Es wird viel über die Allgemeine Datenschutzverordnung der Europäischen Union (DSGVO) und was sie für Websites bedeutet. Das Gesetz stellt strenge Anforderungen an die Art und Weise, wie Organisationen Daten sammeln und nutzen dürfen und was sie den Besuchern mitteilen müssen.
Es kann verlockend sein, all diese Regeln einfach zu ignorieren - schließlich können die Konsequenzen für die Nichteinhaltung von DSGVO doch nicht so schlimm sein, oder?
Falsch.
In den vergangenen fünf Jahren, seit die DSGVO in Kraft getreten ist, mussten Unternehmen acht-, neun- und sogar zehnstellige Geldstrafen zahlen, weil sie die DSGVO nicht einhielten oder Datenschutzverletzungen falsch behandelten.
Verwenden Sie das Inhaltsverzeichnis unten, um zu den höchsten DSGVO Bußgeldern eines bestimmten Jahres zu gelangen, oder lesen Sie weiter, um mehr über die 10 höchsten Bußgelder zu erfahren , die jemals unter DSGVO verhängt wurden.
Inhaltsübersicht
- Die 10 höchsten jemals verhängten Geldbußen DSGVO
- Die höchsten DSGVO Geldbußen im Jahr 2023
- Die höchsten DSGVO Geldbußen im Jahr 2022
- Die höchsten DSGVO Geldbußen im Jahr 2021
- Die höchsten DSGVO Geldbußen im Jahr 2020
- Die höchsten DSGVO Bußgelder im Jahr 2019
- Die höchsten DSGVO Bußgelder im Jahr 2018
- Die 10 höchsten jemals verhängten Geldbußen DSGVO
- So vermeiden Sie DSGVO Geldbußen mit Termly
- Die höchsten DSGVO Geldbußen im Jahr 2023
- Die höchsten DSGVO Geldbußen im Jahr 2022
- Die höchsten DSGVO Geldbußen im Jahr 2021
- Die höchsten DSGVO Geldbußen im Jahr 2020
- Die höchsten DSGVO Bußgelder im Jahr 2019
- Die höchsten DSGVO Bußgelder im Jahr 2018
- Anstieg der DSGVO Bußgelder und Beträge von Jahr zu Jahr
- DSGVO Compliance ist unerlässlich
Die 10 höchsten jemals verhängten Geldbußen DSGVO
Die DSGVO strukturiert und verhängt Geldbußen auf der Grundlage der internationalen Einnahmen eines Unternehmens. Aus diesem Grund finden Sie auf der folgenden Liste einige bekannte Namen.
Diese zehn Unternehmen haben gegen die Vorschriften von DSGVOverstoßen und mussten Geldbußen in Höhe von mehreren zehn oder hundert Millionen Euro zahlen.
1. Meta - 1,2 Milliarden Euro (1,3 Milliarden Dollar)
Jahr der Ausgabe: 2023
Die Muttergesellschaft von Facebook, Meta, hat nun die größte jemals verhängte Geldstrafe DSGVO .
Am 22. Mai 2023 verhängte die irische Aufsichtsbehörde gegen den Social-Media-Konzern Meta eine Rekordstrafe in Höhe von 1,2 Milliarden Euro, weil dieser Daten von Facebook-Nutzern aus der EU/dem EWR in die USA übermittelt und damit gegen die internationalen Übermittlungsrichtlinien DSGVO verstoßen hatte.
Nach Ansicht der Datenschutzbehörden hat Meta die Schrems-II-Entscheidung des obersten EU-Gerichts aus dem Jahr 2020 nicht befolgt, wodurch das EU-S Privacy Shield Framework für ungültig erklärt wurde.
Zusätzlich zu der hohen Geldstrafe wurde Meta aufgefordert, die internationalen Überweisungen einzustellen und hat fünf Monate Zeit, um die Korrekturen vorzunehmen. Meta hat angekündigt, gegen die Entscheidung Berufung einzulegen, was wahrscheinlich zu einem langwierigen Gerichtsverfahren führen wird. Wir halten Sie auf dem Laufenden.
2. Amazon - 746 Millionen Euro (780,9 Millionen Dollar)
Jahr der Ausgabe: 2021
Es wurde festgestellt, dass die Luxemburger EU-Zentrale des Online-Händlers Nutzerdaten verfolgte, ohne die entsprechende Zustimmung der Nutzer einzuholen oder ihnen die Möglichkeit zu geben, sich gegen diese Verfolgung zu entscheiden - was dazu führte, dass Amazon mit der damals höchsten DSGVO Geldstrafe belegt wurde.
3. Meta Platforms Limited (Instagram) - 405 Millionen Euro (442 Millionen Dollar)
Ausstellungsjahr: 2022
Das Social-Media-Konglomerat wurde 2022 von der irischen Datenschutzbehörde zu einer Geldstrafe verurteilt, weil es die personenbezogenen Daten von Kindern unrechtmäßig verarbeitet hatte.
Konkret ging es um die Veröffentlichung der E-Mail-Adressen und Telefonnummern von Kindern, die auf die Instagram-Funktion für Geschäftskonten zugreifen, und darum, dass die Konten von Kindern standardmäßig öffentlich sind.
4. Meta Platforms Ireland Limited (Facebook & Instagram) - 390 Millionen Euro (425 Millionen Dollar)
Ausgabejahr: 2023
Facebook und Instagram, die beide zu Meta gehören, wurden von der irischen Datenschutzkommission zu einer Geldstrafe verurteilt, weil sie die meisten ihrer Datenverarbeitungen auf eine für die Nutzer unklare Weise auf einen Kontakt als Rechtsgrundlage stützten.
Die Verstöße gegen Facebook machten 210 Millionen Euro der Geldstrafe aus, und die Verstöße gegen Instagram führten zu weiteren 180 Millionen Euro.
5. TikTok Limited - €345 Millionen ($377 Millionen)
Ausgaben des Jahres: 2023
Der irische Datenschutzbeauftragte verhängte eine Geldstrafe gegen TikTok, weil das Unternehmen unrechtmäßig personenbezogene Daten von Kindern unter 13 Jahren erhoben und verarbeitet und ihre Konten standardmäßig auf öffentlich gesetzt hatte.
6. Meta Platforms Ireland Limited (Facebook) - 265 Millionen Euro (289 Millionen Dollar)
Ausstellungsjahr: 2022
Die Datenschutzkommission (DPC) verhängte ein Bußgeld gegen Meta, den für die Datenverarbeitung Verantwortlichen von Facebook, nachdem sie entdeckt hatte, dass ein Facebook-Datensatz mit persönlichen Informationen, der dem Internet zugänglich gemacht wurde, gegen den Datenschutz durch Design und Voreinstellung verstößt.
7. WhatsApp - 225 Millionen Euro (247 Millionen Dollar)
Jahr der Ausgabe: 2021
Die irische Datenschutzkommission hat WhatsApp wegen unklarer Datenschutzrichtlinien und mangelnder Transparenz bei der Verwendung von Nutzerdaten mit einer Geldstrafe belegt.
8. Google LLC - 90 Millionen Euro (99 Millionen Dollar)
Jahr der Ausgabe: 2021
Die französische CNIL verhängte eine Geldstrafe gegen Google, weil es den Nutzern keine einfache Möglichkeit gab, Cookies gemäß der DSGVO und der ePrivacy-Richtlinie abzulehnen.
9. Google Irland Ltd. - 60 Millionen € (66 Millionen $)
Jahr der Ausgabe: 2021
Die CNIL verhängte außerdem eine Geldbuße gegen Google Ireland Ltd., weil es den Nutzern keine angemessenen einfachen Möglichkeiten gab, Cookies auf YouTube abzulehnen.
10. Facebook Irland Ltd. - 60 Millionen Euro (66 Millionen Dollar)
Jahr der Ausgabe: 2021
Mit der dritten CNIL-Geldbuße im Jahr 2021 wurde Facebook auch dafür bestraft, dass es den Nutzern keine einfachen Methoden zur Verfügung stellt, um Cookies bei der Nutzung der Website abzulehnen.
So vermeiden Sie DSGVO Geldbußen mit Termly
Diese Bußgelder zeigen, wie wichtig es für Unternehmen ist, die DSGVO einzuhalten, unabhängig davon, wo sie ansässig sind.
Termly kann Ihrem Unternehmen helfen, DSGVO-konforme Richtlinien zu implementieren und Ihre Anforderungen an die Dateneinwilligung zu erfüllen.
Mit Termly können Sie:
- Erstellen Sie eine Datenschutzrichtlinie, die automatisch aktualisiert wird, wenn sich Gesetze ändern
- Implementieren Sie die cookie consent Verwaltung, die den DSGVO, CCPA und der Datenschutzrichtlinie für elektronische Kommunikation entspricht.
- Verfolgen Sie die Zustimmung der Benutzer, um die Cookie-Konformität aufrechtzuerhalten
- Automatisches Blockieren von Cookies für alle Benutzer, die diese nicht akzeptieren wollen
Durch die Zusammenarbeit mit Termly können Sie sicherstellen, dass Sie stets die aktuellen internationalen Datenschutzgesetze einhalten.
Stattdessen können Sie sich auf Ihr Geschäft konzentrieren und Termly den Datenschutz und die Einhaltung der Cookie-Richtlinien von DSGVO überlassen.
Die höchsten DSGVO Geldbußen im Jahr 2023
1. Meta - 1,2 Milliarden Euro (1,3 Milliarden Dollar)
Am 22. Mai 2023 verhängte die irische Aufsichtsbehörde gegen den Social-Media-Konzern Meta eine rekordverdächtige Geldstrafe in Höhe von 1,2 Milliarden Euro.
Warum sie mit einer Geldstrafe belegt wurden
Nach Angaben der Datenschutzaufsichtsbehörden wurde Meta mit einer Geldstrafe belegt, weil es Daten von Facebook-Nutzern aus der EU/dem EWR in die USA übermittelt und damit gegen die internationalen Übermittlungsrichtlinien DSGVO verstoßen hat.
Das Unternehmen hat es versäumt, die Schrems-II-Entscheidung des höchsten EU-Gerichts aus dem Jahr 2020 zu befolgen, mit der das EU-S Privacy Shield Framework für ungültig erklärt wurde.
Zusätzlich zu der hohen Geldstrafe wurde Meta aufgefordert, die internationalen Überweisungen zu stoppen und hat fünf Monate Zeit, um die Korrekturen vorzunehmen.
Wie sie reagierten
Meta kündigte an, gegen die Entscheidung Berufung einzulegen, was wahrscheinlich zu einem langwierigen Gerichtsverfahren führen wird.
Im Moment sollten die Facebook-Dienste nicht unterbrochen werden, aber Informationen wie Fotos, Freundschaftsverbindungen, Werbedaten und Direktnachrichten könnten eventuell betroffen sein.
Informieren Sie sich über künftige Aktualisierungen.
2. Meta Platforms Ireland Limited - 390 Millionen Euro (426 Millionen Dollar)
Am 2. Januar 2023 verhängte die irische Aufsichtsbehörde gegen Meta Platform Ireland Limited, den für die Datenverarbeitung in der Region Verantwortlichen, eine Geldstrafe in Höhe von 390 Millionen Euro.
Warum sie mit einer Geldstrafe belegt wurden
Meta hatte die Nutzer aufgefordert, neuen Geschäftsbedingungen zuzustimmen, mit denen die Rechtsgrundlage für die Datenverarbeitung von der Zustimmung zur Erfüllung eines Vertrags geändert wurde.
Durch die Verweigerung der Zustimmung wurde den Nutzern der Zugriff auf ihre Konten verwehrt.
Die DPC stellte fest, dass Meta gegen die auf DSGVO beschriebenen Transparenzrichtlinien verstößt.
Außerdem stellten sie fest, dass das Unternehmen nicht klar genug darlegt, warum die Verarbeitung personenbezogener Daten notwendig ist und auf welcher Rechtsgrundlage sie erfolgt, wie es in den Allgemeinen Geschäftsbedingungen heißt.
Einige EU-Regulierungsbehörden hielten es außerdem für unangemessen, die Erfüllung eines Vertrags als Rechtsgrundlage für die Inanspruchnahme von Metas Diensten anzuführen, und die Angelegenheit wurde an den Europäischen Datenschutzausschuss verwiesen.
Der EDPB bestätigte diese Kritik und verhängte gegen Meta eine Geldstrafe in Höhe von 390 Millionen Euro.
Wie sie reagierten
Meta beabsichtigt, gegen das Bußgeld und die Entscheidung der Aufsichtsbehörden Rechtsmittel einzulegen.
In einer Erklärung weist Meta darauf hin, dass es an einer Einigung über die praktische Anwendung der Rechtsgrundlage für die Weitergabe personenbezogener Daten mangelt.
3. TikTok Limited - 345 Millionen Euro (378 Millionen Dollar)
Am 1. September 2023 wurde der beliebte Video-Sharing-Dienst und die Social-Media-Plattform TikTok von der irischen Datenschutzbehörde zu einer Geldstrafe in Höhe von 345 Millionen Euro wegen Verstoßes gegen die Website DSGVO verurteilt.
Warum sie mit einer Geldstrafe belegt wurden
Die irische Aufsichtsbehörde hat gegen TikTok Limited eine Geldstrafe verhängt, weil das Unternehmen gegen die allgemeinen Grundsätze der Datenverarbeitung verstoßen hat, die auf der Website DSGVO dargelegt sind.
Die DPC führte die Untersuchung durch, um festzustellen, wie TikTok mit den persönlichen Daten von Kindern unter 13 Jahren umging.
Insbesondere führten sie an, dass TikTok die Profile von Kindern automatisch auf öffentlich setzt.
Wie sie reagierten
Anfänglich gab es einige Einwände gegen die Geldbuße.
Die Berliner Aufsichtsbehörde forderte Verstöße gegen den Grundsatz der Lauterkeit wegen der angeblichen Verwendung dunkler Muster durch TikTok.
Auf der anderen Seite des Spektrums behauptete die italienische Datenschutzbehörde, dass TikTok die Anforderungen an die Altersüberprüfung tatsächlich erfüllt hat.
Die Angelegenheit wurde an den Europäischen Datenschutzausschuss (EDPB) verwiesen, der nach einer Untersuchung beschloss, den Fairnessgrundsatz um den zusätzlichen Verstoß zu erweitern.
4. CRITEO - 40 Millionen Euro (44 Millionen Dollar)
Am 15. Juni 2023 wurde das Online-Werbeunternehmen CRITEO von der französischen Datenschutzbehörde CNIL zu einer Geldstrafe von 40 Millionen Euro verurteilt.
Warum sie mit einer Geldstrafe belegt wurden
Die CNIL verhängte eine Geldstrafe gegen CRITEO, nachdem sie festgestellt hatte, dass das Werbeunternehmen nicht sichergestellt hatte, dass die betroffenen Personen ihre Zustimmung zur Verarbeitung ihrer Daten gegeben hatten.
Gegen das Unternehmen wurde außerdem eine Geldstrafe verhängt, weil es die betroffenen Personen nicht über ihre Rechte informiert und keine Möglichkeit zur ordnungsgemäßen Wahrnehmung dieser Rechte vorgesehen hatte.
Wie sie reagierten
CRITEO kritisierte das Bußgeld der CNIL und wies den Vorwurf zurück, die betroffenen Personen nicht über ihre Verarbeitungstätigkeiten informiert zu haben.
Sie argumentierten auch, dass die ursprüngliche Geldstrafe von 60 Millionen Euro im Vergleich zu den Strafen, die die CNIL gegen andere Unternehmen wegen ähnlicher Verstöße verhängt hat, überhöht sei.
Infolgedessen wurde die Geldbuße auf 40 Millionen Euro gesenkt.
5. TikTok - 14,5 Millionen Euro (15,8 Millionen Dollar)
Am 4. April 2023 erhielt die Social-Media-Plattform und der Video-Sharing-Dienst TikTok von der britischen Datenschutzbehörde, dem Information Commissioners Office (ICO), eine Geldstrafe in Höhe von 14,5 Millionen Euro, weil sie gegen das britische Datenschutzgesetz DSGVO verstoßen hatte.
Warum sie mit einer Geldstrafe belegt wurden
Die ICO verhängte eine Geldstrafe gegen TikTok, weil das Unternehmen personenbezogene Daten von Kindern gesammelt hatte, ohne die Zustimmung der Eltern einzuholen.
Der Untersuchung zufolge sammelte TikTok im Jahr 2020 Daten von mehr als einer Million britischer Kinder, die jünger waren als sie, und verstieß damit gegen die Vereinbarung über die allgemeinen Geschäftsbedingungen.
Es wurde festgestellt, dass das Unternehmen nicht genug getan hat, um zu überprüfen, wer seine Plattform nutzt und minderjährige Kinder, die Konten erstellt haben, ausreichend zu entfernen.
Wie sie reagierten
Ursprünglich verhängte das ICO eine höhere Geldbuße von 31,3 Millionen Euro, senkte diese jedoch, nachdem es beschlossen hatte, einen weiteren Verstoß im Zusammenhang mit der angeblichen Verwendung besonderer Datenkategorien durch TikTok nicht weiter zu verfolgen.
Durch die Entscheidung wurde die Geldstrafe halbiert, und TikTok hat in die Aktualisierung seiner Sicherheitsmaßnahmen und internen Verarbeitungssysteme investiert.
6. Axpo Italia S.p.A. - 10 Millionen Euro (10,9 Millionen Dollar)
Am 9. September 2023 verhängte die italienische Datenschutzbehörde Garante Per La Protezione Dei Dati Personali eine Geldstrafe in Höhe von 10 Millionen Euro gegen das Unternehmen für nachhaltige Energielösungen Axpo Italia Spa, weil es gegen Teile der DSGVO verstoßen hatte.
Warum sie mit einer Geldstrafe belegt wurden
Die Garante untersuchte die Angelegenheit, nachdem sie mehrere Beschwerden erhalten hatte, dass Axpo Italia S.p.A. falsche Kundendaten verarbeitete, um unaufgeforderte Verträge zu schließen.
Die Vertriebsmitarbeiter des Unternehmens akquirierten neue Strom- und Gasverträge anhand einer Datenbank mit veralteten Informationen. Es gab keine Verfahren oder Sicherheitsvorkehrungen, um zu überprüfen, ob die Daten korrekt und mit echten Kunden verknüpft waren.
Die Garante stellte fest, dass mehr als 5.000 betroffene Personen betroffen waren, und befand, dass das Unternehmen gegen Artikel 5 Absatz 1 Buchstaben a und d, Artikel 5 Absatz 2 und Artikel 24 der DSGVO verstoßen hatte.
Wie sie reagierten
Axpo Italia S.p.A. kam den Feststellungen nach und wurde angewiesen, Abhilfemaßnahmen zu ergreifen. Dazu gehört der Einsatz eines Sperrsystems zur Überprüfung der Richtigkeit der Daten ihrer Verkaufsteams und eines Warnsystems zur Aufdeckung betrügerischer Verhaltensweisen.
Außerdem wurden sie angewiesen, jegliche weitere Verarbeitung von Kunden einzustellen, die ihre Verträge aufgrund unaufgeforderter Dienstaktivierungen gekündigt haben.
7. TIM S.p.A. - 7,6 Millionen Euro (8,3 Millionen Dollar)
Die italienische Aufsichtsbehörde Garante hat festgestellt, dass das Telekommunikationsunternehmen TIM S.p.A. gegen Aspekte der DSGVO verstoßen hat.
Warum sie mit einer Geldstrafe belegt wurden
Gegen die Firma TIM S.p.A. wurde eine Geldstrafe verhängt, weil sie unzureichend auf Anfragen von Betroffenen reagierte und illegale Callcenter betrieb.
Außerdem soll das Unternehmen personenbezogene Daten an öffentliche Telefonverzeichnisse weitergegeben haben, ohne eine ordnungsgemäße Einwilligung der betroffenen Personen einzuholen.
Wie sie reagierten
Es wird erwartet, dass TIM S.p.A. das Bußgeld bezahlt, denn es ist nicht das erste Mal, dass sie wegen Verstößen gegen die DSGVO bestraft werden.
8. WhatsApp Irland Ltd. - 5,5 Millionen Euro (6 Millionen Dollar)
Am 19. Januar 2023wurde WhatsApp Ireland Ltd. von der irischen Datenschutzbehörde mit einer Geldstrafe belegt.
Warum sie mit einer Geldstrafe belegt wurden
WhatsApp wurde mit einer Geldstrafe belegt, weil es die DSGVO Definition von Zustimmung nicht einhielt.
Die Nutzer wurden aufgefordert, die neuen Bedingungen zu akzeptieren, indem sie auf eine Schaltfläche mit der Aufschrift "Zustimmen und fortfahren" klickten, was WhatsApp als Abschluss eines Vertrags ansah und als Rechtsgrundlage für die Erhebung personenbezogener Daten nutzte.
Die betroffenen Personen beschwerten sich jedoch darüber, dass sich das Unternehmen auf eine Einwilligung beruft und WhatsApp die Personen dazu zwingt, den neuen Bedingungen zuzustimmen, anstatt sie freiwillig zu erteilen.
Der Datenschutzbeauftragte folgte nicht dem Argument, dass WhatsApp tatsächlich eine Einwilligung einholte, sondern stellte fest, dass das Unternehmen in Bezug auf seine Rechtsgrundlage für die Verarbeitung gegen das Transparenzgebot verstieß.
Wie sie reagierten
WhatsApp reagierte, indem es seine Rechtsgrundlage für die Verarbeitung der meisten Nutzerdaten in ein berechtigtes Interesse änderte. Es sagt, dies ändere nichts an seiner Verpflichtung zum Schutz der Privatsphäre der Nutzer oder an der Art und Weise, wie es Nutzerdaten behandelt.
9. EOS Matrix d.o.o. - 5,4 Millionen Euro (5,8 Millionen Dollar)
Am 5. Oktober 2023 verhängte die kroatische Datenschutzbehörde (AZOP ) nach Erhalt eines Antrags, der einen USB-Stick mit Informationen über 181.641 Personen enthielt, eine Geldstrafe gegen ein Inkassounternehmen namens EOS Matrix d.o.o., weil es gegen Teile der DSGVO verstoßen hatte.
Warum sie mit einer Geldstrafe belegt wurden
EOS Matrix hat gegen die DSGVO verstoßen, da sie keine geeigneten technischen Maßnahmen zum Schutz der personenbezogenen Daten der betroffenen Personen getroffen hat.
Die Gruppe verarbeitete auch personenbezogene Daten von Personen, die nicht in einem Schuldner-Gläubiger-Verhältnis standen, ohne eine Rechtsgrundlage zu schaffen. Die Verarbeitung betraf besondere Datenkategorien, die den betroffenen Personen nicht in transparenter Weise mitgeteilt wurden.
Wie sie reagierten
EOS Matrix d.o.o. wies einige der Vorwürfe zurück und behauptete, dass sie die persönlichen Daten ihrer Kunden sicher speichern.
AZOP hielt das Dementi jedoch nicht aufrecht, da nach wie vor unklar ist, wie die persönlichen Daten der 181.641 Kunden überhaupt auf den USB-Stick kopiert wurden.
10. Clearview AI - 5,2 Millionen Euro (5,6 Millionen Dollar)
Am 10. Mai 2023 wurde Clearview AI, die für ChatGPT verantwortliche Gruppe, von der französischen CNIL mit einer Geldstrafe belegt.
Warum sie mit einer Geldstrafe belegt wurden
Die französische CNIL verhängte gegen Clearview AI eine Geldstrafe wegen unzureichender Zusammenarbeit mit der Aufsichtsbehörde.
Konkret behauptete die CNIL, dass das Unternehmen frühere Anordnungen vom Dezember 2021 nicht befolgt habe, als festgestellt wurde, dass das Unternehmen Millionen von Daten verarbeitete, ohne den betroffenen Personen Zugangsrechte einzuräumen.
Das Unternehmen wurde angewiesen, die Erhebung und Verarbeitung personenbezogener Daten von Personen in Frankreich einzustellen, kam dem aber nicht nach, was zu einer Kombination aus überfälligen Geldbußen in Höhe von 100.000 Euro pro Tag über 52 Tage hinweg führte.
Wie sie reagierten
Clearview AI wies alle Vorwürfe zurück und behauptete, es habe keine Kunden in Frankreich oder der EU.
Die höchsten DSGVO Geldbußen im Jahr 2022
Gegen Unternehmen, die gegen die DSGVO verstoßen haben, wurden mehrere hohe Geldstrafen verhängt. Das liegt daran, dass diese Organisationen mehrere Jahre Zeit hatten, das EU-Datenschutzgesetz einzuhalten, und dies nicht getan haben. Infolgedessen drohen ihnen drastische Geldstrafen für die Verletzung der Rechte der EU-Bürger auf Datenschutz.
1. Instagram - 405 Millionen Euro (401,3 Millionen Dollar)
Instagram, ein Unternehmen von Meta Platforms, wurde vom irischen Datenschutzbeauftragten eine Geldstrafe mit der zweithöchsten jemals verhängten Geldbuße ( DSGVO ) belegt.
Warum sie mit einer Geldstrafe belegt wurden
Instagram wurde mit einer Geldstrafe in Höhe von 405 Millionen Euro belegt, weil es gegen die Vorschriften über die Verarbeitung von Kinderdaten ohne Rechtsgrundlage verstoßen hat. Die Telefonnummern und E-Mail-Adressen von Kindern zwischen 13 und 17 Jahren waren öffentlich zugänglich, wenn sie ein Instagram-Konto für ein Unternehmen oder einen Urheber betrieben.
Wie sie reagierten
Instagram erklärte, dass es mit der Art und Weise, wie die Geldstrafe berechnet wurde, nicht einverstanden sei und die Entscheidung überprüfe.
2. Enel Energia - €26,5 Millionen ($29,27 Millionen)
Enel Energia, ein internationales Strom- und Gasversorgungsunternehmen mit Hauptsitz in Italien, hat die bisher höchste DSGVO Geldstrafe des Jahres 2022 erhalten.
Warum sie mit einer Geldstrafe belegt wurden
Die italienische Datenschutzbehörde Garante verhängte gegen Enel Energia eine Geldstrafe in Höhe von 26,5 Millionen Euro, nachdem Hunderte von Beschwerden gegen das Unternehmen eingegangen waren.
Die Untersuchung der Garante ergab, dass Enel Energia die persönlichen Daten seiner Kunden unrechtmäßig verwendet hat. Das Unternehmen nutzte diese privaten Daten für Telefonmarketing-Anrufe, ohne die entsprechende Zustimmung der Nutzer einzuholen oder sie über die Verwendung ihrer Daten zu informieren.
Wie sie reagierten
Enel Energia behauptet, dass die Anrufe getätigt wurden, um Kunden während der Pandemie zu kontaktieren. In einer Erklärung, die der Compliance Week per E-Mail zugesandt wurde, erklärte Enel Energia, dass es "alle weiteren Maßnahmen" in Bezug auf die Forderungen der Garante prüfen werde, dass das Unternehmen seine Datenverarbeitungsaktivitäten in Einklang mit der DSGVO bringt. Das Unternehmen behält sich außerdem das Recht vor, Berufung einzulegen.
3. Clearview AI - 20 Millionen Euro (20,9 Millionen Dollar)
Clearview AI ist ein amerikanisches Gesichtserkennungsunternehmen mit Hauptsitz in New York.
Warum sie mit einer Geldstrafe belegt wurden
Clearview AI sammelt Selfies und Bilder aus dem Internet und stellt sie in einer Datenbank zur Gesichtserkennung zusammen, die es dann an Dritte (z. B. Strafverfolgungsbehörden) verkauft. Das Unternehmen wurde von der italienischen Datenschutzbehörde (Garante della privacy) zu einer Geldstrafe von 20 Millionen Euro (Garante della privacy) mit einer Geldstrafe in Höhe von 20 Millionen Euro belegt, nachdem sie mehrere Beschwerden untersucht hatte.
Garante stellte fest, dass Clearview AI personenbezogene Daten, einschließlich biometrischer und geografischer Informationen, ohne eine angemessene Rechtsgrundlage verarbeitete. Außerdem verstieß das Unternehmen gegen die Grundsätze der Transparenz, der Zweckbindung und der Speicherbegrenzung ( DSGVO ).
In Italien ist es Clearview AI nun untersagt, Bilder zu sammeln und die Daten zu verarbeiten. Außerdem wurde das Unternehmen angewiesen, die Daten zu löschen, die es von Personen in Italien hat.
Wie sie reagierten
Clearview AI CEO Hoan Ton-That erklärte dass Clearview AI weder in Italien noch in der Europäischen Union geschäftlich tätig ist oder Kunden hat, so dass das Unternehmen nicht von der DSGVO betroffen ist.
4. Clearview AI - 20 Millionen Euro (20,9 Millionen Dollar)
Auch die französische Datenschutzbehörde Commission nationale de l'informatique et des libertés (CNIL) hat festgestellt, dass Clearview AI gegen die DSGVO verstoßen hat.
Warum sie mit einer Geldstrafe belegt wurden
Die CNIL leitete die Untersuchung gegen Clearview AI im Jahr 2020 ein, nachdem Beschwerden über die Gesichtserkennungssoftware eingegangen waren. Im November 2021 wies sie Clearview an, alle Daten von Personen auf französischem Staatsgebiet zu löschen, da es keine Rechtsgrundlage für den Schutz der Rechte des Einzelnen und die Befolgung von Löschungsanträgen gab.
Die CNIL verhängte eine Geldstrafe gegen Clearview AI wegen unrechtmäßiger Verarbeitung personenbezogener Daten und mangelndem Schutz der Rechte von Personen im französischen Hoheitsgebiet.
Wie sie reagierten
Clearview AI antwortete dass es unmöglich sei, anhand von öffentlichen Fotos im Internet festzustellen, wer sich auf französischem Hoheitsgebiet befinde, und daher die Daten nicht löschen könne. Es erklärte auch, dass es nur öffentliche Informationen sammelt und dass es weder in Frankreich noch in der EU geschäftlich tätig ist und daher nicht unter die DSGVO fällt.
5. Clearview AI - 20 Millionen Euro (20,9 Millionen Dollar)
In einem weiteren Schritt gegen Clearview AI verhängte die griechische Datenschutzbehörde ebenfalls eine Geldstrafe wegen Verstoßes gegen die DSGVO.
Warum sie mit einer Geldstrafe belegt wurden
Clearview AI wurde festgestellt, dass sie gegen die Grundsätze DSGVO der Rechtmäßigkeit und Transparenz verstößt, indem sie Fotos und Selfies ohne Zustimmung sammelt.
Wie sie reagierten
Nochmals, Clearview AI antwortet, und erklärte, dass es weder Kunden noch einen Geschäftssitz in Griechenland oder der EU habe und daher nicht unter die DSGVO falle.
6. Meta Platforms Ireland Limited - €17 Millionen ($18,7 Millionen)
Meta Platforms Ireland Limited (Meta), ehemals Facebook Ireland Limited, wurde von der irischen Datenschutzkommission (DPC) mit einer Geldstrafe belegt.
Warum sie mit einer Geldstrafe belegt wurden
Die Datenschutzbehörde untersuchte Meta, nachdem ihr zwischen Juni 2018 und Dezember 2018 12 Datenschutzverletzungen gemeldet worden waren. Nach einer Untersuchung stellte sie fest, dass Meta nicht über die erforderlichen technischen und organisatorischen Maßnahmen verfügteDaher konnte das Unternehmen nicht nachweisen, welche Sicherheitsmaßnahmen es zum Schutz der Nutzerdaten ergriffen hatte.
Die DPC verhängte gegen Meta eine Geldstrafe von 17 Millionen Euro.
Wie sie reagierten
A Meta-Vertreter antwortete auf die Entscheidung der DPC: "Bei dieser Geldstrafe geht es um Aufzeichnungspraktiken aus dem Jahr 2018, die wir inzwischen aktualisiert haben, und nicht um ein Versagen beim Schutz der Daten von Menschen. Wir nehmen unsere Verpflichtungen unter DSGVO ernst und werden diese Entscheidung sorgfältig prüfen, da sich unsere Prozesse weiter entwickeln."
7. Google LLC - 10 Millionen Euro (10,47 Millionen Dollar)
Google wurde 10 Millionen Euro Geldstrafe von der spanischen DatenschutzbehördeAgencia Española de Protección de Datos (AEPD) eine Geldstrafe in Höhe von 10 Millionen Euro auferlegt, nachdem sie eine Untersuchung eingeleitet hatte.
Warum sie mit einer Geldstrafe belegt wurden
Die AEPD stellte fest, dass Google die von EU-Bürgern gesammelten Daten ohne deren Zustimmung an das Lumen-Projekt, ein Forschungsprojekt mit Sitz in den Vereinigten Staaten, weitergab. Außerdem war das Formular, das die Nutzer ausfüllen mussten, um ihre Daten zu löschen, kompliziert und verstieß damit gegen das Recht auf Vergessenwerden.
Für diese beiden Verstöße wurde Google mit einer Geldstrafe von jeweils 5 Millionen Euro belegt.
Wie sie reagierten
A Vertreter von Google versicherte, dass das Unternehmen Transparenz verspreche und die Entscheidung überprüfen werde, um seine Praktiken im Einklang mit den Datenschutzbestimmungen zu überarbeiten.
8. Clearview AI Inc. 8,75 Millionen Euro (9,34 Millionen Dollar)
Clearview AI wurde auch von der Datenschutzbehörde des Vereinigten Königreichs mit einer Geldstrafe belegt.
Warum sie mit einer Geldstrafe belegt wurden
Das Information Commissioner's Office (ICO) stellte fest, dass Clearview AI die Bilder für seine Gesichtserkennungssoftware ohne einen rechtmäßigen Grund zu haben. Es ordnete an, dass Clearview AI die gesammelten Daten der Einwohner des Vereinigten Königreichs löschen muss.
Wie sie reagierten
Die CEO von Clearview AI, Hoan Ton-That, erklärte dass die ICO seine Technologie und seine Beweggründe "falsch interpretiert" habe. Er behauptete, dass Clearview AI nur öffentliche Informationen sammelt und alle Datenschutzgesetze und -standards befolgt.
9. REWE International - €8 Millionen ($9 Millionen)
Der österreichische Lebensmitteleinzelhändler REWE International wurde von der österreichischen Datenschutzbehörde mit einer Geldstrafe von 8 Millionen Euro belegt.
Warum sie mit einer Geldstrafe belegt wurden
Das Unternehmen wurde zu einer Geldstrafe verurteilt, weil es die Daten von Nutzern, die an seinem Treueprogramm teilgenommen haben, falsch verwaltet hat. Das Programm mit dem Namen jö Bonus Club sammelte die Daten seiner Nutzer ohne deren Zustimmung und verwendete diese Daten für Marketingzwecke.
Wie sie reagierten
REWE International beabsichtigt, gegen diese Entscheidung Berufung einzulegen. Das Unternehmen argumentiert, dass der jö Bonus Club ein Tochterunternehmen ist, das unabhängig von der REWE International als Ganzes agiert. Daher sei der jö Bonus Club für die Verwendung der Kundendaten verantwortlich, nicht REWE International.
Die Muttergesellschaft behauptet außerdem, dass dies bedeutet, dass der jö Bonus Club stattdessen mit einer Geldstrafe belegt werden sollte. Dies würde die Geldbuße erheblich verringern, da die Strafen von DSGVO nach den Einnahmen der bestraften Organisationen bemessen werden. Es ist jedoch unklar, ob dieser Einspruch die Geldbuße erfolgreich reduzieren wird.
10. Cosmote Mobile Telecommunications - 6 Millionen Euro (6,6 Millionen Dollar)
Der griechische Mobilfunkbetreiber Cosmote Mobile Telecommunications wurde von der griechischen Datenschutzbehörde (HDPA) zu einer Geldstrafe von 6 Millionen Euro verurteilt.
Warum sie mit einer Geldstrafe belegt wurden
Die Geldbuße hatte zwei Ursachen. Erstens führte ein Hack der privaten Daten des Unternehmens im September 2020 zu einer erheblichen Datenschutzverletzung, bei der die privaten Informationen der Kunden preisgegeben wurden.
Zweitens wurde festgestellt, dass das Unternehmen Kundendaten unrechtmäßig verarbeitet. Infolgedessen wurden durch den Hack im September wesentlich mehr Daten offengelegt, als dies hätte der Fall sein sollen. Darüber hinaus waren die privaten Daten nicht vollständig pseudonymisiert, so dass es für Hacker einfacher war, Einzelpersonen anhand der durchgesickerten Daten zu identifizieren.
Wie sie reagierten
Das Unternehmen hat sich noch nicht zu der Geldbuße geäußert.
11. Interserve Group Limited - 5 Millionen Euro (4,94 Millionen Dollar)
Interserve Group Limited ist ein britisches Bau- und Dienstleistungsunternehmen mit Hauptsitz im Vereinigten Königreich. Es wurde festgestellt, dass es aufgrund einer Datenschutzverletzung, die vor zwei Jahren stattfand, gegen die DSGVO verstoßen hat.
Warum sie mit einer Geldstrafe belegt wurden
Das britische ICO stellte fest, dass die Interserve Group Limited es versäumt hat, die personenbezogenen Daten ihrer Mitarbeiter zu schützen, was zu einem Cyberangriff zwischen März 2020 und Mai 2020 führte, bei dem die Daten von 113.0000 Mitarbeitern betroffen waren. Personenbezogene Daten wie Kontaktdaten, Sozialversicherungsnummern, Bankkontodaten und Daten besonderer Kategorien (ethnische Herkunft, Religion, Behinderungen, sexuelle Orientierung und Gesundheitsinformationen) wurden offengelegt.
Dieses Versäumnis, personenbezogene Daten zu sichern und angemessene Sicherheitsvorkehrungen zu treffen, verstieß gegen die DSGVO.
Wie sie reagierten
Ein Vertreter von Interserve erklärteUngeachtet der Unstimmigkeiten zwischen dem Bußgeldbescheid der ICO und der Pressemitteilung sowie der Bedenken, dass die ICO kein faires und ordnungsgemäßes Verfahren eingehalten hat, wird Interserve weiterhin die Interessen seiner ehemaligen und derzeitigen Mitarbeiter, Geschäftspartner und anderer Interessengruppen in den Vordergrund stellen, während es mit der ICO zusammenarbeitet, um deren Ermittlungen zu beenden.
Interserve hat bis zum 21. November 2022 Zeit, die Geldbuße zu zahlen, sofern es nicht innerhalb der nächsten 28 Tage nach Erlass der Geldbuße (24. Oktober 2022) Einspruch gegen die Entscheidung einlegt.
12. Uber B.V. und Uber Technologies, Inc. 4,24 Millionen Euro (4,47 Millionen Dollar)
Das beliebte Fahrdienstunternehmen Uber wurde von den italienischen Datenschutzbehörden zu einer Geldstrafe von 4,24 Millionen Euro verurteilt. Uber B.V. ist ein Unternehmen mit Sitz in den Niederlanden, und Uber Technologies, Inc. ist die US-amerikanische Muttergesellschaft.
Warum sie mit einer Geldstrafe belegt wurden
Uber hatte 2016 eine Datenschutzverletzung erlitten, bei der die persönlichen Daten von 57 Millionen Nutzern weltweit gehackt wurden, darunter Name, Nachname, Telefonnummer, E-Mail, Zugangsdaten zur App, Lokalisierungsdaten und Daten anderer Nutzer, wie z. B. Mitfahrgelegenheiten. In Italien waren 52.000 Fahrer und 243.000 Fahrgäste betroffen.
Die italienische Datenschutzbehörde stellte fest, dass Uber gegen die DSGVO verstoßen hat. Die Datenschutzerklärung, die Uber seinen Nutzern gab, war unzureichend. Außerdem hatte Uber Daten ohne deren Zustimmung verarbeitet. Und schließlich ist Uber seiner Pflicht nicht nachgekommen, die italienische Datenschutzbehörde über die Verarbeitung zu Geolokalisierungszwecken zu informieren.
Wie sie reagierten
Während des gesamten Verfahrens gab Uber an, dass es seine Nutzer stets über die Art und Weise der Datenverarbeitung informiert und seinen Nutzern aktuelle Datenschutzrichtlinien zur Verfügung stellt. Uber gab an, seine Verfahren und Richtlinien 2015 mit der Datenschutzbehörde geteilt zu haben, und die Datenschutzbehörde habe nie etwas in Frage gestellt.
Die Argumente von Uber reichten nicht aus, um die Verstöße von DSGVO zu beseitigen.
13. Vodafone España - 3,94 Millionen Euro (4 Millionen Dollar)
Vodafone España wurde von der spanischen Datenschutzbehörde AEPD eine Geldstrafe AEPD nach einer Untersuchung eine Geldstrafe wegen Verstoßes gegen die DSGVO verhängt.
Warum sie mit einer Geldstrafe belegt wurden
Die AEPD stellte fest, dass die von Vodafone angewandten Methoden zur Vervielfältigung von SIM-Karten die Vertraulichkeit verletzten und persönliche Daten an Dritte weitergaben. Die Untersuchung ergab auch, dass Vodafone kein ausreichendes DSGVO Compliance-Programm mit ausreichenden Sicherheitsmaßnahmen unterhielt, was das Risiko eines Identitätsdiebstahls erhöhte.
Wie sie reagierten
Vodafone war damit nicht einverstanden und erklärte, dass die Privatsphäre der Kunden für das Unternehmen Priorität habe.
14. Niederländische Steuer- und Zollverwaltung - 3,7 Millionen Euro (3,8 Millionen Dollar)
Die niederländische Steuer- und Zollverwaltung ist die Steuererhebungs- und Zollbehörde in den Niederlanden. Sie wurde von der niederländischen Datenschutzbehörde mit einer Geldstrafe belegt.
Warum sie mit einer Geldstrafe belegt wurden
Es wurde festgestellt, dass die niederländische Steuer- und Zollverwaltung unrechtmäßig personenbezogene Daten verarbeitet hat, als sie in ihrer Fraude Signalering Voorziening (FSV) - oder "Betrugsidentifizierungseinrichtung" - eine schwarze Liste führte, die sie zur Registrierung von Betrugsverdacht verwendete. Viele Personen waren fälschlicherweise auf dieser Liste aufgeführt.
Die niederländische Datenschutzbehörde stellte dies fest:
- Es gab keine Rechtsgrundlage für die Erhebung der Informationen
- Der Zweck wurde nicht angegeben
- Die Daten wurden zu lange gespeichert
- Die Daten waren nicht geschützt
- Sie zogen bei ihren Bewertungen keinen Datenschutzbeauftragten hinzu.
Wie sie reagierten
Die niederländische Steuer- und Zollverwaltung kann Einspruch einlegen gegen die Geldstrafe einlegen. Sie hat sich bereits bei 60 Personen entschuldigt, die durch diese "schwarze Liste" geschädigt wurden.
15. OTE-Gruppe - 3,25 Millionen Euro (3,59 Millionen Dollar)
Im Zusammenhang mit der oben genannten Cosmote-Geldbuße wurde auch die Muttergesellschaft der Cosmote, die OTE-Gruppe, von der HDPA mit einer Geldbuße belegt.
Warum sie mit einer Geldstrafe belegt wurden
Diese zusätzliche Geldbuße in Höhe von 3,25 Mio. EUR wurde separat verhängt, nachdem die Cosmote-Untersuchung ergeben hatte, dass die OTE von Anfang an in das Verfahren hätte einbezogen werden müssen, dies aber nicht getan hatte.
Die HDPA stellte außerdem fest, dass die OTE-Gruppe für den Zugriff auf die Daten von Cosmote mitverantwortlich war. Der Hacker verwendete ein Administrator-Passwort der OTE-Gruppe, um in die Systeme von Cosmote einzudringen. Daher verhängte die HDPA eine zusätzliche Geldstrafe gegen die OTE-Gruppe, weil sie ihre Datensysteme nicht ordnungsgemäß gesichert hatte.
16. Amazon Road Transport - 2 Millionen Euro (2,27 Millionen Dollar)
Amazon Road Transport wurde von der spanischen Datenschutzbehörde AEPD mit einer Geldstrafe belegt.
Warum sie mit einer Geldstrafe belegt wurden
Die AEPD begann, eine Klage gegen Amazon Road Transport zu untersuchen. Sie stellte fest, dass Amazon bei der Einstellung selbständiger Lkw-Fahrer von den Auftragnehmern eine Bescheinigung über das Nichtvorliegen von Vorstrafen (Negativbescheinigung) verlangte. Amazon verlangte von diesen Auftragnehmern auch die Zustimmung zur Übermittlung dieser Daten (Negativbescheinigungen) an Konzernunternehmen und Lieferungen außerhalb des Europäischen Wirtschaftsraums.
Die AEPD stellte fest, dass diese Negativzeugnisse personenbezogene Daten sind. Und da es kein spanisches Gesetz gebe, das es einem Unternehmen erlaube, die Vorstrafen seiner LKW-Fahrer zu verarbeiten, gebe es keine Rechtsgrundlage für Amazon, Negativzeugnisse zu verlangen.
Außerdem wird die Einwilligung nicht in Kenntnis der Sachlage erteilt, da keine Informationen über die Verarbeitung, den Zweck, die Rechtsgrundlage oder die Möglichkeit, die Einwilligung zu widerrufen, gegeben werden. Und die Einwilligung wird nicht freiwillig gegeben, da sie eine Bedingung für das Fortschreiten des Einstellungsverfahrens ist.
Wie sie reagierten
Amazon versuchte zu argumentieren, dass das Zertifikat rechtmäßig sei, weil es die Sicherheit der Kunden gewährleiste. Die AEPD war davon nicht überzeugt.
17. Easylife Limited - 1,53 Millionen Euro (1,6 Millionen Dollar)
Easylife Limited ist ein Katalogeinzelhändler.
Warum sie mit einer Geldstrafe belegt wurden
Die britische Aufsichtsbehörde ICO stellte fest, dass Easylife von 145 400 Personen Profile erstellt hatte, aus denen ohne deren Zustimmung auf gesundheitliche Probleme geschlossen wurde. Sie zogen ihre Schlüsse aus den Produkten, die die Kunden aus dem Gesundheitskatalog von Easylife gekauft hatten.
Da das Unternehmen seine Kunden nicht über diese Verwendung ihrer Daten informierte, stellte das ICO fest, dass Easylife gegen den Artikel DSGVO gegen die "unrechtmäßige und unsichtbare" Verarbeitung von Daten besonderer Kategorien verstieß.
Wie sie reagierten
Easylife erklärte, dass dass sie gegen die Entscheidung der ICO. Sollte sich Easylife dazu entschließen, das Rechtsmittel einzulegen, hat es dafür bis zum 1. November 2022 Zeit.
18. Dedalus Biologie - 1,5 Millionen Euro (1,56 Millionen Dollar)
Dedalus Biologie, ein Anbieter medizinischer Software in Europa, wurde von der französischen Datenschutzbehörde CNIL mit einer Geldstrafe belegt.
Warum sie mit einer Geldstrafe belegt wurden
Die französische Datenschutzbehörde verhängte gegen Dedalus Biology ein Bußgeld in Höhe von 1,5 Millionen Euro wegen Verstoßes gegen die DSGVO. Die Datenbank des Unternehmens war im Internet aufgetaucht und enthüllte die vollständigen Namen der Patienten, ihre Sozialversicherungsnummern, die Namen der Ärzte, Untersuchungsdaten, medizinische Informationen und genetische Informationen.
Die CNIL stellte fest, dass Dedalus Biologie die Anweisung des für die Verarbeitung Verantwortlichen nicht befolgte, als es mehr Informationen als erforderlich extrahierte, darunter auch personenbezogene Gesundheitsdaten. Die CNIL stellte außerdem fest, dass Dedalus seine Pflicht zur Sicherung personenbezogener Daten verletzt hat.
Wie sie reagierten
Dedalus Biologie reagierte auf die Entscheidung indem es seine Bereitschaft erklärte, seine Sicherheit zu verbessern und die Bestimmungen von DSGVO einzuhalten.
Die höchsten DSGVO Geldbußen im Jahr 2021
2021 ist das letzte Jahr, für das uns vollständige 12 Monate an Daten über die Ausstellung von Geldbußen vorliegen ( DSGVO ).
Es ist auch das Jahr, in dem die fünf höchsten DSGVO Bußgelder aller Zeiten verhängt wurden. Dies ist wahrscheinlich darauf zurückzuführen, dass die Infrastruktur zur Untersuchung von Verstößen gegen DSGVO im Jahr 2021 vollständig ausgereift war.
Infolgedessen konnten große, weltweit tätige Unternehmen genau geprüft werden, und viele von ihnen wiesen Mängel beim Datenschutz auf.
Hier sind die größten Bußgelder aus dem Jahr 2021, einschließlich des rekordverdächtigen Bußgelds für Amazon.
1. Amazon - 746 Millionen Euro (823,9 Millionen Dollar)
Dieses Bußgeld ist nicht nur das höchste DSGVO Bußgeld des Jahres 2021 - es ist auch das höchste DSGVO Bußgeld, das jemals verhängt wurde.
Die luxemburgische Kommission verhängte eine Geldstrafe in Höhe von 746 Millionen Euro gegen den EU-Standort von Amazon in Luxemburg wegen des Datenschutzes (NCDP).
Die Strafe ist fast dreimal so hoch wie die nächsthöhere DSGVO Geldstrafe.
Warum sie mit einer Geldstrafe belegt wurden
Der NCDP sah sich veranlasst, die Untersuchung einzuleiten, nachdem die französische Nichtregierungsorganisation La Quadrature du Net (Quadratur des Netzes) im Namen von 10.000 Amazon-Kunden eine Beschwerde eingereicht hatte. La Quadrature du Net beschwerte sich, dass Amazon eindeutig Nutzerdaten in unzulässiger Weise verfolgt, um seine gezielte Werbung durchzuführen.
Bei der Untersuchung stellte der NCDP fest, dass Amazon die Daten seiner Nutzer verfolgt, ohne eine entsprechende Zustimmung einzuholen. Die Organisation hat jedoch aus Gründen des Berufsgeheimnisses keine spezifischen Details veröffentlicht.
Wie sie reagierten
Amazon hat deutlich gemacht, dass es beabsichtigt, die Entscheidung anzufechten. Das Unternehmen argumentiert, dass seine Praktiken nicht gegen DSGVO verstoßen, da es keine Datenschutzverletzungen gab und keine privaten Daten an Dritte weitergegeben wurden. La Quadrature du Net antwortete jedoch, dass "es das System der gezielten Werbung selbst ist und nicht nur gelegentliche Sicherheitsverletzungen, die wir mit unserer Klage angreifen".
Ob die Berufung Erfolg haben wird, bleibt abzuwarten.
2. WhatsApp - 225 Millionen Euro (248,5 Millionen Dollar)
Direkt nach der Amazon-Strafe ist das Kommunikations-App-Unternehmen WhatsApp die zweithöchste DSGVO Strafe sowohl des Jahres 2021 als auch aller Zeiten.
Warum sie mit einer Geldstrafe belegt wurden
Die irische Datenschutzkommission (DPC) untersuchte die Datenverarbeitungsprozesse von WhatsApp und stellte mehrere Verstöße fest, die zu einer Geldstrafe von 225 Millionen Euro führten. Die DPC stellte fest, dass WhatsApp es versäumt hatte, den Nutzern angemessene Transparenz über die Verwendung von Daten zu bieten. Die Datenschutzkommission stellte außerdem fest, dass WhatsApp seinen Nutzern keine ausreichend klaren Datenschutzrichtlinien zur Verfügung gestellt hat.
Wie sie reagierten
Die Höhe des Bußgeldes ist jedoch umstritten. WhatsApp hat gegen die Entscheidung der Datenschutzbehörde Berufung eingelegt und argumentiert, dass es allen Nutzern genaue Informationen über seine Datennutzung zur Verfügung stellt. Auch andere EU-Länder, darunter Frankreich, Deutschland und Italien, haben gegen die Entscheidung der Datenschutzbehörde Einspruch eingelegt und über die Einzelheiten der Begründung der Datenschutzbehörde diskutiert.
Die Geldbuße wird möglicherweise nicht gesenkt, selbst wenn die Beschwerde zu Änderungen führt. Im Gegenteil: Der Europäische Datenschutzausschuss hat die Datenschutzbehörde ausdrücklich aufgefordert, das Bußgeld neu zu bewerten und einen höheren Betrag festzu legen, nachdem die Agentur ursprünglich einen Betrag zwischen 30 und 50 Millionen Euro vorgeschlagen hatte.
Das Berufungsverfahren von WhatsApp läuft noch.
3. Google Irland - €60 Millionen ($66 Millionen)
Irland ist auch die Quelle einer weiteren hohen DSGVO Geldstrafe im Jahr 2021.
Warum sie mit einer Geldstrafe belegt wurden
Die französische Datenschutzbehörde (CNIL) verhängte gegen die irische Niederlassung von Google eine Geldstrafe in Höhe von 60 Millionen Euro als DSGVO Durchsetzungsmaßnahme, nachdem sie festgestellt hatte, dass das Unternehmen die Anforderungen der DSGVOfür Cookies nicht erfüllt hatte, insbesondere weil es die Ablehnung von Cookies auf YouTube erschwert hatte. Die DSGVO verlangt von Unternehmen, dass sie es gleichermaßen einfach machen, Cookies zu akzeptieren und abzulehnen.
Aber warum hat eine französische Behörde eine Geldstrafe gegen ein irisches Unternehmen verhängt?
Die CNIL argumentierte, dass die Geldbuße zum Teil mit der EU-Datenschutzrichtlinie und nicht nur mit DSGVO zusammenhängt. Die Datenschutzrichtlinie für elektronische Kommunikation erlaubt es den Regulierungsbehörden, direkt gegen jede Website vorzugehen, die in ihrem Zuständigkeitsbereich betrieben wird.
Folglich konnte die CNIL sich direkt mit der mangelnden Cookie-Konformität von Google Irland befassen, anstatt sie an die DPC zu verweisen.
Wie sie reagierten
Google-Sprecher erklärten: "Die Menschen vertrauen darauf, dass wir ihr Recht auf Privatsphäre respektieren und für ihre Sicherheit sorgen. Wir sind uns unserer Verantwortung bewusst, dieses Vertrauen zu schützen und verpflichten uns zu weiteren Änderungen und einer aktiven Zusammenarbeit mit der CNIL im Lichte dieser Entscheidung."
4. Google - 90 Millionen Euro (99 Millionen Dollar)
Ja, Google ist für mehrere Chartplatzierungen im selben Kalenderjahr verantwortlich.
Warum sie mit einer Geldstrafe belegt wurden
Google wurde für dasselbe Problem der Cookie-Einhaltung mitverantwortlich gemacht wie Google Irland. Die CNIL stellte fest, dass Google LLC, die amerikanische Niederlassung des Unternehmens, ebenfalls für Youtubes fehlende einfache Cookie-Verweigerungen verantwortlich war.
Diese Entscheidung zeigt, dass großen Unternehmen mehr als eine Geldstrafe drohen kann. Wenn ein Unternehmen beispielsweise mehrere Niederlassungen in verschiedenen Ländern hat, könnte jede dieser Tochtergesellschaften mit einem hohen Bußgeld belegt werden DSGVO .
5. Facebook - 60 Millionen Euro (66 Millionen Dollar)
Dies ist die dritte massive DSGVO Geldstrafe, die die CNIL im Jahr 2021 verhängt.
Warum sie mit einer Geldstrafe belegt wurden
Die irische Niederlassung von Facebook, Facebook Ireland Limited, wurde auf derselben Grundlage wie Google Ireland und Google LLC mit einer Geldstrafe belegt. Die CNIL stellte fest, dass Facebook France, eine Tochtergesellschaft von Facebook Ireland, von den Nutzern verlangte, mehrere Optionen zur Ablehnung aller nicht wesentlichen Cookies auszuwählen, aber nur eine Option zur Annahme aller Cookies.
Nach Ansicht der CNIL verstieß dies gegen die Bestimmungen der Richtlinien DSGVO und ePrivacy über die Verwendung von Cookies und wurde mit einer Geldstrafe von 60 Millionen Euro auf der Grundlage der Einnahmen von Facebook belegt.
Wie sie reagierten
Facebook hat gegen die Geldstrafe Berufung eingelegt. Das Unternehmen argumentiert, dass die CNIL tatsächlich versucht, ihre nationalen Leitlinien und Empfehlungen durchzusetzen und nicht die Datenschutzrichtlinie für elektronische Kommunikation oder die DSGVO.
Facebook argumentiert, dass die CNIL nur gegen Facebook Frankreich und nicht gegen Facebook Irland ein Bußgeld verhängen können sollte, was die Geldbußen, die das Unternehmen auf der Grundlage seiner Einnahmen zu zahlen hätte, erheblich reduzieren würde.
6. Notebookbilliger.de - €10,4 Millionen ($11,5 Millionen)
Der deutsche Online-Elektronikhändler Notebookbilliger.de hat vom niedersächsischen Datenschutzbeauftragten ein Bußgeld in Höhe von 10,4 Millionen Euro erhalten.
Warum sie mit einer Geldstrafe belegt wurden
Der Kommissar hatte eine Untersuchung der Datenerfassungspraktiken von Notebookbilliger.de angeordnet. Die Untersuchung ergab, dass Notebookbilliger.de in seinem gesamten Unternehmen Überwachungskameras an Arbeitsplätzen, in Verkaufsräumen, Gemeinschaftsräumen und Lagern installiert hatte. Dieses Filmmaterial wurde 60 Tage lang aufbewahrt.
Die Videoüberwachung ist zwar gemäß DSGVO zulässig, sie muss jedoch aus einem rechtmäßigen Grund erfolgen und darf nur dann durchgeführt werden, wenn andere Methoden der Verbrechensbekämpfung nicht erfolgreich waren. Außerdem sollte die Videoüberwachung begrenzt sein, was in den Verkaufsräumen nicht der Fall war.
Der Kommissar stellte fest, dass der Einsatz der Videoüberwachung durch Notebookbilliger.de unverhältnismäßig war und verhängte eine entsprechende Geldbuße gegen das Unternehmen.
Wie sie reagierten
Der Geschäftsführer des Unternehmens argumentierte, dass dieses Bußgeld ungerecht, unverhältnismäßig und unzureichend untersucht sei. Der Einspruch von Notebookbilliger.de gegen das Bußgeld läuft noch.
7. Österreichische Post - €9,5 Millionen ($10,5 Millionen)
Auch wenn Österreich bei der Durchsetzung von DSGVO nicht ganz so aggressiv vorgeht wie Frankreich, so ist es doch eines der durchsetzungsfähigsten Länder in Sachen Datenschutz. So verhängte die österreichische Datenschutzbehörde beispielsweise eine Geldstrafe in Höhe von 9,5 Millionen Euro gegen den nationalen Postdienst des Landes, weil dieser die Bestimmungen von DSGVO nicht eingehalten hatte.
Warum sie mit einer Geldstrafe belegt wurden
Nach Angaben der österreichischen Datenschutzbehörde weigerte sich die österreichische Post, Personen per E-Mail über ihre gespeicherten personenbezogenen Daten zu informieren. Obwohl die Agentur mehrere andere Methoden der Anfrage zuließ, lehnte sie E-Mails ausdrücklich ab. Die Datenschutzbehörde stellte fest, dass dies eine unangemessene Belastung für die Kunden darstellte und gegen DSGVO verstieß.
Diese Strafe wurde verhängt, nachdem das österreichische Bundesverwaltungsgericht eine frühere Strafe in Höhe von 18 Millionen Euro DSGVO gegen die Post wegen der Verarbeitung von Kundendaten zur Ermittlung der politischen Zugehörigkeit österreichischer Bürger aufgehoben hatte.
Wie sie reagierten
Die Post hat erklärt, dass sie gegen diese Geldbuße ebenso wie gegen die vorherige Berufung einlegen wird.
8. Vodafone España - €8,15 Millionen ($9 Millionen)
Der spanische Telekommunikationsanbieter Vodafone España musste im Jahr 2021 eine Geldstrafe in Höhe von 8,15 Millionen Euro zahlen, weil er "mehrfache und wiederholte Verstöße DSGVO " gemeldet hatte.
Warum sie mit einer Geldstrafe belegt wurden
Laut der Agencia Española Proteccion Datos (AEPD) hat Vodafone gegen drei Artikel von DSGVO und mehrere andere spanische Datenschutzgesetze verstoßen.
Vodafone nutzte Kundendaten, um illegale Telemarketing-Anrufe zu tätigen. Darüber hinaus erhielten Kunden, die darum gebeten hatten, diese Anrufe einzustellen, weiterhin Telefonmarketing-Anrufe in einem aggressiven Ausmaß. Es scheint, dass dies auf Vodafones Entscheidung zurückzuführen ist, externe Marketingagenturen zu beauftragen, die keinen Zugang zu den "Do-not-call"-Listen haben, zu deren Führung das Unternehmen verpflichtet ist.
Wie sie reagierten
Vodafone hat argumentiert, dass seine Handlungen nicht gegen die DSGVO verstoßen und dass es gegen die Geldstrafe Berufung einlegen wird. Das Unternehmen hat in den vier Jahren seit Inkrafttreten des Gesetzes mehr als 30 DSGVO Bußgelder erhalten.
9. Grindr - €6,3 Millionen ($7 Millionen)
Die US-amerikanische Dating-App Grindr hat von der norwegischen Datenschutzbehörde eine Geldstrafe in Höhe von 6,3 Millionen Euro erhalten.
Warum sie mit einer Geldstrafe belegt wurden
Die Geldbuße beruht auf dem Vorwurf, dass das Unternehmen sensible personenbezogene Daten ohne Zustimmung an dritte Werbetreibende übermittelt hat.
Obwohl Norwegen kein Mitglied der EU ist, hat das Land die DSGVO übernommen und setzt sie durch. Als der norwegische Verbraucherrat eine Beschwerde bei der Datenschutzbehörde einreichte, dass Grindr private Daten wie GPS-Standort, IP-Adressen, Alter und Geschlecht der Nutzer weitergegeben hat, nutzte die Datenschutzbehörde die Leitlinien von DSGVO , um gegen das Unternehmen zu ermitteln.
Nach Angaben der Datenschutzbehörde verlangt Grindr von seinen Nutzern, dass sie die Datenschutzbestimmungen in vollem Umfang akzeptieren, um die App nutzen zu können. Die DSGVO verbietet es den Diensten ausdrücklich, von den Nutzern zu verlangen, dass sie der Speicherung und Verarbeitung nicht wesentlicher Daten zustimmen, um auf den Dienst zugreifen zu können.
Außerdem stellte die Datenschutzbehörde fest, dass die Nutzer nicht darüber informiert wurden, wie ihre Daten verwendet wurden, und dass sie der Verwendung nicht ordnungsgemäß zustimmen konnten.
Wie sie reagierten
Grindr hat angekündigt, dass es gegen die Entscheidung Berufung einlegen will, mit der Begründung, dass es seine Praktiken geändert hat und nun die Anforderungen von DSGVO erfüllt.
10. CaixaBank - 6 Millionen Euro (6,6 Millionen Dollar)
Eine weitere spanische AEPD-Strafe ging an die spanische Bank CaixaBank.
Warum sie mit einer Geldstrafe belegt wurden
Die Geldbuße in Höhe von 6 Millionen Euro wurde mit der Begründung verhängt, dass die CaixaBank die Anforderungen der DSGVOfür eine gültige Einwilligung nicht erfüllte und dass die Methoden der Bank zur Einholung der Einwilligung unzureichend waren. Die AEPD stellte außerdem fest, dass die CaixaBank "unerlaubte Übermittlungen" personenbezogener Daten an andere Unternehmen mit ihrer Bankverbindung durchführte.
Banken haben Zugang zu wichtigen sensiblen Nutzerdaten, von finanziellen Details bis hin zu Identifikationsnummern. Daher verstößt das Versäumnis, die Nutzer darüber zu informieren, wie ihre Daten verwendet werden, und sie an andere Unternehmen weiterzugeben, per Definition gegen mehrere Elemente der DSGVO.
Wie sie reagierten
Die CaixaBank wird gegen die Entscheidung Berufung einlegen.
11. Fastweb S.p.A - 4,5 Millionen Euro (5 Millionen Dollar)
Die Garante, die italienische Datenschutzbehörde, hat gegen den italienischen Internetdienstleister Fastweb eine Geldstrafe in Höhe von 4,5 Millionen Euro verhängt, weil er gegen die DSGVO verstoßen hat, nachdem Hunderte von Kundenbeschwerden eingegangen waren.
Warum sie mit einer Geldstrafe belegt wurden
Laut Garante hat Fastweb Kundendaten verwendet, um ohne deren Zustimmung Werbeanrufe zu tätigen. Fastweb wurde bereits in der Vergangenheit wegen ähnlicher Verstöße mit einer Geldstrafe belegt.
Die Geldbuße ist auch mit anderen Auflagen verbunden. So muss Fastweb nachweisen, dass alle künftigen Telefonmarketing-Anrufe über registrierte Nummern erfolgen. Außerdem darf das Unternehmen keine Kundendatenlisten anderer Anbieter mehr verwenden, ohne den Nachweis, dass die Nutzer der Verwendung ihrer Daten für Marketingzwecke zugestimmt haben.
Wie sie reagierten
Fastweb hat bei der Untersuchung kooperiert und keine Einwände gegen die Geldbuße erhoben.
12. Sky Italia - 3,3 Millionen Euro (3,6 Millionen Dollar)
Die Garante verhängte eine weitere große Telekommunikationsstrafe gegen die italienische Fernsehplattform Sky Italia.
Warum sie mit einer Geldstrafe belegt wurden
Wie im Fall gegen Fastweb wurde die Geldbuße in Höhe von 3,3 Millionen Euro verhängt, weil Sky Italia Kundendaten unzulässigerweise zu Werbezwecken verarbeitet und verwendet hat. Infolgedessen erhielten die Kunden von Sky Italia unaufgeforderte Telefonmarketing-Anrufe, die auch dann nicht aufhörten, als sie das Unternehmen aufforderten, sie nicht mehr zu kontaktieren.
Wie Fastweb darf auch Sky Italia keine Marketinganrufe mehr über nicht registrierte Nummern tätigen und keine Kontaktlisten von Dritten mehr ohne Nachweis der Zustimmung verwenden.
Wie sie reagierten
Sky Italia legt keinen Einspruch gegen die Geldstrafe ein.
13. Caixabank Payments & Consumer - 3 Millionen € ($3,3 Millionen)
Ja, die CaixaBank erhielt im Jahr 2021 zwei getrennte Geldbußen DSGVO . Dieser Fall stand in keinem Zusammenhang mit der ebenfalls von der spanischen AEPD verhängten Geldbuße von 6 Mio. EUR.
Warum sie mit einer Geldstrafe belegt wurden
In diesem Fall ergab die Untersuchung, dass die CaixaBank-Tochter Caixabank Payments & Consumer EFC personenbezogene Daten zu unrechtmäßigen Zwecken verarbeitete, und die Bank wurde mit einer Geldstrafe in Höhe von 3 Millionen Euro belegt.
Nach Angaben der AEPD forderte die CaixaBank individuelle Informationen aus Solvenzdateien an, obwohl sie keine aktiven Verträge mit diesen Personen hatte. Darüber hinaus nutzte die Bank diese Daten zur Unterstützung von Marketingkampagnen ohne die Zustimmung der Betroffenen.
Wie sie reagierten
Die CaixaBank argumentiert, dass ihre Datennutzung erlaubt war, und legt gegen den Bußgeldbescheid der AEPD Berufung ein.
14. Iren Mercato - €2,9 Millionen ($3,2 Millionen)
Die Garante war im Jahr 2021 sehr aktiv. Außerdem verhängte die Agentur gegen das italienische Energieunternehmen Iren Mercato eine Geldstrafe in Höhe von 2,9 Millionen Euro, weil es die Anforderungen der DSGVOan die Datenverarbeitung nicht eingehalten hatte.
Warum sie mit einer Geldstrafe belegt wurden
Die Garante stellte fest, dass Iren Mercato private Daten aus verschiedenen anderen Quellen angenommen und verarbeitet hatte, ohne die Zustimmung dieser Personen zur Verwendung dieser Daten für Telemarketingzwecke einzuholen.
Die DSGVO verlangt von allen Organisationen, dass sie die für die Erbringung ihrer Dienstleistungen erforderliche Mindestmenge an Daten verarbeiten. Darüber hinaus schreibt die Verordnung vor, dass alle Nutzer die Möglichkeit haben müssen, ihre Zustimmung zu geben, bevor eine Organisation ihre Daten verarbeitet, was Iren Mercato nicht getan hat.
Wie sie reagierten
Iren Mercato hat sich nicht öffentlich dazu geäußert, ob sie gegen die Entscheidung Berufung einlegen werden.
15. Niederländischer Finanzminister - €2,75 Millionen ($3 Millionen)
Auch Regierungen und Regierungsangestellte sind nicht vor DSGVO gefeit. So musste beispielsweise der niederländische Finanzminister eine Geldstrafe in Höhe von 2,75 Millionen Euro zahlen, nachdem die niederländische Datenschutzbehörde festgestellt hatte, dass die Steuerbehörde die Nationalitäten von Personen unrechtmäßig erfasst und verarbeitet hatte.
Warum sie mit einer Geldstrafe belegt wurden
Unter DSGVO kann keine Organisation persönliche Informationen wie die Staatsangehörigkeit verfolgen, es sei denn, es liegt ein "rechtmäßiger Grund" vor. Auch können Organisationen diese Daten nicht ohne Zustimmung verfolgen. Die niederländische Steuerbehörde hatte Informationen über die Staatsangehörigkeit einzelner Personen verwendet, um diskriminierende und unrechtmäßige Erstattungen von Kinderbetreuungsgeld vorzunehmen und leichtfertige Betrugsermittlungen gegen Eltern durchzuführen.
Wie sie reagierten
Der niederländische Finanzminister hat gegen die Geldbuße nicht erfolgreich Einspruch erhoben.
16. Foodinho - €2,6 Millionen ($2,9 Millionen)
Der italienische Lebensmittellieferant Foodinho wurde von der Garante mit einer weiteren Geldstrafe in Höhe von mehreren Millionen Euro belegt.
Die Agentur untersuchte das Reiterbewertungssystem und die Datenschutzhinweise von Foodinho und befand beides für mangelhaft, was zu einer Geldstrafe von 2,6 Millionen Euro führte.
Warum sie mit einer Geldstrafe belegt wurden
Insbesondere wurde festgestellt, dass das Fahrerbewertungssystem von Foodinho möglicherweise die Diskriminierung auf der Grundlage der persönlichen Daten eines Fahrers fördert. Das automatisierte System könnte Fahrer aufgrund unbewusster Voreingenommenheit, die mit den persönlichen Daten des Fahrers zusammenhängt, daran gehindert haben, Arbeit zu bekommen.
In der Zwischenzeit stellte die Garante fest, dass Foodinho nicht klar genug war, damit die Kunden eine gültige Zustimmung zur Verwendung ihrer Daten erteilen konnten.
Wie sie reagierten
Foodinho hat angekündigt, dass es erwägt, gegen die Entscheidung Berufung einzulegen. Das Unternehmen hat auch erklärt, dass die Einhaltung der DSGVO eine seiner obersten Prioritäten ist.
Die höchsten DSGVO Geldbußen im Jahr 2020
Im Jahr 2020 gab es immer noch eine große Anzahl von Bußgeldern in hoher Höhe. Allerdings erreichten die Bußgelder in diesem Jahr nicht ganz den neunstelligen Spitzenwert, den sie später erreichen sollten. 2020 war ein Jahr, in dem viele Unternehmen, die offensichtlich nicht in der Datenbranche tätig sind, feststellten, dass sie sich wie jedes andere Unternehmen an die Normen von DSGVOhalten müssen. Zu den Spitzenreitern unter den DSGVO Bußgeldern im Jahr 2020 gehörten:
1. H&M - €35,3 Millionen ($39 Millionen)
Der Bekleidungshändler H&M fällt zwar nicht sofort als Datensammler ein, aber das Unternehmen verarbeitet tatsächlich täglich umfangreiche Kundendaten.
Warum sie mit einer Geldstrafe belegt wurden
Die deutschen Aufsichtsbehörden stellten fest, dass H&M gegen die Anforderungen von DSGVOverstieß, indem es übermäßig viele Daten über seine Belegschaft aufbewahrte, darunter auch Details wie die Familien, Religionen und Krankheiten der Mitarbeiter. Dies führte dazu, dass die deutsche Datenschutzbehörde eine Geldstrafe in Höhe von 35,3 Millionen Euro verhängte, die damals die zweithöchste DSGVO Geldstrafe war, die jemals verhängt wurde.
Dieses Vorgehen verstößt gegen die Anforderung von DSGVO, dass Organisationen Daten nur für rechtmäßige Zwecke aufbewahren dürfen. Da familiäre und religiöse Überzeugungen keinen Einfluss auf die Fähigkeiten eines Arbeitnehmers haben, hat ein Unternehmen keinen Grund, diese Daten zu erfassen. H&M missachtete jedoch diese Regel und führte invasive Mitarbeiterbefragungen zu diesen Themen durch und speicherte die Daten über lange Zeiträume.
Wie sie reagierten
Nach der Verhängung des Bußgeldes übernahm H&M die volle Verantwortung für den Verstoß und richtete einen Entschädigungsplan für die Mitarbeiter ein, um die Anforderungen der Aufsichtsbehörden zu erfüllen.
2. TIM (Telecom Italia) - €27,8 Millionen ($30,7 Millionen)
Die Garante hat viel Zeit damit verbracht, die italienischen Telekommunikationsunternehmen zu untersuchen.
Im Jahr 2020 verhängte die Garante gegen TIM (ehemals Telecom Italia) eine Geldstrafe in Höhe von 27,8 Millionen Euro wegen der Verwendung privater Nutzerdaten für Telefonmarketing-Anrufe.
Warum sie mit einer Geldstrafe belegt wurden
Die Ermittlungen ergaben auch, dass TIM unzulässigerweise die Zustimmung zur Verwendung sensibler Daten von den Kunden verlangte, um an Gewinnspielen teilzunehmen.
Außerdem behauptete Garante, dass TIM private Daten unsachgemäß verarbeitete und nicht angemessen schützte. TIM zeigte den Nutzern keine nützlichen Datenschutzrichtlinien und bewahrte die gesammelten Daten auf eine Weise auf, die sie nicht vor Datenschutzverletzungen schützte.
Wie sie reagierten
TIM versuchte, gegen die Geldbuße Berufung einzulegen, was jedoch nicht gelang. Infolgedessen musste das Unternehmen die Geldbuße zahlen und seine Methoden der Datenerhebung, -verarbeitung und -speicherung stark überarbeiten, um die Anforderungen der DSGVO zu erfüllen.
3. British Airways - £20 Millionen ($26,4 Millionen)
Obwohl das Vereinigte Königreich die EU inzwischen verlassen hat, gilt für das Land im Jahr 2020 immer noch die DSGVO. Infolgedessen befolgte die britische Datenschutzbehörde ICO (Information Commissioner's Office) die Regeln von DSGVOund verhängte gegen British Airways eine Geldstrafe in Höhe von 20 Millionen Pfund.
Warum sie mit einer Geldstrafe belegt wurden
Die Geldbuße wurde wegen des Umgangs von British Airway mit einer bedeutenden Datenpanne verhängt, durch die im Laufe von drei Monaten die privaten Daten von mehr als 400.000 Kunden offengelegt wurden.
Ursprünglich wollte die ICO wegen der dramatischen Auswirkungen und der Einnahmen von British Airways eine Geldstrafe in Höhe von 183 Millionen Pfund für den Verstoß verhängen. Die Behörde passte den endgültigen Betrag jedoch aufgrund der finanziellen Auswirkungen der COVID-19-Pandemie an.
Der ursprüngliche Verstoß ereignete sich im Jahr 2018, und die Untersuchung wurde 2019 fortgesetzt.
Wie sie reagierten
British Airways legte sofort Berufung gegen die Entscheidung ein, als die ICO den ursprünglichen Betrag der Geldbuße festlegte. Infolgedessen wurde die endgültige Geldstrafe offiziell erst 2020 verhängt.
Trotz aller Bemühungen von British Airways wurde das Unternehmen dennoch mit einer drastischen Geldstrafe belegt, die ein Zeichen dafür setzen soll, wie ernst die Durchsetzungsbehörden DSGVO Datenschutzverletzungen jeder Größenordnung nehmen werden.
4. Marriott - 18,4 Millionen £ (24,3 Millionen $)
Die Website DSGVO gilt auch für Datenschutzverletzungen, die vor ihrem Inkrafttreten begangen wurden.
So geschehen, als die britische Datenschutzbehörde ICO Marriott eine Geldstrafe in Höhe von 18,4 Millionen Pfund für eine erhebliche Sicherheitsverletzung auferlegte, die möglicherweise bis zu einer Drittelmilliarde Gäste betraf.
Warum sie mit einer Geldstrafe belegt wurden
Das Unternehmen erlitt 2014 eine Sicherheitsverletzung, durch die Kundennamen, Kontaktinformationen und Passdaten von 339 Millionen Gästen bekannt wurden. Leider blieb diese Sicherheitsverletzung bis 2018 unbemerkt und unbehandelt, als die Website DSGVO in Kraft trat, die dem Hacker vier Jahre lang weiteren Zugang gewährte.
Die ICO beabsichtigte daher ursprünglich, eine Geldstrafe in Höhe von 99 Millionen Pfund zu verhängen, die nach Angaben der Behörde als Abschreckung für andere Unternehmen dienen sollte, die in ähnlicher Weise versagen.
Wie sie reagierten
Marriott legte gegen die Geldbuße Berufung ein, weil es nach Bekanntwerden des Problems schnell gehandelt hatte.
In der endgültigen Entscheidung erkannte das ICO dies und die Tatsache, dass Marriott seine Systeme in der Zwischenzeit erheblich verbessert hatte, an und senkte die Geldstrafe auf nur 18,4 Millionen Pfund.
5. Wind Tre - €16,7 Millionen ($18,4 Millionen)
Eine weitere Geldbuße im italienischen Telekommunikationssektor DSGVO wurde gegen Wind Tre verhängt.
Warum sie mit einer Geldstrafe belegt wurden
Die Garante untersuchte Wind aufgrund von mehr als hundert Beschwerden über die Art und Weise, wie das Unternehmen Telefonmarketing-Anrufe, Textnachrichten und sogar Faxe durchführte. Die Kunden beschwerten sich auch darüber, dass Wind ihnen keine Möglichkeiten bot, sich gegen die Datenerfassung zu entscheiden oder die Veröffentlichung ihrer Kontaktdaten zu verhindern.
Dieses Verhalten führte dazu, dass die Garante eine Geldstrafe in Höhe von 16,7 Millionen Euro für die zahlreichen Verstöße des Unternehmens DSGVO verhängte.
Wie sie reagierten
Wind Tre versuchte zwar, gegen die Entscheidung Berufung einzulegen, hatte damit aber keinen Erfolg. Infolgedessen blieb die Geldbuße der Garante bestehen.
Darüber hinaus wurde das Unternehmen gezwungen, die Sammlung bestimmter Daten einzustellen und die Verwendung von Kundeninformationen für Marketingaktivitäten ohne direkte, nachgewiesene Zustimmung zu unterlassen.
6. Vodafone Italia - €12,25 Millionen ($13,5 Millionen)
In Fortsetzung des Trends bei den Durchsetzungsmaßnahmen der italienischen Telekom DSGVO verhängte die Garante auch gegen Vodafone Italia eine Geldstrafe in Höhe von 12,25 Millionen Euro wegen des Missbrauchs von Kundendaten.
Warum sie mit einer Geldstrafe belegt wurden
Wie andere Telekommunikationsunternehmen auf dieser Liste stellte die Garante fest, dass Vodafone Italia Kundendaten ohne Zustimmung für Marketingaktivitäten verwendet hatte. Daraufhin reichten Vodafone-Kunden Hunderte von Beschwerden gegen die ständigen Anrufe des Unternehmens ein, die auch nach Aufforderungen, diese einzustellen, fortgesetzt wurden.
Wie sie reagierten
Vodafone hat versucht, gegen die Entscheidung Berufung einzulegen, wurde aber abgewiesen.
Leider hat auch Vodafone seine Lektion nicht gelernt, und andere Niederlassungen des internationalen Konzerns wurden seit 2018 mit Dutzenden von Bußgeldern belegt.
7. Google Schweden - 75 Millionen Schwedische Kronen ($7,9 Millionen)
Google erscheint auf dieser Liste erneut wegen Verstößen in Schweden.
Die schwedische Datenschutzbehörde untersuchte die örtliche Google-Niederlassung nach Beschwerden, dass das Unternehmen das "Recht auf Vergessenwerden" von DSGVOverletzen könnte.
Warum sie mit einer Geldstrafe belegt wurden
Unter DSGVO hat jeder das Recht, dass sein Werk aus den Suchmaschinen gestrichen wird oder im Wesentlichen "vergessen" wird.
Die schwedische Datenschutzbehörde stellte fest, dass Google den Eigentümern von Websites die Wiederveröffentlichung von Inhalten erlaubte, die von anderen Websites und Personen von der Liste gestrichen worden waren, wodurch das Recht auf vollständige Streichung untergraben wurde. Diese Entdeckung veranlasste die Behörde, eine Geldstrafe in Höhe von 75 Mio. SEK, d. h. etwa 7,9 Mio. USD, zu verhängen.
Wie sie reagierten
Obwohl Google gegen die Entscheidung Berufung einlegte, wurde die Geldstrafe von einem schwedischen Gericht bestätigt. Dem Unternehmen wurde außerdem untersagt, die Eigentümer von Websites über Anträge auf Auslistung zu informieren.
8. BBVA - 5 Millionen Euro (5,5 Millionen Dollar)
Die spanische AEPD verhängte gegen die Banco Bilbao Vizcaya Argentaria (BBVA) zwei Geldbußen in Höhe von 2 Mio. EUR und 3 Mio. EUR wegen zweier getrennter Verstöße DSGVO .
Warum sie mit einer Geldstrafe belegt wurden
Ein Bußgeld wurde verhängt, weil die Bank Kundendaten für Marketingaktivitäten per SMS verwendete, ohne die Zustimmung der Kunden einzuholen. Die andere, weil die Organisation nicht alle relevanten Informationen in ihren Datenschutzhinweis aufgenommen hatte.
Wie sie reagierten
Die BBVA versuchte, gegen beide Bußgelder Berufung einzulegen, mit dem Argument, dass ihre Handlungen nicht gegen die DSGVO verstießen. Die spanischen Gerichte bestätigten jedoch die Entscheidung der AEPD, und die BBVA wurde gezwungen, beide Bußgelder zu zahlen.
9. Carrefour-Gruppe - €3,05 Millionen ($3,5 Millionen)
Die französische CNIL hat zwei Tochtergesellschaften des Einzelhandelskonzerns Carrefour mit Geldbußen in Höhe von insgesamt 3,05 Millionen Euro belegt.
Warum sie mit einer Geldstrafe belegt wurden
Die CNIL begann mit der Untersuchung der Carrefour-Gruppe, nachdem sie Beschwerden von Kunden erhalten hatte, dass das Unternehmen Anfragen zur Löschung von Daten nicht nachkam, ihnen unaufgeforderte Telemarketing-Nachrichten schickte und es ihnen nicht erlaubte, sich aus Marketing-E-Mails auszutragen.
Die CNIL befand, dass diese Beschwerden zutreffend waren und stellte fest, dass die Carrefour-Gruppe gegen die DSGVO verstoßen hat.
Nach Ansicht der CNIL hat die Carrefour-Gruppe gegen die DSGVO verstoßen, da sie es versäumt hat, den Nutzern die Möglichkeit zu geben, ihre Daten löschen zu lassen oder die Verwendung von Cookies abzulehnen.
Wie sie reagierten
Der Versuch des Unternehmens, diese Entscheidungen anzufechten, scheiterte.
10. Capio St. Göran AB - 30 Millionen Schwedische Kronen ($3,2 Millionen)
Der schwedische Gesundheitsdienstleister Capio St. Göran AB erhielt eine Geldstrafe in Höhe von 30 Mio. SEK, d. h. rund 2,9 Mio. Euro, weil er es versäumt hatte, Patientendaten angemessen zu schützen.
Warum sie mit einer Geldstrafe belegt wurden
Die schwedische Datenschutzbehörde untersuchte das Krankenhaus und stellte fest, dass die Einrichtung keine Risikoanalyse in Bezug auf die Speicherung von Patientendaten durchgeführt hatte und daher nicht wusste, welchen Gefahren sie ausgesetzt war.
Die Datenschutzbehörde stellte außerdem fest, dass die Informationssysteme von Capio St. Göran nicht ordnungsgemäß konfiguriert waren, um den erforderlichen Mindestzugang zu gewährleisten. Infolgedessen konnten Mitarbeiter, die keine Notwendigkeit hatten, bestimmte sensible Daten zu sehen, auf wichtige private Patienteninformationen zugreifen.
Diese beiden Mängel stehen in direktem Widerspruch zu den Grundsätzen der Website DSGVO.
Wie sie reagierten
Capio St. Göran versuchte zwar, Berufung einzulegen, hatte aber keinen Erfolg. Der Gesundheitsdienstleister musste die gesamte Geldstrafe zahlen und seine gesamten Datenverarbeitungs- und -speicherungssysteme überarbeiten, um vertrauliche Patienteninformationen besser zu schützen.
Die höchsten DSGVO Bußgelder im Jahr 2019
Die Dinge begannen im zweiten Jahr des Bestehens von DSGVOan Fahrt aufzunehmen. 2019 war das erste Jahr, in dem die Geldbußen von DSGVO die 10-Millionen-Euro-Grenze überschritten.
Es war auch das Jahr, in dem Unternehmen außerhalb der EU zu erkennen begannen, wie wichtig es sein würde, die Leitlinien von DSGVOzu befolgen.
Die größte DSGVO Geldbuße des Jahres 2019 wurde gegen die US-Zentrale von Google verhängt.
So sahen die höchsten DSGVO Bußgelder des Jahres 2019 aus:
1. Google - 50 Millionen Euro (56,8 Millionen Dollar)
Ja, Google hat es schon wieder auf die Liste geschafft.
Warum sie mit einer Geldstrafe belegt wurden
Im Jahr 2019 wurde Google Irland von der CNIL wegen zweier verschiedener Versäumnisse mit einer Geldstrafe in Höhe von 50 Millionen Euro belegt.
Erstens stellte die CNIL fest, dass Google seine Offenlegungen den Nutzern nicht leicht zugänglich machte und dass die Informationen in den Offenlegungen auf mehrere Dokumente aufgeteilt waren - die verschiedene Links enthielten, auf die die Nutzer klicken mussten, um die Offenlegungen zu sehen.
Außerdem waren die Erläuterungen in der Datenschutzerklärung zu den Arten der verarbeiteten Daten und dem Grund für die Verarbeitung zu vage.
Zweitens stellte die CNIL fest, dass Google die Zustimmung der Nutzer zur Personalisierung von Anzeigen verletzte, weil die Angaben auf mehrere Dokumente verteilt waren. Die Struktur des Zustimmungsdokuments machte es für die Nutzer schwierig zu verstehen, womit sie eigentlich einverstanden waren.
Wie sie reagierten
Google legte gegen diesen Fall vor dem höchsten französischen Verwaltungsgericht, dem Conseil d'État, Berufung ein. Google machte geltend, dass der irische Datenschutzbeauftragte die Datenschutzangelegenheiten von Google hätte überwachen müssen, da Irland sein Hauptstandort in der EU ist.
Google behauptete auch, dass die CNIL die Gesetze von DSGVOnicht korrekt anwendet.
Der Conseil d'État wies die Argumente von Google zurück und bestätigte die Entscheidung, womit die bis dahin höchste DSGVO Geldstrafe verhängt wurde.
2. Eni Gas e Luce - €11,5 Millionen ($12,7 Millionen)
In Italien wurde der italienische Gas- und Ölversorger Eni Gas e Luce wegen der missbräuchlichen Verwendung von Kundendaten zu einer Geldstrafe von 11,5 Millionen Euro verurteilt.
Warum sie mit einer Geldstrafe belegt wurden
Das Unternehmen speicherte Kundeninformationen ohne angemessene Rechtsgrundlage und nutzte diese Informationen für Telefonmarketing-Anrufe, was zu individuellen Geldbußen in Höhe von 8,5 Mio. € und 3 Mio. € führte.
Wie sie reagierten
Das Unternehmen versuchte zwar, Berufung einzulegen, hatte aber keinen Erfolg. Infolgedessen wurde Eni auch verpflichtet, keine Telefonmarketing-Anrufe mehr durchzuführen oder unaufgefordert Verträge unter Verwendung von Kundendaten anzubieten.
3. 1&1 Telecom GmbH - €9,55 Millionen ($10,55 Millionen)
Italienische Telekommunikationsunternehmen sind nicht die einzigen, die 2019 mit saftigen Geldbußen konfrontiert werden DSGVO . Der deutsche Telekommunikationsriese 1&1 wurde vom Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) zu einer Geldstrafe von 9,55 Millionen Euro verurteilt.
Warum sie mit einer Geldstrafe belegt wurden
Das Unternehmen sammelte deutlich mehr Daten, als für jeden Kunden notwendig waren. Darüber hinaus ergab die Untersuchung des BfDI, dass diese Daten einem breiteren Kreis von 1&1-Mitarbeitern zugänglich waren als erforderlich.
Wie sie reagierten
Im Gegensatz zu anderen Telekommunikationsunternehmen auf dieser Liste hat 1&1 keinen Einspruch gegen das Bußgeld eingelegt. Stattdessen arbeitete der Anbieter während der Untersuchung eng mit dem BfDI zusammen, um klare und zugängliche Informationen über seine Verfahren bereitzustellen. Daher sah die BfDI keine Notwendigkeit, die höchstmögliche Geldbuße zu verhängen.
Gute Aufzeichnungen und eine enge Zusammenarbeit mit den Aufsichtsbehörden können Unternehmen dabei helfen, den Betrag zu reduzieren, den sie zahlen müssen, wenn gegen sie wegen der Nichteinhaltung von DSGVO ermittelt wird.
4. Bulgarische Nationale Steuerbehörde - 5,1 Millionen Bulgarische Lev ($2,9 Millionen)
Die bulgarische Steuerbehörde wurde von der bulgarischen Kommission für den Schutz personenbezogener Daten mit einer Geldstrafe in Höhe von 5,1 Millionen BGN belegt.
Warum sie mit einer Geldstrafe belegt wurden
Nach Angaben der Kommission kam es bei der nationalen Steuerbehörde zu einer Datenschutzverletzung, durch die die privaten Daten von mehr als fünf Millionen bulgarischen Bürgern offengelegt wurden. Die Kommission stellte fest, dass die nationale Steuerbehörde diese Informationen nicht angemessen geschützt und somit gegen die DSGVO verstoßen hatte.
Wie sie reagierten
Die Agentur legte keinen Rechtsbehelf gegen die Entscheidung ein und zahlte die Geldstrafe aus ihrem eigenen Haushalt. Dies ist wahrscheinlich der erste Fall, in dem eine Regierung eine Geldstrafe für die Verletzung der Datenschutzrechte ihrer Bürger zahlen musste.
Die höchsten DSGVO Bußgelder im Jahr 2018
Im ersten Jahr des Bestehens von DSGVOwaren Geldbußen relativ selten. Das heißt aber nicht, dass sie nicht verhängt wurden.
Obwohl viele Unternehmen ihr Bestes taten, um die Gesetze einzuhalten, verhängte die EU mehrere Geldstrafen gegen Organisationen, die sich eindeutig nicht an die Anforderungen der DSGVOhielten.
Die beiden größten DSGVO Geldbußen des Jahres 2018 waren:
1. Barreiro Montijo Krankenhaus - 400.000 € (441.000 $)
Die Bußgelder wurden 2018 zwar nicht übermäßig hoch, aber doch sechsstellig.
Die erste Geldstrafe für ein Krankenhaus DSGVO war zugleich die höchste Strafe des Jahres 2018. Die portugiesische Datenschutzbehörde Comissão Nacional de Proteção de Dados (CNPD) verhängte eine Geldstrafe in Höhe von 400 000 EUR gegen das Krankenhaus Barreiro Montijo in der Nähe von Lissabon.
Warum sie mit einer Geldstrafe belegt wurden
Die CNPD erließ die Geldbuße, nachdem sie die Kontrolle des Krankenhauses über die Patientendaten untersucht hatte. Sie stellte fest, dass Barreiro Montijo den Zugriff auf die in seinem Patientenverwaltungssystem gespeicherten Informationen nicht angemessen eingeschränkt hatte.
Nach Angaben der Behörde hatten 985 Krankenhausmitarbeiter uneingeschränkten Zugang zu sensiblen Gesundheitsdaten von Patienten, obwohl nur 296 Ärzte mit einer entsprechenden ärztlichen Zulassung für das Krankenhaus arbeiteten. Darüber hinaus hatten neun Sozialarbeiter und ein Testprofil ebenfalls uneingeschränkten Zugang zu Patientendaten.
Wie sie reagierten
Das Krankenhaus legte gegen die Entscheidung Berufung ein und machte geltend, dass die CNPD nicht befugt war, die Geldstrafe zu verhängen. Die Entscheidung wurde jedoch aufrechterhalten.
2. Knuddels.de - €20.000 ($22.000)
Die andere bedeutende DSGVO Geldstrafe des Jahres 2018 wurde gegen Knuddels.de, einen deutschen Chat-Dienst, verhängt.
Warum sie mit einer Geldstrafe belegt wurden
Die baden-württembergische Datenschutzbehörde (LfDI) verhängte ein Bußgeld in Höhe von 20.000 Euro, nachdem der Dienst eine Datenpanne erlitten hatte, durch die Cyberkriminelle Zugang zu unverschlüsselten Nutzerdaten erhielten.
Der Dienst versäumte es schließlich, wichtige Informationen wie Benutzernamen und Kennwörter zu verschlüsseln. Infolgedessen wurden zwischen 300.000 und 1,8 Millionen Anmeldedaten durch die Sicherheitsverletzung kompromittiert.
Wie sie reagierten
Der LfDI erwog die Verhängung eines höheren Bußgeldes, aber Knuddels.de hat schnell gehandelt, um den Verstoß zu beheben.
Infolgedessen war der LfDI relativ nachsichtig und verlangte lediglich eine Geldbuße in Höhe von 20.000 Euro. Aus diesem Grund hat Knuddels.de keinen Einspruch gegen die Entscheidung eingelegt.
Anstieg der DSGVO Bußgelder und Beträge von Jahr zu Jahr
Anhand der Daten aus dem DSGVO Enforcement Tracker habe ich die jährliche Steigerungsrate der Gesamtzahl der DSGVO Bußgelder von 2020 bis 2024 analysiert, die wie folgt aussieht:
- 2020 bis 2021: 35,09 %.
- 2021 bis 2022: 16,01%
- 2022 bis 2023: -4,67%
- 2023 bis 2024: -64,30%
Ich habe auch den jährlichen Anstieg der Summe der Geldbußen von 2020 bis 2024 berechnet, was zu folgenden Ergebnissen führte:
- 2020 bis 2021: 493,91 %.
- 2021 bis 2022: -17,03%
- 2022 bis 2023: 88,18%
- 2023 bis 2024: -69,73%
Aus diesen Daten geht hervor, dass die Unternehmen die Einhaltung der Vorschriften unter DSGVO in den Griff bekommen.
Zwar ist die Zahl der Geldbußen auf DSGVO von 2020 bis 2022 offensichtlich gestiegen, doch ist dies logisch, da die Verordnung noch recht neu war.
Der Rückgang der Bußgelder von 2022 bis 2024 ist ein positives Zeichen, das darauf hindeutet, dass es den Unternehmen leichter fällt, die Bestimmungen von DSGVO vollständig einzuhalten.
Interessanterweise gab es einen starken Anstieg der Geldbußen von 2022 auf 2023, aber das ist wahrscheinlich auf eine bahnbrechende Geldbuße von 1,2 Mrd. EUR (1,3 Mrd. USD) zurückzuführen, die Meta in diesem Jahr erhielt und die die bisher höchste DSGVO Geldbuße darstellt.
DSGVO Compliance ist unerlässlich
Viele Datenschutzstatistiken zeigen, dass die Verbraucher immer mehr Transparenz verlangen, so dass es wichtiger denn je ist, die Datenschutzgesetze einzuhalten. Jedes Unternehmen mit einer Website, die sich an EU-Bürger richtet, muss die Bestimmungen von DSGVO einhalten oder mit drastischen Geldstrafen rechnen.
Bei so unterschiedlichen Organisationen wie Regierungsbehörden, Krankenhäusern und großen Unternehmen wurden Verstöße festgestellt und Strafen in Höhe von Tausenden, Millionen oder Zehnmillionen Euro verhängt.
Deshalb muss Ihr Unternehmen die Bestimmungen von DSGVO einhalten. Sie können noch heute damit beginnen, indem Sie sich mit Termly in Verbindung setzen.
Egal, ob Sie eine Datenschutzrichtlinie, einen cookie consent Manager oder eine komplette Compliance-Lösung benötigen, Termly kann Ihnen helfen.
Geschrieben von Natasha Piirainen
Natasha Piirainen ist Autorin zum Thema Datenschutz. Sie hat einen Bachelor-Abschluss in Englisch und Philosophie vom Wheaton College und verfügt über mehr als 10 Jahre Berufserfahrung in der forschungsorientierten Entwicklung von Inhalten.
Alle Beiträge von Natasha Piirainen lesen
Überprüft von Masha Komnenic CIPP/E, CIPM, CIPT, FIP
Masha Komnenic ist Rechtsberaterin und Director of Global Privacy Termly. Sie hat einen Abschluss in Rechtswissenschaften der Universität Belgrad. Sie ist spezialisiert auf die Umsetzung, Überwachung und Prüfung der Einhaltung von Datenschutzbestimmungen (HIPAA, PIPEDA, ePrivacy-Richtlinie, DSGVO, CCPA, POPIA, LGPD) durch Unternehmen.
Alle Beiträge lesen, die von Masha Komnenic CIPP/E, CIPM, CIPT, FIP geprüft wurden
