Zum Inhalt springen Zur Navigation springen
Top 5 DSGVO-Bußgelder im November 2022

Top 5 DSGVO-Bußgelder im November 2022

Die Datenschutzaufsichtsbehörden verhängen monatlich Bußgelder wegen Verstößen gegen die DSGVO. Aus diesen können Unternehmen einen Überblick über aktuelle Prüfungsschwerpunkte und die Sanktionspraxis der Behörden gewinnen. Hier finden Sie daher unsere Top 5 Bußgelder im November 2022.

265 Millionen Euro Bußgeld für geleakte User-Daten bei Facebook

Beim Sozialen Netzwerk Facebook kam es zu einem Abgriff von etwa 533 Millionen Datensätzen mit persönlichen Informationen, sog. „Scraping“. Diese Daten wurden im Anschluss im Netz veröffentlicht. Bei den Daten handelt es sich u.a. um Namen, Telefonnummern und E-Mail-Adressen von Nutzerinnen und Nutzern. Erstmals publik geworden ist dieser Fall im April 2021, woraufhin die irische Datenschutzbehörde DPC ihre Ermittlungen aufnahm. Zurückzuführen ist dieser unbefugte Zugriff nach Ansicht der Aufsichtsbehörde auf unzureichenden Sicherheitsmaßnahmen bei mehreren von Facebook eingesetzten APIs (Anwendungsschnittstellen). Dadurch konnten die Angreifer die Daten abgreifen, ohne sich in die Systeme von Facebook hacken zu müssen. Neben dem Bußgeld in Höhe von 265 Millionen Euro wird Meta verpflichtet, ihre technischen und organisatorischen Maßnahmen an die Vorgaben der DSGVO anzupassen.

Behörde: Data Protection Commission (Irland)
Branche: Social-Media-Plattform
Verstoß: Art. 25 Abs. 1, Abs. 2 DSGVO
Bußgeld: 265.000.000 Euro

An diesem Beispiel ist zu erkennen, wie wichtig es ist, die zu verarbeitenden personenbezogenen Daten sorgfältig zu sichern. Hierzu ist es erforderlich, ausreichende technische und organisatorische Maßnahmen zu implementieren und diese aktuell zu halten. Ebenso wird deutlich, dass die Aufsichtsbehörden weiter gegen den Meta-Konzern vorgehen. Bereits in der Vergangenheit wurden Bußgelder in dreistelliger Millionenhöhe fällig (225 Millionen Euro Bußgeld für Whatsapp oder 405 Millionen Euro Bußgeld für Instagram).

Aufbewahrung von Kundendaten ohne Einwilligung

Nachdem mehr als 3,2 Millionen Kunden ihre Treuekarte nicht verlängert hatten, bewahrte die Douglas Italia S.p.A. die Daten ohne Einwilligung und damit auch ohne Rechtsgrundlage weiter auf. Die italienische Aufsichtsbehörde (Garante) bemängelte außerdem die Cookie-und Datenschutzrichtlinien. Hierbei sei es nicht möglich gewesen, eine freiwillige und spezifische Einwilligung zu verschiedenen Verarbeitungstätigkeiten zu geben. Neben dem Bußgeld ordnete die Garante an, solche Daten zu löschen, die mehr als 10 Jahre zurückliegen. Außerdem hat Douglas Italia seine technischen und organisatorischen Maßnahmen zu verbessern, um den Kunden ein angemessenes und der DSGVO entsprechendes Datenschutzniveau zu garantieren.

Behörde: Garante per la protezione dei dati personali (Garante)
Branche: Einzelhändler
Verstoß: Art. 5 Abs. 1 lit. b), e) DSGVO, Art. 6 DSGVO, Art. 7 DSGVO, Art. 12 Abs. 1 DSGVO, Art. 13 Abs. 2 DSGVO, Art. 25 Abs. 1 DSGVO
Bußgeld: 1.400.000 Euro

Die Entscheidung der Garante zeigt, dass Unternehmen stets im Blick haben sollten, auf welcher Rechtsrundlage sie die personenbezogenen Daten ihrer Kunden verarbeiten und wann beispielsweise erteilte Einwilligungen entfallen bzw. auslaufen können. Zusätzlich wird deutlich, dass Verantwortliche und Webseitenbetreiber darauf achten sollten, vollständige und zulässige Cookie-Banner zu verwenden und dort auch eindeutig zwischen den verschiedenen Verarbeitungstätigkeiten zu unterscheiden.

Ungenügende Aufbewahrungprozesse und unsichere Passwörter

Der Online-Telekommunikations-Anbieter Discord muss wegen mehrerer Verstöße ein Bußgeld von insgesamt 800.000 Euro zahlen. Die französische Aufsichtsbehörde CNIL bemängelte u.a., dass Discord keine an den konkreten Verarbeitungszweck angepasste Aufbewahrungsfristen gesetzt hatte. Dies hatte beispielsweise zur Folge, dass sich in der Datenbank des Anbieters über 2 Millionen französische Accounts befanden, die bereits seit über drei Jahren nicht mehr aktiv waren. Etwa 50.000 Accounts waren mehr als 5 Jahre inaktiv. Weiter stellte die CNIL einen Verstoß gegen Art. 25 Abs. 2 DSGVO fest, da Discord keine datenschutzfreundlichen Voreinstellungen hatte. So schloss sich der Dienst auf dem Clienten des Benutzers nicht, wenn dieser auf ein großes „X“ klickte. Stattdessen wurde der Dienst nur minimiert. Dies hatte nach Ansicht der CNIL zur Folge, dass der durchschnittliche User davon ausging, mit dem (vermeintlichen) Schließen der Anwendung nicht mehr Teilnehmer einer Audio- und/oder Video-Unterhaltung zu sein. Tatsächlich minimierte sich der Dienst jedoch nur und der User verblieb in einer Unterhaltung, ohne es zu wissen. Zudem wurde Discord eine unzureichende Passwort-Policy vorgeworfen. Der Dienst erlaubte es Nutzern, einfache Passwörter mit lediglich sechs Zeichen zu benutzen, die nur Buchstaben und Zahlen enthielten.

Behörde: Commission Nationale de l’Informatique et des Libertés (CNIL)
Branche: Online-Telekommunikations-Anbieter
Verstoß: Art. 5 Abs. 1 lit. e) DSGVO, Art. 13 DSGVO, Art. 25 Abs. 2 DSGVO, Art. 32 DSGVO, Art. 35 GDPR
Bußgeld: 800.000 Euro

Kleinvieh macht auch Mist! Auch wenn die Verstöße des Verantwortlichen vergleichsweise überschaubar sind, so führt ihre Summe schlussendlich doch zu einem empfindlichen Bußgeld. Insofern wird deutlich, wie wichtig es ist, dauerhaft und gewissenhaft den Datenschutz mitzudenken. Dabei sind sichere Passwörter schnell etabliert! Selbiges gilt für Prozesse zur ordnungsgemäßen Aufbewahrung.

Bank gibt fehlerhaft Kunden Zugriff auf fremde Konten

Grundlage der Entscheidung ist eine Beschwerde eines Kunden der spanischen Bank Bankinter. Die Beschwerdeführerin stellte beim Einsehen ihres Kontos fest, dass sie auch dritte – ihr gänzlich unbekannte – Konten einsehen konnte. Die Ermittlungen der AEPD zeigten, dass dieser fehlerhafte Zugriff auf ein Fehlen angemessener technischer und organisatorischer Maßnahmen zum Schutz personenbezogener Daten bei der Bank beruhte.

Behörde: La Agencia Española de Protección de Datos (AEPD)
Branche: Finanzdienstleister
Verstoß: Art. 5 Abs. 1 lit. f DSGVO, Art. 32 Abs. 1 DSGVO
Bußgeld: 80.000 Euro

Neben dem (neuerlichen) Hinweis auf die besondere Wichtigkeit der technischen und organisatorischen Maßnahmen nach Art. 32 DSGVO zeigt die Entscheidung, wie schnell eine Nachlässigkeit zu einem Bußgeld führen kann. Dabei kann man davon ausgehen, dass die Höhe des Bußgeldes eine ganz andere Kategorie erreicht hätte, wenn aufgrund der mangelhaften TOM nicht nur ein Kunde unbefugten Zugriff erlangt hätte, sondern eine Vielzahl an Kunden. Es wird deutlich, dass auch schon eine einzige Nachlässigkeit zu einer Vielfall von Datenschutzvorfällen und in der Folge auch Bußgeldern führen kann.

Callcenter-Marketing ohne Einwilligung

Eine ältere Vodafone-Kundin wurde von einem Callcenter, welches im Auftrag von Vodafone Italia handelte, angerufen. Im Verlaufe des Gesprächs schloss das Callcenter mit der älteren Dame einen neuen Vertrag – jedoch ohne Zustimmung der Kundin. Laut Garante wurde die Dame dabei nicht über die Verarbeitung ihrer personenbezogenen Daten informiert. Zudem wurden die Vertragsdetails in einer zu hohen Geschwindigkeit vorgelesen, sodass die Kunden sie nicht ausreichend zur Kenntnis nehmen konnte. Neben dem Bußgeld ordnete die Garante der Vodafone gegenüber an, die Arbeitsweise der eingesetzten Callcenter zu überprüfen.

Behörde: Garante per la protezione dei dati personali (Garante)
Branche: Telekommunikations-Dienstleister
Verstoß: Art. 5 Abs. 1 lit. a) DSGVO, Art. 6 DSGVO, Art. 7 DSGVO, Art. 12 Abs. 1 DSGVO, Art. 130 Abs. 1, Abs. 2, Abs. 3 Codice della privacy
Bußgeld: 500.000 Euro

Diese Entscheidung verdeutlicht, welche Probleme auftauchen können, wenn der datenschutzrechtliche Verantwortliche Callcenter einsetzt und diese nicht sorgfältig überprüft.
Dass die italienische Aufsichtsbehörde bei fehlerhaftem Verhalten von Callcentern hart durchgreift, dürfte den involvierten Parteien eigentlich bekannt gewesen sein.

Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 30.06.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.