Hohe Bußgelder für EU-Unternehmen

Die nationalen Aufsichtsbehörden können oder müssen gegen Unternehmen nach der Datenschutz-Grundverordnung (DSGVO) Bußgelder für bestimmte Datenschutzverstöße verhängen. Dies wird auch in großem Umfang getan, denn unzählige Unternehmen verstoßen bewusst oder unbewusst gegen geltende Datenschutzbestimmungen. Die Verstöße sind dabei ganz unterschiedlich gelagert. Hier lauert oftmals der Fehlerteufel im Detail. Wir geben in diesem Beitrag fortlaufend einen Überblick mit aktuellen Informationen zu verhängten Bußgeldern.

Dank unserer Expertise im Datenschutzrecht können Sie die digitale Welt für Ihr Unternehmen voll ausschöpfen. Konzentrieren Sie sich auf die Stärken Ihrer Branche und wir von WBS.LEGAL kümmern uns um darum, dass Sie dies tun können, ohne dabei die Vertraulichkeit und Sicherheit der Daten zu beeinträchtigen. Dank unserer maßgeschneiderten Datenschutzpakete fahren Sie künftig in sicheren Bahnen und setzen sich nicht der Gefahr von hohen Bußgeldern aus.

---

---

Bußgelder bis 20 Millionen Euro bei DSGVO-Verstoß

Verhängte Bußgelder wegen Datenschutzverstößen müssen in jedem Einzelfall wirksam, verhältnismäßig und abschreckend sein. Bei der Entscheidung über Sanktionen steht den Aufsichtsbehörden ein gesetzlicher Kriterienkatalog zur Verfügung, dessen Punkte in die Entscheidung einfließen müssen. Faktoren wie die Vorsätzlichkeit des Verstoßes, das Versäumnis, Maßnahmen zur Schadensminderung zu ergreifen, oder eine fehlende Zusammenarbeit mit der Aufsichtsbehörde wirken straferhöhend.

Besonders gravierende Verstöße, die in Art. 83 Abs. 5 DSGVO aufgeführt sind, können mit Geldbußen von bis zu 20 Millionen Euro oder bis zu 4 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres belegt werden, je nachdem, welcher Betrag höher ist. Auch weniger gewichtige Verstöße (Art. 83 Abs. 4 DSGVO) können Geldbußen von bis zu 10 Millionen Euro oder bis zu 2 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres nach sich ziehen, je nachdem, welcher Betrag höher ist.

In Deutschland verhängte Bußgelder werden selten veröffentlicht, im Gegensatz zu Bußgeldern gegen weltweit bekannte Unternehmen. Deutsche Datenschutzbehörden sind nicht verpflichtet, Bußgelder öffentlich zu machen, weshalb nur besonders hohe Bußgelder gelegentlich in Pressemitteilungen oder Jahresberichten erwähnt werden. Diese mangelnde Transparenz erschwert es, die Bußgelder nachzuvollziehen und darüber zu berichten. Jahresberichte der Behörden erscheinen oft erst Mitte oder Ende des Folgejahres und sind dann oft nicht mehr aktuell. Dennoch sollten Unternehmen nicht annehmen, dass sie sicher sind; umfassender Datenschutz und rechtliche Absicherung sind unerlässlich. Deutschland verhängt häufig Bußgelder, teils häufiger als andere EU-Länder, aber die Transparenz ist geringer.

Verhängte Bußgelder gegen Unternehmen wegen Datenschutz-Verstößen

Der allgemeine Rahmen der Ahndungen fällt im gesamten EU-Gebiet ähnlich aus. Für einen besseren Eindruck der gängigen Praxis folgt ein Überblick über einige verhängte Bußgelder aus jüngerer Vergangenheit:

---

Oktober 2024

• 250.000 Euro wegen systematischer Aufzeichnung von Kundentelefonaten sowie unerlaubt langer Datenspeicherung (Frankreich, Cosmospace, 10.10.2024)

Die französische Datenschutzbehörde untersuchte die kooperierenden Unternehmen Cosmospace und Telemaque. Cosmospace, ein Anbieter für hellseherische Tätigkeiten zeichnete systematisch alle Telefongespräche mit Kunden auf, bei denen oft sensible Informationen preisgegeben wurden, wie Religionszugehörigkeit oder sexuelle Orientierung. Zudem speicherte Cosmospace die Daten der Kunden über sechs Jahre, obwohl nur drei Jahre zulässig sind. Auch die Einwilligungserklärungen der Kunden waren unklar, da nicht ersichtlich war, dass sowohl Cosmospace als auch Telemaque auf die Datenbanken zugreifen konnten. Daher wurde aufgrund eines Verstoßes gegen Art. 5 Abs. 1 lit. e DSGVO sowie gegen Art. 9 DSGVO ein Bußgeld von 250.000 Euro gegen Cosmospace verhängt.

• 150.000 Euro wegen unerlaubt langer Datenspeicherung sowie wegen unzureichender Information über Datenverarbeitung (Frankreich, Telemaque, 10.10.2024)

Siehe vorherigen Fall (Cosmospace). Auch gegen Telemaque wurde eine Geldbuße verhängt. Die 150.000 Euro wurden verhängt, da systematisch Gespräche mit sensiblen Informationen aufgezeichnet wurden, diese erheblich zu lange gespeichert wurden (6 Jahre). Zudem waren die von Kunden zu unterzeichnenden Einwilligungserklärungen nicht eindeutig genug. Aufgrund von Verstößen gegen Art. 5 Abs. 1 lit. e DSGVO sowie gegen Art. 9 DSGVO wurde das Bußgeld entsprechend gegen Telemaque verhängt.

• 50.000 Euro wegen unerlaubter Werbung (Spanien, Santander, 10.10.2024)

Nach der Beschwerde eines Betroffenen ermittelte die spanische Datenschutzbehörde wegen unerlaubter Werbemails von SANTANDER CONSUMER. Er hatte die Werbemail erhalten, obwohl diese vorher explizit abgelehnt worden war. Die Behörde verhängte für den zugrundeliegenden Mitarbeiterfehler ein Bußgeld von 50.000 Euro.

• 1.999 Euro wegen GPS-Überwachung in Firmenwagen und der Speicherung der so gesammelten Daten über 6 Monate (Rumänien, Global Ports’s Services, 2.10.2024)

Ein ehemaliger Mitarbeiter des Unternehmens hatte nach seinem Ausscheiden aus dem Unternehmen festgestellt, dass Global Ports’s Services in den von seinen Mitarbeitenden genutzten Firmenwagen GPS-Überwachungsgeräte installiert hatte, über deren Existenz er zuvor nicht informiert worden war. Darüber hinaus speicherte das Unternehmen die so erhobenen Ortungsdaten weit über 30 Tage, teils sogar sechs Monate lang. Hierfür sah die Behörde keinen Grund und verhängte entsprechend das Bußgeld. Es wurden Verstöße gegen Art. 5 Abs. 1 lit. a DSGVO, Art. 5 Abs. 1 lit. c DSGVO, Art. 5 Abs. 1 lit. e DSGVO, Art. 5 Abs. 2 DSGVO, Art. 6 DSGVO, Art. 12 DSGVO, Art. 13 DSGVO, Art. 14 DSGVO geahndet.

---

September 2024

• 200.000 Euro wegen fehlender Software-Aktualisierung (Spanien, HM HOSPITALES, 30.09.2024)

Gegen die spanische Krankenhausgruppe HM HOSPITALES 1989 verhängte die dortige Datenschutzbehörde ein Bußgeld in Höhe von 200.000 Euro. Grund dafür war die Beschwerde eines Software-Entwicklers, dessen Software von HM zwar verwendet, aber nicht hinreichend aktualisiert wurde. Darin sah die Behörde einen Verstoß gegen Art. 32 DSGVO (Sicherheit der Datenverarbeitung).

• 1.999  Euro wegen Ignorieren von Löschungsanfrage (Rumänien, PPC ENERGIE MUNTENIA, 23.09.2024)

Weil PPC ENERGIE MUNTENIA auf die Löschungsanfrage einer Privatperson nicht reagierte, verhängte die Datenschutzbehörde ein Bußgeld in Höhe von 1.999 Euro. Hier lag ein Verstoß gegen Art. 12 und 17 DSGVO („Recht auf Vergessenwerden“) vor.

• 10.000 Euro wegen fehlender Datenschutzerklärung (Spanien, LOCAL VERTICALIS, 18.09.2024)

Der Link zur vermeintlichen Datenschutzerklärung des spanischen Unternehmens LOCAL VERTICALIS führte nicht auf eine eigene Datenschutzerklärung, sondern zu der eines anderen, unabhängigen Unternehmens. Infolge der Beschwerde einer Privatperson verhängte die Datenschutzbehörde dafür ein Bußgeld von 10.000 Euro.

• 947.445 Euro wegen fehlender Information über Datenverlust (Polen, mBank, 09.09.2024)

Ein Mitarbeiter der polnischen mBank versandte versehentlich Kundendaten an ein anderes Finanzinstitut, wo der der Brief geöffnet und anschließend zurückgesendet wurde. Die betroffenen Personen wurden über diesen Vorfall nicht informiert. Dieser Verstoß gegen Art. 34 DSGVO wurde mit einem Bußgeld von umgerechnet 947.445 EUR geahndet.

---

August 2024

• 3.261.204 Mio. Euro Bußgeld wegen unberechtigter Datenübermittlung an Meta (Schweden, Apoteket AB, 30.08.2024)

Das Unternehmen Apoteket hatte auf seiner Webseite sogenannte Meta-Pixel implementiert, welche Nutzer-Informationen sammelten und an Meta weiterleiteten. Zwar geschah dies unbeabsichtigt und wurde durch die Aktivierung einer Unterfunktion ausgelöst, dennoch war dies weder begründet noch rechtmäßig. Das Bußgeld wurde wegen eines Verstoßes gegen Art. 32 Abs.1 DSGVO verhängt.

• 100.000 Euro Bußgeld, da auf ein wiederholtes Auskunftsersuchen nicht reagiert wurde (Belgien, Telekommunikationsunternehmen, 23.08.2024)

Eine Privatperson hatte Verträge mit einem Telekommunikationsunternehmen abgeschlossen. Dieses nahm ungefragt Änderungen an den Verträgen vor, was auf menschliches Versagen zurückgeführt wurde. Als daraufhin die Privatperson keine Informationen über ihre gesammelten Daten erhielt, forderte sie die Kontaktinformationen des Datenschutzbeauftragten an. Diesen kannten die erreichten Support-Mitarbeiter jedoch nicht, gaben aber an, für die Auskunftserteilung zu sorgen. Nach mehreren Erinnerungen und einer Fristsetzung wurde der Vorfall schließlich der zuständigen Behörde gemeldet. Diese verhängte das Bußgeld wegen eines Verstoßes gegen Art. 15 DSGVO.

• 11.500 Euro wegen fehlender Löschung (Hamburg, Deutschland, 22.08.2024)

Die Hamburgische Datenschutzbehörde verhängte ein Bußgeld in Höhe von 11.500 Euro gegen ein Unternehmen aus der Werbewirtschaft. Dieses war den Löschpflichten des Art. 17 DSGVO nicht nachgekommen. Auch ein unzureichender Schutz der gesammelten Daten wurde festgestellt (Art. 25 DSGVO).

• 16.000 Euro Bußgeld wegen unrechtmäßiger Speicherung personenbezogener Daten (Deutschland, Hotel, 22.08.2024)

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit erließ das Bußgeld gegen ein Hotel, weil dieses Personalausweiskopien gespeichert hatte, ohne dass es dafür eine rechtliche Grundlage gab. Wegen Verstoßes gegen Art. 6 DSGVO wurde das Bußgeld in Höhe von 16.000 Euro verhängt.

• 6000 Euro Bußgeld wegen der verspäteten Meldung einer Datenpanne (Deutschland, Online-Händler, 22.08.2024)

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit verhängte in diesem Fall das Bußgeld gegen einen Online-Händler. Der Online-Händler hatte die Behörde mit erheblicher Verspätung über eine Datenpanne informiert und erhielt das Bußgeld wegen Verstoßes gegen Art. 33 Abs. 1 DSGVO.

• 32.000 Euro Bußgeld wegen einer fehlerhaften Entsorgung von Dokumenten (Deutschland, Logistikunternehmen, 22.08.2024)

Ein Logistikunternehmen musste wegen der fehlerhaften Entsorgung von Zustellerlisten ein Bußgeld von 32.000 Euro zahlen. Darin sah der der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit einen Verstoß gegen Art. 32 Abs. 1 DSGVO.

---

Juli 2024

• 220.000 Euro wegen unrechtmäßiger Verarbeitung (Niedersachsen, Deutschland, Kreditinstitut)

Der niedersächsische Landesdatenschutzbeauftragte verhängte im Juni gegen ein deutsches Kreditinstitut ein Bußgeld in Höhe von 220.000 Euro wegen eines Verstoßes gegen Art. 6 Abs. 1 lit. f DSGVO. Hier waren mittels Kundendaten Profile angelegt worden, die später zu Werbezwecken genutzt wurden. Eine solche zweckändernde Verarbeitung der Daten sei nicht mehr vom berechtigten Interesse des Kreditinstituts gedeckt gewesen.

• 5000 Euro Bußgeld wegen mangelnde Zusammenarbeit mit der Datenschutzbehörde (Frankreich, Rechtsanwalt, 30.07.2024)

Im Rahmen einer Untersuchung hatte eine französische Datenschutzbehörde Fragen an einen Rechtsanwalt gestellt. Dieser jedoch reagierte nicht auf die Anfragen der Datenschutzbehörde. Gemäß Art. 58 Abs. 2 DSGVO verhängte die Behörde wegen mangelnder Zusammenarbeit und mangelnder Erfüllung einer Aufforderung zur Löschung personenbezogener Daten daraufhin das Bußgeld.

• 70.000 Euro Bußgeld wegen der Weitergabe von Bankdaten an unberechtigte Dritte (Spanien, Banco Santander, 26.07.2024)

Die Banco Santander hatte fälschlicherweise gegen einen Hausbesitzer geklagt und eine sofortige Zahlung eines Hypotheken-Restbetrags gefordert, obwohl dieser erst 2040 fällig wird. Daraufhin legte die betroffene Person Beschwerde ein. Die Bank entschuldigte sich und gab zu, die personenbezogenen Daten durch menschliches Versagen weitergegeben zu haben. Die Strafe beträgt zwei Bußgelder von jeweils 50.000 EUR für den Verstoß gegen Art. 5 Abs. 1 lit. f) DSGVO sowie 20.000 EUR für den Verstoß gegen Art. 32 Abs. 1 DSGVO.

• 80.000 Euro Bußgeld wegen der Aufbewahrung von Arbeits-E-Mails über den angemessenen Zeitraum hinaus (Italien, Selectra, 17.07.2024)

Ein ehemaliger Mitarbeiter hatte entdeckt, dass seine Firmen-E-Mail nach dem Ende des Vertragsverhältnisses mit dem Unternehmen, für das er freischaffend tätig war, weiterhin aktiv war. Das Unternehmen Selectra hatte darüber hinaus ohne hinreichende Begründung auf die dort hinterlegten Mails zugegriffen. Selectra hatte die E-Mails zudem über den als angemessen geltenden Zeitraum hinaus aufbewahrt, weshalb das Bußgeld gemäß Art. 5 Abs. 1 lit. a DSGVO, Art. 5 Abs. 1 lit. c DSGVO, Art. 5 Abs. 1 lit. e DSGVO, Art. 13 DSGVO, Art. 88 DSGVO verhängt wurde.

• 600.000 Euro Bußgeld wegen der Verfolgung von Nutzern einer Webseite mit Tracking-Cookies ohne Einwilligung oder Information (Niederlande, AS Watson Health & Beauty Continental Europe, 16.07.2024)

Das Drogerie-Unternehmen AS Watson Health & Beauty Continental Europe hatte Besucher seiner Webseite Kruidvat.nl mit Tracking-Cookies verfolgt. Dafür jedoch war weder eine Einwilligung eingeholt worden, noch wurden Besucher über die Verfolgung ihrer Aktivitäten informiert. AS Watson sammelte so Standortdaten, besuchte Seiten, in den Warenkorb gelegte und gekaufte Produkte sowie angesehene Empfehlungen, um individuelle Nutzerprofile zu erstellen. Da es um Käufe von Drogerieprodukten ging, konnten Rückschlüsse auf Gesundheitsdaten gezogen werden. Die Datenschutzbehörde stellte fest, dass die Zustimmung zur Verwendung von Cookies standardmäßig aktiviert war und das Entfernen des Häkchens als kompliziert und umständlich bewertet wurde. Das Bußgeld wurde wegen Verstoßes gegen Art. 5 DSGVO sowie Art. 6 Abs. 1 lit. a DSGVO verhängt.