Justizia auf einem Gerichtsgebäude

Die 7 DSGVO-Millionen-Bußgelder 2019

2019 zeigte die DSGVO Zähne: Es wurden mehrere saftige Millionen-Bußgelder verhängt. Wir erklären, warum – und was wir daraus lernen können.

2020-01-09

Logo
  • Wer? British Airways, UK: 204,6 Millionen Euro
    Grund: Unzureichende technische und organisatorische Maßnahmen zur Gewährleistung der Informationssicherheit – Probleme bei der IT-Sicherheit. Unbekannte konnten massenhaft personenbezogene Daten wie Zugangsdaten, Namen, Adressen, Kreditkartennummern und vieles mehr von der Fluglinie abgreifen.
    Learning? IT-Sicherheit gehört zu den technisch-organisatorischen Maßnahmen und muss wirklich immer up-to-date gehalten werden. Schon die kleinste Sicherheitslücke kann Unternehmen enormen Schaden zufügen und ein nicht abzuschätzendes Sicherheitsrisiko für die Betroffenen darstellen, deren Daten gestohlen werden.

  • Wer? Marriott International, UK: knapp 111 Millionen Euro
    Grund: Unzureichende technische und organisatorische Maßnahmen zur Gewährleistung der Informationssicherheit – Probleme mit der IT-Sicherheit. Hacker erbeuteten personenbezogener Daten von insgesamt 383 Millionen Gäste. Dazu gehörten u.a. unverschlüsselte Ausweisnummern und noch gültige Kreditkartennummern.
    Learning? Abgesehen von der im ersten Punkt bereits erwähnten IT-Sicherheit sind auch Verschlüsselungen enorm wichtig. Gerade so sensible Daten wie Ausweisnummern oder Kreditkarten-Daten sollten niemals als Klartext, sondern ausschließlich verschlüsselt gespeichert und auch übertragen werden, dass, sollten Sie dennoch Unbefugten in die Hände fallen, diese damit nichts anzufangen wissen.

  • Wer? Google, Frankreich: 50 Millionen Euro
    Grund: Unzureichende Rechtsgrundlage für die Datenverarbeitung, konkret: Google-Nutzer wurden nicht ausreichend über die Datennutzung des Konzerns informiert und zudem wurden bei den Einwilligungen für die Verarbeitung der Daten für Werbezwecke enorme Mängel festgestellt.
    Learning? Gleich zweierlei. Erstens muss eine vollständige Datenschutzerklärung (DSE), die inhaltlich auf dem neusten Stand ist, auf jeder Website zu finden sein (§13 DSGVO). Die DSE muss ausführlich über Art, Umfang und Zweck der Verwendung personenbezogener Daten informieren. Ein Datenschutzerklärungsgenerator hilft dabei. Zweitens müssen auch die Cookie-Banner auf Websites auf dem neusten Stand sein. Hier gab es Ende 2019 eine Neuerung zur Cookie-Regelung (EuGH-Urteil „Planet49“), die genau festlegt, was noch erlaubt ist und was nicht. Alle Infos und einen Cookie-Leitfaden zum Download gibt’s hier.

  • Wer? Österreichische Post: 18 Millionen Euro
    Grund: Ebenfalls wie bei Google lautet hier der Vorwurf: Unzureichende Rechtsgrundlage für die Datenverarbeitung. Die Post sammelte unerlaubt Daten zur Parteiaffinität und zur Umzugshäufigkeit von 2,2 Millionen Menschen. Beides ist ein klarer Verstoß gegen die DSGVO, zudem die Daten der Umzugshäufigkeit zu Direktmarketingzwecken weitergegeben wurden.
    Learning? Bei der Erhebung und Speicherung personenbezogener Daten müssen Unternehmen auf den Grundsatz der Datensparsamkeit (nach Art. 5 DSGVO) achten. Dieser besagt, dass nur für den Verarbeitungszweck notwendige Daten lediglich eine bestimmte Zeit lang gespeichert werden dürfen. Bei der Österreichischen Post kam zudem noch hinzu, dass es sich bei Daten zur politischen Gesinnung um eine besondere Kategorie personenbezogener Daten handelt (Art. 9 DSGVO). Unternehmen müssen das Recht der Kunden auf Informationellen Selbstbestimmung unbedingt beachten und die Grundsätze der DSGVO einhalten.

  • Wer? Deutsche Wohnen SE: 14,5 Millionen Euro
    Grund: Nichteinhaltung der allgemeinen Grundsätze der Datenverarbeitung, vor allem unerlaubte Datenspeicherung und fehlende Datenlöschung. Die Deutsche Wohnen SE speicherte jahrelang personenbezogene Daten wie Gehaltsinformationen, Kontoauszüge sowie Steuer-, Sozial- und Krankenversicherungsdaten und vieles mehr. Besonders heikel dabei: Das Archivsystem der Deutschen Wohnen SE besitzt nicht einmal die Möglichkeit, Daten zu löschen.
    Learning? Wie bereits bei der Österreichischen Post gilt auch hier: Die Grundsätze der Datensparsamkeit (nach Art. 5 DSGVO) und der beschränkten Speicherdauer sind für Unternehmen enorm wichtig. Ebenso wichtig ist auch ein Löschkonzept, das es Unternehmen und Mitarbeitern ermöglicht, Daten, die nicht mehr gespeichert werden dürfen bzw. nicht mehr benötigt werden, umgehend aus allem System zu löschen.

  • Wer? 1&1 Telecom GmbH: 9,5 Millionen Euro
    Grund: Unzureichende technische und organisatorische Maßnahmen zur Gewährleistung der Informationssicherheit. Unberechtigte konnten auf Grund eines schwachen Authentifizierungsverfahren an der Telefon-Hotline personenbezogene Daten von Kunden erfragen.
    Learning? Gerade am Telefon ist Vorsicht gefragt, wenn Kundendaten herausgegeben werden. Nur die Nennung des Namens und des Geburtsdatums sind keine ausreichenden Authentifizierungsverfahren. Sollten Unternehmen mit Hilfe von Callcenter arbeiten, dann verhält es sich noch einmal anders, denn hier bedarf es sogar eines Auftragsverarbeitungsvertrags.

  • Wer? National Revenue Agency, Bulgarien: 2,6 Millionen Euro
    Grund:
    Unzureichende technische und organisatorische Maßnahmen zur Gewährleistung der IT-Sicherheit. Dadurch gelang es Hackern, in die Datenbank des bulgarischen Finanzverwalters einzudringen und Millionen personenbezogene Daten von Kunden und auch sensible Unternehmensdaten abzugreifen.
    Learning? Wie schon beim Fall von British Airways gilt: Die IT eines Unternehmens muss immer up-to-date gehalten werden. Sie ist eine der wichtigsten technisch-organisatorischen Maßnahmen und stellt gerade bei Websites, die viele personenbezogene Daten wie Zugangsdaten, Namen, Adressen, Kreditkartennummern und Kontonummern speichern, ein äußert wichtiges Schutzschild gegen den Datenklau dar.

    Autorin: Kathrin Strauß
    Artikel veröffentlicht am: 19. Januar 2020

Leitfaden: Datenschutz im Home- und Mobileoffice

Warum ist Datenschutz gerade beim mobilen Arbeiten von enormer Relevanz?

Home-Office hat seine datenschutzrechtlichen Tücken. In unserem Leitfaden "Datenschutz im Home- und Mobileoffice" finden Sie Hinweise zur Datenverarbeitung im Home-Office unter Berücksichtigung datenschutzrechtlicher Aspekte.

 

Jetzt Leitfaden herunterladen

Datenschutz im Home- und Mobileoffice
Aktuelle Beiträge zum Thema Datenschutz

Wir freuen uns auf Ihre Anfrage!

Telefon:

+49 89 / 250 039 220

Öffnungszeiten:

Mo. - Fr.: 09:00 - 18:00 Uhr