Top 5 DSGVO-Bußgelder im Dezember 2022

News

Die Datenschutzaufsichtsbehörden verhängen monatlich Bußgelder wegen Verstößen gegen die DSGVO. Aus diesen können Unternehmen einen Überblick über aktuelle Prüfungsschwerpunkte und die Sanktionspraxis der Behörden gewinnen. Hier finden Sie daher unsere Top 5 Bußgelder im Dezember 2022.

60 Millionen Euro Bußgeld für das Setzen von Cookies ohne Einwilligung

In Frankreich wurde der Softwarehersteller Microsoft Ireland Operations Limited zu einer Bußgeldzahlung in Höhe von 60 Millionen Euro verdonnert. Die französische Datenschutzbehörde CNIL wirft Microsoft vor, auf Endgeräten von Benutzer:innen der Suchmaschine bing.com bereits beim erstmaligen Aufrufen der Webseite Cookies unter anderem zu Werbezwecken zu setzen, ohne davor über ein Consent-Banner eine Einwilligung einzuholen. Cookies sind kleine Datenpakete, die über eine Webseite im Internetbrowser eines Nutzers gespeichert werden und beim Anbieter der Webseite Rückschlüsse über das Nutzungsverhalten des Seitenbesuchers zulassen können. Die Datenschutzbehörde hatte nach einer Beschwerde Kontrollen auf der Webseite durchgeführt und bemängelt neben dem Setzen von Cookies ohne Einwilligung, dass auf dem Consent-Banner kein Button zur einfachen Ablehnung von Cookies verfügbar sei. Erst auf dem zweiten Layer könnten alle Cookies abgelehnt werden, was die Ablehnung der Cookies schwieriger macht, als sie zu akzeptieren. Neben dem Bußgeld von 60 Millionen Euro wird Microsoft verpflichtet, innerhalb von drei Monaten die Zustimmung der Nutzer:innen einzuholen, bevor Cookies auf den Endgeräten gesetzt werden. Falls Microsoft dieser Auflage nicht nachkommt, wird ein Zwangsgeld in Höhe von 60 000 Euro pro Tag der Verspätung fällig.

Behörde: Commission Nationale de l’Informatique et des Libertés
Branche: Software-Entwickler
Verstoß: Art. 82 La loi Informatique et Libertés
Bußgeld: 60.000.000 Euro

60 Millionen Euro Bußgeld sind kein Zuckerschlecken, auch nicht für ein Unternehmen wie Microsoft. An diesem Beispiel wird deutlich, wie wichtig es für Anbieter von Webseiten ist, genau im Blick zu haben, ob die datenschutzrechtlichen Anforderungen an das Consent-Banner erfüllt sind. Ist das Ablehnen von Cookies deutlich schwerer, als sie zu akzeptieren oder werden Cookies schon bevor die Besucher:innen der Webseite auf dem Banner eine Auswahl getroffen haben, gesetzt, kann dies teuer werden.

Zahlung von 275 Millionen US-Dollar wegen Verstößen gegen den Children’s Online Privacy Protection Act (COPPA)

Kein Bußgeld nach der DSGVO, aber höchst aufsehenerregend: Die US-Behörde für Verbraucherschutz und Wettbewerbsüberwachung Federal Trade Commission (FTC) hatte gegen Spieleentwickler Epic Games Inc. wegen der Verletzung von Gesetzen zum Schutz von Minderjährigen im Spiel Fortnite geklagt. Nun haben sich die Parteien außergerichtlich auf einen Vergleich in Rekordhöhe geeinigt: Epic Games Inc. muss 275 Millionen US-Dollar bezahlen. Hintergrund der Vorwürfe: Bei Fortnite wurden von Spieler:innen, die unter 13 Jahre alt sind, ohne Einwilligung der Erziehungsberechtigten Daten gesammelt. Außerdem wurden Löschanfragen seitens der Eltern erschwert oder konnten nicht erfüllt werden. Einen weiteren Verstoß gegen den Children’s Online Privacy Protection Act sah die Behörde darin, dass in den Spieleinstellungen für Kinder und Jugendliche der Sprach- und Textchat standardmäßig aktiviert sei. Dies muss in Zukunft geändert werden.

Behörde: Federal Trade Commission
Branche: Softwareunternehmen
Verstoß: COPPA
Vergleichssumme: 275.000.000 US-Dollar

Personenbezogene Daten von Kindern und Jugendlichen sind häufig sensibel. Gerade Minderjährige sind sich dessen aber oft nicht bewusst und gehen unvorsichtig mit ihren Daten im Internet um. Hier liegt es an den Erziehungsberechtigten, frühzeitig aufzuklären, denn Datenschutz von Kindern beginnt bei den Eltern.

4,3 Millionen Euro Bußgeld wegen Verstößen im Rahmen der Volkszählung 2021 in Portugal

In Portugal hatte im Jahr 2021 eine Volkszählung stattgefunden, welche durch das nationale Institut für Statistik (INE) durchgeführt wurde. Wegen zahlreichen Verstößen, welche im Rahmen der Volkszählung begangen wurden, verhängte die portugiesische Datenschutzbehörde CNPD gegen INE ein Bußgeld in Höhe von 4,3 Millionen Euro. Die Datenschutzbehörde stellte Verstöße bei der Behandlung besonderer Kategorien personenbezogener Daten, bei der Informationspflicht gegenüber den Betroffenen und bei den Regeln für die Beauftragung eines Unternehmens mit der Verwaltung der in der Volkszählung erhobenen Daten fest. Die betroffenen Personen wurden nicht darüber informiert, dass die Bereitstellung von Religions- und Gesundheitsdaten freiwillig war. In Bezug auf die Volkszählung fehlte außerdem die Durchführung einer Datenschutz-Folgenabschätzung. Auch den abgeschlossenen Auftragsverarbeitungsvertrag kritisierte die portugiesische Behörde: im Rahmen des Vertrages war eine Datenübermittlung von personenbezogenen Daten außerhalb des EWR erlaubt, ohne dass neben den Standardvertragsklauseln weitere Sicherheitsmaßnahmen getroffen wurden

Behörde: Comissão Nacional de Protecção de Dados
Branche: Nationales Institut
Verstoß: Art. 5 Abs. 1 lit. a) DSGVO, Art. 9 Abs. 1 DSGVO, Art. 12 DSGVO, Art. 13 DSGVO, Art. 28 Abs. 1, 6, 7 DSGVO, Art. 35 Abs. 1, 2 DSGVO, Art. 35 Abs. 3 lit. b) DSGVO, Art. 44 DSGVO, Art. 46 Abs. 2 DSGVO
Bußgeld: 4.300.000 Euro

Hier zeigt sich, dass auch der Staat in Bezug auf den Datenschutz durchaus mal gründlich daneben liegen kann. Mit Blick auf die Anzahl der Verstöße und der Wichtigkeit einer besonderen Sensibilität bei der Verarbeitung von Kategorien personenbezogener Daten nach Art. 9 DSGVO verwundert die Höhe des Bußgelds kaum.

1 Million Euro Bußgeld wegen des Verwendens einer veralteten Datenbank

Nach der Beschwerde einer Privatperson reagierte die italienische Datenschutzbehörde GPDP und verhängte ein Bußgeld gegen Areti Spa, einen italienischen Stromversorger, in Höhe von 1 Million Euro. Anlass war ein interner Vorgang, bei dem der Kunde den Stromanbieter nicht wechseln konnte, da er aufgrund von veralteten und fehlerhaften Datensätzen, welche dem System zugrunde lagen, von dem System als säumig und als im Zahlungsrückstand befindlich eingestuft wurde. Die Nachforschungen der italienischen Datenschutzbehörde ergaben, dass in den letzten sechs Jahren mehr als 47.000 Kund:innen einen solchen Wechsel des Stromanbieters wegen dieser Fehleinstufung innerhalb des Informationssystems ebenfalls nicht durchführen konnten.

Behörde: Garante per la protezione dei dati personali
Branche: Energieunternehmen
Verstoß: Art. 5 Abs. 1 lit. a), b), c), e) DSGVO, Art. 10 DSGVO, Art. 2 codice della privacy
Bußgeld: 1.000.000 Euro

Die in Art. 5 DSGVO enthaltenen Grundsätze für die Verarbeitung personenbezogener Daten sind bei jeder Datenverarbeitung zu beachten. Es ist unter anderem normiert, dass personenbezogene Daten sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein und regelmäßig gelöscht werden müssen. Datensätze nicht immer akribisch zu aktualisieren mag zunächst banal klingen, das Beispiel zeigt jedoch, dass auch solche Datenschutzverstöße Quelle von hohen Bußgeldern sein können und von Unternehmen nicht unterschätzt werden sollten.

Zahlreiche Verstöße, mangelnde Transparenz: 2 Millionen Euro Bußgeld für Betreiber von „Clubhouse“

In den Anfängen der Corona-Pandemie erlebte das von Alpha Exploration betriebene soziale Netzwerk „Clubhouse“ einen großen Hype. Inzwischen wurde der Betreiber von der italienischen Datenschutzbehörde GPDP wegen eines bunten Straußes an Datenschutzverstößen zur Zahlung von 2 Millionen Euro verdonnert. Grund dafür: Transparenz hinsichtlich der Datenverwendung – Fehlanzeige. Audio-Aufnahmen konnten zudem ohne Zustimmung der anderen betroffenen Personen gespeichert und geteilt werden. Die Behörde stellte außerdem fest, dass die Erstellung eines Profils bei „Clubhouse“ und auch die Datenweitergabe ohne Angabe einer geeigneten Rechtsgrundlage erfolgte. Auch die Speicherzeiten waren undurchsichtig. Hinsichtlich der weiteren Datenverwendung und der nicht rechtmäßigen Datenverarbeitung zu Marketing- und Profilbildungszwecken erließ die Behörde eine Untersagungsanordnung gegen den Betreiber von „Clubhouse“.

Behörde: Garante per la protezione dei dati personali
Branche: Softwareunternehmen
Verstoß: Art. 5 Abs. 1 lit. a), e), f) DSGVO, Art. 6 DSGVO, Art. 7 DSGVO, Art. 12 Abs. 1 DSGVO, Art. 13 DSGVO, Art. 14 DSGVO, Art. 27 DSGVO, Art. 28 DSGVO, Art. 32 DSGVO, Art. 35 DSGVO
Bußgeld: 2.000.000 Euro

„Clubhouse“ ist ein soziales Netzwerk mit vielen datenschutzrechtlichen Fallstricken. Dies sollte jedem Nutzer und jeder Nutzerin bewusst sein, denn gerade im Internet neigt der Mensch dazu, mit seinen eigenen Daten unvorsichtig umzugehen. Seitens des Verantwortlichen gilt: werden grundlegende Prinzipien der DSGVO missachtet, sind hohe Bußgelder keine Seltenheit.

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

Externer Datenschutzbeauftragter

Ein Kommentar zu diesem Beitrag

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.