Zum Inhalt springen Zur Navigation springen
Top 5 DSGVO-Bußgelder im Juli 2024

Top 5 DSGVO-Bußgelder im Juli 2024

Die Datenschutzaufsichtsbehörden verhängen monatlich Bußgelder wegen Verstößen gegen die DSGVO. Aus diesen können Unternehmen einen Überblick über aktuelle Prüfungsschwerpunkte und die Sanktionspraxis der Behörden gewinnen. Hier finden Sie daher unsere Top 5 Bußgelder im Juli 2024.

Fehlende Benennung eines DSB

Die CNIL beißt sich die Zähne an der Gemeinde Kourou aus mit ihrer Aufforderung, eine:n Datenschutzbeauftragte:n zu benennen. Kourou aber bleibt stur! Die Gemeinde liegt in Französisch-Guayana (zwischen Brasilien und Suriname) und ist dafür bekannt, dass von hier Weltraumraketen starten. Im Glanz dieses kosmischen Themas scheint das Strahlen unserer irdischen DSGVO zu verblassen.

Einer Anordnung der CNIL vom Dezember 2023 ist die Gemeinde noch nicht nachgekommen. Hierbei hatte die CNIL eine Geldstrafe i.H.v. EUR 5.000,- verhängt und für jeden Tag der Nichtbefolgung ein Zwangsgeld von EUR 150,- festgesetzt. Die Gemeinde hat bis heute nicht reagiert. Am 22. Juli 2024 hat die CNIL eine teilweise „liquidation” des Zwangsgeldes gegen Kourou i.H.v. EUR 6.900,- beschlossen. Dieser französische Rechtsbegriff meint nicht etwa die Aufhebung des Zwangsgeldes, sondern seine endgültige Festsetzung, mit der auch die Zahlungspflicht des Schuldners festgestellt wird. Sie hat auch betont, dass die Verhängung eines neuen Zwangsgeldes möglich ist.

Behörde: Commission nationale de l’informatique et des libertés (CNIL)
Branche: Öffentlicher Dienst
Verstoß: Art. 37 DSGVO
Bußgeld: 6.900 Euro

Die Erkenntnis kommt nicht überraschend: Behörden können ungehalten werden, wenn man nicht mit ihnen kooperiert. Die Anforderungen an die Benennungspflicht eines Datenschutzbeauftragten sind geringer als man denkt. Wenn bereits die Aufsichtsbehörde diese Pflicht als gegeben ansieht, sollte das Unternehmen einen DSB benennen.

Mobbing einer Kundin durch entlassenen Mitarbeiter

Eine Privatperson beschwerte sich über den Lebensmittelgroßhändler Metro. Diese hatte sich über einen Lieferant des Händlers beschwert. Der Fahrer, dem kurz darauf gekündigt wurde, verschaffte sich Zugang zu den im Firmensystem gespeicherten Daten der Dame und schickte dieser sarkastische SMS auf ihr Privathandy. In diesen Nachrichten gab der ehemalige Mitarbeiter der Kundin die Schuld für seine Entlassung.

Sodann verlangte die Betroffene von Metro Auskunft über und die Löschung aller von ihr gesammelten personenbezogenen Daten. Das Unternehmen weigerte sich mit der Begründung, dass der Ehemann der eigentliche Kunde sei. Somit sei ihr Ersuchen gegenstandslos. Es war jedoch die Betroffene selbst, die mit dem Lieferanten kommuniziert hatte, als dieser sie belieferte, und nicht ihr Mann. Darüber hinaus betonte Metro, der Fahrer sei über den Lieferschein an die Privatnummer gekommen.

Die Untersuchung der griechischen Datenschutzbehörde ergab, dass der Großhändler den Anfragen hätte nachkommen müssen. Außerdem gab es keine geeigneten technischen und organisatorischen Maßnahmen zum Schutz der Daten, was dazu führte, dass der Ex-Mitarbeiter an ebendiese gelangen konnte. Auch leitete Metro keine Schritte zur Verbesserung dieser Maßnahmen ein, nachdem es von dem Vorfall erfuhr. Weder meldete Metro den Datenschutzvorfall.

Behörde: Hellenic Data Protection Authority
Branche:
Lebensmittelhandel
Verstoß:
Art. 15, Art. 17, Art. 24, Art. 32, Art. 33 DSGVO
Bußgeld:
50.000 Euro

Auskunftsersuchen Betroffener sollten stets ernst genommen und bedacht beantwortet werden! In diesem Fall hätten ein gelebtes Berechtigungskonzept und weitere technische sowie organisatorische Maßnahmen das Bußgeld möglicherweise verhindert.

Unerlaubte Werbeanrufe

Die spanische Datenschutzbehörde reagierte auf eine Beschwerde einer Privatperson. Diese hatte wiederholte Werbeanrufe von Vodafone erhalten, hatte diesen jedoch nie zugestimmt. Die Nummern, die angerufen wurden, standen sogar auf einer Nichtanrufliste. Die Behörde verlangte von dem Unternehmen Auskunft über die getätigten Anrufe und die damit verbundene Datenverarbeitung, erhielt jedoch auf wiederholte Anfragen keine Rückmeldung.

Behörde: Agencia española protección datos (AEPD)
Branche: Telekommunikation
Verstoß: Art. 58 Abs. 1 DSGVO
Bußgeld: 200.000 EUR

Werbeanrufe sind nur bei Vorliegen expliziter Einwilligung des Kunden zulässig, die Gründe dafür sind in diesem Artikel zum Direktmarketing erläutert. Liegt eine solche Einwilligung nicht vor, dürfen die Kundendaten nur für den konkreten Zweck (hier in der Regel: zur Vertragserfüllung) verwendet werden.

Löschunwilliges Finanzunternehmen

Eine Privatperson beschwerte sich bei der spanischen Datenschutzbehörde. Sie hatte das FinTech-Unternehmen ID Finance Spain mehrfach aufgefordert, ihre personenbezogenen Daten zu löschen. ID Finance kam dieser Betroffenenanfrage nicht nach. Dies begründete das Fintech-Unternehmen mit einer angeblichen Schuld, die sich der Privatperson zufolge aus einem Identitätsdiebstahl ergab.

Die Prüfung ergab, dass die personenbezogenen Informationen der Betroffenen ohne eine ausreichend gültige Einwilligung gespeichert worden waren. Die Behörde vertrat die Ansicht, dass diese Daten gar nicht hätten gespeichert werden dürfen. Weiterhin stellte die Behörde fest, dass ID Finance Spain keinen Datenschutzbeauftragten ernannt hatte.

Behörde: Agencia española protección datos (AEPD)
Branche: Finanzbranche
Verstoß: Art. 6, Art. 17, Art. 37 Abs. 7 DSGVO
Bußgeld: 180.000 EUR

Wie in dem Fall des entlassenen Metromitarbeiters hätte dieses Bußgeld durch mehr Beachtung der Betroffenenanfrage möglicherweise verhindert werden können. Vor Beantwortung eines Betroffenenanfrage sollte die rechtmäßige Verarbeitung, mithin eine mögliche Löschung der im Raum stehenden Daten sorgfältig geprüft werden.

Unrechtmäßiger Versand sensibler Daten

Eine Privatperson beschwerte sich bei der italienischen Datenschutzbehörde. Bei ihrer schwerbehinderten Mutter, die im Gefängnis war, sollte eine Überprüfung der Behinderungsbescheinigung stattfinden.

Die Verwaltung, wo sich diese Krankenakte befand, versandte diese vollständig, unverschlüsselt, und mit Hinweis auf einen Schreibfehler an das Gefängnis. Die Akte enthielt auch eine Diagnose für eine HIV-Infektion, die nicht hätte versandt werden müssen. Verantwortlich hierfür war ein Fehler eines Mitarbeitenden, der nicht entsprechend geschult war.

Behörde: Garante per la protezione dei dati personali (GPDP)
Branche: Öffentliche Verwaltung
Verstoß: Art. 5 Abs. 1 lit. c, Art. 5 Abs. 1 lit. f, Art. 32 DSGVO
Bußgeld: 24.000 EUR

Gesundheitsdaten gehören zu den besonderen Kategorien personenbezogener Daten, mithin stellen sie sehr sensible Daten dar. Hier wurden die Grundsätze für die Verarbeitung personenbezogener Daten wie Zweckbindung und Datenminimierung offensichtlich missachtet. Bei der Weitergabe von Daten ist darauf zu achten, dass für den Zweck der Verarbeitung nur die zwingend notwendigen Daten auf angemessene Weise (verschlüsselt etc.) weitergegeben werden.

Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 31.12.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.