Zum Inhalt springen Zur Navigation springen
Top 5 DSGVO-Bußgelder im Dezember 2023

Top 5 DSGVO-Bußgelder im Dezember 2023

Die Datenschutzaufsichtsbehörden verhängen monatlich Bußgelder wegen Verstößen gegen die DSGVO. Aus diesen können Unternehmen einen Überblick über aktuelle Prüfungsschwerpunkte und die Sanktionspraxis der Behörden gewinnen. Hier finden Sie daher unsere Top 5 Bußgelder im Dezember 2023.

Keine Ernennung eines Datenschutzbeauftragten

Die französische Datenschutzbehörde (CNIL) verhängte zwei Bußgelder gegen die Gemeinde Kourou. Die CNIL machte die Gemeindeverwaltung auf das Fehlen eines Datenschutzbeauftragten aufmerksam und verordnete die Ernennung eines Beauftragten Anfang 2022. Anfang 2023 verhängte die CNIL eine Geldstrafe in der Höhe von 5.000 EUR, da Kourou dem nicht nachgekommen war. Als auch die erneute Aufforderung, einen Datenschutzbeauftragten zu ernennen, nach Ablauf der gestellten Frist nicht beachtet worden war, verhängte die CNIL ein erneutes Bußgeld von 5.000 EUR. Zusätzlich wird für jeden Tag, an dem den Forderungen der Datenschutzbehörde nicht gefolgt wird, ein Strafgeld von 150 EUR fällig.

Behörde: Commission Nationale de l’Informatique et des Libertés
Branche:
Behörde
Verstoß:
Art. 31 DSGVO, Art. 37 DSGVO, Art. 38 DSGVO, Art. 39 DSGVO
Bußgeld: 
10.000 Euro

Kaum zu glauben, dass die fehlende Benennung eines Datenschutzbeauftragten immer noch ein Thema ist, mit dem sich die Aufsichtsbehörden beschäftigen müssen. Bei einem solchen groben Verstoß gegen die DSGVO ist es dann auch nicht verwunderlich, wenn empfindliche Bußgelder verhängt werden.

Keine Datenschutz-Folgenabschätzung nach Einführung einer Bildungsplattform

Im Rahmen einer Routinekontrolle fiel der schwedischen Datenschutzbehörde Integritetsskydds myndigheten auf, dass die Kinder- und Bildungsbehörde der Gemeinde Östersund im Rahmen der Einführung einer Bildungsplattform keinerlei Datenschutz-Folgenabschätzung vorgenommen hatte. Die Schulplattform Google Workspace sollte von ca. 7300 Personen, davon 6000 Kindern genutzt werden.

Behörde: Integritetsskydds myndigheten
Branche: Behörde
Verstoß: Art. 35 Abs. 1 DSGVO
Bußgeld: 26.381 Euro

Der Sachverhalt schildert ansehnlich, dass auch bei etablierten Anbietern wie Google eine Datenschutz-Folgenabschätzung unbedingt erforderlich ist. Insbesondere wenn es um Daten von Kindern geht. Hier muss ausreichend erwogen werden, welche besonderen Gefahren für die Persönlichkeitsrechte der Kinder drohen, da diese im Zweifel über die Plattform mehr von sich preisgeben als für den Bildungszweck erforderlich.

Rechtswidrige Veröffentlichung von Fahrzeugkennzeichen

Die griechische Datenschutzbehörde untersuchte eine Beschwerde einer Person gegen ein Leasingunternehmen. Das Unternehmen hatte auf Immobilienanzeigen Fotos veröffentlicht, bei denen Kennzeichen von Autos erkennbar waren. Hierbei wurde auch das KFZ ursprünglichen Immobilienbesitzers abgebildet, welcher zum Verkauf gezwungen war. Dieser wendete sich an die Aufsichtsbehörde. Eine besonders unglückliche Konsequenz: Das Unternehmen versendete die Bilder an einen Bekannten des Beschwerdeführers, dem das Kennzeichen bekannt war. Hierdurch erhielt der Bekannte Kenntnis über die finanziellen Schwierigkeiten des Beschwerdeführers. Auf Nachfrage und Bitte des Beschwerdeführers um Löschung reagierte das Unternehmen nicht.

Behörde: Griechische Datenschutzbehörde
Branche:
Immobilienbranche/Finanzdienstleistungen
Verstoß:
Art. 5 Abs. 1 lit. c DSGVO, Art. 15 DSGVO
Bußgeld: 
20.000 Euro

Hier sieht man deutlich, dass in der immer mehr digitalisierten Immobilienbranche besonders auf Objektfotos und den abgebildeten Umgebungen geachtet werden muss. Ein solcher Fehler, wie oben, ist schnell passiert.

Veröffentlichung von Ortskräften des britischen Militärs in Afghanistan

Im September 2021 sendete die Abteilung für die Umsiedlung von afghanischen Ortskräften des britischen Militärs eine E-Mail an 265 afghanische Staatsangehörige, die für die Ausreise in Frage kamen. Dabei wurde nicht die BCC-Funktion verwendet, sodass die Empfänger offengelegt wurden. In 55 Fällen waren auch Portraits als Thumbnails sichtbar. Diese Datenpanne kann lebensgefährliche Folgen für die Ortskräfte haben, sollten die Taliban die E-Mail sehen. Ursprünglich Betrug das Bußgeld 1 Mio Pfund. Wurde aber aufgrund der Herausforderung, denen sich die betroffene Behörde täglich ausgesetzt sieht, auf 350.000 Pfund (407.190 Euro) herabgesetzt.

Behörde: Information Commissioner’s Office
Branche:
Behörde
Verstoß:
Art. 25 UK GDPR
Bußgeld: 
407.190 Euro

Selbst banale Verstöße gegen die grundlegenden Verhaltensregeln in der datenschutzrechtlichen Praxis, wie dem richtigen Versenden von E-Mail, können weitreichende Folgen haben. Dieses extreme Beispiel zeigt, dass mithilfe kleinster Verhaltens Grundsätze hohe Gefahren für die Persönlichkeitsrechte von Betroffenen vermieden werden können. Auch wenn es im Regelfall nicht um eine Gefahr für Leib und Leben geht.

Keine geeigneten technischen und organisatorischen Maßnahmen

Nachdem die Offene Universität Zypern einen Sicherheitsvorfall meldete, bei dem sich Hacker Zugang zu Studentendaten verschafften, um diese anschließend im Darknet zu veröffentlichen, stellte die Datenschutzaufsichtsbehörde Zypern fest, dass die Universität keine geeigneten technische und organisatorischen Maßnahmen getroffen hatte, um die personenbezogenen Daten ihrer Studenten zu schützen.

Behörde: Datenschutzaufsichtsbehörde Zypern
Branche:
Universität
Verstoß:
Art. 5 DSGVO, Art. 32 DSGVO
Bußgeld: 
45.000 Euro

Hackerangriffe bringen eine besonders hohe Gefahr für die Persönlichkeitsrechte betroffener Personen mit sich, da die Daten meist in Händen landen, die zum einen hohe kriminelle Energie besitzen und zum anderen wissen, wie mit persönlichen Daten Identitätsdiebstähle und weitere Hackerangriffe durchgeführt werden können. An die technischen und organisatorischen Maßnahmen sind folglich hohe Anforderungen zu stellen, denen in diesem Fall hier leider nicht entsprochen wurde.

Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 31.12.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.