- What's next? Rund um Digitalisierung und das Leben von morgen.
Podcast #10: Technologie vs. Verzicht. Mehr Nachhaltigkeit im Unternehmen mit Dr. Katharina Reuter.
7. August 2020
Mehr Digitalisierung, mehr Umsatz: Marketing- und Verkaufsprozesse automatisieren
18. August 2020
Vor gut 2 Jahren trat im Mai 2018 die europäische Datenschutzgrundverordnung (DSGVO) in Kraft. Das Maß für DSGVO Bußgelder hat sich gegenüber dem alten BDSG deutlich erhöht. Während zu Beginn die Behörden sich noch verhalten zeigten, nehmen Anzahl und Höhe der verhängten Bußgelder sukzessive zu. Wir haben dazu auch mit dem IT-Fachanwalt Florian König in unserem Podcast (Podcast #8: 2 Jahre DSGVO – Was war und was kommt?) gesprochen. Im Folgenden zeigen wir 11 interessante Bußgelder auf Grund von Datenschutzverstößen, die teilweise skurril und teilweise auch richtungsweisend wirken.
1,2 Mio. Euro Bußgeld gegen die AOK Baden-Württemberg
Das bisher höchste DSGVO Bußgeld in Baden-Württemberg wurde nun gegen die dortige AOK verhängt. Um eines vorweg zu nehmen: Die Daten der Versicherten waren nicht betroffen. Es ging um Gewinnspiele, bei denen zu Werbezwecken personenbezogen Daten gesammelt wurden. Leider ist die Werbung nicht nur an die Personen gesendet wurden, die eine Einwilligung erteilt haben, sondern auch an andere Gewinnspielteilnehmer. Betroffen war angeblich 500 Personen.
20.000 Euro DSGVO Bußgeld für Passwörter im Klartext
Durch einen Hackerangriff auf die Plattform Knuddels.de gelangten die Hacker an rund 808.000 E-Mail Adressen sowie 1.872.000 Pseudonyme und die dazugehörigen Passwörter. Durch die gute Kooperation mit den Behörden sowie der umfangreichen Information an die betroffenen Nutzer konnte das Bußgeld auf 20.000 € begrenzt werden.
Rekordbetrag in Höhe von 14,5 Mio. Euro für Deutsche Wohnen
Die Berliner Datenschutzbehörde verhängt das wohl bisher höchste Bußgeld gegen ein deutsches Unternehmen. Die eingesetzten Systeme konnten Mieter- aber auch Bewerberdaten nicht löschen. Der Umfang und die Sensibilität der Daten (Einkommensdaten, Versicherungen, Finanzen etc.) sorgten hierbei für die Höhe der Strafe. Die Deutsche Wohnen hat hierbei Einspruch eingelegt.
9.550.000 Euro wegen unzureichender Authentifizierung für 1&1
Durch die Nennung von Namen und Geburtsdatum haben Anrufer weitere personenbezogene Daten erhalten. Das stellt gemäß DSGVO kein ausreichend geschütztes Authentifizierungsverfahren dar. Hierzu sind gemäß Artikel 32 der DSGVO geeignete technische und organisatorische Maßnahmen zu ergreifen, um den erforderlichen Schutz der Daten sicherzustellen. Im Gegensatz zu Bußgeldern anderer Unternehmen haben Einsichtigkeit und Kooperationsbereitschaft hier nicht geholfen. Der BfDI sah nicht von einem Bußgeld ab.
18 Millionen Euro für die Erhebung und Verkauf von Parteiaffinität
Die österreichische Post hat über einen längeren Zeitraum Informationen zur Parteiaffinität von Kunden gesammelt und verkauft oder vermietet. Neben der Parteiaffinität wurden auch Daten wie Alter oder Geschlecht von ca. 3 Millionen Kunden erhoben. Während die Parteiaffinität primär an Parteien verkauft wurde, wurden weitere Parameter wie die Investment-Affinität genutzt, um Werbung zielgerichteter zu versenden.
Die österreichische Post erklärte, dass sie zukünftig auf die Erhebung und Verkauf dieser Parameter verzichten wollen würden. Dennoch legte die österreichische Post Einspruch ein, weil nach ihrer Ausfassung die Information der Kunden bzgl. des Verkaufs ausreichend und eine Einwilligung nicht erforderlich sein würde.
Menschliches Versagen kostete Vodafone in Spanien 44.000 Euro
Weil ein Mitarbeiter einen Vertragsentwurf an einen falschen Empfänger versandt, erhielt Vodafone eine Geldbuße in Höhe von 44.000 Euro. Das zeigt, wie wenig erforderlich ist und wie schnell Geldbußen verhängt werden.
Eine nicht erteilte Auskunft kostet Google 28 Euro
Das Recht auf Auskunft für die betroffenen Personen, sollte mittlerweile den meisten bekannt sein. Die DSGVO sieht vor, dass sich die verantwortliche Stelle dafür maximal einen Monat Zeit lassen darf und fordert grundsätzlich unverzügliches handeln. Die Datenschutzbehörden in Ungarn verhängten nun eine Strafe in Höhe von 28 Euro gegen Google, weil die genannte Zeit nicht eingehalten wurde.
Und hier meinen wir wirklich 28 Euro, nicht 28 Millionen Euro.
“Eingekaufter” Datenschutzverstoß bei Marriott nach Unternehmensübernahme
110 Millionen wurden für Marriott fällig. Hierbei handelte es sich weltweit um 339 Millionen Gästeprofile, die offen verfügbar waren. Der Umstand wurde erst 2018 entdeckt, bestand aber vermutlich schon seit 2014 bei Starwood. Marriott übernahm Starwood 2016 und Marriott kam augenscheinlich bei der Übernahme nicht der gebotenen Sorgfaltspflicht nach.
90.000 Datensätze des Mastercard-Bonusprogramms öffentlich zugänglich
Mastercard-Priceless ist das Bonusprogramm von Mastercard. Öffentlich zugänglich war eine Excel-Liste mit Daten wie Name, Geburtsdatum oder auch Handynummer. Während Mastercard zuerst betonte, dass es sich lediglich um Daten des Bonusprogramms handele, musste Mastercard wenig später eingestehen, dass wohl auch die vollständigen Kreditkartendaten inkl. Prüfziffer und Ablaufdatum in der Tabelle enthalten waren.
Augenscheinlich wurde hier noch kein Bußgeld verhängt.
Mehr als 200 Millionen Euro für British Airways für 500.000 Datensätze
Für eine Manipulation der eigenen Website durfte British Airways 183 Millionen Pfund zahlen, weil die Kunden von der Website der Airline auf eine betrügerische Seite weitergeleitet wurden. Darüber verschaffte man sich Zugang zu Daten wie Anschrift oder Kreditkartennummer. Das Bußgeld entspricht etwa 1,5% des weltweit erzielten Jahresumsatzes der Airline. Es handelte sich um das erste DSGVO-Bußgeld der britischen Datenschutzbehöre (ICO).
Auch gegen Privatpersonen können Strafen verhängt werden
2.628,50 Euro musste eine Privatperson in Sachsen-Anhalt zahlen. Die Person verschickte regelmäßig E-Mails mit Beschwerden und Verunglimpfungen an einen Personenkreis von teilweise bis zu 1.600 Empfänger. Die E-Mail Adressen waren dabei offen für alle Empfänger einsehbar. Das ist aber nicht das einzige Bußgeld für eine Privatperson. Im Saarland z.B. erhielt eine Privatperson eine Strafe in Höhe von 118 Euro, weil sie Daten anderer Personen in sozialen Netzwerken teilte.
Gründer und Geschäftsführer von 25R
