Zum Inhalt springen Zur Navigation springen
Top 5 DSGVO-Bußgelder im April 2024

Top 5 DSGVO-Bußgelder im April 2024

Die Datenschutzaufsichtsbehörden verhängen monatlich Bußgelder wegen Verstößen gegen die DSGVO. Aus diesen können Unternehmen einen Überblick über aktuelle Prüfungsschwerpunkte und die Sanktionspraxis der Behörden gewinnen. Hier finden Sie daher unsere Top 5 Bußgelder im April 2024.

Verschlüsselung von USB-Sticks

Aus den Büroräumen einer spanischen Beratungsfirma wurde ein Rucksack gestohlen, in welchem sich unter anderem ein USB-Stick mit unverschlüsselten, auch sensiblen Daten zu einem strafrechtlichen Gerichtsverfahren befand. Die spanische Datenschutzbehörde bewertete die Sicherheitsmaßnahmen zum Schutz dieser Daten als nicht angemessen. Das Unternehmen hätte die darauf befindlichen Daten mit einem Passwort schützen müssen. Aufgrund dieser Nichtvornahme notwendiger technischer und organisatorischer Maßnahmen verhängte die Behörde zwei Bußgelder wegen Verstoßes gegen Art. 5 Abs. 1 lit. f) DSGVO und Art. 32 Abs. 1 DSGVO in Höhe von 90.000 EUR und 55.000 EUR, was zu einer Gesamtstrafe von 145.000 EUR führt.

Behörde: Agencia Española de Protección de Datos (AEPD)
Branche:
Beratungswesen
Verstoß: Art. 5 Abs. 1 lit. f) DSGVO und Art. 32 Abs. 1 DSGVO
Bußgeld: 145.000 Euro

Der Umfang der vorzunehmenden technischen und organisatorischen Maßnahmen (TOM) hängt auch von der Sensibilität der Daten ab. Werden wie hier besonders sensible Daten aus Strafverfahren verarbeitet, ist die Risikobeurteilung im Hinblick auf die Schwere der möglichen Grundrechtsverletzung hinreichend mit einzubeziehen.

Überwachung von Unterbringungseinrichtungen

Auf den Ägäischen Inseln in Griechenland sollen zur Überwachung der Aufnahme- und Unterbringungseinrichtungen für Drittstaatsangehörige die Systeme „Hyperion“ und „Centaurus“ genutzt werden. Bei „Centaurus“ soll es sich um ein System handeln, welches Bilddaten aus Videoüberwachung von Kameras und Drohnen verarbeitet und mit Hilfe von KI Verhaltensanalysen erstellen kann. Mit dem Programm „Hyperion“ sollen Ein- und Ausgangskontrollen in die Räumlichkeiten der Einrichtungen vorgenommen werden. Hier soll der Zutritt mittels RFID-Kennung in Kombination mit einem Fingerabdruck (Zwei-Faktor-Authentifizierung) vorgenommen werden.

Nach Kenntniserlangung bemängelte die griechische Datenschutzbehörde die Kooperationsbereitschaft seitens der Verantwortlichen für die Verarbeitung dem Ministerium für Einwanderung und Asyl. Es wurde festgestellt, dass die erforderlichen Datenschutz-Folgenabschätzungen, die vom Ministerium durchgeführt worden waren, nicht umfangreich genug und in wesentlichen Punkten unvollständig waren. Ebenso soll es auch bei der Implementierung der Systeme zu schwerwiegenden Versäumnissen in Bezug auf die Bestimmungen der Datenschutz-Grundverordnung gekommen sein. Aus diesen Gründen wurde gegen das Ministerium Bußgeld in Höhe von insgesamt 175.000 EUR verhängt.

Behörde: Griechisches Ministerium für Einwanderung und Asyl
Branche: Behörde
Verstoß: Art. 9 DSGVO
Bußgeld: 175.000 Euro

Bei den oben eingesetzten Techniken werden auch Verarbeitungen von besonders sensiblen Daten vorgenommen. Insbesondere bei der Erfassung des Fingerabdrucks handelt es sich um die Verarbeitung biometrischer Daten und somit um besondere personenbezogene Daten gem. Art. 9 DSGVO. Eine solche ist nur nach strengen Voraussetzungen zulässig.

Ungenehmigte Kameraüberwachung in Bar

Im Süden Italiens meldete die ansässige Lokalpolizei der italienischen Datenschutzbehörde das Vorhandensein von Kameras sowohl innerhalb als auch außerhalb des Betriebsgeländes einer Bar. Zu dem Videoüberwachungssystem mit Speicherungsmöglichkeiten waren keine entsprechenden Hinweisschilder auf dem Gelände oder an der Außenwand angebracht. Des Weiteren konnte die Besitzerin der Bar keine Genehmigung vorweisen. Daraufhin verhängte die Behörde ein Bußgeld in Höhe von 2.000 EUR.

Behörde: Garante per la protezione dei dati personali
Branche: Gastgewerbe
Verstoß: Art. 5 Abs. 1 lit a) DSGVO, Art. 13 DSGVO
Bußgeld: 2.000 Euro

Der Einsatz von Videoüberwachung ist nur unter bestimmten Voraussetzungen möglich, die immer einer Interessenabwägung im Einzelfall bedürfen.

Einhaltung des Datenschutzes auch für Privatpersonen

In Spanien hatte eine Privatperson auf ihrem Grundstück insgesamt vier kuppelförmige Kameras mit 360º Aufzeichnung auf ca. 4 m hohen Masten installiert. Von den Bildaufnahmen wurde die gesamte Umgebung einschließlich angrenzender Straßen und Wege sowie Nachbargrundstücke erfasst. Es gab auch keine Hinweisschilder, die auf die Existenz der Verarbeitung und die Identität des Verantwortlichen hinwiesen und die Betroffenen hinsichtlich ihrer Rechte nach Artikel 15 bis 22 DSGVO aufklärte. Da die verantwortliche Person auch nach Beanstandung keine Abhilfemaßnahmen für das Videoüberwachungssystem traf verhängte die spanische Datenschutzbehörde ein Bußgeld in Höhe von 400 EUR.

Behörde: Agencia Española de Protección de Datos (AEPD)
Branche:
Privatperson
Verstoß: Art. 5 Abs. 1 lit. c) DSGVO
Bußgeld: 400 Euro

Auch das Vorhandensein der sog. Haushaltsausnahme bedeutet nicht, dass Privatpersonen von der Einhaltung der Vorschriften der DSGVO in Gänze befreit sind. Umfasst von der Art. 2 Abs. 2 lit c) DSGVO ist die Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten. Die Anwendung der DSGVO auch für Privatpersonen beginnt dort, wo diese Grenze überschritten wird.

Werbung trotz Widerspruch

Ein Hinweisgeber hatte sich wiederholt an die Coop Italia Società Cooperativa gewandt, mit der Bitte um Auskunft, über welche personenbezogenen Daten die Gesellschaft über ihn verfügt und mit dem Widerspruch in die Verarbeitung der Daten zu Werbezwecken. Zunächst habe Coop Italia ihm per E-Mail mitgeteilt, dass sie seine Ablehnung der Werbemitteilungen registriert habe. Eine Antwort auf das Auskunftsersuchen erfolgte jedoch nicht. Zudem erhielt der Betroffene dennoch weiterhin Werbebotschaften per SMS. Die Behörde verhängte ein Bußgeld in Höhe von 90.000 EUR.

Behörde: Garante per la protezione dei dati personali
Branche: Einzelhandelsunternehmen
Verstoß: Art. 5 Abs. 1 lit a) und e) DSGVO, Art. 6 DSGVO, Art. 12 Abs. 3 DSGVO, Art. 15 DSGVO, Art. 21 Abs. 2 DSGVO
Bußgeld: 90.000 Euro

Das Widerspruchsrecht in die Verarbeitung der eigenen personenbezogenen Daten ist nur eines der Betroffenenrechte der DSGVO. Diese Rechte sind ein hohes Gut, über welche sich die Betroffenen ausreichend informieren sollten und auf dessen Ausübung Unternehmen entsprechend zu reagieren haben.

Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 30.06.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
  • Mich würde zu allen Bußgeldfällen interessieren, ob die Verantwortliche dazu selbst eine Meldung gem. Artikel 33 DSGVO gemacht hat, oder ob die Fälle durch Dritte gemeldet oder gar nur zufällig entdeckt wurden.

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.