Nur während der ersten Welle der Corona-Pandemie sanken die verhängten DSGVO-Bußgelder 2020 kurzfristig. Doch bereits im dritten Quartal 2020 schnellten die Bußgelder auf ein neues Rekordhoch. Neben vielen Geldstrafen im drei-, vier-, oder fünfstelligen Bereich waren darunter auch 17 im Millionenbereich – zehn mehr als letztes Jahr. Darunter waren auch saftige Millionen-Strafen, die wegen absoluter Datenschutz-Basics wie die korrekte Darstellung von Cookie-Bannern verhängt wurden. Dies beweist einmal mehr, dass der Datenschutz im Unternehmen auf keinen Fall auf die leichte Schulter genommen werden darf – weder von großen noch von kleinen Unternehmen.
Die wichtigsten DSGVO-Millionen-Bußgelder 2020
Fast alle EU-Mitgliedstaaten verhängten im Jahr 2020 „DSGVO-Strafen“, also Bußgelder aufgrund von Verstößen gegen die Datenschutz-Grundverordnung. Bei den verhängten Bußgeldern traf es dabei vor allem große Konzerne hart, aber auch kleinere Unternehmen und medizinische Einrichtungen waren von den Millionen-Bußgeldern 2020 betroffen. Wir erklären, warum – und was Sie daraus lernen können.
Wer? Google LLC: 60 Millionen und Google Ireland Limited: 40 Millionen
Grund: Google ist seit Einführung der DSGVO stets unter den Bußgeld-Betroffenen, denn der Konzern versucht scheinbar stetig, Datenschutz-Richtlinien auszuhöhlen oder zu umgehen. Dieses Jahr ging es um das Thema Cookies: So bemängelten die französischen Aufsichtsbehörden sowohl, dass von Google LLC und Google Ireland Limited Cookies zu Werbezwecken ohne die Einwilligung der Betroffenen eingesetzt wurden als auch die Informationspflichten für das Thema nicht erfüllt zu haben.
Learning? Das Thema Cookies gehört mittlerweile zum kleinen Datenschutz-1x1. Wie ein Cookie-Hinweis korrekt eingebunden wird und was es zum Thema Informationspflichten zu wissen gibt, sollte mittlerweile bei allen Unternehmen nicht nur angekommen, sondern auch umgesetzt worden sein.
Wer? H&M Hennes & Mauritz Online Shop A.B. & Co. KG: 35,2 Millionen
Grund: Kurz gesagt: H&M bespitzelte seine Mitarbeiter:innen und erhob unbefugt teils sensible personenbezogene Daten über sie, die ohne Rechtsgrundlage gespeichert wurden. So wurden Mitarbeiterprofile erstellt, die für Personalentscheidungen bis hin zur Kündigung herangezogen wurden. Dies verstößt vor allem gegen Kap. 6 Abs. 1 DSGVO, entschied der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit und verhängte das Bußgeld in Höhe von 35.258.708 €.
Learning? Mitarbeiter:innen sind nicht zu bespitzeln, das sollte von Vornherein klar sein. Zudem dürfen personenbezogene Daten nur dann verarbeitet werden, wenn es dafür eine gültige Rechtsgrundlage gibt, z.B. weil diese Daten zur Vertragserfüllung gebraucht werden. Daten ohne Grundlage, zu lange oder gar vorsorglich zu speichern entbehrt jeglicher Gesetzesgrundlage im Datenschutz.
Wer? AMAZON EUROPE CORE: 35 Millionen
Grund: Wieder wurde die französische Aufsichtsbehörde aktiv und wieder ging es um das Thema Cookies (Cookies zu Werbezwecken ohne Einwilligung) und Informationspflichten von Betroffenen.
Learning? S. Google-Bußgeld. Zudem ist hier auch das Signal wichtig: Auch große Konzerne müssen die DSGVO korrekt umsetzen und können sich nicht vor dem Schutz personenbezogener Daten drücken.
Wer? TIM SpA: 27 Millionen
Grund: Hier lag gleich ein ganzes Konglomerat an Gründen vor. So wurden Betroffene Opfer von Werbeanrufen, ohne dafür eine Einwilligung erteilt zu haben, zudem die Missachtung von Widerspruchsersuchen von Betroffenen und die Missachtung von Opt-Out-Vorgängen. Darüber hinaus waren die Informationen zu Datenverarbeitungen fehlerhaft und intransparent und die eingesetzten IT-Systeme entsprachen nicht den Anforderungen der DSGVO. Aufgrund all dieser Verstöße (Verstöße gegen Art. 5 Abs. 1 lit. a, b und e DSGVO sowie Art. 7 Abs. 1 und 2 DSGVO) verhängte die italienische Aufsichtsbehörde die Strafe von 27.802.946€.
Learning? Für die Verarbeitung personenbezogener Daten braucht es eine angemessene Grundlage. Diese Grundsätze für die Verarbeitung personenbezogener Daten können Art. 5 DSGVO entnommen werden. Besitzt ein Unternehmen diese nicht, so dürfen die Daten nicht verarbeitet werden. Zudem gibt es laut Art. 7 DSGVO Bedingungen für die Einwilligung, die von den Betroffenen jederzeit widerrufen werden kann. Geschieht dies, dann hat ein Unternehmen die Daten meist zu löschen und darf diese in Zukunft nicht mehr verarbeiten.
Wer? Wind Tre SpA: 16,7 Millionen
Grund: Gleich gegen sechs Artikel der DSGVO hat Wind Tre SpA verstoßen und bekam darum von der italienischen Aufsichtsbehörde eine Geldstrafe von 16.729.600€. Vor allem die Datenverarbeitung zu Marketingzwecken ohne eine gültige Einwilligung, das Ignorieren von Widerspruchsersuchen und Löschanfragen von Betroffenen und das weitgehende Fehlen von organisatorischen Maßnahmen wurden hier als Hauptgründe genannt. Im Einzelnen sind die Artikel, gegen die Tre SpA verstoßen hat: Art. 5 DSGVO, Art. 6 DSGVO, Art. 7 DSGVO, Art. 24 DSGVO, Art. 25 DSGVO, Art. 12 DSGVO.
Learning? Fehlende Einwilligungen sind immer wieder ein Thema, aber auch ein korrekt umgesetztes Löschkonzept im Unternehmen ist essenziell. Zudem müssen die technischen und organisatorischen Maßnahmen in Unternehmen stets aktuell gehalten werden, damit keine Sicherheitslücken entstehen können.
Wer? Google LLC: 5 Millionen
Grund: Dieses Bußgeld wurde im Zuge eines Follow-Up-Audits verhängt. Zwei Anordnungen aus dem Jahr 2017 für die Löschung von Google-Suchergebnissen wurden nicht (vollständig) umgesetzt. Die schwedische Aufsichtsbehörde sah Verstöße gegen Art. 6 DSGVO, Art. 9 DSGVO, Art. 10 DSGVO, Art. 17 DSGVO, Art. 5 Abs. 1 lit. b DSGVO und Art. 5 Abs. 1 lit. a DSGVO und verhängte 5.090.802 € Bußgeld.
Learning? Die Grundsätze für die Verarbeitung von personenbezogenen Daten müssen stets von Unternehmen und Konzernen gleichermaßen eingehalten werden. Außerdem ist die Rechtmäßigkeit einer Verarbeitung immer zu prüfen bevor personenbezogene Daten verarbeitet werden. Wurde zudem bereits ein Datenschutz-Audit durchgeführt, gilt es, die daraus abgeleiteten Maßnahmen möglichst zeitnah umzusetzen.
Wer? Capio St. Göran Krankenhaus AB: 2,8 Millionen
Grund: Das Capio St. Göran Krankenhaus führte keine Risikoanalyse für den Zugriff auf Patientendaten durch. Zudem wurden Berechtigungen für das Krankenhausinformationssysteme nach dem Minimalprinzip vergeben, was dazu führte, dass Benutzer:innen, die diese Daten für ihre Tätigkeiten gar nicht benötigten, dennoch Zugriff auf vertrauliche Patientendaten erhielten. Die schwedische Aufsichtsbehörde Verhängte daraufhin ein Bußgeld von 2.895.054€ (Verstöße gegen Art. 5 Abs. 1 lit. f DSGVO, Art. 5 Abs. 2 DSGVO, Art. 32. Abs. 1 und 2 DSGVO).
Learning? Risikoanalysen in Firmen sind sehr wichtig – vor allem bei Unternehmen, die mit sensiblen Daten arbeiten, wie Arztpraxen.
Wer? Ticketmaster UK Limited: 1,3 Millionen
Grund: Mittels eines manipulierten Chatbots konnten Hacker:innen bei Ticketmaster UK Limited Kreditkarteninformationen abgreifen. Von diesem Vorfall sind potenziell 9,4 Mio. Kreditkarteninhaber:innen betroffen. Das Unternehmen reagierte sehr spät und erst mit Hilfe von IT-Forensik gelang es, den Vorfall aufzuklären. Aufgrund fehlender Datensicherheit verhängte die englische Aufsichtsbehörde ein Bußgeld von 1.392.525 € (Verstöße gegen Art. 5 Abs. 1 lit. f DSGVO und Art. 32 DSGVO).
Learning? Die Sicherheit gespeicherter Daten ist immens wichtig. Für die Datensicherheit im Unternehmen müssen geeignete Maßnahmen getroffen werden, die auch stets aktuell zu halten sind. Zudem sollten Unternehmen, wenn es zu einer Datenschutzverletzung kommt, proaktiv handeln und den Aufsichtsbehörden gegenüber nicht mauern. Aktives und zügiges Handeln kann sich zudem mildernd auf eine potenzielle Geldbuße auswirken.
Wer? AOK Baden-Württemberg: 1,2 Millionen
Grund: Gewinnspieldaten wurden mangels geeigneter technischer und organisatorischer Maßnahmen (TOM) ohne Zustimmung der Teilnehmer:innen für Werbezwecke verwendet. Darum verhängte der Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg ein Bußgeld von 1.240.000 € (Verstoß gegen Art. 32 DSGVO).
Learning? Wie bei manch anderen Millionen-Bußgeldern 2020 spielten auch hier TOM eine zentrale Rolle. Es ist unerlässlich, dass diese von Unternehmen immer up-to-date gehalten werden. Zudem müssen Gewinnspiele so durchgeführt und die damit erhobenen Daten so verarbeitet werden, dass dies im Einklang mit der DSGVO passiert.
Weitere DSGVO-Millionen-Bußgelder 2020
Weitere Millionen-Strafen, die Aufgrund von Verstößen gegen die DSGVO 2020 verhängt wurden, hier aber aufgrund bereits besprochener Verstöße nicht mehr weiter ausgeführt werden, waren:
Vodafone Italia S.p.A.: 12.251.601 € (Verletztes Recht: Art. 5 Abs. 1 und 2 DSGVO, Art. 6 Abs. 1 DSGVO, Art. 7 DSGVO, Art. 24 DSGVO, Art. 25 Abs. 1 DSGVO, Art. 32 DSGVO, Art. 33 Abs. 1 DSGVO, Art. 15 Abs. 1 DSGVO und Art. 16 DSGVO).
Eni gas e luce SpA (ein italienischer Energieversorger): Einmal 8,5 Millionen und einmal 3 Millionen, (Verletztes Recht: Art. 32 DSGVO und Art. 5 Abs. 1 lit. a) DSGVO sowie beim zweiten Urteil Art. 5 Abs. 1 lit. a) DSGVO).
Banco Bilbao Vizcaya Argentaria, s.a., spanisches Kreditinstitut und Unternehmen für Finanzdienstleistungen: 5 Millionen (Verletztes Recht: Art. 6 DSGVO, Art. 13 DSGVO, Art. 14 DSGVO).
CARREFOUR FRANCE, französisches Einzelhandelsunternehmen: 2,2 Millionen (Verletztes Recht: Art. 5 Abs. 1 lit. e DSGVO, Art. 12 DSGVO, Art. 13 DSGVO, Art. 15 DSGVO, Art. 17 DSGVO, Art. 21 DSGVO, Art. 32 DSGVO, Art. 33 DSGVO, Art. 33 Abs. 5 DSGVO).
Aleris Närsjukvård AB, eine medizinische Einrichtung in Schweden: 1.158.022 € (Verletztes Recht: Art. 5. Abs. 1 lit. f DSGVO, Art. 5 Abs. 2 DSGVO und Art. 32 Abs. 1 und 2 DSGVO).
Aleris Sjukvård AB, eine medizinische Einrichtung in Schweden: 1.447.527 € (Verletztes Recht: Art. 5 Abs. 1 lit. f DSGVO, Art. 5 Abs. 2 DSGVO und Art. 32 Abs. 1 und 2 DSGVO)
Das skurrilste DSGVO-Bußgeld 2020
Die Datenschutz-Verstöße 2020 waren zahlreich – darunter waren auch einige seltsame oder abwegige Fälle. Doch der skurrilste Fall war wohl dieser:
Wer? Beobachten einer Privatperson auf der Toilette: 150 Euro
Grund: Eine Privatperson wurde zu 150 Euro Geldstrafe verurteilt, weil sie eine Frau mit Hilfe einer Smartphone-Kamera, die sie unter einer WC-Kabine eines öffentlichen WCs durchgeschoben hatte, beobachtet und fotografiert hat – ohne Einwilligung. Die österreichische Datenschutzbehörde fand die Person des Verstoßes gegen Art. 5 Abs. 1 lit. a DSGVO und Art. 6 Abs. 1 DSGVO (und anderer Landesgesetze) für schuldig.
Learning? Abgesehen davon, dass hier moralisch einige Dinge so liegen, dass sie dringend justiert gehören, sollte klar sein, dass ein solches Verhalten auch gegen die DSGVO verstößt, denn unter Umständen findet die DSGVO auch bei Privatpersonen Anwendung. Die DSGVO findet bei der Verarbeitung personenbezogener Daten laut Art. 2 Abs. 2 lit. c DSGVO grundsätzlich nur dann ihre Grenzen, wenn natürliche Personen im persönlichen oder familiären Bereich tätig werden. Wird die betreffende Person außerhalb dieses Umfelds tätig, gilt auch für diese die DSGVO. Daher kann auch ein Bußgeld nach DSGVO gegenüber einer Privatperson erteilt werden, wenn die Verarbeitung personenbezogener Daten gerade nicht im rein privaten Umfeld erfolgt ist. Der vorliegende Sachverhalt liegt nicht im rein privaten Bereich, so dass hier der Anwendungsbereich der DSGVO eröffnet ist.
Autorin: Kathrin Strauß
Artikel veröffentlicht: 11.01.2021
