Zum Inhalt springen Zur Navigation springen
Top 5 DSGVO-Bußgelder im Januar 2022

Top 5 DSGVO-Bußgelder im Januar 2022

Die Datenschutzaufsichtsbehörden verhängen monatlich Bußgelder wegen Verstößen gegen die DSGVO. Aus diesen können Unternehmen einen Überblick über aktuelle Prüfungsschwerpunkte und die Sanktionspraxis der Behörden gewinnen. Hier finden Sie daher unsere Top 5 Bußgelder im Januar 2022.

Bußgeld gegen Google, die Erste!

Ein Bußgeld, welches kein Bußgeld nach der DSGVO ist und dennoch in diesem Beitrag Erwähnung finden muss, ist der veröffentlichte Bescheid gegen Google LLC Anfang Januar dieses Jahrs. Die französische Datenschutzbehörde „Commission Nationale de l’Informatique et des Libertés“, kurz CNIL, stellte bei einer Untersuchung der Webseiten www.google.fr fest, dass es für die Einstellung und das Ablehnen von Cookies keine Lösung gab, die vergleichbar einfach zur Möglichkeit des Annehmens der Cookies ist. Für das Einstellen oder Ablehnen der Cookies waren mehrere Klicks erforderlich, wohingegen es nur eines Klicks bedurfte, um alle Cookies anzunehmen.

Behörde: Commission Nationale de l’Informatique et des Libertés (CNIL)
Branche: Internet
Verstoß: Art. 82 Informatique et Libertés
Bußgeld: 90.000.000 Euro

Es ist nicht das erste Mal, dass die CNIL Google ins Blickfeld nimmt. In diesem Fall ist die CNIL der Auffassung, ein derart komplizierter Vorgang zum Ablehnen von Cookies stelle eine Verletzung der Einwilligungsfreiheit dar. Die Verletzung fuße hier auf dem nationalen Datenschutzrecht Frankreichs, genauer gesagt auf Art. 82 Informatique et Libertés. Abzuwarten bleibt, ob von diesem Schritt der französischen Aufsichtsbehörde ein Signal an andere europäische Staaten ausgeht. Auf nationaler Ebene in Deutschland ist schon fraglich, inwiefern sich eine solches Vorgehen unter das Gesetz subsumieren ließe. Das in Deutschland seit Dezember geltende Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) ist diesbezüglich nicht hinreichend konkret geregelt.

Bußgeld gegen Google, die Zweite!

Im selbigen Verfahren der CNIL, in dem Google LLC ein Bußgeld in Höhe von 90.000.000 Euro kassiert hat, wurde ein weiteres Bußgeld verhängt. Ebenfalls wegen einer fehlenden gleichwertigen Möglichkeit Cookies auf der Webseite www.google.fr abzulehnen wie anzunehmen, wurde gegen die Google Ireland Limited ein Bußgeld in Höhe von 60.000.000 Euro erlassen. Rechtsgrundlage dieses hohen Bußgelds war ebenfalls Art. 82 Informatique et Libertés. Beide Bußgeldbescheide wurden ferner mit der Anordnung versehen, innerhalb von drei Monaten in Frankreich für die Nutzer der Webseite eine vergleichbare Möglichkeit der Ablehnung von Cookies zu schaffen. Das Überschreiten der Frist kostet die Unternehmen Google LLC und Google Ireland Limited pro Tag 100.000 Euro Zwangsgeld.

Behörde: Commission Nationale de l’Informatique et des Libertés
Branche: Internet
Verstoß: Art. 82 Informatique et Libertés
Bußgeld: 60.000.000 Euro

Im Zusammenhang mit solch hohen Bußgeldern stellt sich im Datenschutzalltag die Frage, wie die Höhe zustande kommt. Im Rahmen der Datenschutz-Grundverordnung enthält Art. 83 Abs. 2 Satz 2 DSGVO einen Bemessungskatalog, die auf den Einzelfall abzustimmen ist. Dabei soll gem. Art. 83 Abs. 1 DSGVO die Bußgeldhöhe wirksam, verhältnismäßig und abschreckend sein. Im vorliegenden Fall, in dem der Verstoß auf nationalem französischen Recht beruhte, begründete die CNIL ihre Entscheidung und die Höhe des Bußgeldes mit der Vielzahl der betroffenen Personen und den beträchtlichen Gewinnen, die die Unternehmen aus den Werbeeinnahmen erzielen.

Unverschlüsselter Versand von Patientendaten

Bei einer Überprüfung des Gesundheitsamt durch die schwedische Datenschutzbehörde fiel auf, dass zwischen dem 25. Mai 2018 und dem 7. Mai 2019 sensitive personenbezogene Daten von Patien:innen sowie Ärzt:innen in nicht verschlüsselter Form versandt wurden. Auch die Speicherung der Gesundheitsdaten beim E-Mail-Provider Outlook erfolgt unverschlüsselt. Damit wurde gegen eine bestehende Richtlinie für die Region in Hinblick auf die Verarbeitung personenbezogener Daten verstoßen. Die Datenschutzbehörde sah in diesem Verhalten eine Datenschutzverletzung durch das Gesundheitsamt. Die mangelnden technischen und organisatorischen Maßnahmen seien nach Ansicht der Datenschutzbehörde ebenso ein Verstoß gegen die datenschutzrechtlichen Grundsätze der Integrität und Vertraulichkeit.

Behörde: Datainspektionen (Schweden)
Branche: Gesundheitswesen
Verstoß: Art. 5 Abs. 1 f) DSGVO, Art. 32 Abs. 1 DSGVO
Bußgeld: 153.120 Euro

Technische und organisatorischen Maßnahmen sind kein Selbstzweck. Sie sollen Daten effektiv schützen. Umso mehr gelten sollte dies im Bereich von Gesundheitsdaten. Dennoch kommt die Verhängung von Bußgeldern gegen Einrichtungen und Unternehmen im Zusammenhang mit Gesundheitsdaten häufig vor. So wurden allein im Februar 2021 Bußgelder gegen vier verschiedene Krankenhäuser, insbesondere in Italien, wegen fehlender hinreichender technischer und organisatorischer Maßnahmen verhängt. Gerade in einer Zeit, in der Gesundheitsdaten wie nie zuvor in der öffentlichen Debatte vertreten sind, zeigt die Relevanz effektiven Schutzes.

Videoüberwachung einer öffentlichen Straße

Ein Einwohner einer spanischen Stadt hatte zwei Überwachungskameras an seinem Wohnhaus angebracht. Die Kameras waren so eingestellt, dass auch Teile der öffentlichen Straße durch die Aufzeichnung erfasst wurden. Neben den Kameras war zwar ein Hinweisschild aufgestellt, dieses enthielt aber keine Kontaktinformationen des Verantwortlichen. Das Bußgeld setzte sich daher anteilig aus dem Verstoß gegen den Grundsatz der Datenminimierung sowie aus dem Verstoß gegen Art. 13 DSGVO zusammen.

Behörde: Agencia española protección datos
Branche: Privatperson
Verstoß: Art. 5 Abs. 1 c) DSGVO, Art. 13 DSGVO
Bußgeld: 1.500 Euro

Einen Bußgeldbescheid wegen datenschutzrechtlicher Verstöße verbindet man häufig mit großen Unternehmen, doch auch Privatpersonen können für ihre Verstöße sanktioniert werden, wie dieses Beispiel zeigt. Häufig stehen diese Bußgelder im Zusammenhang mit einer unzulässigen Videoüberwachung der eigenen örtlichen Umgebung. Überraschend häufig sind auch Bußgelder wegen datenschutzrechtlicher Verstöße, die gegen Beschäftigte der Polizei als Privatpersonen ausgesprochen werden. Besonders die Abfrage der polizeilichen Datenbanken zu privaten Zwecken, ist der Grund für die Bescheide. Beispielhaft wurden allein am 28. Januar 2022 sieben Bußgelder gegen Beschäftigte der Polizei für die unzulässige Datenbankabfrage erlassen.

Versand an den Nachbarn

In Spanien hat die VODAFONE ESPAÑA, S.A.U. ein Bußgeld von der spanischen Datenschutzbehörde kassiert. Das Telekommunikationsunternehmen sendete Unterlagen statt ihrer Kunden irrtümlich an den Nachbarn der Kundin. Sowohl ihre Telefonnummer als auch die Bankverbindungsdaten der Betroffenen waren in diesem Schreiben nachzulesen. Der Vorgang wurde durch die Betroffene selbst bei der spanischen Datenschutzbehörde eingereicht. Wegen der freiwilligen Zahlung von Vodafone wurde die ursprüngliche Bußgeldhöhe von 70.000 Euro auf 56.000 Euro reduziert.

Behörde: Agencia española protección datos https://www.aepd.es/es/documento/ps-00506-2021.pdf
Branche: Telekommunikation
Verstoß: Art. 5 Abs. 1 f) DSGVO, Art. 32 Abs. 1 DSGVO
Bußgeld: 56.000 Euro

Der Fall der VODAFONE ESPAÑA, S.A.U zeigt, wie viel Geld einem Unternehmen ein einziger Fehler im Zusammenhang mit datenschutzrechtlichen Versäumnissen oder Ungenauigkeiten kommen kann. Auffällig ist, dass insbesondere die spanische Aufsichtsbehörde den Telekommunikationsanbieter Vodafone genau im Blick hat. Die Bußgeldbescheide, die im Jahr 2021 wegen verschiedenster datenschutzrechtlicher Verstöße mit einem Bußgeld belegt wurden, sind an zwei Händen nicht mehr abzählbar. Neben mangelnden technischen und organisatorischen Maßnahmen zum Schutz der Kunden, ist auch immer wieder die SMS-Werbung ohne Einwilligungen der Empfänger als Bußgeldgrund anzutreffen.

Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 31.12.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.