Top 5 DSGVO-Bußgelder im Dezember 2023

Artikel von Dr. Datenschutz·3. Januar 2024

Die Datenschutzaufsichtsbehörden verhängen monatlich Bußgelder wegen Verstößen gegen die DSGVO. Aus diesen können Unternehmen einen Überblick über aktuelle Prüfungsschwerpunkte und die Sanktionspraxis der Behörden gewinnen. Hier finden Sie daher unsere Top 5 Bußgelder im Dezember 2023.

Der Inhalt im Überblick

Keine Ernennung eines Datenschutzbeauftragten
Keine Datenschutz-Folgenabschätzung nach Einführung einer Bildungsplattform
Rechtswidrige Veröffentlichung von Fahrzeugkennzeichen
Veröffentlichung von Ortskräften des britischen Militärs in Afghanistan
Keine geeigneten technischen und organisatorischen Maßnahmen

Keine Ernennung eines Datenschutzbeauftragten

Die französische Datenschutzbehörde (CNIL) verhängte zwei Bußgelder gegen die Gemeinde Kourou. Die CNIL machte die Gemeindeverwaltung auf das Fehlen eines Datenschutzbeauftragten aufmerksam und verordnete die Ernennung eines Beauftragten Anfang 2022. Anfang 2023 verhängte die CNIL eine Geldstrafe in der Höhe von 5.000 EUR, da Kourou dem nicht nachgekommen war. Als auch die erneute Aufforderung, einen Datenschutzbeauftragten zu ernennen, nach Ablauf der gestellten Frist nicht beachtet worden war, verhängte die CNIL ein erneutes Bußgeld von 5.000 EUR. Zusätzlich wird für jeden Tag, an dem den Forderungen der Datenschutzbehörde nicht gefolgt wird, ein Strafgeld von 150 EUR fällig.

Behörde: Commission Nationale de l’Informatique et des Libertés
Branche: Behörde
Verstoß: Art. 31 DSGVO, Art. 37 DSGVO, Art. 38 DSGVO, Art. 39 DSGVO
Bußgeld: 10.000 Euro

Kaum zu glauben, dass die fehlende Benennung eines Datenschutzbeauftragten immer noch ein Thema ist, mit dem sich die Aufsichtsbehörden beschäftigen müssen. Bei einem solchen groben Verstoß gegen die DSGVO ist es dann auch nicht verwunderlich, wenn empfindliche Bußgelder verhängt werden.

Keine Datenschutz-Folgenabschätzung nach Einführung einer Bildungsplattform

Im Rahmen einer Routinekontrolle fiel der schwedischen Datenschutzbehörde Integritetsskydds myndigheten auf, dass die Kinder- und Bildungsbehörde der Gemeinde Östersund im Rahmen der Einführung einer Bildungsplattform keinerlei Datenschutz-Folgenabschätzung vorgenommen hatte. Die Schulplattform Google Workspace sollte von ca. 7300 Personen, davon 6000 Kindern genutzt werden.

Behörde: Integritetsskydds myndigheten
Branche: Behörde
Verstoß: Art. 35 Abs. 1 DSGVO
Bußgeld: 26.381 Euro

Der Sachverhalt schildert ansehnlich, dass auch bei etablierten Anbietern wie Google eine Datenschutz-Folgenabschätzung unbedingt erforderlich ist. Insbesondere wenn es um Daten von Kindern geht. Hier muss ausreichend erwogen werden, welche besonderen Gefahren für die Persönlichkeitsrechte der Kinder drohen, da diese im Zweifel über die Plattform mehr von sich preisgeben als für den Bildungszweck erforderlich.

Rechtswidrige Veröffentlichung von Fahrzeugkennzeichen

Die griechische Datenschutzbehörde untersuchte eine Beschwerde einer Person gegen ein Leasingunternehmen. Das Unternehmen hatte auf Immobilienanzeigen Fotos veröffentlicht, bei denen Kennzeichen von Autos erkennbar waren. Hierbei wurde auch das KFZ ursprünglichen Immobilienbesitzers abgebildet, welcher zum Verkauf gezwungen war. Dieser wendete sich an die Aufsichtsbehörde. Eine besonders unglückliche Konsequenz: Das Unternehmen versendete die Bilder an einen Bekannten des Beschwerdeführers, dem das Kennzeichen bekannt war. Hierdurch erhielt der Bekannte Kenntnis über die finanziellen Schwierigkeiten des Beschwerdeführers. Auf Nachfrage und Bitte des Beschwerdeführers um Löschung reagierte das Unternehmen nicht.

Behörde: Griechische Datenschutzbehörde
Branche: Immobilienbranche/Finanzdienstleistungen
Verstoß: Art. 5 Abs. 1 lit. c DSGVO, Art. 15 DSGVO
Bußgeld: 20.000 Euro

Hier sieht man deutlich, dass in der immer mehr digitalisierten Immobilienbranche besonders auf Objektfotos und den abgebildeten Umgebungen geachtet werden muss. Ein solcher Fehler, wie oben, ist schnell passiert.

Veröffentlichung von Ortskräften des britischen Militärs in Afghanistan

Im September 2021 sendete die Abteilung für die Umsiedlung von afghanischen Ortskräften des britischen Militärs eine E-Mail an 265 afghanische Staatsangehörige, die für die Ausreise in Frage kamen. Dabei wurde nicht die BCC-Funktion verwendet, sodass die Empfänger offengelegt wurden. In 55 Fällen waren auch Portraits als Thumbnails sichtbar. Diese Datenpanne kann lebensgefährliche Folgen für die Ortskräfte haben, sollten die Taliban die E-Mail sehen. Ursprünglich Betrug das Bußgeld 1 Mio Pfund. Wurde aber aufgrund der Herausforderung, denen sich die betroffene Behörde täglich ausgesetzt sieht, auf 350.000 Pfund (407.190 Euro) herabgesetzt.

Behörde: Information Commissioner’s Office
Branche: Behörde
Verstoß: Art. 25 UK GDPR
Bußgeld: 407.190 Euro

Selbst banale Verstöße gegen die grundlegenden Verhaltensregeln in der datenschutzrechtlichen Praxis, wie dem richtigen Versenden von E-Mail, können weitreichende Folgen haben. Dieses extreme Beispiel zeigt, dass mithilfe kleinster Verhaltens Grundsätze hohe Gefahren für die Persönlichkeitsrechte von Betroffenen vermieden werden können. Auch wenn es im Regelfall nicht um eine Gefahr für Leib und Leben geht.

Keine geeigneten technischen und organisatorischen Maßnahmen

Nachdem die Offene Universität Zypern einen Sicherheitsvorfall meldete, bei dem sich Hacker Zugang zu Studentendaten verschafften, um diese anschließend im Darknet zu veröffentlichen, stellte die Datenschutzaufsichtsbehörde Zypern fest, dass die Universität keine geeigneten technische und organisatorischen Maßnahmen getroffen hatte, um die personenbezogenen Daten ihrer Studenten zu schützen.

Behörde: Datenschutzaufsichtsbehörde Zypern
Branche: Universität
Verstoß: Art. 5 DSGVO, Art. 32 DSGVO
Bußgeld: 45.000 Euro

Hackerangriffe bringen eine besonders hohe Gefahr für die Persönlichkeitsrechte betroffener Personen mit sich, da die Daten meist in Händen landen, die zum einen hohe kriminelle Energie besitzen und zum anderen wissen, wie mit persönlichen Daten Identitätsdiebstähle und weitere Hackerangriffe durchgeführt werden können. An die technischen und organisatorischen Maßnahmen sind folglich hohe Anforderungen zu stellen, denen in diesem Fall hier leider nicht entsprochen wurde.

- Aufsichtsbehörde
  KI-Gesetz im Überblick: DSGVO-Vergleich und GesetzestextFachbeitrag·23. April 2024
- EuGH zu Löschungsanordnungen der DatenschutzaufsichtUrteil·28. März 2024
- Thüringer LfDI: Telefax ist kein sicheres TransportmittelNews·11. März 2024
Mehr zum Thema
- britische Datenschutzaufsichtsbehörde
  Großbritanniens Datenschutzreform – Neuer AnlaufNews·20. März 2023
- Die Datenschutzreform in Großbritannien rückt näher!News·21. Juli 2022
- BREXIT auch im Datenschutz?News·30. Mai 2016
Mehr zum Thema
- Bußgeld
  Der Tätigkeitsbericht der LDA Brandenburg 2023 ist daNews·24. April 2024
- KI-Gesetz im Überblick: DSGVO-Vergleich und GesetzestextFachbeitrag·23. April 2024
- DSGVO-Bußgeld: Haften Unternehmen für Mitarbeiter?Urteil·16. April 2024
Mehr zum Thema
- Datenschutz-Folgenabschätzung
  Datenschutz & Microsoft 365: DSGVO-konformer Einsatz möglich?Fachbeitrag·23. Januar 2024
- Microsoft 365 Copilot unter datenschutzrechtlicher BetrachtungFachbeitrag·12. Dezember 2023
- Schule 2.0: Einführung von digitalen KlassenbüchernFachbeitrag·5. Dezember 2023
Mehr zum Thema
- Geldbußen
  Top 5 DSGVO-Bußgelder im Mai 2023News·5. Juni 2023
- Top 5 DSGVO-Bußgelder im Februar 2023News·1. März 2023
- Top 5 DSGVO-Bußgelder im Juni 2022News·4. Juli 2022
Mehr zum Thema
- TOM
  EuGH: TOMs und Schadensersatz bei CyberangriffenUrteil·13. März 2024
- Datenschutz bei IT-Tools & Software in SchulenFachbeitrag·12. März 2024
- Amazon Web Services (AWS) datenschutzkonform nutzenFachbeitrag·5. März 2024
Mehr zum Thema

Beitrag kommentieren

Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.

Klicken Sie hier, um den Kommentarbereich anzuzeigen. Kommentare verbergen.