Bußgelder

Sie glauben Bußgeld, dass kann mir doch nicht passieren! Immerhin kann die Datenschutzbehörde mit ihrer Personalausstattung ein Unternehmen im Rahmen der normalen Prüfungstätigkeit nur alle 100 Jahre einmal prüfen!

Aber irren Sie sich mal nicht!
Wenn sich jemand über den Datenschutz bei Ihnen beschwert, dann muss die Datenschutzbehörde tätig werden. Die Gefahr, dass sich jemand beschwert steigt natürlich deutlich an, wenn man seine Pflichten aus dem Datenschutz nicht oder nur mangelhaft erfüllt. Sorgen Sie dafür, dass das nicht passiert! Wir helfen und unterstützen Sie gern dabei!

Bußgeldempfänger: AOK Baden-Würtemberg 

Bußgeldhöhe: 1.250.000,00 €

Die AOK Baden-Württemberg veranstaltete in den Jahren 2015 bis 2019 zu unterschiedlichen Gelegenheiten Gewinnspiele und erhob hierbei personenbezogene Daten der Teilnehmer, darunter deren Kontaktdaten und Krankenkassenzugehörigkeit. Dabei wollte die AOK die Daten der Gewinnspielteilnehmer auch zu Werbezwecken nutzen, sofern die Teilnehmer hierzu eingewilligt hatten. Mithilfe technischer und organisatorischer Maßnahmen, u. a. durch interne Richtlinien und Datenschutzschulungen, wollte die AOK hierbei sicherstellen, dass nur Daten solcher Gewinnspielteilnehmer zu Werbezwecken verwendet werden, die zuvor wirksam hierin eingewilligt hatten. Die von der AOK festgelegten Maßnahmen genügten jedoch nicht den gesetzlichen Anforderungen. In der Folge wurden die personenbezogenen Daten von mehr als 500 Gewinnspielteilnehmern ohne deren Einwilligung zu Werbezwecken verwendet. Versichertendaten waren hiervon nicht betroffen.

Bußgeldempfänger: H&M Hennes & Mauritz Online Shop A.B. & Co. KG 

Bußgeldhöhe: 35.258.708,00 €

Die Gesellschaft mit Sitz in Hamburg betreibt ein Servicecenter in Nürnberg. Mindestens seit dem Jahr 2014 kam es bei einem Teil der Beschäftigten zu umfangreichen Erfassungen privater Lebensumstände. Entsprechende Notizen wurden auf einem Netzlaufwerk dauerhaft gespeichert. Nach Urlaubs- und Krankheitsabwesenheiten – auch kurzer Art – führten die vorgesetzten Teamleader einen sogenannten Welcome Back Talk durch. Nach diesen Gesprächen wurden in etlichen Fällen nicht nur konkrete Urlaubserlebnisse der Beschäftigten festgehalten, sondern auch Krankheitssymptome und Diagnosen. Zusätzlich eigneten sich einige Vorgesetzte über Einzel- und Flurgespräche ein breites Wissen über das Privatleben ihrer Mitarbeitenden an, das von eher harmlosen Details bis zu familiären Problemen sowie religiösen Bekenntnissen reichte. Die Erkenntnisse wurden teilweise aufgezeichnet, digital gespeichert und waren mitunter für bis zu 50 weitere Führungskräfte im ganzen Haus lesbar. Die Aufzeichnungen wurden bisweilen mit einem hohen Detailgrad vorgenommen und im zeitlichen Verlauf fortgeschrieben. Die so erhobenen Daten wurden neben einer akribischen Auswertung der individuellen Arbeitsleistung u.a. genutzt, um ein Profil der Beschäftigten für Maßnahmen und Entscheidungen im Arbeitsverhältnis zu erhalten. Die Kombination aus der Ausforschung des Privatlebens und der laufenden Erfassung, welcher Tätigkeit sie jeweils nachgingen, führte zu einem besonders intensiven Eingriff in die Rechte der Betroffenen.

Bußgeldempfänger: Rapidata GmbH 

Bußgeldhöhe: 10.000,00 €

Das Unternehmen hatte keine hinreichenden technisch-organisatorischen Maßnahmen ergriffen, um zu verhindern, dass Unberechtigte bei der telefonischen Kundenbetreuung Auskünfte zu Kundendaten erhalten können.

 

Bußgeldempfänger: 1&1 Telecom GmbH 

Bußgeldhöhe:  900.000,00 €

Das Unternehmen hatte keine hinreichenden technisch-organisatorischen Maßnahmen ergriffen, um zu verhindern, dass Unberechtigte bei der telefonischen Kundenbetreuung Auskünfte zu Kundendaten erhalten können.
Anrufer konnten bei der Kundenbetreuung des Unternehmens allein schon durch Angabe des Namens und Geburtsdatums eines Kunden weitreichende Informationen zu weiteren personenbezogenen Kundendaten erhalten konnten.

Das Bußgeld wurde von der Datenschutzbehörde auf über 9 Mio. € festgelegt, aber durch das Gericht auf 900 T€ gesenkt.

 

Bußgeldempfänger: Universitätsklinik Mainz

Bußgeldhöhe:  105.000,00 €

Gegenüber der Universitätsklinik Mainz wurde das Bußgeld auf Grund der folgenden Datenschutzverstöße verhängt:

 
– nicht fachgerechte Entsorgung von Patientendaten
– vorübergehende externe Aufbewahrung von Dokumentationen
– Verletzung der Vertraulichkeit
– Auffinden von Behandlungsdokumentationen
– fehlerhafte Versendung von Patientendaten
– externe Zugriffsmöglichkeiten auf Patientendaten
– Diebstahl eines Mobil-Computers
– Patientendaten auf privaten IT-Systemen
– unbefugte Weiterleitung von E-Mails

 

Bußgeldempfänger: Deutsche Wohnen, Berlin

Bußgeldhöhe:  14.500.000,00 €

Bereits im Juni 2017 wurde festgestellt, dass das Unternehmen personenbezogene Daten von Mieterinnen und Mietern in einem Archivsystem gespeichert habe, bei dem nicht mehr erforderliche Daten nicht gelöscht werden konnten. Trotz Aufforderung habe sich an dem Zustand bis zu einer Untersuchung vor Ort im März dieses Jahres kaum etwas geändert.

 

Bußgeldempfänger: Delivery Hero Germany GmbH

Bußgeldhöhe:  195.407,00 €

Mit den Geldbußen ahndete die Berliner Datenschutzbeauftragte diverse datenschutzrechtliche Einzelverstöße des Unternehmens. Die Mehrzahl der Fälle betraf die Nichtachtung der Betroffenenrechte, wie das Recht auf Auskunft über die Verarbeitung der eigenen Daten, das Recht auf Löschung der Daten sowie das Recht auf Widerspruch.  

Nach den Feststellungen der Berliner Datenschutzbeauftragten hatte die Delivery Hero Germany GmbH in zehn Fällen Konten ehemaliger Kundinnen und Kunden nicht gelöscht, obwohl die Betroffenen jahrelang – in einem Fall sogar seit dem Jahr 2008 – nicht mehr auf der Lieferdienst-Plattform des Unternehmens aktiv gewesen waren. Acht ehemalige Kunden hatten sich darüber hinaus über unerwünschte Werbe-E-Mails des Unternehmens beschwert. Ein Geschädigter, der der Nutzung seiner Daten für Werbezwecke ausdrücklich widersprochen hatte, erhielt dennoch weitere 15 Werbe-E-Mails von dem Lieferdienst. In weiteren fünf Fällen erteilte das Unternehmen gegenüber den Beschwerdeführenden Personen die geforderten Selbstauskünfte nicht oder erst, nachdem die Berliner Datenschutzbeauftragte eingeschritten war.

 

Bußgeldempfänger: Privatperson, Merseburg

Bußgeldhöhe:  2.500,00 €

Eine Privatperson aus Merseburg sendete eine Wut-E-mail an hunderte Personen, wobei die E-Mailadressen offen im Verteiler sichtbar waren. Bei E-Mails an viele Personen sollten die Empfänger in BCC gesetzt werden, so sind diese für den Empfänger einer E-Mail nicht mehr zu sehen.

 

Bußgeldempfänger: Versandunternehmen Kolibri Image

Bußgeldhöhe:  5.250,00 €

Das Bußgeld wurde fällig, da das Unternehmen ein externes Unternehmen damit beauftragte personenbezogene Daten für sie zu verarbeiten ohne dass ein Vertrag zur Auftragsverarbeitung abgeschlossen wurde!

 

Bußgeldempfänger: Knuddels.de

Bußgeldhöhe:  20.000,00 €

Nach einem Hackerangriff auf das Unternehmen, bei dem umfangreiche personenbezogene Daten gestohlen wurden erhielt das Unternehmen das Bußgeld, da es keine ausrechenden technischen und organisatorische Maßnahmen implementiert hatte, um sich gegen Hackerangriffe zu schützen.

 

Bußgeldempfänger: Unbenannt, Hamburg

Bußgeldhöhe:  20.000,00 €

Ein Hamburger Unternehmen hat bei einer Datenpanne die Datenschutzbehörde zu spät und nicht ausreichend über die Datenpanne informiert.

Hinweis: Eine Datenpanne muss bis spätestens 72 Stunden nach Bekanntwerden der Datenpanne informiert werden!

 

Bußgeldempfänger: Unbenannt, Hamburg

Bußgeldhöhe:  20.000,00 €

 

Eine aktuelle Liste mit den wesentlichen Bußgeldern in Europa erhalten Sie auf der Internetseite GDPR Enforcement Tracker.

 

Mann mit Plakat
Banner GDD

 

Wir sind Mitglied des GDD, dem Berufsverband für Datenschutzbeauftragte.

Weitere Informationen finden Sie auf der Internetseite des GDD

WWW.GDD.de

Copyright 2019 - All Rights Reserved