Verstöße gegen datenschutzrechtliche Bestimmungen können mit erheblichen Bußgeldern geahndet werden. Die DSGVO sieht dabei Bußgelder von bis zu 4% des weltweiten Konzernjahresumsatzes oder bis zu 20.000.000 EUR vor. Dabei sind die Bußgelder nicht starr und immer abhängig vom jeweiligen Einzelfall. Die nachfolgende Übersicht soll einen Überblick über diverse Bußgelder bei Datenschutzverstößen durch die einzelnen Aufsichtsbehörden geben und eine Art Bußgeldkatalog darstellen. Der Katalog versucht dabei sowohl Bußgelder der deutschen Aufsichtsbehörden als auch der europäischen Aufsichtsbehörden zu berücksichtigen. Betroffene Unternehmen können sich anhand der Bußgelder orientieren und ggf. einschätzen, mit welchen Bußgeldern sie bei Datenschutzverstößen rechnen müssen. Der Bußgeldkatalog wird ständig erweitert und aktualisiert. Gleichwohl kann der Katalog nicht alle je verhängten Bußgelder enthalten.
Die Bußgelder sind nach der jeweiligen Höhe sortiert und umfassen die uns bekannten Bußgelder in Deutschland und Europa.
Stand 15.02.2019 wurden Deutschland nach einem Bericht des Handelsblatt insgesamt 41 Bußgelder verhängt, zahlreiche Bußgeldverfahren laufen aber weiter.
Das höchste uns bekannte Bußgeld überhaupt wurde bisher in Frankreich durch die CNIL (Commission Nationale de l’Informatique et des Libertés) verhängt. 50.000.000,00 EUR soll Google wegen zweier Verstöße gegen die DSGVO zahlen. Aktueller Spitzenreiter bei Bußgeldern dürfte die englische Datenschutzbehörde sein, mit 204.000.000,00 EUR gegen British Airways. In Deutschland sind die Behörden noch zurückhaltender. Die Berliner Datenschutzbehörde verhängte mit 195.000,00 EUR das bisher höchste Bußgeld für Deutschland.
Bußgeldkatalog:
Einzelne Bußgelder bei Datenschutzverstößen
204.000.000,00 EUR
Land/Behörde: Großbritannien (ICO – Information commissioner office)
Unternehmen: British Airways
Anzahl betroffener Nutzer: ca 500.000
Verstoß: Durch einen Hackerangriff konnten Nutzerdaten erbeutet werden. Die britische Datenschutzbehörde geht von einem Verstoß gegen die Anforderungen an die Technisch Organisatorischen Maßnahmen aus.
Weiterführende Hinweise: Pressemitteilung des ICO
110.000.000,00 EUR
Land/Behörde: Großbritannien (ICO – Information commissioner office)
Unternehmen: Marriott
Anzahl betroffener Nutzer: ca. 339 Millionen Gäste
Verstoß: Durch einen Hackerangriff konnten persönliche Daten von Gästen erbeutet werden. Die britische Datenschutzbehörde geht von einem Verstoß gegen die Anforderungen an die Technisch Organisatorischen Maßnahmen aus.
Weiterführende Hinweise: Pressemitteilung des ICO
50.000.000,00 EUR
Land/Behörde: Frankreich (Commission Nationale de l’Informatique et des Libertés – CNIL)
Unternehmen: Google
Anzahl betroffener Nutzer: –
Verstoß: Die Datenschutzhinweise von Google sind nach Auffassung der Behörde intransparent. Google kann keine Einwilligung für die Nutzung der Daten zu Werbezwecken nachweisen.
Weiterführende Hinweise: Beitrag auf Netzpolitik.org
600.000,00 EUR
Land/Behörde: Niederlande (Dutch Data Protection Authority)
Unternehmen: UBER
Anzahl betroffener Nutzer: 54 Mio (davon 174.000 Niederländer)
Verstoß: Ein Datenleck/Datendiebstahl wurde nicht binnen 72 h gemeldet.
Weiterführende Hinweise: Meldung der DPA
400.000,00 EUR
Land/Behörde: Portugal (CNPD – Comissão Nacional de Protecção de Dados)
Unternehmen: Krankenhaus
Anzahl betroffener Nutzer: –
Verstoß: Nichtberechtigte Personen konnten Zugriff auf sensible Gesundheits- und Patientendaten nehmen, weitere Verstöße (nicht bekannt)
Anmerkung: Wegen der Zugriffsmöglichkeit wurde allein ein Bußgeld von 300.000,00 EUR verhängt.
219.000,00 EUR
Land/Behörde: Polen (Urząd Ochrony Danych Osobowych – UODO)
Unternehmen: Wirtschaftsauskunft
Anzahl betroffener Nutzer: –
Verstoß: Verstoß gegen Art. 14 DSGVO (unterlassene Information)
Anmerkung: Maßgeblich für das Bußgeld war offenbar mangelnde Kooperation des Unternehmens und die Weigerung sein Geschäftsmodell umzustellen. Darüber hinaus hatten offenbar viele Betroffene keine Möglichkeit zum Widerspruch
Weiterführende Hinweise: Pressemitteilung der UODO, Statement von bisnode
195.000,00 EUR
Land/Behörde: Deutschland (Berlin)
Unternehmen: Delivery Hero Germany GmbH
Anzahl betroffener Nutzer: unbekannt
Art der personenbezogenen Daten: unterschiedlich, E-Mail-Adresse
Verstoß: mehrere Einzelverstöße, unter anderem die Nichtachtung der Betroffenenrechte (Recht auf Auskunft über die Verarbeitung der eigenen Daten, das Recht auf Löschung der Daten sowie das Recht auf Widerspruch), Werbe-E-Mails
Weiterführende Hinweise: Meldung der Berliner Datenschutzbehörde (PDF)
130.000,00 EUR
Land/Behörde: Rumänien()
Unternehmen: Bank
Anzahl betroffener Nutzer: 337.000
Art der personenbezogenen Daten: Gesundheitsdaten
Verstoß: Verstoß gegen die Gebote von Privacy by Design / Offenlegung von Kundendaten
Weiterführende Hinweise: Meldung auf edpb (English) / Pressemitteilung der <Rumänischen Datenschutzbehörde
80.000,00 EUR
Land/Behörde: Deutschland (LfDI Baden-Württemberg)
Unternehmen: Soziales Netzwerk
Anzahl betroffener Nutzer: –
Art der personenbezogenen Daten: Gesundheitsdaten
Verstoß: Gesundheitsdaten wurden versehentlich im Internet veröffentlicht
Weiterführende Hinweise: –
Anmerkung:
170.000,00 EUR
Land/Behörde: Norwegen (Datatilsynet)
Unternehmen: Stadt Bergen
Anzahl betroffener Nutzer: 35.000 (hauptsächlich Schüler und Mitarbeiter einer Schule)
Art der personenbezogenen Daten: Nutzername und Passwort für Lernplattform
Verstoß: mangelnde Sicherung des Zugangs auf Nutzername und Passwort
Weiterführende Hinweise: Meldung der Datenschutzbehörde
Anmerkung:
20.000,00 EUR
Land/Behörde: Deutschland (LfDI Baden-Württemberg)
Unternehmen: Soziales Netzwerk
Anzahl betroffener Nutzer: 808.000 E-Mail-Adressen, 1.872 000 Pseudonyme und Passwörter
Verstoß: Passwörter von Nutzern waren unverschlüsselt gespeichert
Weiterführende Hinweise: Meldung der LFDI Baden-Württemberg
Anmerkung: Das Unternehmen arbeitete sehr kooperativ bei der Behebung des Datenschutzverstoß mit. Infolge dessen, fiel das Bußgeld nach Angabe der Behörde besonders milde aus.
16.500,00 EUR
Land/Behörde: Schweden
Unternehmen: Schule
Anzahl betroffener Nutzer: –
Verstoß: Verwendung von Gesichtserkennung mit Kameras zur Anwesenheitskontrolle von Schülern
Weiterführende Hinweise: Pressemitteilung der schwedischen Datainspektionen (schwedisch)
Anmerkung: Die Schule verwendete eine automatisierte Gesichtserkennung. Nach Auffassung der Datenschutzbehörde bestand dafür keine hinreichende Rechtsgrundlage
13.000,00 EUR
Land/Behörde: Polen (UODO)
Unternehmen: Fußballverband
Anzahl betroffener Nutzer: unbekannt
Verstoß: Name, PESEL-Nummer und Wohnadresse von Schiedsrichtern wurden auf der Webseite eines Fußballverbandes veröffentlicht.
Weiterführende Hinweise: Meldung der LFDI Baden-Württemberg
Anmerkung: Der Verstoß wurde durch eine sog. Data Breach Notification bekannt. Der Verband informierte die betroffenen Personen nach Aufforderung durch die UODO. Eine Person hatte sich im Rahmen des Verfahrens beschwert. Beim Bußgeld wurde die erhebliche Anzahl der betroffenen Personen berücksichtigt.
5.000,00 EUR
Land/Behörde: Deutschland (Hamburger Beauftragter für Datenschutz und die Informationsfreiheit)
Unternehmen: Versanddienstleister
Anzahl betroffener Nutzer: –
Verstoß: Passwörter von Nutzern waren unverschlüsselt gespeichert
Weiterführende Hinweise: Mitteilung auf heise.de
Anmerkung: Dem Bußgeld ging offenbar eine Anfrage des Unternehmens selbst, bei der Datenschutzbehörde voraus. Das Unternehmen wollte wissen, ob zwingend der Abschluss eines Vertrages zur Auftragsverarbeitung notwendig ist. Im konkreten Fall hatte sich der Auftraggeber offenbar geweigert einen entsprechenden Vertrag abzuschließen. Die Behörde bestätigte, dass ein solcher Vertrag notwendig ist. Allerdings weigerte sich das Unternehmen unter Hinweis auf die Kosten und den Aufwand weiterhin einen entsprechenden Vertrag abzuschließen. Die Behörde ging damit von Vorsatz aus.
In diesem konkreten Fall muss man abwarten, ob das Bußgeld hält. Man kann zweifeln, ob hier wirklich eine Auftragsverarbeitung vorliegt oder nicht.
2.628,50 Euro
Land/Behörde: Deutschland (Landesbeauftragter für den Datenschutz Sachsen-Anhalt)
Unternehmen: Privatperson
Anzahl betroffener Nutzer: bis zu 1.600
Verstoß: offener E-Mail-Verteiler
Weiterführende Hinweise: Mitteldeutsche Zeitung
Anmerkung: Das Bußgeld wurde gegen eine Privatperson verhängt. Der Mann hatte offenbar mehreren hundert E-Mails versendet. Inhalt der E-Mails waren Beschwerden, Stellungnahmen, Verunglimpfungen und Strafanzeigen. Gegenstand des Bußgeldverfahrens waren aber nicht die Inhalte E-Mails an sich. Der Mann nutzte einen offenen Verteiler, bei dem alle Empfänger die jeweils anderen Empfänger sehen konnten. Dadurch wurden Rechte Dritter berührt und die Vorschriften der DSGVO verletzt. Die DSGVO findet auch Anwendung, da diese Datenverarbeitung nicht mehr nur zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten (Art. 2 Abs. 2 Nr. 3 DSGVO) zählt.
Das Bußgeld kumuliert mehrere Verstöße des Mannes zu einem gesamten Bußgeld
Wie vermeide ich Bußgelder bei Datenschutzverstößen?
Die Aufsichtsbehörde eröffnet in der Regel ein Ermittlungsverfahren, wenn sie einen Verstoß gegen datenschutzrechtliche Regelungen feststellt. Dabei kann als Konsequenz ein Bußgeld gegen das Unternehmen festgesetzt werden. Das betroffene Unternehmen kann gegen den Bußgeldbescheid Einspruch einlegen. Der Bußgeldbescheid wird dann durch die Behörde und ggf. durch ein Gericht überprüft.
Unternehmen sollten sich bereits im Vorverfahren bzw. im Ermittlungsverfahren mit einem Anwalt für Datenschutzrecht in Verbindung setzen. Bereits hier können entsprechende Weichen gestellt und Fehler vermieden werden. Ein Anwalt für Datenschutz wird mit dem Unternehmen die Erfolgsaussichten prüfen und eine Strategie erarbeiten. Die richtige Strategie muss dabei immer im Einzelfall entwickelt werden. So kann der offene Umgang mit einem potentiellen Datenschutzverstößen im Einzelfall Vor- oder Nachteile haben. Ein Anwalt wird auch bei der Behebung eines Verstoßes unterstützen. Grundsätzlich sollte aber auch ein Bußgeldbescheid nicht einfach hingenommen werden. Hier sollte immer im Einzelfall geprüft werden, ob das Vorgehen gegen den Bescheid sinnvoll ist oder nicht.
Wir raten daher dringend:
- Kontaktieren Sie im Falle eines Datenschutzverstoßes frühzeitig einen Anwalt für Datenschutzrecht oder ggf. auch einen Datenschutzbeauftragten.
- Ignorieren Sie einen Verstoß oder ein bereits laufendes Ermittlungsverfahren keinesfalls.
Hinweis
Wir versuchen eine umfassende Datenbank aufzubauen. Dennoch können wir sicherlich nicht alle Bußgelder berücksichtigen. Die Datenbank ist eine Orientierungshilfe und stellt keinen Anspruch auf Vollständigkeit. Gerne nehmen Tips und Hinweise zu Bußgeldern entgegen und veröffentlichen diese im Rahmen dieses Artikels.
Stand: 21.09.2019
