{"id":2380,"date":"2022-08-17T00:00:00","date_gmt":"2022-08-17T00:00:00","guid":{"rendered":"https:\/\/lawpilots.com\/presse\/earum-laudantium-nemo-eveniet\/"},"modified":"2026-01-28T10:20:46","modified_gmt":"2026-01-28T09:20:46","slug":"earum-laudantium-nemo-eveniet","status":"publish","type":"presse","link":"https:\/\/lawpilots.com\/de\/presse\/earum-laudantium-nemo-eveniet\/","title":{"rendered":"Datenschutzverst\u00f6\u00dfe sind keine Kavaliersdelikte"},"content":{"rendered":"

Top Ten der Datenschutzverst\u00f6\u00dfe im ersten Halbjahr 2022 \/ 90 Millionen Euro \u2013 bisher h\u00f6chstes Bu\u00dfgeld in 2022 f\u00fcr Google LLC \/ Unrechtm\u00e4\u00dfige Verarbeitung von personenbezogenen Daten h\u00e4ufigster Grund f\u00fcr Bu\u00dfgelder \/ Whitepaper \u00fcber die gr\u00f6\u00dften Datenschutzverst\u00f6\u00dfe und -skandale 2021 \/ E-Learnings verbessern den Umgang von Mitarbeitenden mit Daten<\/strong><\/p>\n

Berlin, 17. August 2022. <\/strong>Auch noch vier Jahre nach Inkrafttreten der Datenschutzgrundverordnung (DSGVO) kommt es immer wieder zu Verst\u00f6\u00dfen im Umgang mit personenbezogenen Daten. Neben den empfindlich hohen Geldstrafen ist vor allem der Imageschaden f\u00fcr die betroffenen Unternehmen erheblich. Im letzten Jahr sorgte etwa der Fall um Notebooksbilliger.de f\u00fcr Aufsehen: Der Konzern \u00fcberwachte seine Mitarbeitenden ohne Rechtsgrundlage und verletzte damit die Rechte seiner Belegschaft. Das Bu\u00dfgeld f\u00fcr das Vergehen wurde auf 10,4 Millionen Euro festgelegt. Insgesamt kam es 2021 in der Europ\u00e4ischen Union zu 356 Verst\u00f6\u00dfen t\u00e4glich und es wurden DSGVO-Bu\u00dfgelder in H\u00f6he von einer Milliarde Euro verh\u00e4ngt. Ein lawpilots-Whitepaper zu den gr\u00f6\u00dften Datenschutzverst\u00f6\u00dfen 2021 und wie solche Verst\u00f6\u00dfe vermieden werden k\u00f6nnen, gibt es hier<\/u><\/a> als Download.<\/p>\n

Auch in diesem Jahr gab es bereits in der ersten Jahresh\u00e4lfte einige Datenschutzvorf\u00e4lle in Europa, die Gerichte mit Bu\u00dfgeldern belegt haben. Allen voran US-amerikanische Tech-Riesen.<\/p>\n

Alle diese Datenschutzvorf\u00e4lle zeigen: Leider sind Verst\u00f6\u00dfe gegen die DSGVO immer noch an der Tagesordnung. Allein in Deutschland haben 80 Prozent der Unternehmen die DSGVO noch nicht vollst\u00e4ndig umgesetzt*. So ist es denn auch kein Wunder, dass der h\u00e4ufigste Grund f\u00fcr Verst\u00f6\u00dfe die Unwissenheit der Mitarbeitenden ist. Deswegen ist es unerl\u00e4sslich, dass sich alle Mitarbeitenden mit dem Schutz von personenbezogenen Daten auskennen. Mit entsprechenden E-Learnings (z. B. von lawpilots) schulen Unternehmen ihre Mitarbeitenden aller Ebenen, Ressorts und (\u00f6ffentliche) Einrichtungen darin, personenbezogene Daten rechtskonform zu verarbeiten und erkl\u00e4ren die komplizierten Paragrafen in einfachem Deutsch. Unternehmen und Organisationen verhindern so, dass Datenschutzverst\u00f6\u00dfe bei denjenigen aufkommen, die am h\u00e4ufigsten mit kritischen Daten arbeiten \u2013 der einzelnen Mitarbeiterin und dem einzelnen Mitarbeiter.<\/p>\n

*Quelle: Statista, Umfrage zum Stand der Umsetzung der DSGVO in Deutschland im Jahr 2021: \u201cWie weit sind Sie mit der Umsetzung der Datenschutz-Grundverordnung?\u201d<\/u><\/a><\/p>\n\n\n\n
\n
lawpilots zeigt hier die F\u00e4lle mit den h\u00f6chsten Bu\u00dfgeldern im ersten Halbjahr 2022:<\/strong><\/div>\n

Platz 10<\/strong><\/p>\n

TOTALENERGIES \u00c9LECTRICIT\u00c9 ET GAZ FRANCE, Frankreich: <\/em>Mangelnde Auskunft und fehlender Opt-out<\/p>\n

Der franz\u00f6sische Energieriese geriet ins Visier der franz\u00f6sischen Datenschutzbeh\u00f6rde CNIL, nachdem 18 Datenschutzbeschwerden gegen ihn eingegangen waren. Grund f\u00fcr die Beschwerden: Betroffene beklagten, dass ihnen die Inanspruchnahme ihrer Betroffenenrechte (des Auskunftsrechts und des Widerspruchsrechts) erschwert wurden. Zudem fehlte bei einem Online-Formular, das dem Abschluss von Energie-Vertr\u00e4gen diente, eine Opt-out-M\u00f6glichkeit f\u00fcr Kunden, die keine weiteren Werbema\u00dfnahmen w\u00fcnschten. Die CNIL verh\u00e4ngte ein Bu\u00dfgeld in H\u00f6he von 1.000.000 Euro<\/strong>, da Verst\u00f6\u00dfe gegen Art. 12, 14, 15 und 21 der DSGVO<\/strong> vorlagen.<\/p>\n

Platz 9<\/strong><\/p>\n

Fortum Marketing and Sales Polska S.A., Polen: <\/em>Mangelhaft gesicherte Kundendatenbank<\/p>\n

Unbefugten Dritten ist es gelungen, Daten von Kunden des polnischen Energie- und Recycling-Unternehmens abzusch\u00f6pfen, nachdem zuvor der IT-Dienstleister des Unternehmens \u00c4nderungen an der IT-Umgebung vorgenommen hatte. Im Zuge der \u00c4nderungen wurde unter anderem eine zus\u00e4tzliche Kundendatenbank angelegt. Der Server, auf dem sie sich befand, verf\u00fcgte jedoch nicht \u00fcber ordnungsgem\u00e4\u00dfe Sicherheitsma\u00dfnahmen, sodass die Datenbank frei zug\u00e4nglich war und von den Unbefugten kopiert werden konnte. Fortum Marketing and Sales Polska S.A. musste ein Bu\u00dfgeld in H\u00f6he von 1.085.970 Euro<\/strong> zahlen, da Verst\u00f6\u00dfe gegen Art. 5, 24, 25, 28 und 32 der DSGVO<\/strong> vorlagen; der IT-Dienstleister erhielt ein Bu\u00dfgeld in H\u00f6he von 55.304 Euro.<\/p>\n

Platz 8<\/strong><\/p>\n

Danske Bank, D\u00e4nemark: <\/em>Mangelndes L\u00f6schverhalten<\/p>\n

Die d\u00e4nische Datenschutzbeh\u00f6rde Datatilsynet untersuchte Danske Bank, die f\u00fcr \u00fcber 400 ihrer Systeme weder nachweisen konnte, dass Regelungen zur Speicherung und L\u00f6schung von personenbezogenen Daten definiert worden waren noch, dass etwaige L\u00f6schungen manuell durchgef\u00fchrt wurden. Betroffen von der mangelhaften Datenverarbeitung waren die Daten von mehreren Millionen Personen. Die Folge: Ein Bu\u00dfgeld in H\u00f6he von umgerechnet 1.334.357 Euro<\/strong> wegen Versto\u00dfes gegen Art. 5 Abs. 2 DSGVO<\/strong>.<\/p>\n

Platz 7<\/strong><\/p>\n

BREBAU GmbH, Deutschland: <\/em>Speicherung und Verarbeitung z. T. intimster Daten<\/p>\n

Laut Bericht der Landesbeauftragten f\u00fcr Datenschutz und Informationsfreiheit der Freien Hansestadt Bremen (LfDI) hat die BREBAU GmbH mehr als 9.500 Daten von Mietinteressentinnen und -interessenten ohne Rechtsgrundlage verarbeitet. So wurden Informationen \u00fcber die Frisur, den K\u00f6rpergeruch und das pers\u00f6nliche Auftreten gespeichert. In mehr als der H\u00e4lfte der F\u00e4lle wurden auch Daten erhoben und verarbeitet, die laut DSGVO besonders gesch\u00fctzt sind, darunter: Informationen \u00fcber die Hautfarbe, die ethnische Herkunft, die Religionszugeh\u00f6rigkeit, die sexuelle Orientierung und den Gesundheitszustand. Insgesamt lagen Verst\u00f6\u00dfe gegen folgende Paragrafen vor: Art. 6 Abs. 1, Art. 5 Abs. 1, Art. 9 Abs. 1 Art. 12 Abs. 1 und Art. 15 DSGVO<\/strong><\/p>\n

Das Bu\u00dfgeld betrug 1.900.000 Euro<\/strong> und w\u00e4re h\u00f6her ausgefallen, wenn das Unternehmen sich nicht so kooperativ und einsichtig gezeigt h\u00e4tte.<\/p>\n

Platz 6<\/strong><\/p>\n

Uber, Italien: <\/em>Urteil zur Datenpanne in 2016<\/p>\n

Die Datenpanne im Herbst 2016 betraf Daten von weltweit circa 57 Millionen Usern der Taxi-App, etwa 295.000 davon in Italien. Es ging sowohl um Namen und die Kontaktdaten der Betroffenen als auch um ihre Login- und Standortdaten sowie Beziehungen zu anderen Nutzern (zum Beispiel Ausflugstipps, Einladungen und Profiling-Informationen). Die Beh\u00f6rde \u201eGarante per la protezione dei dati personali\u201d stellte im Rahmen der Untersuchungen fest, dass Uber die Daten von ca. 1.379.000 italienischen App-Usern zu Zwecken der Bewertung ihres Betrugsrisikos verarbeitet \u2013 ohne g\u00fcltige Einwilligungen der Betroffenen. Des Weiteren hatte Uber die Informationspflicht gegen\u00fcber Betroffenen verletzt, beispielsweise durch unklar und unvollst\u00e4ndig gestaltete und schwer verst\u00e4ndliche Informationsbrosch\u00fcren. Der Versto\u00df gegen Art. 161 co, Art. 162 Abs. 2-bis und Art. 163 codice della privacy<\/strong> kostete \u00fcber 2.120.000 Euro<\/strong>.<\/p>\n

Platz 5<\/strong><\/p>\n

Niederl\u00e4ndische Steuer- und Zollbeh\u00f6rde, Niederlande: <\/em>Unrechtm\u00e4\u00dfige Erstellung und Pflege von Listen<\/p>\n

Die niederl\u00e4ndische Datenschutzbeh\u00f6rde (Autoriteit Persoonsgegevens) verh\u00e4ngte das Bu\u00dfgeld gegen die niederl\u00e4ndische Steuer- und Zollbeh\u00f6rde (Belastingdienst) aufgrund mehrerer Datenschutzverst\u00f6\u00dfe im Zusammenhang mit einer unrechtm\u00e4\u00dfig unterhaltenen Liste. Auf dieser Liste vermerkte die Steuerbeh\u00f6rde Hinweise auf Betrug. Die Liste enthielt \u00fcber einen Zeitraum von sechs Jahren Daten von circa 270.000 Personen. Des Weiteren hatte die Steuer- und Zollbeh\u00f6rde bei der Liste gleich mehrere Grunds\u00e4tze der Datenverarbeitung (Rechtm\u00e4\u00dfigkeit und Transparenz, Zweckbindung, Richtigkeit, Speicherbegrenzung) verletzt und zudem die Sicherheit der Daten vernachl\u00e4ssigt. Das Bu\u00dfgeld in H\u00f6he von 3.700.000 Euro<\/strong> wurde als Folge der Verst\u00f6\u00dfe gegen Art. 5 Abs. 1 lit. a, b, d, e; Art. 6 Abs. 1, Art. 32 Abs. 1 und Art. 35 Abs. 2 DSGVO<\/strong> verh\u00e4ngt.<\/p>\n

Platz 4<\/strong><\/p>\n

Clearview AI, Griechenland: <\/em>Illegale Sammlung und Nutzung biometrischer Daten<\/p>\n

Clearview AI bietet Dienste an, die mithilfe von KI biometrische Profile von Personen erstellt. Daf\u00fcr ben\u00f6tigte Daten extrahiert der Dienstleister aus Fotos der Betroffenen. Nach Beschwerden der Organisation \u201cHomo Digitalis\u201d hatte die griechische Datenschutzbeh\u00f6rde Ermittlungen aufgenommen. Grund der Beschwerde war das nicht ordnungsgem\u00e4\u00dfe Nachkommen einer Auskunftsanfrage des Betroffenen. Nach Auffassung der Beh\u00f6rde fand bei den im Besitz des US-Unternehmens befindlichen personenbezogenen Daten eine unrechtm\u00e4\u00dfige Verarbeitung statt. Zudem hatte Clearview AI die Betroffenen weder ordnungsgem\u00e4\u00df \u00fcber die Verarbeitung ihrer Daten informiert, noch einen Vertreter in der EU benannt. Wegen Versto\u00dfes gegen Art. 5 Abs. 1 lit. A, Art. 6, Art. 9, Art. 12, Art. 14, Art. 15 und Art. 27 DSGVO<\/strong> musste Clearview AI daher ein Bu\u00dfgeld in H\u00f6he von 20.000.000 Euro<\/strong> zahlen.<\/p>\n

Platz 3 + 2<\/strong><\/p>\n

Facebook, Google Ireland, Frankreich: <\/em>Fehlende M\u00f6glichkeiten, Cookies einfach abzulehnen<\/p>\n

Facebook und Google Ireland sahen sich beide mit Vorw\u00fcrfen der franz\u00f6sischen Datenschutzbeh\u00f6rde CNIL konfrontiert. Gegenstand war die fehlende M\u00f6glichkeit, die Speicherung von Cookies einfach abzulehnen. Vielmehr waren auf deren Seiten die entsprechenden Schaltfl\u00e4chen so versteckt, dass mehrere Klicks notwendig waren, um sie zu erreichen. Die Zustimmung zur Speicherung von Cookies indes war mit einem Klick m\u00f6glich. In beiden F\u00e4llen lagen Verst\u00f6\u00dfe gegen Art. 82 La loi Informatique et Libert\u00e9s<\/strong> vor, die jeweils mit einem Bu\u00dfgeld von 60.000.000 Euro<\/strong> belegt wurden.<\/p>\n

Platz 1<\/strong><\/p>\n

Google LLC, Frankreich: <\/em>Fehlende M\u00f6glichkeiten, Cookies einfach abzulehnen<\/p>\n

Das h\u00f6chste Bu\u00dfgeld musste Google LLC bezahlen. Der Vorwurf war der gleiche wie bei der Tochterfirma Google Ireland und Facebook: Usern war es vor dem Urteil nicht m\u00f6glich, ohne gro\u00dfen Aufwand der Speicherung und Verarbeitung von Cookies zuzustimmen. Wieder stellte die franz\u00f6sische Datenschutzbeh\u00f6rde fest, dass die Websites zwar eine Schaltfl\u00e4che zur sofortigen Annahme von Cookies anboten, jedoch ohne \u00fcber eine gleichwertige L\u00f6sung (Schaltfl\u00e4che oder \u00e4hnliches) zu verf\u00fcgen, die es den Nutzern erm\u00f6glichte, Cookies ebenso einfach abzulehnen. Wegen Versto\u00dfes gegen Art. 82 La loi Informatique et Libert\u00e9s <\/strong>musste Google LLC ein Bu\u00dfgeld von 90.000.000 Euro <\/strong>zahlen.<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n","protected":false},"featured_media":0,"template":"","categories":[60],"class_list":["post-2380","presse","type-presse","status-publish","hentry","category-pressemitteilungen"],"acf":[],"_links":{"self":[{"href":"https:\/\/lawpilots.com\/de\/wp-json\/wp\/v2\/presse\/2380","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/lawpilots.com\/de\/wp-json\/wp\/v2\/presse"}],"about":[{"href":"https:\/\/lawpilots.com\/de\/wp-json\/wp\/v2\/types\/presse"}],"wp:attachment":[{"href":"https:\/\/lawpilots.com\/de\/wp-json\/wp\/v2\/media?parent=2380"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/lawpilots.com\/de\/wp-json\/wp\/v2\/categories?post=2380"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}