Die Datenschutzaufsichtsbehörden verhängen monatlich Bußgelder wegen Verstößen gegen die DSGVO. Aus diesen können Unternehmen einen Überblick über aktuelle Prüfungsschwerpunkte und die Sanktionspraxis der Behörden gewinnen. Hier finden Sie daher unsere Top 5 Bußgelder im August 2023.
Der Inhalt im Überblick
Echte Gesundheitsdaten auf Informationsplakat
Die Azienda Usl Toscana Sud Est. hatte in einem der von ihr betriebenen Krankenhäuser ein Informationsplakat angebracht. Das Plakat hing im Eingangsbereich der Notaufnahme und zeigte medizinisches Fachpersonal, das an einem Computer sitzt. Auf dem Computerbildschirm waren der Vor- und Nachname einer Person sowie das dazugehörige Notfallprotokoll zu erkennen. Auf Beschwerde der betroffenen Person erklärte die Azienda Usl Toscana Sud Est., dass die Veröffentlichung der personenbezogenen Daten auf reiner Fahrlässigkeit beruht habe und dass das Informationsplakat erst seit einigen Wochen hänge. Aufgrund der unerlaubten Verarbeitung personenbezogener Daten verhängte die italienische Aufsichtsbehörde ein Bußgeld in Höhe von 20.000 Euro.
Behörde: Garante per la protezione dei dati personali
Branche: Gesundheitswesen
Verstoß: Art. 5 Abs. 1 lit. a, c und f DSGVO, Art. 9 DSGVO, Art. 25 DSGVO, Art. 2-septies (8) Codice della privacy
Bußgeld: 20.000 Euro
Das Bußgeld ist hier in mehrfacher Hinsicht ärgerlich. Einmal für die betroffene Person, deren Gesundheitsdaten im Eingangsbereich einer Notaufnahme hingen. Aber auch der Verantwortliche dürfte sich ärgern, da die unerlaubte Veröffentlichung der Gesundheitsdaten hier sehr leicht zu verhindern gewesen wäre. Welche Anforderungen das Datenschutzrecht an Krankhäuser noch stellt, erläutern wir in unserem Beitrag „Datenschutz im Krankenhaus“.
Daten von 650.000 Kunden einsehbar
Nach einem Hinweis leitete die schwedische Aufsichtsbehörde (IMY) eine Untersuchung gegen die Versicherungsgesellschaft Trygg-Hansa ein. Der Hinweisgeber hatte von der Trygg-Hansa eine E-Mail erhalten, die einen Link zu einer Website mit Preisangeboten enthielt. Auf dieser Website befanden sich wiederum mehrere anklickbare Links, die zu Dokumenten mit Versicherungsinformationen führten. Der Hinweisgeber stellte fest, dass er auf Dokumente anderer Versicherungsnehmer zugreifen konnte, indem er wenige Ziffern der URL änderte. Die so für Unbefugte zugänglichen Dokumente enthielten teilweise sensible personenbezogene Daten, die Details über den Gesundheitszustand offenbarten. Auch Sozialversicherungsnummern, Kontaktdaten sowie Finanzdaten waren einsehbar. Die Untersuchung der IMY ergab, dass die Sicherheitslücke vom Oktober 2018 bis Februar 2021 bestand und auf Kundendaten von 650.000 Kunden zugegriffen werden konnte. Aufgrund der grundlegenden Mängel verhängte die IMY ein Bußgeld in Höhe von 2.945.632 Euro.
Behörde: Datainspektionen (IMY)
Branche: Versicherung
Verstoß: Art. 5 Abs. 1 lit. f DSGVO, Art. 32 Abs. 1 DSGVO
Bußgeld: 2.945.632 Euro
Dass der Verantwortliche hier nicht geeignete technische und organisatorischen Maßnahmen ergriffen hat, liegt auf der Hand. Auch angesichts der hohen Anzahl der Betroffenen und der für lange Zeit bestehenden Zugriffsmöglichkeit ist das Millionenbußgeld daher nachvollziehbar.
Empfänger versehentlich in CC gesetzt
Die Wallbox Chargers S.L. ist ein Unternehmen mit Sitz in Barcelona, das Wallboxen vertreibt. Ein Mitarbeiter des Unternehmens versendete E-Mails an vier Kunden, bei denen er einen fünften Kunden jeweils unbeabsichtigt in CC setzte. Dieser erhielt dadurch personenbezogene Daten durch die E-Mail des Mitarbeiters, als auch durch die Antworten der vier angeschriebenen Kunden, die auch dem unbeteiligten fünften Kunden antworteten. Der fünfte Kunde teilte dem Mitarbeiter den Fehler mit, der sich für den Fehler entschuldigte und gleichzeitig erklärte, dass der Fehler nicht schlimm sei. Nachdem der fünfte Kunde den Mitarbeiter auf das Missbrauchsrisiko aufmerksam machte sowie darauf, dass es sich um eine Datenschutzverletzung handelt, meldete das Unternehmen schließlich den Vorfall an die spanische Aufsichtsbehörde. Aufgrund eines vom Verantwortlichen abgegebenen Schuldeingeständnisses sowie freiwilliger Zahlung setzte die Aufsichtsbehörde ein Bußgeld von 4.800 Euro fest.
Behörde: La Agencia Española de Protección de Datos (AEPD)
Branche: Verkehr
Verstoß: Art. 5 Abs. 1 lit. f DSGVO, Art. 32 Abs. 1 DSGVO
Bußgeld: 4.800 Euro
Fehler beim Versand von E-Mails schleichen sich schnell ein. Neben einer Kontrolle der Empfänger sollten beim Versand und Empfang von E-Mails bestimmte technische Maßnahmen ergriffen werden. Auch aufgrund der massiven Zunahme von Cyberattacken auf E-Mail-Accounts haben die Aufsichtsbehörden die Sicherheit von E-Mail-Accounts verstärkt im Blick.
Fotos von fremdem Kind veröffentlicht
Die Verantwortliche Odria Costas Internacional S.L. betreibt ein Immobilienportal im Internet. Auf Veranlassung des Eigentümers sollte die Odria Costas Internacional S.L. die Immobilie im Innenbereich fotografieren. Der Mieter erklärte sich mit der Anfertigung der Bilder einverstanden. Die Bilder wurden anschließend auf dem Immobilienportal im Internet veröffentlicht. Dort stellte der Mieter fest, dass in der Wohnung befindliche Fotos mitfotografiert worden waren: Auf dem Kühlschrank des Mieters sowie im Schlafzimmer befanden sich mehrere Bilder der minderjährigen Tochter des Mieters. Die Tochter war auf den im Immobilienportal veröffentlichten Bildern identifizierbar. Allerdings hatte der Mieter der Veröffentlichung der Kinderbilder nicht zugestimmt. Nach einer Beschwerde des Mieters verhängte die spanische Aufsichtsbehörde daher ein Bußgeld in Höhe von 6.000 Euro.
Behörde: La Agencia Española de Protección de Datos (AEPD)
Branche: Immobilien
Verstoß: Art. 5 Abs. 1 lit. c DSGVO
Bußgeld: 6.000 Euro
Fotos von Kindern dürfen jedenfalls nach deutschem Recht grundsätzlich nur mit Einwilligung beider Eltern im Netz veröffentlicht werden. Im vorliegenden Fall sind die Kinderfotos für das Immobilienportal bzw. die verantwortliche Stelle ohne Mehrwert. Da Einwilligungen darüber hinaus auch mit dem Risiko eines jederzeitigen Widerrufs behaftet sind, hätte die Odria Costas Internacional S.L. die mitfotografierten Kinderbilder wohl besser unkenntlich machen sollen.
Vielfältige Fehler im Consent-Management
Die Massimo Dutti Group SA produziert und vertreibt Kleidung. Bei dem Besuch der Internetpräsens wurde ein Banner eingeblendet, bei dem es auf der ersten Banner-Ebene keine Möglichkeit gab, alle nicht unbedingt erforderlichen Cookies abzulehnen. Die Cookies konnten nur auf der zweiten Banner-Ebene verwaltet werden und der Link zur zweiten Banner-Ebene war unscheinbar gestaltet. Die Option, alle Cookies zu akzeptieren, konnte hingegen einfach über einen hervorgehobenen Button ausgewählt werden. Schließlich war der Widerruf der Einwilligung nicht ebenso einfach möglich wie deren Erteilung. Die spanische Aufsichtsbehörde sah hierin einen Verstoß gegen Art. 22 LSSI, der § 25 TTDSG entspricht, und verhängte ein Bußgeld in Höhe von 5.000 Euro.
Behörde: La Agencia Española de Protección de Datos (AEPD)
Branche: Website
Verstoß: Art. 22 Abs. 2 LSSI
Bußgeld: 6.000 Euro
Die rechtskonforme Gestaltung von Consent-Managern bzw. Cookie-Bannern stellt viele Unternehmen vor Herausforderungen. Welche rechtlichen Vorgaben hier zu beachten sind, haben wir in einem Beitrag für Sie zusammengefasst. Insbesondere sind sogenannte Dark Patterns und das Nudging unzulässig. Die Optionen bei der Cookie-Wahl müssen grundsätzlich gleichberechtigt nebeneinander stehen.