Vor gut 2 Jahren trat im Mai 2018 die europäische Datenschutzgrundverordnung (DSGVO) in Kraft. Das Maß für DSGVO Bußgelder hat sich gegenüber dem alten BDSG deutlich erhöht. Während zu Beginn die Behörden sich noch verhalten zeigten, nehmen Anzahl und Höhe der verhängten Bußgelder sukzessive zu. Wir haben dazu auch mit dem IT-Fachanwalt Florian König in unserem Podcast (Podcast #8: 2 Jahre DSGVO – Was war und was kommt?) gesprochen. Im Folgenden zeigen wir 11 interessante Bußgelder auf Grund von Datenschutzverstößen, die teilweise skurril und teilweise auch richtungsweisend wirken.
Das bisher höchste DSGVO Bußgeld in Baden-Württemberg wurde nun gegen die dortige AOK verhängt. Um eines vorweg zu nehmen: Die Daten der Versicherten waren nicht betroffen. Es ging um Gewinnspiele, bei denen zu Werbezwecken personenbezogen Daten gesammelt wurden. Leider ist die Werbung nicht nur an die Personen gesendet wurden, die eine Einwilligung erteilt haben, sondern auch an andere Gewinnspielteilnehmer. Betroffen war angeblich 500 Personen.
Klicken Sie auf den unteren Button, um den Inhalt von rcm-eu.amazon-adsystem.com zu laden.
Durch einen Hackerangriff auf die Plattform Knuddels.de gelangten die Hacker an rund 808.000 E-Mail Adressen sowie 1.872.000 Pseudonyme und die dazugehörigen Passwörter. Durch die gute Kooperation mit den Behörden sowie der umfangreichen Information an die betroffenen Nutzer konnte das Bußgeld auf 20.000 € begrenzt werden.
Die Berliner Datenschutzbehörde verhängt das wohl bisher höchste Bußgeld gegen ein deutsches Unternehmen. Die eingesetzten Systeme konnten Mieter- aber auch Bewerberdaten nicht löschen. Der Umfang und die Sensibilität der Daten (Einkommensdaten, Versicherungen, Finanzen etc.) sorgten hierbei für die Höhe der Strafe. Die Deutsche Wohnen hat hierbei Einspruch eingelegt.
Durch die Nennung von Namen und Geburtsdatum haben Anrufer weitere personenbezogene Daten erhalten. Das stellt gemäß DSGVO kein ausreichend geschütztes Authentifizierungsverfahren dar. Hierzu sind gemäß Artikel 32 der DSGVO geeignete technische und organisatorische Maßnahmen zu ergreifen, um den erforderlichen Schutz der Daten sicherzustellen. Im Gegensatz zu Bußgeldern anderer Unternehmen haben Einsichtigkeit und Kooperationsbereitschaft hier nicht geholfen. Der BfDI sah nicht von einem Bußgeld ab.
Die österreichische Post hat über einen längeren Zeitraum Informationen zur Parteiaffinität von Kunden gesammelt und verkauft oder vermietet. Neben der Parteiaffinität wurden auch Daten wie Alter oder Geschlecht von ca. 3 Millionen Kunden erhoben. Während die Parteiaffinität primär an Parteien verkauft wurde, wurden weitere Parameter wie die Investment-Affinität genutzt, um Werbung zielgerichteter zu versenden.
Die österreichische Post erklärte, dass sie zukünftig auf die Erhebung und Verkauf dieser Parameter verzichten wollen würden. Dennoch legte die österreichische Post Einspruch ein, weil nach ihrer Ausfassung die Information der Kunden bzgl. des Verkaufs ausreichend und eine Einwilligung nicht erforderlich sein würde.
Weil ein Mitarbeiter einen Vertragsentwurf an einen falschen Empfänger versandt, erhielt Vodafone eine Geldbuße in Höhe von 44.000 Euro. Das zeigt, wie wenig erforderlich ist und wie schnell Geldbußen verhängt werden.
Das Recht auf Auskunft für die betroffenen Personen, sollte mittlerweile den meisten bekannt sein. Die DSGVO sieht vor, dass sich die verantwortliche Stelle dafür maximal einen Monat Zeit lassen darf und fordert grundsätzlich unverzügliches handeln. Die Datenschutzbehörden in Ungarn verhängten nun eine Strafe in Höhe von 28 Euro gegen Google, weil die genannte Zeit nicht eingehalten wurde.
Und hier meinen wir wirklich 28 Euro, nicht 28 Millionen Euro.
110 Millionen wurden für Marriott fällig. Hierbei handelte es sich weltweit um 339 Millionen Gästeprofile, die offen verfügbar waren. Der Umstand wurde erst 2018 entdeckt, bestand aber vermutlich schon seit 2014 bei Starwood. Marriott übernahm Starwood 2016 und Marriott kam augenscheinlich bei der Übernahme nicht der gebotenen Sorgfaltspflicht nach.
Mastercard-Priceless ist das Bonusprogramm von Mastercard. Öffentlich zugänglich war eine Excel-Liste mit Daten wie Name, Geburtsdatum oder auch Handynummer. Während Mastercard zuerst betonte, dass es sich lediglich um Daten des Bonusprogramms handele, musste Mastercard wenig später eingestehen, dass wohl auch die vollständigen Kreditkartendaten inkl. Prüfziffer und Ablaufdatum in der Tabelle enthalten waren.
Augenscheinlich wurde hier noch kein Bußgeld verhängt.
Für eine Manipulation der eigenen Website durfte British Airways 183 Millionen Pfund zahlen, weil die Kunden von der Website der Airline auf eine betrügerische Seite weitergeleitet wurden. Darüber verschaffte man sich Zugang zu Daten wie Anschrift oder Kreditkartennummer. Das Bußgeld entspricht etwa 1,5% des weltweit erzielten Jahresumsatzes der Airline. Es handelte sich um das erste DSGVO-Bußgeld der britischen Datenschutzbehöre (ICO).
2.628,50 Euro musste eine Privatperson in Sachsen-Anhalt zahlen. Die Person verschickte regelmäßig E-Mails mit Beschwerden und Verunglimpfungen an einen Personenkreis von teilweise bis zu 1.600 Empfänger. Die E-Mail Adressen waren dabei offen für alle Empfänger einsehbar. Das ist aber nicht das einzige Bußgeld für eine Privatperson. Im Saarland z.B. erhielt eine Privatperson eine Strafe in Höhe von 118 Euro, weil sie Daten anderer Personen in sozialen Netzwerken teilte.