Bußgeldkatalog – Bußgelder bei Datenschutzverstößen

Home / Datenschutz / Bußgeldkatalog – Bußgelder bei Datenschutzverstößen

Verstöße gegen datenschutzrechtliche Bestimmungen können mit erheblichen Bußgeldern geahndet werden. Die DSGVO sieht dabei Bußgelder von bis zu 4% des weltweiten Konzernjahresumsatzes oder bis zu 20.000.000 EUR vor. Dabei sind die Bußgelder nicht starr und immer abhängig vom jeweiligen Einzelfall. Die nachfolgende Übersicht soll einen Überblick über diverse Bußgelder bei Datenschutzverstößen durch die einzelnen Aufsichtsbehörden geben und eine Art Bußgeldkatalog darstellen. Der Katalog versucht dabei sowohl Bußgelder der deutschen Aufsichtsbehörden als auch der europäischen Aufsichtsbehörden zu berücksichtigen. Betroffene Unternehmen können sich anhand der Bußgelder orientieren und ggf. einschätzen, mit welchen Bußgeldern sie bei Datenschutzverstößen rechnen müssen. Der Bußgeldkatalog wird ständig erweitert und aktualisiert. Gleichwohl kann der Katalog nicht alle je verhängten Bußgelder enthalten.

Die Bußgelder sind nach der jeweiligen Höhe sortiert und umfassen die uns bekannten Bußgelder in Deutschland und Europa.

Stand 15.02.2019 wurden Deutschland nach einem Bericht des Handelsblatt insgesamt 41 Bußgelder verhängt, zahlreiche Bußgeldverfahren laufen aber weiter. Die einzelnen Bußgelder wurden wie folgt verteilt:

  • Nordrhein-Westfalen (33)
  • Hamburg (3)
  • Baden-Württemberg (2)
  • Berlin (2)
  • Saarland (1)

Das höchste uns bekannte Bußgeld überhaupt wurde bisher in Frankreich durch die CNIL (Commission Nationale de l’Informatique et des Libertés) verhängt. 50.000.000,00 EUR soll Google wegen zweier Verstöße gegen die DSGVO zahlen.

Bußgeldkatalog: Einzelne Bußgelder bei Datenschutzverstößen

50.000.000,00 EUR 

Land/Behörde: Frankreich (Commission Nationale de l’Informatique et des Libertés – CNIL)
Unternehmen: Google
Anzahl betroffener Nutzer: –
Verstoß: Die Datenschutzhinweise von Google sind nach Auffassung der Behörde intransparent.  Google kann keine Einwilligung für die Nutzung der Daten zu Werbezwecken nachweisen.
Weiterführende Hinweise: Beitrag auf Netzpolitik.org

600.000,00 EUR 

Land/Behörde: Niederlande (Dutch Data Protection Authority)
Unternehmen: UBER
Anzahl betroffener Nutzer: 54 Mio (davon 174.000 Niederländer)
Verstoß: Ein Datenleck/Datendiebstahl wurde nicht binnen 72 h gemeldet.
Weiterführende Hinweise: Meldung der DPA

400.000,00 EUR

Land/Behörde: Portugal (CNPD – Comissão Nacional de Protecção de Dados)
Unternehmen: Krankenhaus
Anzahl betroffener Nutzer: –
Verstoß: Nichtberechtigte Personen konnten Zugriff auf sensible Gesundheits- und Patientendaten nehmen, weitere Verstöße (nicht bekannt)
Anmerkung: Wegen der Zugriffsmöglichkeit wurde allein ein Bußgeld von 300.000,00 EUR verhängt.

219.000,00 EUR

Land/Behörde: Polen (Urząd Ochrony Danych Osobowych – UODO)
Unternehmen: Wirtschaftsauskunft
Anzahl betroffener Nutzer: –
Verstoß: Verstoß gegen Art. 14 DSGVO (unterlassene Information)
Anmerkung: Maßgeblich für das Bußgeld war  offenbar mangelnde Kooperation des Unternehmens und die Weigerung sein Geschäftsmodell umzustellen. Darüber hinaus hatten offenbar viele Betroffene keine Möglichkeit zum Widerspruch
Weiterführende Hinweise: Pressemitteilung der UODO, Statement von bisnode

80.000,00 EUR

Land/Behörde: Deutschland (LfDI Baden-Württemberg)
Unternehmen: Soziales Netzwerk
Anzahl betroffener Nutzer:
Art der personenbezogenen Daten: Gesundheitsdaten
Verstoß: Gesundheitsdaten wurden versehentlich im Internet veröffentlicht
Weiterführende Hinweise:
Anmerkung:

170.000,00 EUR

Land/Behörde: Norwegen (Datatilsynet)
Unternehmen: Stadt Bergen
Anzahl betroffener Nutzer: 35.000 (hauptsächlich Schüler und Mitarbeiter einer Schule)
Art der personenbezogenen Daten: Nutzername und Passwort für Lernplattform
Verstoß: mangelnde Sicherung des Zugangs auf Nutzername und Passwort
Weiterführende Hinweise: Meldung der Datenschutzbehörde
Anmerkung:

20.000,00 EUR

Land/Behörde: Deutschland (LfDI Baden-Württemberg)
Unternehmen: Soziales Netzwerk
Anzahl betroffener Nutzer: 808.000 E-Mail-Adressen, 1.872 000 Pseudonyme und Passwörter
Verstoß: Passwörter von Nutzern waren unverschlüsselt gespeichert
Weiterführende Hinweise: Meldung der LFDI Baden-Württemberg
Anmerkung: Das Unternehmen arbeitete sehr kooperativ bei der Behebung des Datenschutzverstoß mit. Infolge dessen, fiel das Bußgeld nach Angabe der Behörde besonders milde aus.

5.000,00 EUR

Land/Behörde: Deutschland (Hamburger Beauftragter für Datenschutz und die Informationsfreiheit)
Unternehmen: Versanddienstleister
Anzahl betroffener Nutzer: –
Verstoß: Passwörter von Nutzern waren unverschlüsselt gespeichert
Weiterführende Hinweise: Mitteilung auf heise.de
Anmerkung: Dem Bußgeld ging offenbar eine Anfrage des Unternehmens selbst, bei der Datenschutzbehörde voraus. Das Unternehmen wollte wissen, ob zwingend der Abschluss eines Vertrages zur Auftragsverarbeitung notwendig ist. Im konkreten Fall hatte sich der Auftraggeber offenbar geweigert einen entsprechenden Vertrag abzuschließen. Die Behörde bestätigte, dass ein solcher Vertrag notwendig ist. Allerdings weigerte sich das Unternehmen unter Hinweis auf die Kosten und den Aufwand weiterhin einen entsprechenden Vertrag abzuschließen. Die Behörde ging damit von Vorsatz aus.

In diesem konkreten Fall muss man abwarten, ob das Bußgeld hält. Man kann zweifeln, ob hier wirklich eine Auftragsverarbeitung vorliegt oder nicht.

2.628,50 Euro

Land/Behörde: Deutschland (Landesbeauftragter für den Datenschutz Sachsen-Anhalt)
Unternehmen: Privatperson
Anzahl betroffener Nutzer: bis zu 1.600
Verstoß: offener E-Mail-Verteiler
Weiterführende Hinweise: Mitteldeutsche Zeitung
Anmerkung: Das Bußgeld wurde gegen eine Privatperson verhängt. Der Mann hatte offenbar mehreren hundert E-Mails versendet. Inhalt der E-Mails waren Beschwerden, Stellungnahmen, Verunglimpfungen und Strafanzeigen. Gegenstand des Bußgeldverfahrens waren aber nicht die Inhalte E-Mails an sich. Der Mann nutzte einen offenen Verteiler, bei dem alle Empfänger die jeweils anderen Empfänger sehen konnten. Dadurch wurden Rechte Dritter berührt und die Vorschriften der DSGVO verletzt. Die DSGVO findet auch Anwendung, da diese Datenverarbeitung nicht mehr nur zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten (Art. 2 Abs. 2 Nr. 3 DSGVO) zählt.

Das Bußgeld kumuliert mehrere Verstöße des Mannes zu einem gesamten Bußgeld

Was tun bei einem Bußgeldverfahren

Die Aufsichtsbehörde eröffnet in der Regel ein Ermittlungsverfahren, wenn sie einen Verstoß gegen datenschutzrechtliche Regelungen feststellt. Dabei kann als Konsequenz ein Bußgeld gegen das Unternehmen festgesetzt werden. Das betroffene Unternehmen kann gegen den Bußgeldbescheid Einspruch einlegen. Der Bußgeldbescheid wird dann durch die Behörde und ggf. durch ein Gericht überprüft. Unternehmen sollten sich bereits im Vorverfahren mit einem Anwalt oder auseinandersetze. Bereits hier können entsprechende Weichen gestellt und Fehler vermieden werden. Grundsätzlich sollte aber auch ein Bußgeldbescheid nicht einfach hingenommen werden. Hier sollte immer im Einzelfall geprüft werden, ob das Vorgehen gegen den Bescheid sinnvoll ist oder nicht.

Hinweis

Wir versuchen eine umfassende Datenbank aufzubauen. Dennoch können wir sicherlich nicht alle Bußgelder berücksichtigen. Die Datenbank ist eine Orientierungshilfe und stellt keinen Anspruch auf Vollständigkeit. Gerne nehmen Tips und Hinweise zu Bußgeldern entgegen und veröffentlichen diese im Rahmen dieses Artikels.

 

Stand:09.04.2019

Comments(0)

    Leave a Comment