmen sowie fehlende Kommunikation dieser Tatsache an seinen Auftragsverarbeiter, Art. 28 DSGVO

100.000,00

Rechtswidrige Verarbeitung im Rahmen einer Servicebuchung und bei Übermittlung an ein Inkasso-Unternehmen durch eine Telekommunikationsunternehmen in Zusammenhang mit einer tatsächlich nicht gebuchten Leistung, Art. 6 DSGVO

45.000,00

Aufnahme in Kreditauskunftsverzeichnis ohne Rechtsgrundlage, Art. 6 DSGVO

20.000,00

Rechtswidrige Videoüberwachung der Geschäftsräume mit 14 Kameras sowie Verletzung der Informationspflicht, Art. 5, 12 DSGVO

19.600,00

Falsche Angaben bei der Rechnungsstellung an den Betroffenen, wodurch personenbezogene Daten des Betroffenen dessen Arbeitgeber offengelegt wurden, Art. 5 DSGVO

10.000,00

Zusendung unerwünschter Werbung auf postalischem Wege entgegen der ablehnenden Aufforderung des Betroffenen, Art. 6 DSGVO

50.000,00

Unrechtmäßige Verarbeitung der Telefonnummer und des Kundenprofils durch ein Telekommunikationsunternehmen, Art. 6 DSGVO

45.000,00

Vorhalten personenbezogener Daten trotz berechtigter Aufforderung zur Löschung von Seiten der betroffenen Person, Art. 17 DSGVO

10.000,00

Unbeantwortete Auskunftsersuchen des Betroffenen mit Blick auf angeblich bestehende Schulden beim Bußgeldempfänger, Art. 6, 15 DSGVO

60.000,00

Ablehnung der Berichtigung geänderter Adressdaten, Art. 16 DSGVO

30.000,00

Systematische und großflächige Verwendung einer Gesichtserkennung in 40 Filialen eines Supermarktes, Unterlassen einer Datenschutzfolgenabschätzung und Verletzung der Betroffenenrechte, Art. 5, 6, 9, 12, 13, 25, 35 DSGVO

2,52 Mio.

Rechtswidrige Verarbeitung von personenbezogenen Daten und Verletzung der Betroffenenrechte durch die fehlende Antwort auf eine Löschanfrage, Art. 6, 17 DSGVO

96.000,00

Quellen:

https://www.aepd.es/es/documento/ps-00070-2019.pdf

https://www.aepd.es/es/documento/ps-00061-2021.pdf

https://www.aepd.es/es/documento/ps-00484-2020.pdf

https://www.aepd.es/es/documento/ps-00179-2020.pdf

https://www.aepd.es/es/documento/ps-00473-2020.pdf

https://www.aepd.es/es/documento/ps-00085-2021.pdf

https://www.aepd.es/es/documento/ps-00123-2021.pdf

https://www.aepd.es/es/documento/ps-00030-2021.pdf

https://www.aepd.es/es/documento/ps-00135-2021.pdf

https://www.aepd.es/es/documento/ps-00140-2021.pdf

https://www.aepd.es/es/documento/ps-00261-2020.pdf

https://www.aepd.es/es/documento/ps-00301-2020.pdf

https://www.aepd.es/es/documento/ps-00259-2020.pdf

https://www.aepd.es/es/documento/ps-00488-2020.pdf

https://www.aepd.es/es/documento/ps-00467-2020.pdf

https://www.aepd.es/es/documento/ps-00180-2021.pdf

https://www.aepd.es/es/documento/ps-00291-2021.pdf

https://www.aepd.es/es/documento/ps-00188-2021.pdf

Tschechien

Verstoß

Höhe des Bußgeldes in Euro

 

 

Quellen:

Ungarn

Verstoß

Höhe des Bußgeldes in Euro

Nichtachtung der Betroffenenrechte (Art. 15 Abs. 1, 3, Art. 18 DSGVO)

2.738,00

Versendung einer SMS mit personenbezogenen Daten einer anderen Person; keine Löschung der Telefonnummer

1370,00

Nichtachtung von Betroffenenrechten (Art. 15, Art. 17 DSGVO). Verstoß gegen das Transparenzgebot, da der Verantwortliche die betroffenen Person nicht vor der Erhebung der Daten darüber informierte, dass das Recht auf Löschung aufgrund von Aufbewahrungsfristen eingeschränkt wird

1370,00

Weitergabe von personenbezogenen Daten ohne entsprechende Rechtsgrundlage an Unbefugte

2.738,00

Nichtachtung der Rechts auf Löschung; Verarbeitung von Daten ohne Rechtsgrundlage; Verstoß gegen den Grundsatz der Zweckbindung

2.738,00

Nichtachtung des Auskunftsrechts

1.642,00

Nichtachtung des Auskunftsrechts sowie Verstoß gegen das Transparenzgebot, die Rechenschaftspflicht, die Richtigkeit der verarbeiteten Daten

5.474,00

Verarbeitung von personenbezogenen Daten ohne Rechtsgrundlage und Verstoß gegen die Rechenschaftspflicht

2.738,00

Versäumnis der Frist von einem Monat zur Auskunft über personenbezogene Daten

28,00

Quellen:

https://www.naih.hu/files/NAIH-2018-5559-H-hatarozat.pdf

https://www.naih.hu/files/NAIH-2019_363_hatarozat.pdf

https://www.naih.hu/files/NAIH-2019-1841_hatarozat.pdf

https://www.naih.hu/files/NAIH-2019-2526-2-H-hatarozat.pdf

https://www.naih.hu/files/NAIH_2019_133_hatarozat.pdf

https://www.naih.hu/files/NAIH-2019-167-hatarozat.pdf

https://www.onlinehaendler-news.de/e-recht/abmahnungen/133387-google-28-euro-dsgvo-bussgeld

Vereinigtes Königreich

Verstoß

Höhe des Bußgeldes in Euro

Mangelnde technische und organisatorische Maßnahmen, die Cyberangriffe ermöglichten, durch die unzählige Kundendaten abgegriffen werden konnten

22,18 Mio.

Mangelnde technische und organisatorische Maßnahmen, die Cyberangriffe ermöglichten, durch die unzählige Kundendaten abgegriffen werden konnten. Grund für die mangelnden Maßnahmen war, dass keine ausreichende Due-Diligence-Prüfung bei der Übernahme des Unternehmens durchgeführt wurde

20,35 Mio.

Aufbewahrung von einer Vielzahl von Dokumenten, die personenbezogene Daten enthielten, in unversiegelten Behältern, wodurch die Dokumente beschädigt wurden.

320.000,00

Versand von Werbe-SMS an eine Vielzahl von Personen ohne deren Einwilligung

65.694,00

Rechtswidrige Anrufe zum Zwecke des Direktmarketings ohne Einwilligung der betroffenen Personen

142.337,00

Rechtswidrige Anrufe zum Zwecke des Direktmarketings ohne Einwilligung der betroffenen Personen

87.624,00

Quellen:

https://www.heise.de/newsticker/meldung/Datenschutzpanne-British-Airways-soll-etwa-204-Millionen-Euro-Strafe-zahlen-4465412.html

https://www.e-recht24.de/news/datenschutz/12429-marriott-bussgeld-corona.htmlhttps://www.coreview.com/blog/alpin-gdpr-fines-list/

https://ico.org.uk/media/action-weve-taken/mpns/2618330/dgel-mpn-20200922.pdf

https://ico.org.uk/media/action-weve-taken/mpns/2618232/cps-advisory-limited-mpn.pdf

https://ico.org.uk/media/action-weve-taken/mpns/2618087/20200803-r-monetary-penalty-notice-rain-trading-limited-003.pdf

https://www.heise.de/news/Datenschutzpanne-British-Airways-muss-22-Millionen-Euro-zahlen-statt-204-4931253.html#:~:text=Die%20britische%20Datenschutzbeh%C3%B6rde%20hat%20gegen,umgerechnet%20rund%2022%20Millionen%20Euro.

Zypern

Verstoß

Höhe des Bußgeldes in Euro

Einsatz eines Tools, mit welchem die krankheitsbedingten Fehlzeiten von Arbeitnehmern erfasst wurden. Dabei handelte es sich um besondere Kategorien von personenbezogenen Daten und es fehlte eine entsprechende Rechtsgrundlage zur Verarbeitung

70.000,00

Einsatz eines Tools, mit welchem die krankheitsbedingten Fehlzeiten von Arbeitnehmern erfasst wurden. Dabei handelte es sich um besondere Kategorien von personenbezogenen Daten und es fehlte eine entsprechende Rechtsgrundlage zur Verarbeitung

10.000,00

Einsatz eines Tools, mit welchem die krankheitsbedingten Fehlzeiten von Arbeitnehmern erfasst wurden. Dabei handelte es sich um besondere Kategorien von personenbezogenen Daten und es fehlte eine entsprechende Rechtsgrundlage zur Verarbeitung

2.000,00

Weigerung, einem Patienten eine Kopie seiner Patientenakte zur Verfügung stellen

5.000,00

Mangelnde technischen und organisatorischen Maßnahmen hinsichtlich Passwortschutz und fehlende Kooperation mit der Datenschutzbehörde

9.000,00

Ungewünschtes Zusenden von Werbe-SMS aufgrund mangelnder organisatorischer Maßnahmen, auch nach Widerspruch der betroffenen Person

1.200,00

Versand von unerwünschten Werbe-SMS ohne eine kostenfreie Möglichkeit, dies zu unterbinden

1.000,00

Veröffentlichung von Lichtbildern und Namen von Polizisten ohne deren Zustimmung in einer Lokalzeitung (u.a. Verstoß gegen den Grundsatz der Datenminimierung)

10.000,00

Veröffentlichung von personenbezogenen Daten einer Patientin auf sozialen Netzwerken ohne Zustimmung der betroffenen Person

14.000,00

Quellen:

https://edpb.europa.eu/news/national-news/2020/cypriot-supervisory-authority-banned-processing-automated-tool-used-scoring_en

https://www.serapion.de/fast-1-jahr-dsgvo-im-gesundheitswesen-zwischenfaelle-und-bussgelder/

https://www.dsgvo-portal.de/dsgvo-bussgeld-gegen-zypriotische-polizei-2020-01-13-CY-327.php

http://www.dataprotection.gov.cy/dataprotection/dataprotection.nsf/All/ACDFDC478581BEE1C22584EE002EE9C2?OpenDocument

https://www.dataguidance.com/news/cyprus-commissioner-fines-doctor-%E2%82%AC14000-gdpr-violations

https://www.privacyminders.com/news/gdpr-10-000-fine-on-a-newspaper-for-publishing/

https://www.privacyminders.com/news/gdpr-10-000-fine-on-a-newspaper-for-publishing/

Veranstaltungen

20.09.2021 Deutsche Universität für Verwaltungswissenschaften Freiherr vom Stein Str. 2 67346 Speyer
Speyerer Vergaberechtstage 2021
Vortrag >>
22.09.2021 Hilton Düsseldorf oder online
Forum Institut I NRW-Vergaberecht 2021
Vortrag >>
23.09.2021 online
IHK Außenwirtschaftstag 2021 | LUTHER Fachforum China 2025 – Kampfansage oder Zukunftsmarkt | Das neue Lieferkettengesetz und seine Auswirkungen auf das Asien-Geschäft
Tagung >>