Bußgelder für Datenschutzverstöße

Hier findest du eine Übersicht über verschiedene Bußgelder die bisher wegen eines Datenschutzverstoßes verhängt wurden. Die Liste ist der Höhe nach geordnet und wird laufend ergänzt.

Bußgeld Behörde Beschreibung Quelle
2.628,50 € Deutschland (Landesbeauftragter für den Datenschutz Sachsen-Anhalt) Verstoß: offener E-Mail-Verteiler
Anmerkung: Das Bußgeld wurde gegen eine Privatperson verhängt. Der Mann hatte offenbar mehreren hundert E-Mails versendet. Inhalt der E-Mails waren Beschwerden, Stellungnahmen, Verunglimpfungen und Strafanzeigen. Gegenstand des Bußgeldverfahrens waren aber nicht die Inhalte E-Mails an sich. Der Mann nutzte einen offenen Verteiler, bei dem alle Empfänger die jeweils anderen Empfänger sehen konnten. Dadurch wurden Rechte Dritter berührt und die Vorschriften der DSGVO verletzt. Die DSGVO findet auch Anwendung, da diese Datenverarbeitung nicht mehr nur zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten (Art. 2 Abs. 2 Nr. 3 DSGVO) zählt.
https://www.mz-web.de/merseburg/hunderte-adressen-im-verteiler-merseburger-muss-fuer-wut-mails-ueber-2-000-euro-zahlen-32033308?originalReferrer=https://t.co/044topIGW4&originalReferrer=https://www.google.com/
5.000,00 € Deutschland (Hamburger Beauftragter für Datenschutz und die Informationsfreiheit) Verstoß: Passwörter von Nutzern waren unverschlüsselt gespeichert
Anmerkung: Dem Bußgeld ging offenbar eine Anfrage des Unternehmens selbst, bei der Datenschutzbehörde voraus. Das Unternehmen wollte wissen, ob zwingend der Abschluss eines Vertrages zur Auftragsverarbeitung notwendig ist. Im konkreten Fall hatte sich der Auftraggeber offenbar geweigert einen entsprechenden Vertrag abzuschließen. Die Behörde bestätigte, dass ein solcher Vertrag notwendig ist. Allerdings weigerte sich das Unternehmen unter Hinweis auf die Kosten und den Aufwand weiterhin einen entsprechenden Vertrag abzuschließen. Die Behörde ging damit von Vorsatz aus.
In diesem konkreten Fall muss man abwarten, ob das Bußgeld hält. Man kann zweifeln, ob hier wirklich eine Auftragsverarbeitung vorliegt oder nicht.
https://www.heise.de/newsticker/meldung/DSGVO-5000-Euro-Bussgeld-fuer-fehlenden-Auftragsverarbeitungsvertrag-4282737.html
13.000 € Polen (UODO) Unternehmen: Fußballverband
Anzahl betroffener Nutzer: unbekannt
Verstoß: Name, PESEL-Nummer und Wohnadresse von Schiedsrichtern wurden auf der Webseite eines Fußballverbandes veröffentlicht.Anmerkung: Der Verstoß wurde durch eine sog. Data Breach Notification bekannt. Der Verband informierte die betroffenen Personen nach Aufforderung durch die UODO. Eine Person hatte sich im Rahmen des Verfahrens beschwert. Beim Bußgeld wurde die erhebliche Anzahl der betroffenen Personen berücksichtigt.
Meldung der LFDI Baden-Württemberg
130.000 € Rumänien(Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal) Unternehmen: Bank
Anzahl betroffener Nutzer: 337.000
Art der personenbezogenen Daten: Gesundheitsdaten
Verstoß: Verstoß gegen die Gebote von Privacy by Design / Offenlegung von Kundendaten
 Meldung auf edpb (English) / Pressemitteilung der <Rumänischen Datenschutzbehörde
195.000 € Deutschland (Berlin) Unternehmen: Delivery Hero Germany GmbH
Anzahl betroffener Nutzer: unbekannt
Art der personenbezogenen Daten: unterschiedlich, E-Mail-Adresse
Verstoß: mehrere Einzelverstöße, unter anderem die Nichtachtung der Betroffenenrechte (Recht auf Auskunft über die Verarbeitung der eigenen Daten, das Recht auf Löschung der Daten sowie das Recht auf Widerspruch), Werbe-E-Mails
Meldung der Berliner Datenschutzbehörde (PDF)
240.000 € Italian Data Protection Authority (Garante per la protezione dei dati personali) Unterschiedliche Verstöße: verschiedene Verstöße im Zusammenhang mit Cookie-Bannern auf zwei Websites
Versenden von Marketing-E-Mails obwohl Empfänger sich gegen die Verarbeitung ausgesprochen hatten
https://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/9902472
215.000 € Berlin Sammlung sensibler Informationen über den Gesundheitszustand
einzelner Beschäftigter oder deren Interesse an einer Betriebsratsgründung
https://www.datenschutz-berlin.de/pressemitteilung/informationen-ueber-beschaeftigte-in-der-probezeit/
219.000 € Polen (Urząd Ochrony Danych Osobowych – UODO) Verstoß gegen Art. 14 DSGVO (unterlassene Information)

Anmerkung: Maßgeblich für das Bußgeld war  offenbar mangelnde Kooperation des Unternehmens und die Weigerung sein Geschäftsmodell umzustellen. Darüber hinaus hatten offenbar viele Betroffene keine Möglichkeit zum Widerspruch

https://uodo.gov.pl/en/553/1009
600.000 € Niederlande Ein Datenleck/Datendiebstahl wurde nicht binnen 72 h gemeldet https://autoriteitpersoonsgegevens.nl/en/current/dutch-dpa-fine-for-data-breach-uber
1.000.000 € Schweden Unzulässige Datenübermittlung in Drittländer (hier Einsatz von Google Analytics, vor Inkrafttreten des EU-U.S. Data Privacy Framework) https://www.imy.se/en/news/four-companies-must-stop-using-google-analytics/
50.000.000 € Frankreich (Commission Nationale de l’Informatique et des Libertés – CNIL) Die Datenschutzhinweise von Google sind nach Auffassung der Behörde intransparent.  Google kann keine Einwilligung für die Nutzung der Daten zu Werbezwecken nachweisen. https://netzpolitik.org/2019/die-dsgvo-zeigt-erste-zaehne-50-millionen-strafe-gegen-google-verhaengt/
110.000.000 € Großbritannien (ICO – Information commissioner office) Durch einen Hackerangriff konnten persönliche Daten von Gästen erbeutet werden. Die britische Datenschutzbehörde geht von einem Verstoß gegen die Anforderungen an die Technisch Organisatorischen Maßnahmen aus. https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2019/07/ico-announces-intention-to-fine-british-airways/
204.000.000 € Durch einen Hackerangriff konnten Nutzerdaten erbeutet werden. Die britische Datenschutzbehörde geht von einem Verstoß gegen die Anforderungen an die Technisch Organisatorischen Maßnahmen aus. https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2019/07/ico-announces-intention-to-fine-british-airways/
345.000.000 € DCP (Irland) Rechtswidrige Datenverarbeitung von personenbezogene Daten von Kindern durch TikTok https://landgraf-datenschutz.de/345-mio-eur-bussgeld-gegen-tiktok/
400.000,00 EUR Portugal (CNPD – Comissão Nacional de Protecção de Dados) Unternehmen: Krankenhaus
Anzahl betroffener Nutzer: –
Verstoß: 
Nichtberechtigte Personen konnten Zugriff auf sensible Gesundheits- und Patientendaten nehmen, weitere Verstöße (nicht bekannt)
Anmerkung: Wegen der Zugriffsmöglichkeit wurde allein ein Bußgeld von 300.000,00 EUR verhängt.
1.200.000.000 € DCP (Irland) Unerlaubter Datentransfer von personenbezogene Daten durch Meta (Google) in die USA. https://edpb.europa.eu/system/files/2023-05/final_for_issue_ov_transfers_decision_12-05-23.pdf

80.000,00 EUR
Land/Behörde: Deutschland (LfDI Baden-Württemberg)
Unternehmen: Soziales Netzwerk
Anzahl betroffener Nutzer: 
Art der personenbezogenen Daten: Gesundheitsdaten
Verstoß: Gesundheitsdaten wurden versehentlich im Internet veröffentlicht
Weiterführende Hinweise: 
Anmerkung:
170.000,00 EUR
Land/Behörde: Norwegen (Datatilsynet)
Unternehmen: Stadt Bergen
Anzahl betroffener Nutzer: 35.000 (hauptsächlich Schüler und Mitarbeiter einer Schule)
Art der personenbezogenen Daten: Nutzername und Passwort für Lernplattform
Verstoß: mangelnde Sicherung des Zugangs auf Nutzername und Passwort
Weiterführende Hinweise: Meldung der Datenschutzbehörde
Anmerkung:
20.000,00 EUR
Land/Behörde: Deutschland (LfDI Baden-Württemberg)
Unternehmen: Soziales Netzwerk
Anzahl betroffener Nutzer: 808.000 E-Mail-Adressen, 1.872 000 Pseudonyme und Passwörter
Verstoß: Passwörter von Nutzern waren unverschlüsselt gespeichert
Weiterführende Hinweise: Meldung der LFDI Baden-Württemberg
Anmerkung: Das Unternehmen arbeitete sehr kooperativ bei der Behebung des Datenschutzverstoß mit. Infolge dessen, fiel das Bußgeld nach Angabe der Behörde besonders milde aus.
16.500,00 EUR
Land/Behörde: Schweden
Unternehmen: Schule
Anzahl betroffener Nutzer: 
Verstoß: Verwendung von Gesichtserkennung mit Kameras zur Anwesenheitskontrolle von Schülern
Weiterführende Hinweise: Pressemitteilung der schwedischen Datainspektionen (schwedisch)
Anmerkung: Die Schule verwendete eine automatisierte Gesichtserkennung. Nach Auffassung der Datenschutzbehörde bestand dafür keine hinreichende Rechtsgrundlage

Datenschutz für AgenturenPersonenbezogene Daten im Sinne des Datenschutzes?