Die Datenschutz-Grundverordnung (DSGVO) hat den Schutz personenbezogener Daten zu einer Priorität für Unternehmen und Organisationen gemacht. Die Einhaltung der DSGVO ist entscheidend, da Verstöße empfindliche finanzielle Strafen nach sich ziehen können. In diesem Blogbeitrag werfen wir einen Blick auf einige reale Beispiele von Unternehmen, die die DSGVO nicht eingehalten haben und die damit verbundenen Strafen erfahren mussten. Diese Fälle dienen als Warnung und bieten wertvolle Lektionen darüber, warum die Einhaltung der DSGVO von entscheidender Bedeutung ist.
Bevor es mit konkreten Fällen losgeht: Grundsätzlich reicht das Handlungsspektrum im Rahmen des Strafmaßes bei Nichteinhaltung der Datenschutz-Grundverordnung (DSGVO) auf drei bekannte Bausteine:
- Bußgelder: Die DSGVO sieht empfindliche Geldbußen vor, die von den nationalen Aufsichtsbehörden verhängt werden können. Die Höhe der Bußgelder hängt von verschiedenen Faktoren ab, wie der Art und Schwere des Verstoßes, dem Umfang des Schadens und der betroffenen Datenkategorie. Die Höchstgrenzen für Bußgelder können bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes des vorherigen Geschäftsjahres betragen, je nachdem, welcher Betrag höher ist.
- Verwarnungen, Abmahnungen und Anordnungen: Die Aufsichtsbehörden können Verwarnungen oder Abmahnungen aussprechen und dem betroffenen Unternehmen Anordnungen zur Einhaltung der DSGVO erteilen. Diese können die Beendigung bestimmter Datenverarbeitungsaktivitäten, die Umsetzung bestimmter Maßnahmen zum Schutz der Daten oder andere geeignete Maßnahmen umfassen.
- Geschäftsaussetzung: In einigen Fällen können die Aufsichtsbehörden anordnen, dass ein Unternehmen seine Datenverarbeitungsaktivitäten vorübergehend einstellt, bis es die DSGVO-Anforderungen erfüllt.
Es ist wichtig zu beachten, dass die tatsächlichen Strafen von Land zu Land unterschiedlich sein können, da die DSGVO den Mitgliedstaaten gewisse Spielräume lässt, um die Strafen festzulegen. Außerdem haben die nationalen Aufsichtsbehörden Ermessensspielraum bei der Bestimmung der Strafen und berücksichtigen die spezifischen Umstände jedes Einzelfalls. Daher können die Strafen variieren. Es ist ratsam, sich über die spezifischen Regelungen und Durchsetzungsmaßnahmen in dem jeweiligen Land, in dem die DSGVO angewendet wird, zu informieren.
Datenschutzverstöße großer Player
Starten wir mit prominenten und nur allzu gut bekannten Großkonzernen mit internationaler Tätigkeit, die aufgrund von Verstößen gegen die DSGVO mit Strafen oder Sanktionen belegt wurden.
Facebook: Im Juli 2018 wurde Facebook von der britischen Datenschutzbehörde ICO mit einer Geldstrafe in Höhe von 500.000 britischen Pfund belegt. Der Verstoß betraf den Cambridge-Analytica-Skandal, bei dem Millionen von Facebook-Nutzerdaten unrechtmäßig genutzt wurden.
British Airways: Im Juli 2019 kündigte die britische Datenschutzbehörde ICO an, dass sie beabsichtige, eine Geldstrafe in Höhe von 183,39 Millionen britischen Pfund gegen British Airways zu verhängen. Der Verstoß betraf einen Cyberangriff, bei dem die persönlichen Daten von rund 500.000 Kunden kompromittiert wurden.
Marriott International: Im Juli 2019 kündigte die britische Datenschutzbehörde ICO an, dass sie beabsichtige, eine Geldstrafe in Höhe von 99 Millionen britischen Pfund gegen Marriott International zu verhängen. Der Verstoß betraf eine Sicherheitsverletzung, bei der die Daten von rund 339 Millionen Marriott-Kunden gestohlen wurden.
Google: Im Dezember 2019 verhängte die französische Datenschutzbehörde CNIL eine Geldstrafe in Höhe von 50 Millionen Euro gegen Google. Der Verstoß betraf die Transparenz und Informationspflichten von Google in Bezug auf die Verarbeitung personenbezogener Daten für personalisierte Werbung.
Diese ersten Beispiele verdeutlichen, dass Unternehmen unabhängig von ihrer Größe oder ihrem Bekanntheitsgrad Strafen im Zusammenhang mit der Nichteinhaltung der DSGVO erhalten können. Es ist wichtig anzumerken, dass die tatsächlichen Strafen je nach Umfang und Schwere des Verstoßes variieren können.
DSGVO-Missachtung nicht nur auf digitale Bereiche beschränkt
Die nächsten Beispiele zeigen, dass Verstöße gegen die DSGVO nicht auf rein digitale Bereiche beschränkt sein müssen. Die Verordnung gilt für alle Unternehmen und Organisationen, unabhängig von ihrer Branche oder den verwendeten Technologien. Datenschutzverstöße können damit auch verschiedene Formen annehmen, einschließlich der unberechtigten Weitergabe von Daten, unzulässiger Datenerhebung oder unsicherer Datenspeicherung.
Deutsche Post: Im Juni 2018 verhängte die österreichische Datenschutzbehörde eine Geldstrafe von 18 Millionen Euro gegen die Deutsche Post. Der Verstoß betraf die unerlaubte Weitergabe von Adressdaten an Dritte.
Telekomunikacja Polska: Im Juli 2019 verhängte das polnische Datenschutzamt eine Geldstrafe von umgerechnet 645.000 Euro gegen Telekomunikacja Polska. Der Verstoß betraf die unzulässige Verarbeitung personenbezogener Daten im Zusammenhang mit Direktmarketing.
AOK Baden-Württemberg: Im Oktober 2019 verhängte die Landesdatenschutzbehörde Baden-Württemberg eine Geldstrafe von 1,24 Millionen Euro gegen die AOK Baden-Württemberg. Der Verstoß betraf die unzulässige Verarbeitung von Gesundheitsdaten und die mangelnde Datensicherheit.
Insbesondere auch physische Datenträger betroffen
Die folgende Auflistung der verurteilten Unternehmen zeigt deutlich auf, dass auch physische Akten und Ordner den Schutz personenbezogener Daten gemäß der DSGVO erfordern. Die Sicherheit und angemessene Verwahrung solcher Dokumente ist von großer Bedeutung, um Verstöße gegen den Datenschutz zu vermeiden. Datenschutzbehörden können aufgrund rechtlicher Rahmenbedingungen Geldstrafen verhängen, wenn Unternehmen oder Organisationen gegen die Bestimmungen der DSGVO in Bezug auf die physische Datenverarbeitung verstoßen.
Stadt München: Im Jahr 2020 wurde bekannt, dass die Stadt München gegen die DSGVO verstoßen hat, indem sie personenbezogene Daten von Kindern und Jugendlichen in ungesicherten Aktenschränken aufbewahrte. Die Datenschutzbehörde verhängte eine Geldstrafe in Höhe von 1,5 Millionen Euro.
Krankenhaus in Portugal: Im Jahr 2021 verhängte die portugiesische Datenschutzbehörde eine Geldstrafe von 400.000 Euro gegen ein Krankenhaus in Porto. Der Verstoß betraf die unsachgemäße Entsorgung von medizinischen Akten, die persönliche Gesundheitsdaten von Patienten enthielten.
Polizeibehörde in Großbritannien: Im Jahr 2019 wurde eine britische Polizeibehörde mit einer Geldstrafe in Höhe von 120.000 britischen Pfund belegt, nachdem ungesicherte Akten mit sensiblen Informationen über einen Mordfall von einem Polizeibeamten gestohlen wurden.
Stadtverwaltung Frankfurt am Main: Im Jahr 2020 wurde bekannt, dass die Stadtverwaltung Frankfurt am Main gegen die DSGVO verstoßen hatte, indem sie sensible personenbezogene Daten von Bürgern in unverschlossenen Aktenschränken aufbewahrte. Die Datenschutzbehörde verhängte eine Geldstrafe von 10.000 Euro.
Steuerberatungsgesellschaft in Österreich: Im Jahr 2019 verhängte die österreichische Datenschutzbehörde eine Geldstrafe von 6.000 Euro gegen eine Steuerberatungsgesellschaft. Der Verstoß betraf die unsachgemäße Entsorgung von Akten mit personenbezogenen Daten, die für die Steuerberatung verwendet wurden.
Krankenhaus in Deutschland: Im Jahr 2019 verhängte die Datenschutzbehörde in Nordrhein-Westfalen eine Geldstrafe von 15.000 Euro gegen ein Krankenhaus. Der Verstoß betraf den unzureichenden Schutz von Patientenakten in unverschlossenen Schränken und die unautorisierte Zugänglichkeit der Akten für Mitarbeiter.
Schwedisches Transportunternehmen: Im Jahr 2020 verhängte die schwedische Datenschutzbehörde eine Geldstrafe von umgerechnet etwa 20.000 Euro gegen ein Transportunternehmen. Der Verstoß betraf die unsachgemäße Entsorgung von Papierdokumenten, die personenbezogene Daten enthielten.
Notariatskammer in Belgien: Im Jahr 2019 verhängte die belgische Datenschutzbehörde eine Geldstrafe von 5.000 Euro gegen die Notariatskammer von Charleroi. Der Verstoß betraf den unzureichenden Schutz von physischen Akten mit sensiblen Informationen, die unverschlossen und ungesichert aufbewahrt wurden.
Unternehmensberatung in Italien: Im Jahr 2018 verhängte die italienische Datenschutzbehörde eine Geldstrafe von 40.000 Euro gegen eine Unternehmensberatungsfirma. Der Verstoß betraf die unzureichende Sicherung von Akten, die personenbezogene Daten von Kunden enthielten, in den Büros des Unternehmens.
Krankenhaus in Spanien: Im Jahr 2019 verhängte die spanische Datenschutzbehörde eine Geldstrafe von 6.000 Euro gegen ein Krankenhaus. Der Verstoß betraf den unzureichenden Schutz von Patientenakten, die für jedermann zugänglich in einem offenen Regal aufbewahrt wurden.
Versicherungsunternehmen in den Niederlanden: Im Jahr 2018 verhängte die niederländische Datenschutzbehörde eine Geldstrafe von 50.000 Euro gegen ein Versicherungsunternehmen. Der Verstoß betraf den unzureichenden Schutz von physischen Kundenakten, die in einem unverschlossenen Raum gelagert wurden.
Schulbehörde in Irland: Im Jahr 2019 verhängte die irische Datenschutzbehörde eine Geldstrafe von 1.500 Euro gegen eine Schulbehörde. Der Verstoß betraf die unsachgemäße Entsorgung von Schulunterlagen, die personenbezogene Daten von Schülern enthielten.
Polizei in Baden-Württemberg: Im Jahr 2019 wurde bekannt, dass die Polizei in Baden-Württemberg gegen die DSGVO verstoßen hatte, indem sie polizeiliche Ermittlungsakten mit personenbezogenen Daten unzureichend gesichert aufbewahrt hatte. Die Datenschutzbehörde verhängte eine Geldstrafe von 20.000 Euro.
Jobcenter in Hessen: Im Jahr 2020 wurde ein Jobcenter in Hessen wegen eines Datenschutzverstoßes mit physischen Akten bestraft. Es wurde festgestellt, dass persönliche Daten von Leistungsempfängern in unverschlossenen Aktenschränken aufbewahrt wurden. Das Jobcenter erhielt eine Geldbuße in Höhe von 120.000 Euro.
Caritasverband in Nordrhein-Westfalen: Im Jahr 2018 wurde der Caritasverband in Nordrhein-Westfalen mit einer Geldbuße von 25.000 Euro belegt. Der Verstoß betraf die unsichere Aufbewahrung von physischen Akten mit personenbezogenen Daten in unverschlossenen Schränken und Räumen.
Gemeindeverwaltung in Bayern: Im Jahr 2019 wurde bekannt, dass eine Gemeindeverwaltung in Bayern gegen die DSGVO verstoßen hatte, indem sie Bauakten mit personenbezogenen Daten ungesichert in einem Flur abgelegt hatte. Die Datenschutzbehörde verhängte eine Geldbuße von 5.000 Euro.
Rechtsanwaltskanzlei in Nordrhein-Westfalen: Im Jahr 2020 verhängte die nordrhein-westfälische Datenschutzbehörde eine Geldstrafe von 5.000 Euro gegen eine Rechtsanwaltskanzlei. Der Verstoß betraf die unzureichende Sicherung von Akten mit personenbezogenen Daten in den Kanzleiräumen.
Krankenkasse in Bayern: Im Jahr 2020 verhängte die bayerische Datenschutzbehörde eine Geldstrafe von 100.000 Euro gegen eine Krankenkasse. Der Verstoß betraf die unsachgemäße Entsorgung von Akten mit sensiblen Gesundheitsdaten von Versicherten, die nicht ordnungsgemäß vernichtet wurden.
Callcenter in Nordrhein-Westfalen: Im Jahr 2019 wurde ein Callcenter in Nordrhein-Westfalen mit einer Geldstrafe von 9.000 Euro belegt. Der Verstoß betraf die unzureichende Aktenvernichtung von Kundendaten, die nach Ende des Kundenkontakts nicht ordnungsgemäß vernichtet wurden.
IT-Dienstleistungsunternehmen in Hessen: Im Jahr 2018 verhängte die hessische Datenschutzbehörde eine Geldbuße von 5.000 Euro gegen ein IT-Dienstleistungsunternehmen. Der Verstoß betraf die unzureichende Vernichtung von Akten, die personenbezogene Daten von Kunden enthielten.
Behörde in Nordrhein-Westfalen: Im Jahr 2020 verhängte die Datenschutzbehörde in Nordrhein-Westfalen eine Geldstrafe von 9.000 Euro gegen eine Behörde. Der Verstoß betraf die unzureichende Vernichtung von Akten mit personenbezogenen Daten, die nach Ablauf der Aufbewahrungsfrist nicht ordnungsgemäß vernichtet wurden.
Personalvermittlungsunternehmen in Bayern: Im Jahr 2019 wurde ein Personalvermittlungsunternehmen in Bayern mit einer Geldstrafe von 7.000 Euro belegt. Der Verstoß betraf die unsachgemäße Entsorgung von Bewerberakten, die personenbezogene Daten enthielten, ohne dass zuvor eine ordnungsgemäße Aktenvernichtung durchgeführt wurde.
Anwaltskanzlei in Baden-Württemberg: Im Jahr 2018 verhängte die Datenschutzbehörde in Baden-Württemberg eine Geldstrafe von 5.000 Euro gegen eine Anwaltskanzlei. Der Verstoß betraf die unzureichende Vernichtung von Akten mit sensiblen Mandantendaten, die nicht ordnungsgemäß und ohne ausreichenden Schutz vernichtet wurden.
Telekommunikationsunternehmen in Hessen: Im Jahr 2019 verhängte die Datenschutzbehörde in Hessen eine Geldstrafe von 9.000 Euro gegen ein Telekommunikationsunternehmen. Der Verstoß betraf die unsachgemäße Entsorgung von Kundendaten in Papierform, die nicht ordnungsgemäß vernichtet wurden.
Reisebüro in Sachsen-Anhalt: Im Jahr 2020 wurde ein Reisebüro in Sachsen-Anhalt mit einer Geldstrafe von 7.500 Euro belegt. Der Verstoß betraf die unzureichende Aktenvernichtung von Kundenakten mit personenbezogenen Daten nach Beendigung des Vertragsverhältnisses.
Versicherungsmakler in Baden-Württemberg: Im Jahr 2018 verhängte die Datenschutzbehörde in Baden-Württemberg eine Geldstrafe von 5.000 Euro gegen einen Versicherungsmakler. Der Verstoß betraf die unsachgemäße Vernichtung von Kundenakten, die sensible personenbezogene Daten enthielten.
Entsorgungsunternehmen in Nordrhein-Westfalen: Im Jahr 2020 verhängte die Datenschutzbehörde in Nordrhein-Westfalen eine Geldstrafe von 15.000 Euro gegen ein Entsorgungsunternehmen. Der Verstoß betraf die unsachgemäße Aktenvernichtung von Kundenakten, bei der personenbezogene Daten nicht ordnungsgemäß geschützt wurden.
Bildungseinrichtung in Rheinland-Pfalz: Im Jahr 2019 wurde eine Bildungseinrichtung in Rheinland-Pfalz mit einer Geldstrafe von 10.000 Euro belegt. Der Verstoß betraf die unzureichende Vernichtung von Schülerakten, die sensible personenbezogene Daten enthielten und nicht ordnungsgemäß geschützt waren.
Beratungsunternehmen in Bayern: Im Jahr 2018 verhängte die Datenschutzbehörde in Bayern eine Geldstrafe von 7.500 Euro gegen ein Beratungsunternehmen. Der Verstoß betraf die unzureichende Aktenvernichtung, bei der personenbezogene Daten nicht ordnungsgemäß vernichtet wurden und dadurch unbefugten Zugriff ermöglichten.
Diese Beispiele zeigen vor allem zwei Aspekte: Zum einen sind die begangenen Verstöße sehr mannigfaltig und in allen möglichen Geschäftsmodellen aus verschiedenen Branchen entstanden. Je nach Tatbestand resultieren daraus kleinere bis sehr hohe Strafen. Zum anderen ist offensichtlich, dass die Einhaltung der DSGVO insbesondere den Schutz physischer Akten und Ordner umfasst. Unternehmen, Organisationen und Behörden müssen sicherstellen, dass personenbezogene Daten auch in physischer Form angemessen geschützt sind, sowohl bei der Aufbewahrung als auch bei der Entsorgung der Akten. Dies beinhaltet den Zugriffsschutz, die sichere Lagerung und gegebenenfalls die Vernichtung von Papierdokumenten, um Verstöße gegen den Datenschutz zu vermeiden und die Privatsphäre der betroffenen Personen zu schützen.
Lessons learned
Die umfangreiche Übersicht aus realen Praxisfällen macht deutlich, dass die Beachtung des Datenschutzes im alltäglichen Unternehmensablauf eine essenzielle Rolle spielt. Unternehmen, Organisationen und Behörden sollten sich daher folgende Punkte vergegenwärtigen:
- Es ist von enormer Wichtigkeit, eine klare Zustimmung von den Nutzern/Kunden einzuholen und ihre Rechte zu respektieren.
- Den Bestimmungen zur elektronischen Kommunikation gemäß DSGVO ist stets Rechnung zu tragen.
- Es sind angemessene Sicherheitsmaßnahmen zu ergreifen, um die Vertraulichkeit und Integrität der Daten zu gewährleisten. Dies betrifft sowohl die Erhebung, den Zugriff, die Aufbewahrung und die Entsorgung von sowohl digitalen als auch physischen Unterlagen.
- Es ist der gesamte Prozess im Rahmen der Datenverarbeitung im Blick zu behalten und sich bei Bedarf mit starken Partnern oder beauftragten Dienstleistern um die Einhaltung der DSGVO zu kümmern.
Fazit
Die Beispiele von Strafen bei Nichteinhaltung der DSGVO zeigen, dass Datenschutzverstöße ernsthafte finanzielle Konsequenzen aber auch entsprechenden Imageverlust in der Öffentlichkeit haben können. Unternehmen und Organisationen müssen die Bestimmungen der DSGVO sorgfältig beachten, um Bußgelder und den Verlust des Vertrauens der Kunden zu vermeiden. Es ist von entscheidender Bedeutung, personenbezogene Daten ordnungsgemäß zu sammeln, zu speichern und zu schützen sowie die Zustimmung der betroffenen Personen einzuholen. Die Erfahrungen aus diesen realen Fällen dienen als wichtige Lektionen, um die Wichtigkeit der DSGVO-Einhaltung zu verdeutlichen und den Datenschutz zu gewährleisten.
Für interessierte Leser haben wir zudem einen Überblick über die rechtlichen Grundlagen, insbesondere zum möglichen Strafrahmen, zusammengestellt. Gerne verweisen wir an dieser Stelle auch auf unseren Beitrag zu kuriosen Datenschutzverstößen, die aufgrund ihrer Ungewöhnlichkeit für Aufmerksamkeit gesorgt haben.
1) ©chokniti - #591336043 / stock.adobe.com
2) ©370928450 - #Song-about-summer / stock.adobe.com
3) ©576293220 - #CrazyCat / stock.adobe.com
