Bußgelder wegen Datenschutzverstößen nehmen europaweit zu und Unternehmen stehen zunehmend unter Druck, ihre Datenverarbeitungsprozesse zu überprüfen. In unserem Beitrag geben wir Ihnen einen Einblick in verhängte Bußgelder und zeigen auf, wie Sie Ihr Unternehmen mit unseren maßgeschneiderten Datenschutzpaketen schützen können. Lesen Sie weiter, um zu erfahren, warum präventive Maßnahmen heute wichtiger denn je sind.

Die nationalen Aufsichtsbehörden können oder müssen gegen Unternehmen nach der Datenschutz-Grundverordnung (DSGVO) Bußgelder für bestimmte Datenschutzverstöße verhängen. Dies wird auch in großem Umfang getan, denn unzählige Unternehmen verstoßen bewusst oder unbewusst gegen geltende Datenschutzbestimmungen. Die Verstöße sind dabei ganz unterschiedlich gelagert. Hier lauert oftmals der Fehlerteufel im Detail. Wir geben in diesem Beitrag fortlaufend einen Überblick mit aktuellen Informationen zu verhängten Bußgeldern.

Dank unserer Expertise im Datenschutzrecht können Sie die digitale Welt für Ihr Unternehmen voll ausschöpfen. Konzentrieren Sie sich auf die Stärken Ihrer Branche und wir von WBS.LEGAL kümmern uns um darum, dass Sie dies tun können, ohne dabei die Vertraulichkeit und Sicherheit der Daten zu beeinträchtigen. Dank unserer maßgeschneiderten Datenschutzpakete fahren Sie künftig in sicheren Bahnen und setzen sich nicht der Gefahr von hohen Bußgeldern aus.



Neu für Unternehmen 🔥

Rundum-Datenschutz im Abo

Vermeiden Sie hohe Datenschutz-Bußgelder & Abmahnungen.
Mit unseren Datenschutz-Paketen ab 711 € mtl.

✓ Rechtssicherheit
✓ Abmahnschutz
✓ Persönliche Betreuung im Ernstfall

Die Anforderungen an den Datenschutz wechseln ständig: Hochautomatisierte Abmahnkanzleien spüren bestehende Datenschutzlücken in Sekunden auf und strafen Sie mit saftigen Bußgeldern ab! Bleiben Sie mit dem wöchentlichen Datenschutz-Update unserer Datenschutzpakete immer einen Schritt voraus. Mit dem Abmahnkostenschutz bieten wir Ihnen nicht nur Sicherheit, sondern auch die Gewissheit, dass Sie im Falle einer Abmahnung nicht allein sind.


Bußgelder bis 20 Millionen Euro bei DSGVO-Verstoß

Verhängte Bußgelder wegen Datenschutzverstößen müssen in jedem Einzelfall wirksam, verhältnismäßig und abschreckend sein. Bei der Entscheidung über Sanktionen steht den Aufsichtsbehörden ein gesetzlicher Kriterienkatalog zur Verfügung, dessen Punkte in die Entscheidung einfließen müssen. Faktoren wie die Vorsätzlichkeit des Verstoßes, das Versäumnis, Maßnahmen zur Schadensminderung zu ergreifen, oder eine fehlende Zusammenarbeit mit der Aufsichtsbehörde wirken straferhöhend.

Besonders gravierende Verstöße, die in Art. 83 Abs. 5 DSGVO aufgeführt sind, können mit Geldbußen von bis zu 20 Millionen Euro oder bis zu 4 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres belegt werden, je nachdem, welcher Betrag höher ist. Auch weniger gewichtige Verstöße (Art. 83 Abs. 4 DSGVO) können Geldbußen von bis zu 10 Millionen Euro oder bis zu 2 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres nach sich ziehen, je nachdem, welcher Betrag höher ist.

In Deutschland verhängte Bußgelder werden selten veröffentlicht, im Gegensatz zu Bußgeldern gegen weltweit bekannte Unternehmen. Deutsche Datenschutzbehörden sind nicht verpflichtet, Bußgelder öffentlich zu machen, weshalb nur besonders hohe Bußgelder gelegentlich in Pressemitteilungen oder Jahresberichten erwähnt werden. Diese mangelnde Transparenz erschwert es, die Bußgelder nachzuvollziehen und darüber zu berichten. Jahresberichte der Behörden erscheinen oft erst Mitte oder Ende des Folgejahres und sind dann oft nicht mehr aktuell. Dennoch sollten Unternehmen nicht annehmen, dass sie sicher sind; umfassender Datenschutz und rechtliche Absicherung sind unerlässlich. Deutschland verhängt häufig Bußgelder, teils häufiger als andere EU-Länder, aber die Transparenz ist geringer.

Verhängte Bußgelder gegen Unternehmen wegen Datenschutz-Verstößen

Der allgemeine Rahmen der Ahndungen fällt im gesamten EU-Gebiet ähnlich aus. Für einen besseren Eindruck der gängigen Praxis folgt ein Überblick über einige verhängte Bußgelder aus jüngerer Vergangenheit:


Dezember 2024

  • 17.366 Euro wegen der unrechtmäßigen Datenverarbeitung durch Kameraüberwachung sowie mangelnder Information der Anwohner (Schweden, Granit Bostad Beritsholm, 12.12.2024)

Die schwedische Datenschutzbehörde untersuchte das Vermietungsunternehmen Granit Bostad Beritsholm. Dieses hatte in den Fluren, Gemeinschaftsräumen sowie an Treppenhaus- und Kellereingängen mehrerer Gebäude Kameras installiert. Die IMY stellte fest, dass es für die Bewohner nahezu unmöglich war, der Überwachung zu entgehen. Laut der Behörde fehlte eine angemessene Interessenabwägung durch das Unternehmen, und die Bewohner wurden nicht ausreichend über die Videoüberwachung informiert.

  • 145.528 Euro Bußgeld wegen der Durchführung von fast 167 Tsd. Werbeanrufen ohne Zustimmung der Angerufenen (England, Money Bubble Ltd., 12.12.2024)

Das britische Information Commissioner’s Office (ICO) nahm Money Bubble Ltd. ins Visier, nachdem das Unternehmen zwischen Oktober und November 2022 insgesamt 168.852 Spam-Anrufe durchgeführt hatte. Dabei stellte sich heraus, dass keine der angerufenen Personen der werblichen Kontaktaufnahme zugestimmt hatte.

  • 50 Millionen Euro Bußgeld wegen der Anzeige von Werbeanzeigen zwischen E-Mails in einem Nachrichtendienst ohne Einwilligung (Frankreich, Orange, 10.12.2024)

Die französische Datenschutzbehörde CNIL verhängte eine Strafe gegen ORANGE. Das Unternehmen platzierte im E-Mail-Dienst „Mail Orange“ zwischen den E-Mails Werbeanzeigen, die diesen optisch ähnelten – ohne Zustimmung der Nutzer. Zudem stellte die Untersuchung fest, dass ORANGE Cookies trotz widerrufener Einwilligung weiterhin auslas, sofern diese bereits gespeichert waren. Neben einem Bußgeld von 50 Mio. EUR erließ die CNIL eine Anordnung: Sollte ORANGE das Auslesen von Cookies nach einem Widerruf nicht innerhalb von drei Monaten ab dem 14. November 2024 einstellen, drohen tägliche Strafzahlungen von 100.000 EUR.

  • 40.000 Euro wegen mangelhafter Sicherheitsmaßnahmen sowie der verspäteten Information relevanter Behörden über den Sicherheitsvorfall (Irland, Maynooth University, 06.12.2024)

Die irische Datenschutzbehörde untersuchte einen Vorfall an der Maynooth University, bei dem 2018 mehrere E-Mail-Konten durch einen Angriff kompromittiert wurden. Dabei stellte sich heraus, dass die technischen und organisatorischen Schutzmaßnahmen der Universität unzureichend waren. Zudem meldete die Universität den Vorfall nicht innerhalb der vorgeschriebenen 72 Stunden. Das Bußgeld wurde aufgrund von Verstößen gegen Art. 5 Abs. 1 lit. f DSGVO, Art. 32 DSGVO sowie gegen Art. 33 Abs. 1 DSGVO verhängt.

  • 3997 Euro wegen fehlender Sicherheitsmaßnahmen zum Schutz verarbeiteter Daten (Rumänien, Rompetrol Downstream, 28.11.2024)

Die rumänische Datenschutzbehörde reagierte auf eine Meldung von Rompetrol Downstream zu Phishing-E-Mails. Das Unternehmen hatte das Passwort für ein E-Mail-Konto, das nur einer juristischen Person zugänglich sein sollte, mehreren Mitarbeitenden zugänglich gemacht. Dadurch konnte unbefugter Zugriff auf das Konto erfolgen, über das personenbezogene Daten abgerufen wurden. Die verantwortliche rumänische Behörde stellte fest, dass Rompetrol Downstream keine ausreichenden technischen und organisatorischen Maßnahmen zum Schutz der verarbeiteten Daten ergriffen hatte.

  • 56.000 Euro wegen fehlender Folgenabschätzung für Verarbeitungstätigkeiten sowie unrechtmäßiger Datenverarbeitung (Griechenland, Vouliagmeni Maritimi Group, 18.11.2024)

Die griechische Datenschutzbehörde hat eine Untersuchung gegen die Vouliagmeni Maritime Group eingeleitet. Das Unternehmen hatte am Eingang seines Geländes biometrische Daten von Besuchern erfasst, ohne jedoch eine Folgenabschätzung für diese Datenverarbeitung durchzuführen. Die Behörde betrachtete dies als unrechtmäßig.

Das verhängte Bußgeld setzt sich aus mehreren Strafen zusammen: 28.000 Euro wegen eines Verstoßes gegen Art. 5 Abs. 1 lit. a DSGVO, 14.000 Euro aufgrund eines Verstoßes gegen Art. 35 DSGVO und 14.000 Euro wegen eines Verstoßes gegen Art. 38 Abs. 3 DSGVO.

  • 5 Millionen Euro wegen rechtswidriger Verarbeitung von Ortungsdaten von 35 Tausend Fahrern (Italien, Foodinho, 13.11.2024)

Die italienische Datenschutzbehörde GPDP hat eine Untersuchung gegen Foodinho eingeleitet, einen Anbieter innerhalb der Glovo-Gruppe. Anlass war ein Bericht über die Deaktivierung des Kontos eines Lieferanten nach einem tödlichen Unfall.

Die Behörde stellte fest, dass Foodinho personenbezogene Daten von rund 35.000 registrierten Fahrern unrechtmäßig verarbeitete. Besonders problematisch war, dass das Unternehmen GPS-Daten von Fahrern auch dann speicherte, wenn diese nicht aktiv eine Lieferung durchführten – und dies bis August 2023. Diese Daten wurden dann an Drittunternehmen weitergegeben.

Infolge dieser Verstöße erließ die Datenschutzbehörde ein Verbot der weiteren Datenverarbeitung durch Foodinho. Zudem muss das Unternehmen bereits gespeicherte Daten innerhalb von 30 Tagen löschen und seine Verarbeitungstätigkeiten an die geltenden Datenschutzvorgaben anpassen.

  • 200.000 Euro wegen des Verkaufs einer zusätzlicher Kunden-SIM-Karte an betrügerische Dritte (Spanien, Vodafone, 6.11.2024)

VODAFONE ESPAÑA hatte eine SIM-Karte, die zu einem bestehenden Vertrag gehörte, an kriminelle Dritte verkauft hatte, ohne zuvor die Identität des Käufers ordnungsgemäß zu überprüfen. Die Betrüger konnten so auf persönliche Informationen, einschließlich Finanzdaten, zugreifen. Vodafone reagierte auf die Anfrage zur Aufklärung des Vorfalls unzureichend. Das Bußgeld wurde schließlich wegen eines Verstoßes gegen Art. 6 Abs. 1 DSGVO verhängt. Ein Einspruch wurde abgelehnt.

  • 12.000 Euro wegen Verwendung nicht notwendiger Cookies trotz Ablehnung durch Kunden (Spanien, Seat, 7.11.2024)

Die spanische Datenschutzbehörde prüfte die Webseite von Seat hinsichtlich der Einhaltung von Cookie-Richtlinien. Die Untersuchung ergab, dass die Webseite auch dann nicht notwendige Cookies setzte, wenn Nutzer diese abgelehnt hatten. Dies betraf auch Cookies von Drittanbietern. Wurde der Browser-Verlauf gelöscht, platzierte die Webseite die gleichen Cookies erneut, ohne eine erneute Zustimmung einzuholen. Das anfängliche Bußgeld von 20.000 EUR wurde nach einem Schuldeingeständnis und freiwilliger Zahlung auf 12.000 EUR reduziert.

  • 6,5 Millionen Euro wegen mangelhafter Schutzmaßnahmen, die einen Ransomware-Angriff ermöglichten (Spanien, The Phone House Spain, 4.11.2024)

Die spanische Datenschutzbehörde reagierte auf eine Meldung von The Phone House Spain, nachdem das Unternehmen 2021 Opfer eines Ransomware-Angriffs der Babuk-Gruppe wurde. Dabei wurden personenbezogene Daten von 13 Millionen Menschen abgegriffen und veröffentlicht. Die Untersuchung ergab, dass „The Phone House Spain“ seine technischen und organisatorischen Maßnahmen zum Schutz der Daten nicht rechtzeitig aktualisiert hatte. Obwohl Maßnahmen bereits 2018 geplant waren, wurden sie nie umgesetzt. Aufgrund der hohen Anzahl der Betroffenen und der umfangreichen Datenverarbeitung wurde der Vorfall als besonders schwerwiegend eingestuft. Die Strafe umfasst zwei Bußgelder von jeweils 4 Millionen Euro und 2,5 Millionen Euro. Ein Einspruch gegen das Urteil wurde abgelehnt.


Oktober 2024

  • 2000 Euro wegen Videoüberwachung ohne Einwilligung (Spanien, Privatperson, 30.10.2024)

Auf dem Gelände eines Reitclubs war eine Kamera installiert, die das Kommen und Gehen u.a. von Minderjährigen und behinderten Personen erfasste, ohne das es hierfür eine Genehmigung gegeben hätte. Wegen einer Verletzung des Art. 6 Abs. 1 DSGVO wurde ein Bußgeld von 2000 Euro verhängt. Es zeigt, dass nicht nur „Big Player“ Strafen fürchten müssen, sondern auch schnell Privatpersonen ins Visier geraten können.

  • 20.987 Euro wegen der Veröffentlichung personenbezogener Daten von Minderjährigen im öffentlichen Postregister (Norwegen, Gemeinde Grue, 29.10.2024)

Im öffentlichen Postregister der Gemeinde Grue waren einige Entscheidungen nach dem norwegischen Bildungsgesetz abrufbar gewesen, die personenbezogene Daten von 14 minderjährigen Schülern enthielten. Darunter befanden sich Namen, Geburtsdaten, Sozialversicherungsnummern und Begründungen. Auch Telefonnummern und Anschriften ihrer Erziehungsberechtigten waren einsehbar. Wegen Verstößen gegen Art. 6 Abs. 1 DSGVO, Art. 9 Abs. 2 DSGVO, Art. 24 DSGVO sowie Art. 32 DSGVO, wurde das Bußgeld verhängt.

  • 250.000 Euro wegen systematischer Aufzeichnung von Kundentelefonaten sowie unerlaubt langer Datenspeicherung (Frankreich, Cosmospace, 10.10.2024)

Die französische Datenschutzbehörde untersuchte die kooperierenden Unternehmen Cosmospace und Telemaque. Cosmospace, ein Anbieter für hellseherische Tätigkeiten zeichnete systematisch alle Telefongespräche mit Kunden auf, bei denen oft sensible Informationen preisgegeben wurden, wie Religionszugehörigkeit oder sexuelle Orientierung. Zudem speicherte Cosmospace die Daten der Kunden über sechs Jahre, obwohl nur drei Jahre zulässig sind. Auch die Einwilligungserklärungen der Kunden waren unklar, da nicht ersichtlich war, dass sowohl Cosmospace als auch Telemaque auf die Datenbanken zugreifen konnten. Daher wurde aufgrund eines Verstoßes gegen Art. 5 Abs. 1 lit. e DSGVO sowie gegen Art. 9 DSGVO ein Bußgeld von 250.000 Euro gegen Cosmospace verhängt.

  • 150.000 Euro wegen unerlaubt langer Datenspeicherung sowie wegen unzureichender Information über Datenverarbeitung (Frankreich, Telemaque, 10.10.2024)

Siehe vorherigen Fall (Cosmospace). Auch gegen Telemaque wurde eine Geldbuße verhängt. Die 150.000 Euro wurden verhängt, da systematisch Gespräche mit sensiblen Informationen aufgezeichnet wurden, diese erheblich zu lange gespeichert wurden (6 Jahre). Zudem waren die von Kunden zu unterzeichnenden Einwilligungserklärungen nicht eindeutig genug. Aufgrund von Verstößen gegen Art. 5 Abs. 1 lit. e DSGVO sowie gegen Art. 9 DSGVO wurde das Bußgeld entsprechend gegen Telemaque verhängt.

  • 50.000 Euro wegen unerlaubter Werbung (Spanien, Santander, 10.10.2024)

Nach der Beschwerde eines Betroffenen ermittelte die spanische Datenschutzbehörde wegen unerlaubter Werbemails von SANTANDER CONSUMER. Er hatte die Werbemail erhalten, obwohl diese vorher explizit abgelehnt worden war. Die Behörde verhängte für den zugrundeliegenden Mitarbeiterfehler ein Bußgeld von 50.000 Euro.

  • 1.999 Euro wegen GPS-Überwachung in Firmenwagen und der Speicherung der so gesammelten Daten über 6 Monate (Rumänien, Global Ports’s Services, 2.10.2024)

Ein ehemaliger Mitarbeiter des Unternehmens hatte nach seinem Ausscheiden aus dem Unternehmen festgestellt, dass Global Ports’s Services in den von seinen Mitarbeitenden genutzten Firmenwagen GPS-Überwachungsgeräte installiert hatte, über deren Existenz er zuvor nicht informiert worden war. Darüber hinaus speicherte das Unternehmen die so erhobenen Ortungsdaten weit über 30 Tage, teils sogar sechs Monate lang. Hierfür sah die Behörde keinen Grund und verhängte entsprechend das Bußgeld. Es wurden Verstöße gegen Art. 5 Abs. 1 lit. a DSGVO, Art. 5 Abs. 1 lit. c DSGVO, Art. 5 Abs. 1 lit. e DSGVO, Art. 5 Abs. 2 DSGVO, Art. 6 DSGVO, Art. 12 DSGVO, Art. 13 DSGVO, Art. 14 DSGVO geahndet.


September 2024

  • 200.000 Euro wegen fehlender Software-Aktualisierung (Spanien, HM HOSPITALES, 30.09.2024)

Gegen die spanische Krankenhausgruppe HM HOSPITALES 1989 verhängte die dortige Datenschutzbehörde ein Bußgeld in Höhe von 200.000 Euro. Grund dafür war die Beschwerde eines Software-Entwicklers, dessen Software von HM zwar verwendet, aber nicht hinreichend aktualisiert wurde. Darin sah die Behörde einen Verstoß gegen Art. 32 DSGVO (Sicherheit der Datenverarbeitung).

  • 1.999  Euro wegen Ignorieren von Löschungsanfrage (Rumänien, PPC ENERGIE MUNTENIA, 23.09.2024)

Weil PPC ENERGIE MUNTENIA auf die Löschungsanfrage einer Privatperson nicht reagierte, verhängte die Datenschutzbehörde ein Bußgeld in Höhe von 1.999 Euro. Hier lag ein Verstoß gegen Art. 12 und 17 DSGVO („Recht auf Vergessenwerden“) vor.

  • 10.000 Euro wegen fehlender Datenschutzerklärung (Spanien, LOCAL VERTICALIS, 18.09.2024)

Der Link zur vermeintlichen Datenschutzerklärung des spanischen Unternehmens LOCAL VERTICALIS führte nicht auf eine eigene Datenschutzerklärung, sondern zu der eines anderen, unabhängigen Unternehmens. Infolge der Beschwerde einer Privatperson verhängte die Datenschutzbehörde dafür ein Bußgeld von 10.000 Euro.

  • 947.445 Euro wegen fehlender Information über Datenverlust (Polen, mBank, 09.09.2024)

Ein Mitarbeiter der polnischen mBank versandte versehentlich Kundendaten an ein anderes Finanzinstitut, wo der der Brief geöffnet und anschließend zurückgesendet wurde. Die betroffenen Personen wurden über diesen Vorfall nicht informiert. Dieser Verstoß gegen Art. 34 DSGVO wurde mit einem Bußgeld von umgerechnet 947.445 EUR geahndet.



Neu für Unternehmen 🔥

Rundum-Datenschutz im Abo

Vermeiden Sie hohe Datenschutz-Bußgelder & Abmahnungen.
Mit unseren Datenschutz-Paketen ab 711 € mtl.

✓ Rechtssicherheit
✓ Abmahnschutz
✓ Persönliche Betreuung im Ernstfall

Die Anforderungen an den Datenschutz wechseln ständig: Hochautomatisierte Abmahnkanzleien spüren bestehende Datenschutzlücken in Sekunden auf und strafen Sie mit saftigen Bußgeldern ab! Bleiben Sie mit dem wöchentlichen Datenschutz-Update unserer Datenschutzpakete immer einen Schritt voraus. Mit dem Abmahnkostenschutz bieten wir Ihnen nicht nur Sicherheit, sondern auch die Gewissheit, dass Sie im Falle einer Abmahnung nicht allein sind.

August 2024

  • 3.261.204 Mio. Euro Bußgeld wegen unberechtigter Datenübermittlung an Meta (Schweden, Apoteket AB, 30.08.2024)

Das Unternehmen Apoteket hatte auf seiner Webseite sogenannte Meta-Pixel implementiert, welche Nutzer-Informationen sammelten und an Meta weiterleiteten. Zwar geschah dies unbeabsichtigt und wurde durch die Aktivierung einer Unterfunktion ausgelöst, dennoch war dies weder begründet noch rechtmäßig. Das Bußgeld wurde wegen eines Verstoßes gegen Art. 32 Abs.1 DSGVO verhängt.

  • 100.000 Euro Bußgeld, da auf ein wiederholtes Auskunftsersuchen nicht reagiert wurde (Belgien, Telekommunikationsunternehmen, 23.08.2024)

Eine Privatperson hatte Verträge mit einem Telekommunikationsunternehmen abgeschlossen. Dieses nahm ungefragt Änderungen an den Verträgen vor, was auf menschliches Versagen zurückgeführt wurde. Als daraufhin die Privatperson keine Informationen über ihre gesammelten Daten erhielt, forderte sie die Kontaktinformationen des Datenschutzbeauftragten an. Diesen kannten die erreichten Support-Mitarbeiter jedoch nicht, gaben aber an, für die Auskunftserteilung zu sorgen. Nach mehreren Erinnerungen und einer Fristsetzung wurde der Vorfall schließlich der zuständigen Behörde gemeldet. Diese verhängte das Bußgeld wegen eines Verstoßes gegen Art. 15 DSGVO.

  • 11.500 Euro wegen fehlender Löschung (Hamburg, Deutschland, 22.08.2024)

Die Hamburgische Datenschutzbehörde verhängte ein Bußgeld in Höhe von 11.500 Euro gegen ein Unternehmen aus der Werbewirtschaft. Dieses war den Löschpflichten des Art. 17 DSGVO nicht nachgekommen. Auch ein unzureichender Schutz der gesammelten Daten wurde festgestellt (Art. 25 DSGVO).

  • 16.000 Euro Bußgeld wegen unrechtmäßiger Speicherung personenbezogener Daten (Deutschland, Hotel, 22.08.2024)

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit erließ das Bußgeld gegen ein Hotel, weil dieses Personalausweiskopien gespeichert hatte, ohne dass es dafür eine rechtliche Grundlage gab. Wegen Verstoßes gegen Art. 6 DSGVO wurde das Bußgeld in Höhe von 16.000 Euro verhängt.

  • 6000 Euro Bußgeld wegen der verspäteten Meldung einer Datenpanne (Deutschland, Online-Händler, 22.08.2024)

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit verhängte in diesem Fall das Bußgeld gegen einen Online-Händler. Der Online-Händler hatte die Behörde mit erheblicher Verspätung über eine Datenpanne informiert und erhielt das Bußgeld wegen Verstoßes gegen Art. 33 Abs. 1 DSGVO.

  • 32.000 Euro Bußgeld wegen einer fehlerhaften Entsorgung von Dokumenten (Deutschland, Logistikunternehmen, 22.08.2024)

Ein Logistikunternehmen musste wegen der fehlerhaften Entsorgung von Zustellerlisten ein Bußgeld von 32.000 Euro zahlen. Darin sah der der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit einen Verstoß gegen Art. 32 Abs. 1 DSGVO.


Juli 2024

  • 220.000 Euro wegen unrechtmäßiger Verarbeitung (Niedersachsen, Deutschland, Kreditinstitut)

Der niedersächsische Landesdatenschutzbeauftragte verhängte im Juni gegen ein deutsches Kreditinstitut ein Bußgeld in Höhe von 220.000 Euro wegen eines Verstoßes gegen Art. 6 Abs. 1 lit. f DSGVO. Hier waren mittels Kundendaten Profile angelegt worden, die später zu Werbezwecken genutzt wurden. Eine solche zweckändernde Verarbeitung der Daten sei nicht mehr vom berechtigten Interesse des Kreditinstituts gedeckt gewesen.

  • 5000 Euro Bußgeld wegen mangelnde Zusammenarbeit mit der Datenschutzbehörde (Frankreich, Rechtsanwalt, 30.07.2024)

Im Rahmen einer Untersuchung hatte eine französische Datenschutzbehörde Fragen an einen Rechtsanwalt gestellt. Dieser jedoch reagierte nicht auf die Anfragen der Datenschutzbehörde. Gemäß Art. 58 Abs. 2 DSGVO verhängte die Behörde wegen mangelnder Zusammenarbeit und mangelnder Erfüllung einer Aufforderung zur Löschung personenbezogener Daten daraufhin das Bußgeld.

  • 70.000 Euro Bußgeld wegen der Weitergabe von Bankdaten an unberechtigte Dritte (Spanien, Banco Santander, 26.07.2024)

Die Banco Santander hatte fälschlicherweise gegen einen Hausbesitzer geklagt und eine sofortige Zahlung eines Hypotheken-Restbetrags gefordert, obwohl dieser erst 2040 fällig wird. Daraufhin legte die betroffene Person Beschwerde ein. Die Bank entschuldigte sich und gab zu, die personenbezogenen Daten durch menschliches Versagen weitergegeben zu haben. Die Strafe beträgt zwei Bußgelder von jeweils 50.000 EUR für den Verstoß gegen Art. 5 Abs. 1 lit. f) DSGVO sowie 20.000 EUR für den Verstoß gegen Art. 32 Abs. 1 DSGVO.

  • 80.000 Euro Bußgeld wegen der Aufbewahrung von Arbeits-E-Mails über den angemessenen Zeitraum hinaus (Italien, Selectra, 17.07.2024)

Ein ehemaliger Mitarbeiter hatte entdeckt, dass seine Firmen-E-Mail nach dem Ende des Vertragsverhältnisses mit dem Unternehmen, für das er freischaffend tätig war, weiterhin aktiv war. Das Unternehmen Selectra hatte darüber hinaus ohne hinreichende Begründung auf die dort hinterlegten Mails zugegriffen. Selectra hatte die E-Mails zudem über den als angemessen geltenden Zeitraum hinaus aufbewahrt, weshalb das Bußgeld gemäß Art. 5 Abs. 1 lit. a DSGVO, Art. 5 Abs. 1 lit. c DSGVO, Art. 5 Abs. 1 lit. e DSGVO, Art. 13 DSGVO, Art. 88 DSGVO verhängt wurde.

  • 600.000 Euro Bußgeld wegen der Verfolgung von Nutzern einer Webseite mit Tracking-Cookies ohne Einwilligung oder Information (Niederlande, AS Watson Health & Beauty Continental Europe, 16.07.2024)

Das Drogerie-Unternehmen AS Watson Health & Beauty Continental Europe hatte Besucher seiner Webseite Kruidvat.nl mit Tracking-Cookies verfolgt. Dafür jedoch war weder eine Einwilligung eingeholt worden, noch wurden Besucher über die Verfolgung ihrer Aktivitäten informiert. AS Watson sammelte so Standortdaten, besuchte Seiten, in den Warenkorb gelegte und gekaufte Produkte sowie angesehene Empfehlungen, um individuelle Nutzerprofile zu erstellen. Da es um Käufe von Drogerieprodukten ging, konnten Rückschlüsse auf Gesundheitsdaten gezogen werden. Die Datenschutzbehörde stellte fest, dass die Zustimmung zur Verwendung von Cookies standardmäßig aktiviert war und das Entfernen des Häkchens als kompliziert und umständlich bewertet wurde. Das Bußgeld wurde wegen Verstoßes gegen Art. 5 DSGVO sowie Art. 6 Abs. 1 lit. a DSGVO verhängt.