Nachdem die irische Datenschutzbehörde DPC bereits im September ein Bußgeld in Höhe von 91 Millionen Euro gegen Meta verhängt hatte, legte sie im Oktober gegen LinkedIn nach: Das zu Microsoft gehörende Unternehmen muss 310 Millionen Euro wegen schwerwiegender Datenschutzverstöße zahlen. Besonders fleißig war im Oktober der Datenschutzbeauftragte des Vereinigten Königreichs: Seine Datenschutzbehörde ICO schaffte es gleich zweimal unter die Top 5 der DSGVO-Bußgelder.
1. LinkedIn Ireland: 310 Millionen Euro
Die irische Datenschutzkommission DPC (Data Protection Commission) hat gegen das zu Microsoft gehörende Business-Netzwerk LinkedIn mit Bescheid vom 22.10.2024 ein Bußgeld in Höhe von 310 Millionen Euro verhängt. Gegenstand der Untersuchung war die Verarbeitung personenbezogener Daten von LinkedIn-Nutzern für Verhaltensanalysen und zielgerichtete Werbung.
Die Untersuchung der DPC wurde am 20. August 2018 nach einer Beschwerde der französischen Non-Profit-Organisation La Quadrature Du Net eingeleitet. Die Beschwerde wurde zunächst bei der französischen Datenschutzbehörde CNIL eingereicht und anschließend der DPC in ihrer Rolle als federführende Aufsichtsbehörde für LinkedIn weitergeleitet.
Laut Mitteilung der DPC betraf die Untersuchung „die Rechtmäßigkeit, Fairness und Transparenz der Verarbeitung personenbezogener Daten von Nutzern der LinkedIn-Plattform zum Zwecke der Verhaltensanalyse und der gezielten Werbung“. Die DPC stellte dabei fest, dass es sich bei den betreffenden personenbezogenen Daten um Daten handelte, die LinkedIn direkt von seinen Mitgliedern zur Verfügung gestellt wurden (Daten von Erstanbietern), sowie um Daten, die LinkedIn über seine Drittpartner in Bezug auf seine Mitglieder gesammelt hatte (Daten von Drittanbietern).
Weitere Details zu dem Rekord-Bußgeld können Sie in unserem Extra-Artikel nachlesen: LinkedIn kassiert 310 Millionen Euro Geldstrafe
2. Police Service of Northern Ireland: 750.000 GPD (ca. 890.000 Euro)
Die britische Datenschutzbehörde Information Commissionar’s Office (ICO) verhängte eine Geldstrafe von 750.000 £ (umgerechnet rund 890.000 Euro) gegen die Polizeibehörde von Nordirland (PSNI) aufgrund eines erheblichen Datenschutzverstoßes. Am 8. August 2023 wurden versehentlich personenbezogene Daten von rund 9.500 PSNI-Mitarbeitern, einschließlich ihrer Dienstnummern, Abteilungen und Dienstorte, auf einer öffentlichen Website veröffentlicht. Diese Veröffentlichung stellte für die betroffenen Mitarbeiter, insbesondere für solche in geheimen und sicherheitsrelevanten Rollen, ein großes Risiko dar.
Der ICO stellte fest, dass die PSNI gegen mehrere Artikel der Datenschutz-Grundverordnung (UK GDPR) verstoßen hat, da die Behörde keine angemessenen technischen und organisatorischen Maßnahmen getroffen hatte, um die Sicherheit der Daten zu gewährleisten. Der Verstoß war auf Mängel in der internen Verwaltung und Schulung im Umgang mit sensiblen Daten zurückzuführen.
Trotz der von der PSNI nach dem Vorfall ergriffenen Maßnahmen, wie der Einrichtung eines Bedrohungsmanagements und der Verbesserung der internen Sicherheitsrichtlinien, entschied der ICO, dass eine Geldstrafe angemessen ist, um die Schwere des Verstoßes zu betonen und eine Abschreckung für ähnliche Organisationen zu schaffen.
Quelle: Bußgeldbescheid Information Commissioner’s Office (veröffentlicht am 3. Oktober 2024)
3. Cosmospace: 250.000 Euro UND Telemaque: 150.000 Euro
Die französische Datenschutzbehörde Commission Nationale de l’Informatique et des Libertés (CNIL) verhängte Geldstrafen gegen die Firmen Cosmospace (250.000 Euro) und Telemaque (150.000 Euro) wegen Datenschutzverletzungen im Zusammenhang mit ihren Wahrsagediensten. Bei einer Untersuchung im Jahr 2021 wurden mehrere Verstöße festgestellt:
Cosmospace zeichnete systematisch alle Gespräche zwischen Kunden und Wahrsagern auf, was laut CNIL übermäßig und unverhältnismäßig war. Die CNIL stellte fest, dass eine solche umfassende Aufzeichnung nicht notwendig war und nur auf bestimmte Gespräche zur Qualitätskontrolle beschränkt sein sollte.
Cosmospace und Telemaque bewahrten zudem die Kundendaten übermäßig lange auf. Cosmospace speicherte Daten sechs Jahre lang zur kommerziellen Nutzung, TelemaqueE tat dies ohne Einschränkung des Datenzugangs oder entsprechende Datenfilterung.
Die beiden Unternehmen sammelten außerdem sensible Daten wie Gesundheitsinformationen und sexuelle Orientierung ihrer Kunden, ohne eine explizite Zustimmung hierfür einzuholen.
Cosmospace versendete Werbenachrichten per SMS und E-Mail an Personen, ohne deren eindeutiges Einverständnis einzuholen. Die CNIL stellte fest, dass das Einverständnis nicht ordnungsgemäß über das Partnerunternehmen Telemaque eingeholt wurde.
Die Höhe der Strafe berücksichtigt die Schwere der Verstöße, die große Zahl betroffener Personen (über 1,5 Millionen Kontakte) sowie die finanzielle Situation des Unternehmens.
Quelle: Bußgeldbescheid CNIL (veröffentlicht am 10. Oktober 2024)
4. Ibercaja Banco, S.A: 180.000 Euro
Die spanische Datenschutzbehörde Agencia Española de Protección de Datos (AEPD) verhängte mit Bescheid vom 1. Oktober 2024 eine Geldstrafe in Höhe von 300.000 Euro gegen Ibercaja Banco. Das Unternehmen hatte nach Beendigung eines Vertragsverhältnisses unrechtmäßig auf die persönlichen Daten eines ehemaligen Kunden zugegriffen Der Kunde hatte den Vertrag im Februar 2022 beendet, doch Ibercaja führte bis Januar 2023 insgesamt 47 Abfragen seiner Daten in einem Kreditbewertungsregister durch. Diese Zugriffe erfolgten ohne gültige Rechtsgrundlage, da keine vertragliche oder rechtliche Notwendigkeit bestand.
Ibercaja akzeptierte den Bescheid und nutzte die Option zur freiwilligen Zahlung und Anerkennung der Schuld, wodurch die Strafe auf 180.000 Euro reduziert wurde. Das Unternehmen verpflichtete sich außerdem, innerhalb von sechs Monaten Maßnahmen zur Sicherstellung der Einhaltung der
5. Quick Tax Claims Limited: 120.000 GBP (ca. 143.400 Euro)
Die britische Datenschutzbehörde ICO hat gegen Quick Tax Claims Limited (QTC) eine Geldstrafe in Höhe von 120.000 £ verhängt. Der Grund dafür waren Verstöße gegen die Vorschriften zur Privatsphäre und elektronischen Kommunikation (PECR). QTC versandte zwischen dem 12. Februar und dem 12. Mai 2023 fast 8 Millionen unaufgeforderte Marketing-SMS-Nachrichten, ohne dass die Empfänger dafür eine gültige Zustimmung gegeben hatten. Über 93 Prozent dieser Nachrichten enthielten keine Möglichkeit, sich abzumelden, was ebenfalls gegen die PECR verstößt.
Insgesamt 66.793 Verbraucherinnen und Verbraucher beschwerten sich über die Aktion.
Die ICO stellte fest, dass QTC die Daten von Drittanbietern bezog, deren Einwilligungsmechanismen jedoch nicht den gesetzlichen Anforderungen entsprachen. Außerdem ermittelte die ICO, dass QTC keine ausreichenden Sorgfaltsprüfungen durchgeführt hatte, um sicherzustellen, dass die Einwilligung zur Datenverarbeitung ordnungsgemäß erteilt worden war.
Quelle: Bußgeldbescheid Information Commissionar’s Office vom 15. Oktober 2024