ThinkTank_Logo_black
Das Warten hat ein Ende
Ailance™ ThinkTank ist da!
Mehr erfahren

Das sind die fünf höchsten DSGVO-Bußgelder im November 2024

Das sind die fünf höchsten DSGVO-Bußgelder im November 2024
Kategorien:

Im November 2024 wurden drei Millionen-Bußgelder gegen Unternehmen aus Spanien, Italien und Finnland verhängt. In gleich zwei Fällen bemängelten die Datenschutzbehörden, dass der Grundsatz „Privacy by Design“ in den Datenverarbeitungsprozessen nur sehr unzureichend umgesetzt wurde. Und wie so oft bieten die Bußgeldbescheide interessante Erkenntnisse für Unternehmen.

The Phone House Spain: 6,5 Millionen Euro (Spanien)

Am 14. April 2021 meldete The Phone House Spain, S.L. (TPHS) der spanischen Datenschutzbehörde Agencia Española de Protección de Datos (AEPD) eine schwere Datenschutzverletzung. Betroffen waren rund 13 Millionen Datensätze. Der Angriff erfolgte über eine Ransomware (Babuk Locker), die sensible personenbezogene Daten verschlüsselte. Anschließend wurden die Daten im Dark Web veröffentlicht.

Die AEPD sah eine Verletzung von Art. 5 Abs. 1 lit. f DSGVO (Integrität und Vertraulichkeit) und Art. 32 DSGVO (technische und organisatorische Maßnahmen). Konkret warf die AEPD dem Mobilfunkunternehmen mangelhafte Sicherheitsmaßnahmen wie unzureichende Passwortregeln, schwache Netzwerksicherheitsmaßnahmen und fehlende regelmäßige Überprüfungen vor.

The Phone House hingegen sah sich als Opfer eines ausgeklügelten Cyber-Angriffs. Das Unternehmen erklärte, dass selbst die fortschrittlichsten Sicherheitsmaßnahmen möglicherweise keinen vollständigen Schutz geboten hätten. Zudem habe die anschließende Veröffentlichung der Daten im Dark Web außerhalb ihres Einflussbereichs gelegen.

Dennoch verhängte die AEPD ein Bußgeld in Höhe von 6,5 Millionen Euro. Im Bußgeldbescheid begründet sie dies mit der unzureichenden Umsetzung präventiver Sicherheitsmaßnahmen und der hohen Anzahl der betroffenen Personen. Die AEPD betont die Pflicht der Unternehmen, proaktiv geeignete Sicherheitsmaßnahmen entsprechend den Risiken zu implementieren. Eine Berufung gegen das Urteil wurde von der AEPD abgelehnt.

Quelle: Bußgeldbescheid der Agencia Española de Protección de Datos gegen The Phone House

Quelle: Ablehnungsbescheid der Agencia Española de Protección de Datos gegen den Einspruch von The Phone House

Foodinho: 5 Millionen Euro (Italien)

Auslöser des Verfahrens war der tragische Unfall eines Fahrers, der bei einer Auslieferung für den Lieferdienst Foodinho ums Leben kam. Nach der Deaktivierung seines Kontos durch ein automatisiertes System der Plattform Glovo erhielt der Verstorbene eine unangemessene Nachricht, die ihn wegen angeblicher Vertragsverletzungen von der Plattform ausschloss. Die Nachricht erregte nicht nur öffentliches Aufsehen, sondern führte auch zu umfangreichen datenschutzrechtlichen Untersuchungen.

Die italienische Datenschutzbehörde Garante per la protezione dei dati personali (GPDP) stellte bei ihren Untersuchungen massive Mängel bei der Datenverarbeitung fest, die nicht nur diesen Einzelfall, sondern die gesamte Datenverarbeitungsinfrastruktur von Foodinho betrafen. Besonderes Augenmerk wurde dabei auf die automatisierte Datenverarbeitung und die Transparenz der Nutzungsbedingungen gelegt. So wurden personenbezogene Daten von rund 35.000 registrierten Fahrern unrechtmäßig verarbeitet. Insbesondere setzte Foodinho biometrische Authentifizierungsmethoden ein, ohne deren Rechtsgrundlage ausreichend zu klären und zu dokumentieren.

Insbesondere setzte Foodinho biometrische Authentifizierungsmethoden ein, ohne deren Rechtsgrundlage ausreichend zu klären und zu dokumentieren. Auch der „Excellence Score“, ein Bewertungssystem für Fahrer, basierte auf einer automatisierten Datenverarbeitung, die weder ausreichend dokumentiert noch den Nutzern verständlich erklärt wurde.

Die Datenschutzbehörde verhängte ein Bußgeld in Höhe von fünf Millionen Euro und forderte weitere Korrekturmaßnahmen. Sie betonte die Notwendigkeit, den Datenschutz von Anfang an in die Prozesse zu integrieren (“Privacy by Design”).

Quelle: Bußgeldbescheid der Garante per la protezione dei dati personali gegen Foodinho

Posti Jakelu Oy: 2,4 Millionen Euro (Finnland)

Die Untersuchung begann mit Beschwerden von Nutzern, dass persönliche Dokumente – einschließlich Rechnungen und sensibler medizinischer Unterlagen – ohne ihre ausdrückliche Zustimmung an den digitalen Briefkasten von OmaPosti weitergeleitet wurden. Einige Nutzer gaben an, den Dienst nicht aktiv zu nutzen oder die digitale Postkommunikation aus persönlichen Gründen abzulehnen. Die finnische Datenschutzbehörde Tietosuojavaltuutetun toimisto leitete daraufhin eine umfassende Überprüfung der Datenverarbeitungspraktiken der Postplattform Posti Jakelu Oy ein.

Die finnische Datenschutzbehörde stellte erhebliche Mängel bei der Datenverarbeitung fest, die gegen mehrere Bestimmungen der Datenschutz-Grundverordnung verstoßen:

  1. Automatische Aktivierung von Postfächern: Posti Jakelu Oy richtete digitale Postfächer für Nutzer ein, ohne deren ausdrückliche Einwilligung einzuholen. Dies verstieß gegen Artikel 6 DSGVO, der eine klare Rechtsgrundlage für die Verarbeitung personenbezogener Daten vorschreibt.
  2. Mangelnde Transparenz: Die Nutzer wurden nicht ausreichend darüber informiert, dass ihre personenbezogenen Daten automatisch in das digitale Postfach übertragen werden. Dies verstieß gegen Art. 12 bis 14 DSGVO, die Transparenz und eine klare Information der Betroffenen fordern.
  3. Fehlende Wahlmöglichkeit: Die Nutzerinnen und Nutzer hatten keine Möglichkeit, den Dienst abzulehnen oder die Übermittlung ihrer Daten zu verhindern. Dies stellt einen Verstoß gegen die Grundprinzipien der Datenverarbeitung nach Art. 5 DSGVO dar.

Insbesondere die automatische Aktivierung der digitalen Postfächer ohne aktive Zustimmung der Nutzer wurde als schwerwiegender Verstoß eingestuft. Die Behörde stellte klar, dass die Einrichtung eines digitalen Postfachs für die Erbringung anderer Dienste nicht zwingend erforderlich sei und daher keine gültige Rechtsgrundlage gemäß Artikel 6 DSGVO vorliege.

Neben der Verhängung einer Geldbuße in Höhe von 2,4 Millionen Euro wies die finnische Datenschutzbehörde Posti Jakelu Oy an, seine Datenverarbeitungspraktiken zu überarbeiten, um die Einhaltung der Datenschutz-Grundverordnung sicherzustellen. Zu den wichtigsten Anforderungen gehörten

  • Klare und transparente Informationen für die Nutzer, um ihnen die Möglichkeit zu geben, der Verarbeitung ihrer Daten zuzustimmen oder diese abzulehnen.
  • Einführung technischer und organisatorischer Maßnahmen, die sicherstellen, dass die Datenverarbeitungsprozesse den Grundsätzen „Privacy by Design“ und „Privacy by Default“ entsprechen.
  • Sicherstellen, dass elektronische Postfächer nur auf ausdrücklichen Wunsch der Nutzer aktiviert werden.

Quelle: Bußgeldbescheid der finnischen Datenschutzbehörde Tietosuojavaltuutetun toimisto gegen Posti Jakelu Oy

Dienstleister aus der Forderungsmanagement-Branche: 900.000 Euro (Deutschland)

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI), hat gegen ein Unternehmen aus der Forderungsmanagementbranche ein Bußgeld in Höhe von 900.000 Euro verhängt. Der Grund: Das Unternehmen hatte personenbezogene Daten ohne Rechtsgrundlage bis zu fünf Jahre nach Ablauf der gesetzlichen Löschfristen gespeichert.

Der Verstoß wurde im Rahmen einer Schwerpunktprüfung festgestellt, bei der der HmbBfDI marktführende Unternehmen der Branche auf die Einhaltung der DSGVO überprüfte. Neben schriftlichen Befragungen wurden auch Prüfungen vor Ort durchgeführt. Während viele Unternehmen professionell mit den sensiblen Schuldnerdaten umgingen und Verbesserungen bei Transparenz und Datenlöschung vornahmen, wies ein Unternehmen erhebliche Mängel auf. Eine sechsstellige Anzahl von Datensätzen blieb trotz abgelaufener Löschfristen gespeichert, was gegen Artikel 5 Absatz 1 Buchstabe a und Artikel 6 Absatz 1 DSGVO verstieß.

Das Unternehmen räumte den Verstoß ein, kooperierte bei der Aufarbeitung und akzeptierte das Bußgeld. Diese Kooperation wurde bei der Bemessung des Bußgeldes berücksichtigt.

Thomas Fuchs, Leiter des HmbBfDI, betonte die Bedeutung eines schlüssigen Löschkonzepts für datengetriebene Unternehmen. Daten sollten spätestens nach festgelegten Fristen gelöscht werden, um Verstöße gegen die Datenschutz-Grundverordnung zu vermeiden.

Quelle: Pressemitteilung des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit

Vodafone España: 200.000 Euro (Spanien)

Die spanische Datenschutzbehörde Agencia Española de Protección de Datos (AEPD) hat Vodafone Spanien wegen eines Verstoßes gegen Artikel 6 Abs. 1 DSGVO eine Geldbuße in Höhe von 200.000 Euro auferlegt. In dem Fall ging es um einen betrügerischen Antrag auf eine zusätzliche SIM-Karte, der ohne ausreichende Sicherheitskontrollen genehmigt wurde. Das führte später zu einem unbefugten Zugriff auf personenbezogene Daten.

Am 1. Dezember 2022 beantragte eine dritte Person über den privaten Bereich des betroffenen Kundenkontos bei Lowi, einer Marke von Vodafone, die Lieferung einer zusätzlichen SIM-Karte. Dabei wurde eine abweichende Lieferadresse angegeben. Vodafone gab die Karte frei und lieferte sie aus, ohne die Identität des Antragstellers ausreichend zu überprüfen.

Die Überprüfung durch die AEPD ergab, dass die erforderlichen Sicherheitsverfahren nicht vollständig implementiert waren. So fehlte beispielsweise eine Aufzeichnung des Anrufs zur Identitätsprüfung, und auch andere Sicherheitsmaßnahmen wurden nicht ordnungsgemäß dokumentiert. Der Betrug ermöglichte dem Täter den Zugriff auf sensible Daten und Konten des betroffenen Kunden. Bereits am 30. November 2022 hatte es zwei gescheiterte Versuche gegeben, die E-Mail-Adresse des betroffenen Kunden zu ändern, was auf einen möglichen Betrugsversuch hätte hindeuten können.

Die AEPD stellte fest, dass Vodafone gegen Artikel 6 Abs. 1 DSGVO verstoßen hat, da die Verarbeitung der personenbezogenen Daten ohne gültige Rechtsgrundlage und ohne Einwilligung der betroffenen Person erfolgte. Obwohl Vodafone Sicherheitsmaßnahmen eingeführt hatte, befand die AEPD die getroffenen Maßnahmen für unzureichend und warf dem Unternehmen mangelnde Sorgfalt vor. Die Geldbuße in Höhe von 200.000 Euro wurde unter Berücksichtigung der wiederholten Verstöße von Vodafone in ähnlichen Fällen festgesetzt, um eine abschreckende Wirkung zu erzielen. Der Einspruch wurde von der AEPD zurückgewiesen.

Quelle: Bußgeldbescheid der Agencia Española de Protección de Datos gegen Vodafone España

Quelle: Ablehnungsbescheid der Agencia Española de Protección de Datos

Kontakt aufnehmen
Tags:
Share this post :

Beliebte Kategorien

Newsletter

Abonnieren Sie unseren Datenschutz-Newsletter, um die neuesten Updates, Tipps und Erkenntnisse direkt in Ihren Posteingang zu erhalten.
Subscribe

Letzte Beiträge

de_DEGerman
en_USEnglish it_ITItalian fr_FRFrench de_DEGerman