Top Ten der Datenschutzverstöße im ersten Halbjahr 2022 / 90 Millionen Euro – bisher höchstes Bußgeld in 2022 für Google LLC / Unrechtmäßige Verarbeitung von personenbezogenen Daten häufigster Grund für Bußgelder / Whitepaper über die größten Datenschutzverstöße und -skandale 2021 / E-Learnings verbessern den Umgang von Mitarbeitenden mit Daten
Berlin, 17. August 2022. Auch noch vier Jahre nach Inkrafttreten der Datenschutzgrundverordnung (DSGVO) kommt es immer wieder zu Verstößen im Umgang mit personenbezogenen Daten. Neben den empfindlich hohen Geldstrafen ist vor allem der Imageschaden für die betroffenen Unternehmen erheblich. Im letzten Jahr sorgte etwa der Fall um Notebooksbilliger.de für Aufsehen: Der Konzern überwachte seine Mitarbeitenden ohne Rechtsgrundlage und verletzte damit die Rechte seiner Belegschaft. Das Bußgeld für das Vergehen wurde auf 10,4 Millionen Euro festgelegt. Insgesamt kam es 2021 in der Europäischen Union zu 356 Verstößen täglich und es wurden DSGVO-Bußgelder in Höhe von einer Milliarde Euro verhängt. Ein lawpilots-Whitepaper zu den größten Datenschutzverstößen 2021 und wie solche Verstöße vermieden werden können, gibt es hier als Download.
Auch in diesem Jahr gab es bereits in der ersten Jahreshälfte einige Datenschutzvorfälle in Europa, die Gerichte mit Bußgeldern belegt haben. Allen voran US-amerikanische Tech-Riesen.
Alle diese Datenschutzvorfälle zeigen: Leider sind Verstöße gegen die DSGVO immer noch an der Tagesordnung. Allein in Deutschland haben 80 Prozent der Unternehmen die DSGVO noch nicht vollständig umgesetzt*. So ist es denn auch kein Wunder, dass der häufigste Grund für Verstöße die Unwissenheit der Mitarbeitenden ist. Deswegen ist es unerlässlich, dass sich alle Mitarbeitenden mit dem Schutz von personenbezogenen Daten auskennen. Mit entsprechenden E-Learnings (z. B. von lawpilots) schulen Unternehmen ihre Mitarbeitenden aller Ebenen, Ressorts und (öffentliche) Einrichtungen darin, personenbezogene Daten rechtskonform zu verarbeiten und erklären die komplizierten Paragrafen in einfachem Deutsch. Unternehmen und Organisationen verhindern so, dass Datenschutzverstöße bei denjenigen aufkommen, die am häufigsten mit kritischen Daten arbeiten – der einzelnen Mitarbeiterin und dem einzelnen Mitarbeiter.
*Quelle: Statista, Umfrage zum Stand der Umsetzung der DSGVO in Deutschland im Jahr 2021: “Wie weit sind Sie mit der Umsetzung der Datenschutz-Grundverordnung?”
lawpilots zeigt hier die Fälle mit den höchsten Bußgeldern im ersten Halbjahr 2022:
Platz 10 TOTALENERGIES ÉLECTRICITÉ ET GAZ FRANCE, Frankreich: Mangelnde Auskunft und fehlender Opt-out Der französische Energieriese geriet ins Visier der französischen Datenschutzbehörde CNIL, nachdem 18 Datenschutzbeschwerden gegen ihn eingegangen waren. Grund für die Beschwerden: Betroffene beklagten, dass ihnen die Inanspruchnahme ihrer Betroffenenrechte (des Auskunftsrechts und des Widerspruchsrechts) erschwert wurden. Zudem fehlte bei einem Online-Formular, das dem Abschluss von Energie-Verträgen diente, eine Opt-out-Möglichkeit für Kunden, die keine weiteren Werbemaßnahmen wünschten. Die CNIL verhängte ein Bußgeld in Höhe von 1.000.000 Euro, da Verstöße gegen Art. 12, 14, 15 und 21 der DSGVO vorlagen. Platz 9 Fortum Marketing and Sales Polska S.A., Polen: Mangelhaft gesicherte Kundendatenbank Unbefugten Dritten ist es gelungen, Daten von Kunden des polnischen Energie- und Recycling-Unternehmens abzuschöpfen, nachdem zuvor der IT-Dienstleister des Unternehmens Änderungen an der IT-Umgebung vorgenommen hatte. Im Zuge der Änderungen wurde unter anderem eine zusätzliche Kundendatenbank angelegt. Der Server, auf dem sie sich befand, verfügte jedoch nicht über ordnungsgemäße Sicherheitsmaßnahmen, sodass die Datenbank frei zugänglich war und von den Unbefugten kopiert werden konnte. Fortum Marketing and Sales Polska S.A. musste ein Bußgeld in Höhe von 1.085.970 Euro zahlen, da Verstöße gegen Art. 5, 24, 25, 28 und 32 der DSGVO vorlagen; der IT-Dienstleister erhielt ein Bußgeld in Höhe von 55.304 Euro. Platz 8 Danske Bank, Dänemark: Mangelndes Löschverhalten Die dänische Datenschutzbehörde Datatilsynet untersuchte Danske Bank, die für über 400 ihrer Systeme weder nachweisen konnte, dass Regelungen zur Speicherung und Löschung von personenbezogenen Daten definiert worden waren noch, dass etwaige Löschungen manuell durchgeführt wurden. Betroffen von der mangelhaften Datenverarbeitung waren die Daten von mehreren Millionen Personen. Die Folge: Ein Bußgeld in Höhe von umgerechnet 1.334.357 Euro wegen Verstoßes gegen Art. 5 Abs. 2 DSGVO. Platz 7 BREBAU GmbH, Deutschland: Speicherung und Verarbeitung z. T. intimster Daten Laut Bericht der Landesbeauftragten für Datenschutz und Informationsfreiheit der Freien Hansestadt Bremen (LfDI) hat die BREBAU GmbH mehr als 9.500 Daten von Mietinteressentinnen und -interessenten ohne Rechtsgrundlage verarbeitet. So wurden Informationen über die Frisur, den Körpergeruch und das persönliche Auftreten gespeichert. In mehr als der Hälfte der Fälle wurden auch Daten erhoben und verarbeitet, die laut DSGVO besonders geschützt sind, darunter: Informationen über die Hautfarbe, die ethnische Herkunft, die Religionszugehörigkeit, die sexuelle Orientierung und den Gesundheitszustand. Insgesamt lagen Verstöße gegen folgende Paragrafen vor: Art. 6 Abs. 1, Art. 5 Abs. 1, Art. 9 Abs. 1 Art. 12 Abs. 1 und Art. 15 DSGVO Das Bußgeld betrug 1.900.000 Euro und wäre höher ausgefallen, wenn das Unternehmen sich nicht so kooperativ und einsichtig gezeigt hätte. Platz 6 Uber, Italien: Urteil zur Datenpanne in 2016 Die Datenpanne im Herbst 2016 betraf Daten von weltweit circa 57 Millionen Usern der Taxi-App, etwa 295.000 davon in Italien. Es ging sowohl um Namen und die Kontaktdaten der Betroffenen als auch um ihre Login- und Standortdaten sowie Beziehungen zu anderen Nutzern (zum Beispiel Ausflugstipps, Einladungen und Profiling-Informationen). Die Behörde „Garante per la protezione dei dati personali” stellte im Rahmen der Untersuchungen fest, dass Uber die Daten von ca. 1.379.000 italienischen App-Usern zu Zwecken der Bewertung ihres Betrugsrisikos verarbeitet – ohne gültige Einwilligungen der Betroffenen. Des Weiteren hatte Uber die Informationspflicht gegenüber Betroffenen verletzt, beispielsweise durch unklar und unvollständig gestaltete und schwer verständliche Informationsbroschüren. Der Verstoß gegen Art. 161 co, Art. 162 Abs. 2-bis und Art. 163 codice della privacy kostete über 2.120.000 Euro. Platz 5 Niederländische Steuer- und Zollbehörde, Niederlande: Unrechtmäßige Erstellung und Pflege von Listen Die niederländische Datenschutzbehörde (Autoriteit Persoonsgegevens) verhängte das Bußgeld gegen die niederländische Steuer- und Zollbehörde (Belastingdienst) aufgrund mehrerer Datenschutzverstöße im Zusammenhang mit einer unrechtmäßig unterhaltenen Liste. Auf dieser Liste vermerkte die Steuerbehörde Hinweise auf Betrug. Die Liste enthielt über einen Zeitraum von sechs Jahren Daten von circa 270.000 Personen. Des Weiteren hatte die Steuer- und Zollbehörde bei der Liste gleich mehrere Grundsätze der Datenverarbeitung (Rechtmäßigkeit und Transparenz, Zweckbindung, Richtigkeit, Speicherbegrenzung) verletzt und zudem die Sicherheit der Daten vernachlässigt. Das Bußgeld in Höhe von 3.700.000 Euro wurde als Folge der Verstöße gegen Art. 5 Abs. 1 lit. a, b, d, e; Art. 6 Abs. 1, Art. 32 Abs. 1 und Art. 35 Abs. 2 DSGVO verhängt. Platz 4 Clearview AI, Griechenland: Illegale Sammlung und Nutzung biometrischer Daten Clearview AI bietet Dienste an, die mithilfe von KI biometrische Profile von Personen erstellt. Dafür benötigte Daten extrahiert der Dienstleister aus Fotos der Betroffenen. Nach Beschwerden der Organisation “Homo Digitalis” hatte die griechische Datenschutzbehörde Ermittlungen aufgenommen. Grund der Beschwerde war das nicht ordnungsgemäße Nachkommen einer Auskunftsanfrage des Betroffenen. Nach Auffassung der Behörde fand bei den im Besitz des US-Unternehmens befindlichen personenbezogenen Daten eine unrechtmäßige Verarbeitung statt. Zudem hatte Clearview AI die Betroffenen weder ordnungsgemäß über die Verarbeitung ihrer Daten informiert, noch einen Vertreter in der EU benannt. Wegen Verstoßes gegen Art. 5 Abs. 1 lit. A, Art. 6, Art. 9, Art. 12, Art. 14, Art. 15 und Art. 27 DSGVO musste Clearview AI daher ein Bußgeld in Höhe von 20.000.000 Euro zahlen. Platz 3 + 2 Facebook, Google Ireland, Frankreich: Fehlende Möglichkeiten, Cookies einfach abzulehnen Facebook und Google Ireland sahen sich beide mit Vorwürfen der französischen Datenschutzbehörde CNIL konfrontiert. Gegenstand war die fehlende Möglichkeit, die Speicherung von Cookies einfach abzulehnen. Vielmehr waren auf deren Seiten die entsprechenden Schaltflächen so versteckt, dass mehrere Klicks notwendig waren, um sie zu erreichen. Die Zustimmung zur Speicherung von Cookies indes war mit einem Klick möglich. In beiden Fällen lagen Verstöße gegen Art. 82 La loi Informatique et Libertés vor, die jeweils mit einem Bußgeld von 60.000.000 Euro belegt wurden. Platz 1 Google LLC, Frankreich: Fehlende Möglichkeiten, Cookies einfach abzulehnen Das höchste Bußgeld musste Google LLC bezahlen. Der Vorwurf war der gleiche wie bei der Tochterfirma Google Ireland und Facebook: Usern war es vor dem Urteil nicht möglich, ohne großen Aufwand der Speicherung und Verarbeitung von Cookies zuzustimmen. Wieder stellte die französische Datenschutzbehörde fest, dass die Websites zwar eine Schaltfläche zur sofortigen Annahme von Cookies anboten, jedoch ohne über eine gleichwertige Lösung (Schaltfläche oder ähnliches) zu verfügen, die es den Nutzern ermöglichte, Cookies ebenso einfach abzulehnen. Wegen Verstoßes gegen Art. 82 La loi Informatique et Libertés musste Google LLC ein Bußgeld von 90.000.000 Euro zahlen. |