GDPR verhängt bisher Geldbußen
Zum Abschluss von 2019 bleibt festzustellen, dass Dynamik bei Geldbußen aufgrund von Verstößen gegen die DSGVO zu genommen hat. Seit der Einführung der DS.GVO GDPR im Mai 2018 ist die Zahl der Meldungen über Datenschutzverletzungen massiv gestiegen und einige Meldungen haben zu erheblichen Geldbußen.
DSGVO Bußgelder in 2019
Im Jahr 2019 verzeichneten wir eine deutlich höhere Dynamik bei den verhängten DSGVO-Bußgelder.
Im Januar 2019 wurde Google von der französischen Datenaufsichtsbehörde CNIL wegen eines Verstoßes gegen die EU-Datenschutzbestimmungen mit einer Geldstrafe von 50 Millionen Euro belegt.
Im März 2019 setzte die dänische Datenschutzbehörde einem Taxiunternehmen eine Geldbuße in Höhe von 1,2 Millionen DKK auf und die polnische Aufsichtsbehörde verhängte eine Geldbuße in Höhe von 220.000 Euro für die illegales Datensammeln.
Im April verhängte die Nationale Aufsichtsbehörde Rumäniens eine Geldstrafe in Höhe von 146.000 USD gegen die Unicredit Bank S.A., weil sie in Ihrer Landgesellschaft keine geeigneten technischen und organisatorischen Maßnahmen getroffen hatte.
Im Mai 2019 verhängte die litauische staatliche Datenschutzbehörde gegen die MisterTango UAB ein Bußgeld in Höhe von 61.500 EUR.
Im Juni 2019 verhängte Spanien eine Geldstrafe von 250.000 Euro gegen die Fußballliga La Liga aufgrund der Überwachung von Fußballspielen bzgl. Piraterie und Frankreich legte der Immobiliengesellschaft Sergic eine Geldstrafe von 400.000 Euro für den Zugang zu ihren Websites ohne Benutzerauthentifizierung auf.
Im Juli 2019 wurden einige der bisher größten Geldbußen seit Einführung der DSGVO verhängt.
Die britische Datenschutzaufsichtsbehörde (ICO) verhängte Geldbußen an British Airways in Höhe von 183,4 Millionen Pfund (230 Millionen Pfund) und an Marriott-Hotels in Höhe von 99,2 Millionen Pfund (124 Millionen Pfund) wegen Verstößen gegen die Datenschutzbestimmungen. Die Sanktionen waren die beiden größten, die bisher im Rahmen der DSGVO verhängt wurden.
Ebenfalls im Juli verhängten die Niederlande eine Geldstrafe von 460.000 Euro gegen ein niederländisches Krankenhaus wegen laxer Kontrollen von Patientenakten. Darüber erließ auch die französische CNIL eine Geldbuße in Höhe von 180 000 Euro gegen das Unternehmen ACTIVE INSURANCES, da es die Daten der Nutzer seiner Website nur unzureichend geschützt hat.
Im August 2019 erhielt ein polnischer Einzelhändler eine Geldstrafe von 645.000 Euro wegen “unzureichender organisatorischer und technischer Garantien” aufgrund der DSGVO.
Ebenfalls im August wurde ein schwedisches Schulamt wegen der Verwendung der Gesichtserkennung für den Schulappell in den Klassen bestraft.
DSGVO Bußgelder 2018
Nur wenige Monate nach Inkrafttreten von GDPR verhängte die portugiesische Aufsichtsbehörde (“CNPD”) am 17. Juli 2018 eine Geldstrafe in Höhe von 400.000 Euro gegen ein Krankenhaus wegen eines Verstoßes gegen die DSGVO.
Als im Oktober 2018 die österreichische Datenschutzbehörde (DSB) einem kleinen Unternehmen eine Geldstrafe von 4.800 Euro für die rechtswidrige Installation einer CCTV-Kamera auferlegte, die auch den öffentlichen Raum vor dem Unternehmen aufnahm, zeigte sich erstmal, dass auch kleine Unternehmen betroffen sind.
Im November 2018 wurde eine deutsche Social-Media-Plattform namens Knuddels.de mit einer Geldstrafe von 20.000 Euro belegt, nachdem eine Verletzung die personenbezogenen Daten von 330.000 Nutzern, einschließlich ihrer Passwörter und E-Mail-Adressen, offengelegt hatte. Die geringe Höhe des Bußgeldes lag vor allem an der kooperativen Zusammenarbeit und massiven Investitionen in den Datenschutz durch die Verantwortlichen.
DSGVO Geldbußen gewinnen im dritten Quartal an Dynamik
Am 16. Oktober 2019 hat das gemeinsame Organ der deutschen Datenschutzbehörden, die Datenschutzkonferenz (DSK), das Modell veröffentlicht, nach dem sie gemäß Artikel 83 DSGVO Bußgelder berechnen will.
Im Oktober gab es auch das erste Bußgeld in Höhe von mehreren Millionen Dollar in Deutschland, als die Berliner Beauftragte für Datenschutz und Informationsfreiheit bekannt gab, dass die Deutsche Wohnen AG eine Strafe von 14,5 Millionen Euro zahlen müsse, weil sie kein angemessenes Löschkonzept für die Mieterdatennachweisen konnte.
Am 25. Oktober hat die spanische Datenschutzbehörde gegen Vodafone Spain eine Geldstrafe von 35.000 Euro wegen unzureichender Rechtsgrundlagen für die Datenverarbeitung verhängt.
Am 31. Oktober verhängten die Niederlande eine Geldstrafe von 900.000 Euro gegen den niederländischen Mitarbeiterversicherer UWV wegen unzureichender Sicherheit des Online-Mitarbeiterportals.
Im Oktober 2019 erklärte sich Facebook bereit, die vom ICO im Juli 2018 angekündigte Geldstrafe im Zusammenhang mit den Datenschutzverletzungen von Cambridge Analytica im Jahr 2015 zu zahlen. Da das Maßnahme vor der Einführung der DSGVO festgesetzt wurde, betrug die höchstmögliche Geldbuße, die das ICO erheben könnte, 500.000 £. Wären die Verstöße nach Mai 2018 erfolgt, hätte die potenzielle Geldstrafe deutlich höher ausfallen können – nämlich bis zu 4% des Jahresumsatzes von Facebook.
Im November verhängte die rumänische Nationale Aufsichtsbehörde für die Verarbeitung personenbezogener Daten Geldbußen gegen vier Unternehmen:
- 2.500 EUR gegen den königlichen Präsidenten, weil er einen Antrag auf Zugang zu personenbezogenen Daten gemäß Artikel 15 des GDPR und der offenbarten personenbezogenen Daten ohne Zustimmung der betroffenen Personen abgelehnt hat.
- 80.000 Euro gegen die ING Bank N.V. Bukarest, weil sie im Rahmen der Abwicklung von Kartentransaktionen mit 225.525 Kunden keine geeigneten technischen und organisatorischen Maßnahmen für ein automatisiertes Datenverarbeitungssystem ergriffen hat.
- 11.000 Euro erhalten ein Kurierdienstunternehmen, weil es keine geeigneten technischen und organisatorischen Maßnahmen ergriffen hat, die zum Verlust und unbefugten Zugriff auf personenbezogene Daten von etwa 1.100 Betroffenen führen.
- 2.000 EUR gegen die BNP Paribas Personal Finance S.A. wegen Nichtbeachtung eines Löschungsantrags innerhalb der vom GDPR gesetzten Frist.
Im November hat die spanische Datenschutzbehörde (aepd) Geldbußen gegen eine Reihe von Unternehmen verhängt:
- 1.500 Euro Strafe an Cerrajero Online für die Sammlung von persönlichen Daten ohne ausreichende Rechtsgrundlage.
- 900 Euro Bußgeld an TOTO TECNICOS24H S.L. für die Erhebung personenbezogener Daten ohne ausreichende Rechtsgrundlage.
- 3.000 Euro Bußgeld an den Allgemeinen Bund der Arbeit für die Offenlegung persönlicher Daten in einem Mailing ohne Einwilligung.
- 30.000 Euro Bußgeld erneut Telefonica SA wegen Nichteinhaltung der allgemeinen Grundsätze der Datenverarbeitung.
- Xfera Moviles SA wurde wegen fehlender technischer und organisatorischer Maßnahmen (TOMs) zur Gewährleistung der Informationssicherheit mit einer Geldstrafe von 60.000 Euro belegt.
- Corporación radiotelevisión espanola wurde wegen fehlender technischer und organisatorischer Maßnahmen (TOMs) zur Gewährleistung der Informationssicherheit ebenfalls mit einer Geldstrafe von 60.000 Euro belegt.
Die belgische Datenschutzbehörde (APD) verhängte eine Geldstrafe von 5.000 Euro gegen einen Stadtrat und gegen einen Bürgermeister wegen des Versendens von Wahlsendungen ohne ausreichende Rechtsgrundlage.
Im November verhängte die französische CNIL gegen Futura Internationale die zweithöchste Strafe, 500.000 Euro, wegen unangemeldeter Anrufe, nachdem mehrere Beschwerdeführer unangemeldete Anrufe erhielten, obwohl sie dem Anrufer direkt und auf dem Postweg erklärt hatten, dass dies nicht gewollt sei, keine ordnungsgemäßen Datentransfer-Mechikanismen umgesetzt und nicht mit der CNIL zusammengearbeitet hatten.
Im Dezember wurde eine Reihe von Bußgeldern und Strafen verhängt, darunter eine der spanischen Datenschutzbehörde, die Ikea Iberica eine Geldstrafe von 10.000 Euro für die Installation von Cookies auf Mobilgeräten Ihrer Kunden ohne deren vorheriger Zustimmung auferlegte.
Am 3. Dezember verhängte die deutsche Datenschutzbehörde gegen ein Krankenhaus eine Geldbuße von 105.000 Euro wegen mehrerer Verstöße gegen die DSGVO im Zusammenhang mit einer Patientenverwechslung bei der Aufnahme des Patienten. Dabei wurden strukturelle technische und organisatorische Defizite im Patientenmanagement des Krankenhauses aufgedeckt.
Am 4. Dezember verhängte die rumänische Datenschutzbehörde eine Sanktion in Höhe von 20.000 Euro gegen eine Fluggesellschaft, weil diese keine geeigneten Maßnahmen ergriffen hat, um sicherzustellen, dass jede natürliche Person, die unter ihrer Aufsicht tätig ist, personenbezogene Daten gemäß ihren Anweisungen nach GDPR verarbeitet.
Am 9. Dezember hat der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), Ulrich Kelber, ein Bußgeld in Höhe von 9,5 Millionen € gegen den Telekommunikationsdienstleister 1&1 Telecom GmbH (1&1) verhäng, da dieses mutmaßlich seine Kundendaten nicht ausreichend schütze.
Verspätete Entscheidungen
Irlands Datenschutzaufsichtsbehörde, die Data Protection Commission (DPC), sollte im Dezember bekannt geben, ob WhatsApp gegen die DSGVO verstoßen hat, indem es seine Nutzer nicht klar genug darüber informiert hat, wie es ihre persönlichen Daten verwendet. Die Entscheidung wird nun voraussichtlich im Januar 2020 vorliegen.
Zusammenfassend lässt sich feststellen, dass sich im Rückblick auf die bisherigen Bußgelder nach DSGVO in diesem Jahr eine gewisse Dynamik entwickelt. Mit tausenden von Beschwerden in den letzten Monaten verspricht das Jahr 2020 sehr interessant zu werden, was die DSGVO-Bußgelder anbelangt.
Sorgen Sie sich um die Einhaltung der DSGVO-Richtlinien? Es ist noch nicht zu spät.
Kontaktieren Sie uns noch heute, um zu abzuklären, wie Sie im Jahr 2020 datenschutzkonform agieren können.