Das Jahr 2025 fängt gleich mit spanischen Wochen an: Keine Datenschutzbehörde in der EU hat im Januar 2025 so viele und hohe Bußgeldbescheide erlassen wie die Agencia Española de Protección de Datos (AEPD). Gleich zwei hohe Bußgelder wurden wegen der Nutzung biometrischer Gesichtserkennungssysteme erhoben. Ein neuer Trend? Auch wieder dabei: der Mobilfunkriese Vodafone. Der Konzern scheint die Verfehlungen einzelner Mitarbeiter nicht in den Griff zu bekommen.
Generali España: 4 Millionen Euro (Spanien)
Die spanische Datenschutzbehörde Agencia Española de Protección de Datos (AEPD) hat ein Bußgeldverfahren gegen Generali España, Sociedad Anónima de Seguros y Reaseguros eröffnet, nachdem am 5. Oktober 2022 ein Sicherheitsvorfall festgestellt wurde. Der Vorfall betraf einen Brute-Force-Angriff auf das Kundendatenverwaltungssystem von Generali. Durch die missbräuchliche Nutzung der Zugangsdaten eines Versicherungsmaklers verschafften sich Unbefugte Zugriff auf personenbezogene Daten von Kunden und ehemaligen Kunden. Erst am 11. November 2022 wurde bekannt, dass eine Datenbank mit Ex-Kundendaten zum Verkauf in einem Telegram-Forum angeboten wurde. Betroffen waren die Daten von insgesamt über 1,6 Millionen Personen betroffen. Bei den Daten handelte es sich um Namen, Adressen, Telefonnummern, Geburtsdaten, Personalausweisnummern (DNI) und IBAN-Kontonummern.
Generali informierte die Betroffenen zwischen dem 15. und 28. November 2022 per E-Mail oder Post über den Vorfall. Für Betroffene, deren Kontaktdaten nicht verfügbar waren, wurde eine öffentliche Bekanntmachung auf der Website veröffentlicht. Während der Untersuchung stellte sich heraus, dass Generali keine ausreichenden technischen und organisatorischen Maßnahmen zum Schutz der Daten getroffen hatte. Insbesondere fehlten eine Risikobewertung sowie eine Datenschutz-Folgenabschätzung für die betroffenen Anwendungen. Zudem hatten Versicherungsmakler weiterhin Zugriff auf die Daten von ehemaligen Kunden, was gegen den Datenschutzgrundsatz der Datenminimierung verstößt. Auch fehlten Protokolle zur Nachverfolgbarkeit von Zugriffen auf die betroffenen Daten.
Laut der AEPD verstieß Generali gegen mehrere Artikel der DSGVO:
- Artikel 5 Abs. 1 lit. f DSGVO: Verletzung des Vertraulichkeitsprinzips durch den unbefugten Zugriff auf personenbezogene Daten.
- Artikel 25 DSGVO: Fehlende Datenschutzmaßnahmen von Anfang an (Privacy by Design).
- Artikel 32 DSGVO: Unzureichende Sicherheitsmaßnahmen zur Verhinderung von Datenschutzverletzungen.
- Artikel 35 DSGVO: Fehlende Datenschutz-Folgenabschätzung für besonders risikobehaftete Datenverarbeitungen.
Aufgrund der schwere der Verstöße wurde ein Bußgeld von insgesamt 4 Millionen Euro festgesetzt.
Sambla Group Oy: 950.000 Euro (Finnland)
Die finnische Datenschutzbehörde Tietosuojavaltuutetun toimisto hat gegen Sambla Group Oy ein Bußgeldverfahren eingeleitet, nachdem am 23. Dezember 2022 eine Beschwerde einging. Die Beschwerde betraf die unzureichende Datensicherheit bei den Online-Kreditvermittlungsplattformen lainaparkki.fi und rahoitu.fi.
Es wurde festgestellt, dass die persönlichen Daten von Kreditinteressenten über individuelle, aber unsichere URL-Links zugänglich waren. Diese Links waren leicht zu erraten, sodass Dritte mit Kenntnis der Struktur auf sensible personenbezogene Daten zugreifen konnten.
Am 25. März 2024 verhängte die Datenschutzbehörde eine vorläufige Anordnung, die Sambla Group Oy untersagte, personenbezogene Daten von Kreditinteressenten über unsichere URL-Links zugänglich zu machen. Die Behörde stellte fest, dass in diesen Kreditformularen sensible Informationen wie vollständiger Name, Geburtsdatum, Personennummer, E-Mail-Adresse, Telefonnummer, Adresse, Einkommen, Arbeitsverhältnis und Kreditinformationen enthalten waren. Es wurde dokumentiert, dass zehntausende unautorisierte Zugriffe auf diese Daten stattfanden, teilweise durch automatisierte Brute-Force-Angriffe oder durch Indexierung durch Suchmaschinen wie Google.
Die Datenschutzbehörde bewertete das Verhalten von Sambla Group Oy als Verstoß gegen mehrere Artikel der DSGVO, insbesondere:
- Artikel 5.1(f) DSGVO: Verletzung des Grundsatzes der Vertraulichkeit und Integrität.
- Artikel 25 DSGVO: Fehlende Datenschutzmaßnahmen von Anfang an (Privacy by Design).
- Artikel 32 DSGVO: Unzureichende Sicherheitsmaßnahmen zur Verhinderung von Datenschutzverletzungen.
Obwohl das Unternehmen nachträglich Maßnahmen ergriff wie die Deaktivierung der unsicheren Links, die Einführung einer Zwei-Faktor-Authentifizierung und die Verkürzung der Gültigkeitsdauer von URL-Links, bewertete die Behörde diese Maßnahmen als zu spät und unzureichend. Die Datenschutzverletzung betraf eine große Anzahl von Personen und Sambla Group Oy hätte früher reagieren müssen.
Lese-Tipp: Die höchsten Bußgelder im Dezember 2024
Das Bußgeld wurde von der Datenschutzbehörde auf 950.000 Euro festgelegt. Die Begründung der Strafe stützte sich auf die Schwere des Verstoßes, die Dauer des Problems (über mehrere Jahre hinweg) und die mangelnde Eigeninitiative des Unternehmens zur Behebung der Datenschutzprobleme.
Quelle: Bußgeldbescheid der Tietosuojavaltuutetun toimisto hat gegen Sambla Group Oy
Cartonajes Bañeres, S.A.: 220.000 Euro (Spanien)
Die spanische Datenschutzbehörde Agencia Española de Protección de Datos (AEPD) hat ein Bußgeldverfahren gegen Cartonajes Bañeres, S.A. eingeleitet, nachdem ein ehemaliger Mitarbeiter am 11. Oktober 2022 eine Beschwerde eingereicht hatte. Die Beschwerde bezog sich auf die Verwendung eines biometrischen Erkennungssystems zur Arbeitszeiterfassung, bei dem die Gesichter der Mitarbeiter gescannt wurden. Der Mitarbeiter hatte Bedenken hinsichtlich der Speicherung biometrischer Daten geäußert. Außerdem beantragte er am 29. August 2022 Zugang zu seinen personenbezogenen Daten, erhielt allerdings vom Unternehmen keine angemessene Antwort.
Während der Untersuchung stellte sich heraus, dass Cartonajes Bañeres ein Gesichtserkennungssystem für den Arbeitszeitnachweis verwendete. Das Unternehmen bestritt, dass Gesichtsaufnahmen gespeichert wurden. Es erklärte jedoch, dass ein Algorithmus bestimmte Merkmale des Gesichts erfasst und diese als biometrischen Hash speichert. Diese Hash-Werte wurden anschließend mit einer Datenbank abgeglichen, um den Mitarbeiter zu identifizieren. Laut der AEPD stellt diese Technologie eine hochgradig sensible Verarbeitung biometrischer Daten dar.
Zusätzlich wurde ermittelt, dass das Auskunftsersuchen des ehemaligen Mitarbeiters nicht ordnungsgemäß bearbeitet wurde. Zwar behauptete das Unternehmen, dass eine Antwort per Fax verschickt wurde, jedoch war die Adresse nicht korrekt, und der Antragsteller erhielt keine vollständigen Informationen über die gespeicherten biometrischen Daten.
Die AEPD stellte fest, dass Cartonajes Bañeres gegen mehrere Artikel der DSGVO verstoßen hat:
- Artikel 35 DSGVO: Die erforderliche Datenschutz-Folgenabschätzung für den Einsatz von biometrischen Daten wurde nicht durchgeführt.
- Artikel 12 DSGVO: Der Zugangsantrag des Mitarbeiters wurde nicht ordnungsgemäß bearbeitet, was einen Verstoß gegen die Betroffenenrechte darstellt.
Die AEPD verhängte daher ein Bußgeld in Höhe von 220.000 Euro gegen Cartonajes Bañeres, aufgeteilt in:
- 200.000 Euro für den Verstoß gegen Artikel 35 DSGVO (keine Datenschutz-Folgenabschätzung).
- 20.000 Euro für den Verstoß gegen Artikel 12 DSGVO (unzureichende Beantwortung des Datenzugriffsantrags).
Quelle: Bußgeldbescheid der Agencia Española de Protección de Datos gegen Cartonajes Bañeres, S.A.
Club Atlético Osasuna: 200.000 Euro (Spanien)
Die Agencia Española de Protección de Datos (AEPD) hat Bußgeldverfahren gegen den Club Atlético Osasuna eingeleitet, nachdem am 22. November 2022 eine Beschwerde eingegangen war. Die Beschwerde richtete sich gegen die Einführung eines biometrischen Gesichtserkennungssystems (SBRF) zur Zugangskontrolle im Stadion El Sadar, das im April 2022 eingeführt wurde. Laut der Beschwerde schränkte das System die Grundrechte und Freiheiten der Stadionbesucher in unverhältnismäßiger Weise ein, selbst wenn eine Zustimmung zur Nutzung vorlag.
Bei der Untersuchung durch die AEPD stellte sich heraus, dass das System in Zusammenarbeit mit La Liga sowie den Technologieunternehmen DAS-GATE und VERIDAS entwickelt wurde. Es sollte den Zugang zum Stadion für Abonnenten durch Gesichtserkennung erleichtern, blieb jedoch eine freiwillige Option, neben der weiterhin der physische Mitgliedsausweis oder ein digitaler Zugang per Smartphone genutzt werden konnte.
Außerdem wurde festgestellt, dass Osasuna eine Datenschutz-Folgenabschätzung durchgeführt hatte, um die Rechtsgrundlage für die Verarbeitung biometrischer Daten zu legitimieren. Der Club argumentierte, dass das System auf freiwilliger Basis genutzt werde und dass die betroffenen Personen eine ausdrückliche Zustimmung zur Verarbeitung ihrer biometrischen Daten gegeben hätten. Zudem sei das System sicher, da keine Bilder, sondern nur mathematische biometrische Vektoren gespeichert würden.
Die AEPD stellte fest, dass die Notwendigkeit und Verhältnismäßigkeit der Maßnahme fraglich war. Auch wenn das System als freiwillig deklariert wurde, stellte die Behörde fest, dass eine gewisse soziale oder psychologische Drucksituation bestehen könnte, insbesondere da der Club das System als „schnellere und bequemere“ Alternative bewarb. Die AEPD verwies außerdem auf mangelnde Transparenz bei der Information der betroffenen Personen und auf das Fehlen einer eindeutigen gesetzlichen Grundlage für den Einsatz solcher Technologien in Fußballstadien.
Osasuna wurde abschließend für den unrechtmäßigen Einsatz biometrischer Gesichtserkennung bei der Zugangskontrolle mit einem Bußgeld in Höhe von 200.000 Euro sanktioniert. Nach Ansicht der AEPD ist die Rechtsgrundlage fragwürdig war und die Maßnahme verstößt gegen das Prinzip der Datenminimierung und Notwendigkeit. Die AEPD betont in ihrem Bescheid, dass der Einsatz von Gesichtserkennungssystemen besonders strenge Anforderungen erfüllen muss, um die Rechte der betroffenen Personen zu gewährleisten.
Vodafone España: 200.000 Euro (Spanien)
Die Agencia Española de Protección de Datos (AEPD) hat ein Bußgeldverfahren gegen Vodafone España, S.A.U. eingeleitet, nachdem eine Kundin am 7. März 2023 eine Beschwerde eingereicht hatte. Die Beschwerde betraf einen unautorisierten SIM-Karten-Duplikat, der am 8. April 2022 ohne Zustimmung der Betroffenen ausgestellt wurde. Infolge dieses Identitätsbetrugs wurden unbefugte Banktransaktionen auf das Konto der Kundin vorgenommen.
Laut der Untersuchung der AEPD wurde am 8. April 2022 um 19:47 Uhr ein erster Versuch unternommen, eine neue SIM-Karte für die betroffene Mobilfunknummer auszustellen. Dieser Versuch scheiterte zunächst, doch bereits fünf Minuten später wurde ein erneuter Antrag gestellt, der schließlich genehmigt wurde. Die betrügerische SIM-Karte wurde über ein Call-Center von Vodafone aktiviert, wodurch der Täter die Kontrolle über die betroffene Telefonnummer erhielt. Erst am 9. April 2022 um 12:26 Uhr wurde die betrügerische SIM-Karte gesperrt, nachdem die Betroffene Vodafone darüber informiert hatte, dass sie keinen Zugriff mehr auf ihre Mobilfunkverbindung hatte.
Die AEPD stellte fest, dass Vodafone die eigenen Sicherheitsrichtlinien nicht konsequent durchgesetzt hatte, da Call-Center-Agenten eigentlich nicht berechtigt waren, SIM-Duplikate für angebliche Vodafone-Shop-Mitarbeiter zu genehmigen. Dies deutet auf eine Nachlässigkeit bei der Umsetzung der internen Sicherheitsmaßnahmen hin.
Außerdem hatte Vodafone gegen Art. 6 Abs. 1 DSGVO verstoßen, da die Verarbeitung personenbezogener Daten der Kundin ohne deren rechtmäßige Zustimmung erfolgte. Die Behörde entschied daher, eine Geldstrafe in Höhe von 200.000 Euro zu verhängen. Eine Ermäßigung der Strafe kam für die AEPD nicht in Betracht, weil ähnliche Verstöße in der Vergangenheit bereits mehrfach aufgetreten waren.
Quelle: Bußgeldbescheid der Agencia Española de Protección de Datos gegen Vodafone España, S.A.U.
Correo Inteligente Postal, S.L.: 200.0000 Euro (Spanien)
Die Agencia Española de Protección de Datos (AEPD) hat ein Bußgeldverfahren gegen die Firma Correo Inteligente Postal, S.L. (CI POSTAL) eingeleitet, nachdem am 22. September 2022 die Policía Local von Palma de Mallorca einen Bericht vorlegte. Darin wurde festgestellt, dass insgesamt 1.404 Briefe mit personenbezogenen Daten in einem verlassenen Gelände gefunden wurden. Diese Briefe stammten von mehreren Unternehmen, darunter La Caixa, BBVA, Endesa und Naturgy, und hätten eigentlich an Empfänger verteilt werden müssen.
Ein Vertreter von CI POSTAL erkannte das Firmenlogo auf den zurückgelassenen Briefen und bestätigte, dass der Briefversand an vier Mitarbeiter delegiert wurde. Allerdings konnte nicht festgestellt werden, welche Mitarbeiter für die nicht erfolgte Zustellung verantwortlich waren.
Am 17. November 2022 wurde ein weiterer Vorfall gemeldet: Die Jefatura Superior de Policía de las Islas Baleares fand erneut 5.354 nicht zugestellte Briefe, die in zwei verschiedenen Gebieten von Palma de Mallorca abgelegt worden waren. Einige der Briefe waren geöffnet, während andere vollständig intakt waren. Die Briefe enthielten sensible Informationen von Banken, Energieversorgern und Mobilfunkanbietern.
Die AEPD stellte fest, dass CI POSTAL gegen mehrere Artikel der Datenschutz-Grundverordnung (DSGVO) verstoßen hat:
- Artikel 5.1(f) DSGVO: Die Firma stellte keine ausreichenden Maßnahmen sicher, um die Vertraulichkeit und Integrität der personenbezogenen Daten zu gewährleisten.
- Artikel 32 DSGVO: Mangelnde Sicherheitsmaßnahmen führten dazu, dass unbefugte Dritte auf personenbezogene Daten zugreifen konnten.
Die AEPD verhängte gegen CI POSTAL ein Bußgeld von insgesamt 200.000 Euro. Zusätzlich wurde das Unternehmen verpflichtet, innerhalb von sechs Monaten ein System zur Nachverfolgbarkeit und Kontrolle der Postzustellungen einzuführen, um sicherzustellen, dass Briefe ordnungsgemäß zugestellt werden.
Reaktion von CI POSTAL: Das Unternehmen entließ die betroffenen Mitarbeiter und führte Schulungen durch, um ähnliche Vorfälle in Zukunft zu verhindern. Allerdings wurde kein technologisches System implementiert, um die Nachverfolgbarkeit der Sendungen sicherzustellen.
German 
English 
Italian 
French