TOP 10 Bußgelder.

TOP 10 Bußgelder. Das müssen Sie zu Bußgeldern wissen.

Die Datenschutz-Grundverordnung (DSGVO) sieht bei einem Verstoß Bußgelder von bis zu 20 Millionen Euro oder aber bis zu 4 Prozent des weltweiten Jahresumsatzes eines Unternehmens vor. Neben einem Bußgeld kann es auch noch zu Schadenersatzansprüchen kommen. Voraussetzung für den Schadenersatzanspruch ist, dass der betroffenen Person durch die unrechtmäßige Verarbeitung ihrer Daten ein Schaden entstanden ist. Dieser kann in einem Vermögensnachteil (Vermögensschaden), aber auch in einem ideellen Schaden liegen, was in ErwG 75 der DSGVO sehr umfassend beschrieben ist.

Für die Höhe des Bußgeldes können nachfolgende Kriterien herangezogen werden:

  • Wie schwer ist die Datenschutzverletzung und wie lange hielt diese an?
  • Wie sensible sind die Daten (z.B. Gesundheitsdaten) und wie viele Personen sind betroffen?
  • Handelte das Unternehmen fahrlässig, bzw. waren die techn. und organisatorischen Sicherheitsmaßnahmen (Art. 32) nicht auf dem neuesten Stand der Technik?
  • Dämmte das Unternehmen den Schaden schnellstmöglich ein?
  • Handelt es sich um einen Wiederholungstäter?
  • War der Datenschutzbeauftragte des Unternehmens kooperativ?
  • Verschleierte das Unternehmen den Verstoß oder meldete es den Verstoß innerhalb von 72 Stunden nach Kenntniserlangung.?

TOP 10 Bußgelder europaweit. Diese Fälle sollten Sie kennen.

Die Top 10 der europaweiten Bußgelder können Sie der nachfolgenden Tabelle entnehmen.

StrafeDatenpanneUrsache
204 Mio. Euro Strafe gegen British AirwaysHacker-Attacke auf die Webseite, Diebstahl von 500.000 Anschriften und Kreditkartendaten der Kunden.mangelnde Sicherheitsvorkehrungen. Verstoß gegen Art. 32 DSGVO.
110. Mio. Euro Strafe gegen Marriott International.Datenleck bei der Marriott-Tochter Starwood, Missbrauch von 339 Millionen Nutzerdaten.mangelnde Sicherheitsvorkehrungen. Verstoß gegen Art. 32 DSGVO.
50 Mio. Euro Strafe gegen GoogleMangelnde Transparenz bei der Verarbeitung personenbezogener Nutzerdaten.Verstoß gegen Art. 12 DSGVO
18 Mio. Euro gegen die Post in Österreich. sammeln von Daten zu ParteiaffinitätenDatenverarbeitung ohne Erlaubnistatbestand (Artt. 5,6 DSGVO)
14,5 Mio. Euro Euro gegen Immobiliengesellschaft Deutsche Wohnen SESpeichern personenbezogener Daten, ohne zu überprüfen, ob eine Speicherung zulässig oder überhaupt erforderlich ist.Datenverarbeitung ohne Erlaubnistatbestand (Artt. 5,6 DSGVO)
9,5 Mio. Euro gegen die 1&1 Telecom GmbHkeine hinreichenden technischen und organisatorischen Maßnahmen (TOM, um telefonische Anrufer sicher zu authentifizierenmangelnde Sicherheitsvorkehrungen. Verstoß gegen Art. 32 DSGVO.
2,6 Mio. Euro gegen die National Revenue Agency, BulgarienHacker erhielten, Zugang in die Datenbank des bulgarischen Finanzverwalters, Diebstahl von Millionen personenbezogener Daten von Kunden und sensibler Unternehmensdaten.mangelnde Sicherheitsvorkehrungen. Verstoß gegen Art. 32 DSGVO.
900.000 Euro gegen die niederländische Regierungsbehörde UWVMöglicher Datenmissbrauch wegen fehlender Multi-Faktor-Authentifizierungmangelnde Sicherheitsvorkehrungen. Verstoß gegen Art. 32 DSGVO.
645.000 Euro gegen polnische Onlinehändler morele.netDatenpanne durch Hackerangriffmangelnde Sicherheitsvorkehrungen. Verstoß gegen Art. 32 DSGVO und fehlender Nachweisbarkeit von einzuholenden Einwilligungen zur Datenverarbeitung.
511.000 Euro gegen die bulgarische DSK BankMissbrauch personenbezogener Daten von über 330.000 Bankkunden u.a.- auch biometrischer Daten.mangelnde Sicherheitsvorkehrungen. Verstoß gegen Art. 32 DSGVO.
TOP 10 Bußgelder

Top 10 Bußgelder. Diese Risiken müssen Sie kennen.

Aus den aufgeführten Vorfällen lassen sich klar drei Risikofelder bei der Datenverarbeitung erkennen. Diese sind:

  1. Verstöße gegen die Sicherheit der Verarbeitung Art. 32 DSGVO (7 Bußgelder)
  2. Verstöße gegen die Rechtmäßigkeit der Verarbeitung Artt. 5,6 DSGVO (2 Bußgelder)
  3. Verstöße gegen die Rechte der Betroffenen, Art. 12 DSGVO (1)

Fazit

Als Datenschutzbeauftragter können Sie aus den Top 10 Bußgeldern und den zugrundeliegenden Ursachen deutlich ableiten, dass Sie sich vorrangig um die Sicherheit der Verarbeitung (TOMs) in Ihrem Unternehmen kümmern müssen. Hier gilt regelmäßig zu überprüfen ob die Anforderungen des Art. 32 DSGVO sachgerecht in Ihrem Unternehmen und bei Ihren Dienstleistern umgesetzt werden. Ebenso müssen Sie prüfen ob die Rechte der Betroffenen bei der Datenverarbeitung gewahrt bleiben und ob Ihr Unternehmen überhaupt einen Erlaubnistatbestand für die Datenverarbeitung hat. Haben Sie diese drei Risikofelder im Griff, sollte Ihr Unternehmen vor hohen Bußgeldern sicher sein.