Ganz schön teuer: eine Liste der höchsten DSGVO-Strafen

von Robert Nagel, am 12.7.2019

In letzter Zeit sorgen Verstöße gegen die EU-Datenschutz-Grundverordnung (DSGVO) für einigen Wirbel. Nicht weil die Verstöße neu wären, sondern weil die seitens der Datenschutzbeauftragten immer wieder angekündigten drakonischen Strafen nun auch tatsächlich ausgesprochen werden. Anlass genug, eine Liste der höchsten DSGVO-Strafen zu erstellen. Halten Sie sich fest.

DSGVO Liste der Strafen
Verstöße gegen die DSGVO können sehr teuer werden – auch, wenn z. B. mobile Endgeräte nicht sauber integriert und abgesichert sind

 

Auch private Mobilgeräte am Arbeitsplatz (BYOD = Bring Your Own Device) sind ein DSGVO-Risiko. Kennen Sie schon unser Whitepaper dazu?

Klicken Sie hier für den kostenlosen Download.

 

Liste der höchsten DSGVO-Strafen (Europa)

Wer musste bislang am tiefsten für die DSGVO in die Tasche greifen?

Die nachfolgende Liste führt einige der Bußgelder der DSGVO in Europa oberhalb der 100.000-Euro-Marke auf. Mit der stetig steigenden Anzahl der verhängten Geldstrafen können wir leider für die Vollständigkeit nicht mehr garantieren. Bußgelder deutscher Unternehmen finden Sie in einer eigenen Tabelle weiter unten.

Bitte beachten Sie, dass noch nicht alle Bußgelder (beziehungsweise die anhängigen Verfahren) rechtskräftig sind. Teilweise laufen noch Widerspruchsfristen. In diesem Sinne ist dies eine Liste der voraussichtlichen oder angekündigten DSGVO-Bußgelder. Die Strafen in Deutschland finden Sie in einer zweiten Tabelle weiter unten.

 

Unternehmen

Land

Strafe

Grund

British Airways

DSGVO-Liste-der-Strafen-UK

Vereinigtes Königreich

204.040.000 Euro 
(183.390.000 Pfund)
Der Fluggesellschaft werden mangelhafte Sicherheits­vorkehrungen vorgeworfen, die zu einem massiven Daten­diebstahl führten. (Link)
Marriott International Inc.

DSGVO-Liste-der-Strafen-UK

Vereinigtes Königreich

110.362.951 Euro
(99.200.396 Pfund)
Die Hotelkette ließ über mehrere Jahre die massenhafte Offenlegung von Kundendaten zu. (Link)
Google Inc.

GDPR-France

Frankreich

50.000.000 Euro Die Informationen zur Speicherung und Weiter­verarbeitung von Nutzerdaten im mobilen Betriebs­system Android waren nicht DSGVO-konform zugänglich, sondern in einem Untermenü versteckt. (Link)
TIM SpA

Italien Bußgeld DSGVO

Italien

27.802.946 Euro Nach Untersuchungen der Behörde wurden millionenfach Werbeanrufe im Auftrag des Unternehmens durch Call-Center durchgeführt, in zahllosen Fälle ohne wirksame Einwilligung. (Link)
Österreichische Post AG

Österreich - DSGVO-Strafe

Österreich

18.000.000 Euro

Die Datenschutz­behörde sah es als er­wiesen an, dass das Unter­nehmen In­for­mationen zur ver­meintlichen po­li­tischen Affinität seiner Kunden ge­sammelt und ver­ar­beitet hat. Auch die Weiter­ver­arbeitung von Daten über die Paket­frequenz und die Häufig­keit von Um­zügen zum Zweck des Direkt­marketings wurde als Rechts­verstoß ge­ahndet. (Link)

Italien Bußgeld DSGVO

Italien

8.500.000 Euro

Das Unternehmen führte ohne Einwilligung der kontaktierten Personen Werbeanrufe durch. Zudem gab es nicht die erforderlichen technischen und organisatorischen Maßnahmen, um Werbewidersprüche der Nutzer zu verarbeiten. (Link)

Schweden DSGVO

Schweden

6.992.842 Euro
(75.000.000 Kronen)

Google setzte Anordnungen der schwedischen Datenschutzbehörde nicht beziehungsweise nicht rechtzeitig um. (Link)

Italien Bußgeld DSGVO

Italien

3.000.000 Euro

Die Aufsichtsbehörde stellte fest, dass das Unternehmen nach ausgesprochenen Kündigungen heimliche Vertragsverlängerungen im Kundenerfassungssystem ohne Einwilligung vermerkt wurden. (Link)

Bulgarian National Revenue Agency

Bildergebnis für bulgarien

Bulgarien

2.607.495 Euro
(5.100.000 BGN)

Unzureichende technische und organisatorische Maßnahmen ermöglichten es Hackern, in die Datenbank des Finanzverwalters einzudringen. Millionen Datensätze von Kunden und sensible Unternehmensdaten wurden so angegriffen. (Link)

Vincall s.r.l.s

Italien Bußgeld DSGVO

Italien

2.018.000 Euro

Die Datenschutzbehörde stellte 78 Verstöße wegen unrechtmäßiger Datensammlung und 155 Verstöße wegen unrechtmäßiger Datenverarbeitung fest. (Link

Bild von Flagge Niederlande 110 g/m² Querformat

Niederlande

900.000 Euro

Fehlende Mehrfachauthentifizierung bei Krankheits- und Abwesenheitsdaten von Mitarbeitern in einem Abwesenheitssystem (Link)

Nicht benanntes Unternehmen

Bild von Flagge Niederlande 110 g/m² Querformat

Niederlande

725.000 Euro

Erhebung biometrischer Daten der Mitarbeiter (Fingerabdrücke), die die eindeutige Identifizierung dieser natürlichen Person ermöglichen oder bestätigen, ohne ausreichende Einwilligung (Link)

Morele.net Sp. z o. o.

Polen-DSGVO-Fines

Polen

660.000 Euro

Daten von über zwei Millionen Personen gerieten aufgrund mangelnder Sicherheitsvorkehrungen in die Hände von Cyberkriminellen. (Link)

Italien Bußgeld DSGVO

Italien

600.000 Euro

Telemarketing ohne Einwilligung oder sogar trotz Widerspruchs der Betroffenen. (Link)

DSGVO-Liste-der-Strafen-UK

Vereinigtes Königreich

590.821 Euro
(500.000 Pfund)

Unverschlüsselte Datensicherungen der Datenbanken sorgten über Jahre für massiven Abfluss von Passagierdaten. (Link)

DSGVO-Liste-der-Strafen-UK

Vereinigtes Königreich

586.972 Euro
(500.000 Pfund)

Datenabfluss und -missbrauch durch unzureichende Maßnahmen zum Schutz von Kassensystemen. (Link)

DSGVO-Liste-der-Strafen-UK

Vereinigtes Königreich

579.000 Euro
(500.000 Pfund)

Datenabfluss vie „Cambridge Analytica“. Nach Ansicht der ICO räumte Facebook App-Entwicklern Zugang zu Nutzerdaten ein, ohne dass dies notwendig gewesen wäre. (Link)

DSGVO-Liste-der-Strafen-UK

Vereinigtes Königreich

574.675 Euro
(500.000 Pfund)

3.000 Beschwerden über aggressives Telemarketing und belästigende Telefonanrufe. (Link

Bild von Flagge Niederlande 110 g/m² Querformat

Niederlande

525.000 Euro

Unerlaubter Verkauf personenbezogener Daten an Sponsoren. (Link)

Bildergebnis für bulgarien

Bulgarien

511.247 Euro
(1.000.000 BGN)

Fehlen geeigneter technischer und organisatorischer Maßnahmen zum Datenschutz, wodurch vertrauliche Daten von rund 33.500 Bankkunden in die Hände Krimineller gerieten. (Link)

GDPR-France

Frankreich

500.000 Euro

Unerlaubtes Cold Calling. (Link)

DSGVO-Liste-der-Strafen-UK

Vereinigtes Königreich

474.850 Euro
(400.000 Pfund)

Unerlaubte Weitergabe personenbezogener Daten an insgesamt 39 Unternehmen, ohne dass die Betroffenen hierzu Informationen erhielten. (Link)

SAS Sergic Invest

GDPR-France

Frankreich

400.000 Euro

Das Unternehmen beging Verstöße gegen das Minimierungs­prinzip und die Daten­sicherheit; zudem erhielten unautorisierte Personen Zugang zu personen­bezogenen Daten. (Link)

Centro Hospitalar Barreiro Montijo

DSGVO-Portugal

Portugal

400.000 Euro Patienten­daten wurden einem zu großem Personen­kreis zugänglich gemacht. (Link)
LaLiga Santander

DSGVO-Bußgelder-Liste-Spani

Spanien

250.000 Euro Die Fußball­liga veröffent­lichte eine mobile App, die den Standort der Nutzer erfasste und gleich­zeitig deren Mikrofon aktivierte, um die Lizenzierung von Fußball­über­tragungen in Bars und Kneipen zu über­prüfen. (Link)
Bisnode

Polen-DSGVO-Fines

Polen

221.124 Euro
(943.470 Zloty)
Die Datenschutzbehörde UODO bestrafte das Unternehmen Bisnode für die unzuläng­liche Erfüllung der Auskunfts­pflicht nach Art. 14 im Zusammen­hang mit Werbe­aktivitäten. (Link)
IDdesign A/S

GDPR-list-of-fines-denmark

Dänemark

200.800 Euro
(1.500.000 Kronen)
Der Möbel­hersteller speicherte Kunden­daten unzulässig lange. (Link)
Stadtverwaltung Bergen

Norwegen-DSGVO-Bussgelder

Norwegen

165.000 Euro
(1.600.000 Kronen)
Die städtische Verwaltung machte personen­bezogene Daten von 35.000 Personen, überwiegend Kinder, aufgrund unzu­reichender Sicherheits­maßnahmen öffentlich zugänglich. (Link)
Taxa 4x35

GDPR-list-of-fines-denmark

Dänemark

160.700 Euro
(1.200.000 Kronen)
Das Taxiunternehmen speicherte Daten von acht Millionen Fahrten  und verstieß damit gegen das Minimierungsprinzip. (Link)
Unicredit Bank SA

DSGVO-Strafen-Rumänien

Rumänien

129.700 Euro
(613.912 Lei )
Die Bank legte durch ungeeignete technische und organisatorische Maßnahmen Kundendaten offen. (Link)

 

 

Liste der höchsten DSGVO-Strafen (Deutschland)

Die nachfolgende Liste führt Bußgelder in Deutschland oberhalb der 10.000-Euro-Marke auf. Bußgelder aus anderen EU-Ländern finden Sie in der Tabelle oben.

Unternehmen

Bundesland

Strafe

Grund

Deutsche Wohnen SE Berlin 14.500.000 Euro Unzulässige Speicherung von Mieterdaten (Link)
1&1 Telecommunication SE [Bußgeld durch Bundes­daten­schutz­behörde] 9.550.000 Euro keine hinreichenden technisch-organisatorischen Maßnahmen zum Schutz von Kundendaten (Link)
AOK  Baden-Württemberg 1.240.000 Euro Die Krankenkasse hatte  Gewinnspiele veranstaltet und die dabei erhobenen personenbezogenen Daten widerrechtlich zu Werbezwecken verwendet. (Link)
Callcenter-Unternehmen SG Sales and Distribution GmbH Bundesnetzagentur 300.000 Euro Werbeanrufe für Strom- und Gaslieferverträge verschiedener Energieversorger erfolgten ohne Einwilligung der Betroffenen. (Link)
Bundesnetzagentur 300.000 Euro Werbeanrufe erfolgten ohne Einwilligung der Betroffenen. (Link)
Nicht benannt Niedersachsen 294.000 Euro Verstoß gegen den Beschäf­tigten­daten­schutz; „unnötig lange“ Speicher­ung von Personal­daten; „über­borden­des“ Personal­aus­wahl­ver­fahren mit Abfrage von Gesund­heits­daten (Link)
Bundesnetzagentur 250.000 Euro Werbeanrufe erfolgten ohne Einwilligung der Betroffenen. (Link)
Delivery Hero SE Berlin 195.407 Euro Unerwünschte Werbemails, unterlassene Löschung inaktiver Accounts, verschleppte Auskunftsverfahren (Link)
Bundesnetzagentur 140.000 Euro Werbeanrufe erfolgten ohne Einwilligung der Betroffenen. (Link)
Universitätsmedizin
der Johannes Gutenberg-Universität Mainz
Nordrhein-Westfalen 105.000 Euro Unzureichender Schutz von Gesundheitsdaten, falsche Rechnungslegung (Link)
Lebensmittel-handwerksunternehmen Baden-Württemberg 100.000 Euro Unzureichender Datenschutz auf unverschlüsseltem Bewerberportal. (Link, S.41)
Bundesnetzagentur 100.000 Euro Kundenrückgewinnung trotz Anrufuntersagung. (Link)
Finanzunternehmen Baden-Württemberg 80.000 Euro Unsachgemäße Entsorgung sensibler Dokumente. (Link,, S.40)
Nicht benanntes Klinikum/Krankenhaus Baden-Württemberg 80.000 Euro Gesundheitsdaten der Patienten waren per Internet zugänglich (Link)
Facebook Germany GmbH Hamburg 51.000 Euro Das Social-Media-Netzwerk versäumte es, den Wechsel des Datenschutzbeauftragten der zuständigen Behörde mitzuteilen (Link)

N26 Bank GmbH

Berlin 50.000 Euro Die Bank führte unzulässig eine „Blacklist“ unliebsamer Kunden (Link)

Nicht benanntes Unternhehmen

Brandenburg 50.000 Euro Fehlender Vertrag zur Auftragsverarbeitung gemäß Art. 28 Abs. 9 DSGVO mit einem Dienstleister. (Link)
Knuddels GmbH & Co. KG Baden-Württemberg 20.000 Euro Das Social-Media-Netzwerk speicherte und leakte unverschlüsselte Kunden-Passwörter (Link)
Nicht benanntes Unternehmen Hamburg 20.000 Euro Verspätete Meldung eines Datenlecks an die zuständige Behörde (Link, S.134)

 

Werden DSGVO-Strafen jetzt immer höher?

Davon ist auszugehen. Mehrere Landesdatenschutzbeauftragte haben schon angekündigt, dass die Kulanz gegenüber nachlässigen Unternehmen 2019 endgültig ihr Ende finde. Habe man bislang eher auf einen Informationseffekt gegenüber Unternehmen gezielt, sei nun regelmäßig mit hohen oder sehr hohen DSGVO-Strafen zu rechnen.

„Die Aufsichtsbehörden brauchten ein bisschen Vorlauf (...). Jetzt werden Bußgelder regelmäßig verhängt, in größerem Umfang und auch mit höheren Beträgen. Ein fünfstelliges Bußgeld wird keine Seltenheit mehr sein.. (...) Es geht um fünf- oder sechsstellige Beträge, in naher Zukunft auch um Bußgelder in Millionenhöhe.“

Landesdatenschutzbeauftragter Stefan Brink (Baden-Württemberg),
im Interview mit dem Spiegel, 24. Januar 2019

 

Die höchsten deutschen DSGVO-Strafen – Weblinks

Erfahren Sie hier mehr über geahndete Verstöße gegen die EU-DSGVO in Deutschland. Außerdem finden Sie hier Links zu Hintergründen und Geschichte der DSGVO.

 

Weitere Link-Liste zu den einzelnen deutschen DSGVO-Strafen

 

Hintergrund/weiterführende Links


Neuer Call-to-Action


Bitte bewerten Sie unseren Artikel!
 
Themen:InsiderEU-DSGVOBring Your Own Device

Kommentare