Zum Hauptinhalt springen

Bußgeld-Monitor

DSGVO-Bußgelder im Überblick

Bußgelder in schwindelerregenden Höhen

Die Datenschutz-Grundverordnung sieht für Datenschutzverstöße empfindliche Bußgelder vor. Während nach dem alten Bundesdatenschutzgesetz Bußgelder von maximal 300.000 Euro möglich waren, beträgt die maximale Geldbuße im Rahmen von Art. 83 DSGVO 20 Millionen Euro oder bis zu 4% des gesamten weltweit erzielten Jahresumsatzes im vorangegangenen Geschäftsjahr.

Während deutsche Aufsichtsbehörden in der ersten zwei Jahren nach Inkrafttreten der DSGVO ihre Aufgabe vorwiegend in der Beratung von Unternehmen sahen, hat sich dies spätestens jetzt geändert. Vermehrt wird in Unternehmen auf die Einhaltung datenschutzrechtlicher Vorschriften überprüft - oftmals themenspezifisch und länderübergreifend.

Besonders spektakuläre und richtungsweisende Bußgelder deutscher und europäischer Aufsichtsbehörden sind auf dieser Seite übersichtlich zusammengestellt.

600.000 EUR gegen GROUPE CANAL+

Land

Frankreich

Art der Verletzung

Verarbeitung personenbezogener Daten ohne Rechtsgrundlage, mangelhafte Information der Betroffenen, Art. 5 Abs. 1, Art. 6 Abs. 1, 12, 13 DSGVO

Was ist passiert? 

Diverse Verstöße bei der Verarbeitung mit personenbezogener Daten, darunter:

  • Versendung digitaler Werbung ohne gültige Einwilligung
  • unvollständige Information der Kunden bei Erstellung eines Kundenkontos
  • verspätete oder keine Reaktion auf Beschwerden und Auskunftsanfragen
  • keine ausreichende Datensicherheit der Passwörter der Mitarbeiter
  • fehlende Meldung einer Datenschutzverletzung an die Aufsichtsbehörde

Mehr erfahren

30.265 € gegen H&M Hennes & Mauritz GBC AB

Land

Schweden

Art der Verletzung

Verarbeitung personenbezogener Daten ohne Rechtsgrundlage, Nichtbeachtung von Betroffenenrechten, Art. 6 Abs. 1, 12, 21 Abs. 3 DSGVO

Was ist passiert? 

Nichtbeachtung von Widersprüchen gegen den Erhalt von Newslettern

Mehr erfahren

200.000 € gegen SAF LOGISTICS

Land

Frankreich

Art der Verletzung

Verstoß gegen den Grundsatz der Datenminimierung, das Verbot der Verarbeitung sensibler Daten und die Verpflichtung zur Zusammenarbeit mit der Aufsichtsbehörde, Art. 5 Abs. 1 c) 9, 10, 31 DSGVO

Was ist passiert? 

Im Bewerbungsverfahren für das chinesischen Mutterunternehmen wurden Bewerber dazu aufgefordert, Angaben zur ethnischen und politischen Zugehörigkeit, zu Gesundheitsdaten sowie allen Familienangehörigen zu machen; außerdem speicherte das Unternehmen Strafregisterauszüge von Mitarbeitern

Mehr erfahren

345.000.000 € gegen TikTok Technology Limited

Land

Irland

Art der Verletzung

Verschiedene Verstöße gegen Datenschutzgrundsätze, Informationspflichten und Datenschutz durch Technikgestaltung, Art. 5, 12, 13, 25 DSGVO

Was ist passiert? 

Diverse Verstöße im Umgang mit personenbezogenen Daten Minderjähriger, darunter:

  • Profile minderjähriger Nutzer waren standardmäßig auf öffentlich gestellt
  • "Family Pairing" ohne Sorgerechtsnachweis
  • Einsatz von sog. "dark patterns", um im Anmeldeprozess möglichst viele Optionen zu aktivieren, welche den Datenschutz mindern

Mehr erfahren

2.945.632 € gegen Tyrg Forsikring A/S

Land

Schweden

Art der Verletzung

Fehlende Umsetzung angemessener technischer und organisatorischer Maßnahmen, Art. 32 DSGVO

Was ist passiert? 

Zugriffsmöglichkeit auf Versicherungsdaten von 650.000 Versicherungsnehmern zwischen Oktober 2018 und Februar 2021 über die Website des Unternehmens, darunter auch Gesundheitsdaten und Finanzinformationen

Mehr erfahren

215.000 € gegen Berliner Unternehmen

Land

Deutschland

Art der Verletzung

Vielfältige Datenschutzverstöße, u. a. wegen unrechtmäßiger Datenverarbeitung, fehlender Beteiligung der Datenschutzbeauftragten, verspätete Meldung einer Datenpanne sowie fehlende Dokumentation im Verzeichnis von Verarbeitungstätigkeiten

Was ist passiert? 

Beschwerde eines Beschäftigten bei der Aufsichtsbehörde wegen des Führens einer Liste zur Bewertung von Beschäftigten in der Probezeit inkl. Angaben zur Teilnahme an einer Psychotherapie oder dem Interesse an einer Betriebsratsgründung

Mehr erfahren

40.000.000 € gegen gegen Criteo S.A.

Land

Frankreich

Art der Verletzung

Verstoß gegen den Grundsatz der Rechtmäßigkeit, Art. 5, 6 DSGVO und unzureichender Vertrag zur gemeinsamen Verantwortlichkeit, Art. 26 DSGVO 

Was ist passiert? 

Trotz gemeinsamer Verantwortlichkeit keine Verpflichtung zur Einholung von Einwilligung hinsichtlich Tracking-Aktivitäten durch Kunden

Mehr erfahren

4.992.083 € gegen Spotify AB

Land

Schweden

Art der Verletzung

Verstoß gegen den Grundsatz der Transparenz und unzureichende Umsetzung des Rechts auf Auskunft, Art. 5, 12 ff., 15 DSGVO

Was ist passiert? 

Mangelnde Information von Nutzern über die Zwecke der Verarbeitung und über geeignete Garantien für Übermittlungen in Drittländer

Mehr erfahren

300.000 € gegen Berliner Bank

Land

Deutschland

Art der Verletzung

Verstoß gegen den Grundsatz der Transparenz, Art. 5, 12 ff. DSGVO

Was ist passiert? 

Mangelnder Transparenz über eine automatisierte Entscheidungsfindung betreffend der Ablehnung eines Kreditkartenantrags

Mehr erfahren

1.200.000.000 € gegen Meta Platforms Ireland Ltd.

Land

Irland

Art der Verletzung

Unzulässige Drittlandübermittlungen in die USA, Art. 44 ff. DSGVO

Was ist passiert? 

Keine ausreichende Absicherungen personenbezogener Daten bei der Drittlandsübermittlung durch zusätzliche Maßnahmen

Mehr erfahren

2.265.000 € gegen B2 Kapital d.o.o. (Inkassounternehmen)

Land

Kroatien

Art der Verletzung

Mangelhafte Information der Betroffenen und fehlende Umsetzung angemessener technischer und organisatorischer Maßnahmen,  Art. 14, 5 Abs. 1 f) und 32 DSGVO

Was ist passiert? 

Unbefugter Zugriff auf personenbezogene Daten von mehr als 10.000 Betroffenen durch anonymen Hinweisgeber; keine Information der Betroffenen auch nach Hinweis der Aufsichtsbehörde

Mehr erfahren

125.000 € gegen CITYSCOOT

Land

Frankreich

Art der Verletzung

Verstoß gegen den Grundsatz der Datensparsamkeit, Art. 5 Abs. 1 c) DSGVO

Was ist passiert? 

Erhebung und Speicherung der Standortdaten nach dem Anmieten eines Rollers durch Privatpersonen alle 30 Sekunden

Mehr erfahren

218.365 € gegen Argon Medical Devices, Inc.

Land

Norwegen

Art der Verletzung

Verletzung der Meldepflicht , Art. 33, 34 DSGVO

Was ist passiert? 

Meldung der Kompromittierung des E-Mail-Accounts des Personalleiters an die Aufsichtsbehörde mit zweimonatiger Verzögerung

Mehr erfahren

30.000 € gegen Verizon Connect Italy S.p.A.

Land

Italien

Art der Verletzung

Verarbeitung personenbezogener Daten ohne Rechtsgrundlage, Art. 5 Abs. 1 a), 6, 28 Abs. 3 DSGVO

Was ist passiert? 

Unzureichende vertragliche Ausgestaltung des Auftragsverarbeitungsverhältnisses in Zusammenhang mit dem Einbau und Betrieb von GPS-Systemen in Fahrzeugen

Mehr erfahren

100.000 € gegen Altroconsumo Edizioni S.r.l.

Land

Italien

Art der Verletzung

Verarbeitung personenbezogener Daten ohne Rechtsgrundlage, Art. 5 Abs. 1 a) DSGVO

Was ist passiert? 

Aufgrund einer Beschwerde einer Privatperson wegen eines unerwünschten Werbeanrufs stellte die zuständige Aufsichtsbehörde fest, dass die Kontaktdaten der Privatperson durch Dritte ohne entsprechende (Werbe-)Einwilligung weitergegeben und für Werbung verwendet wurden

Mehr erfahren

5.000.000 € gegen TikTok Information Technologies UK Limited / TikTok Technology Limited

Land

Frankreich

Art der Verletzung

Verstoß gegen das französische Pendant des deutschen § 25 TTDSG

Was ist passiert? 

Verwendung eines irreführenden Cookie-Banners, über den Einwilligung mit einem Klick erteilt, aber nur mit mehreren zusätzlichen Klicks abgelehnt werden können

Mehr erfahren

390.000.000 € gegen Meta Platforms Ireland Ltd.

Land

Irland

Art der Verletzung

Verarbeitung personenbezogener Daten ohne Rechtsgrundlage, Art. 5 Abs. 1 a) DSGVO

Was ist passiert? 

Änderung der Nutzungsbedingungen zur Heranziehung eines Vertragsverhältnisses nach Art. 6 Abs. 1 b) DSGVO anstelle einer Einwilligung nach Art. 6 Abs. 1 a) DSGVO als Rechtsgrundlage für die Verarbeitung personenbezogener Nutzerdaten (inkl. personalisierter, verhaltensbezogener Werbung)

Mehr erfahren

60.000.000 € gegen Microsoft Ireland Operations Limited

Land

Frankreich

Art der Verletzung

Verarbeitung personenbezogener Daten ohne Rechtsgrundlage, Art. 5 Abs. 1 a), 9 DSGVO

Was ist passiert? 

Auf dem Consent-Banner der Website war kein Button zur einfachen Ablehnung von Cookies verfügbar

Mehr erfahren

4.300.000 € gegen das nationale Institut für Statistik (INE) in Portugal

Land

Portugal

Art der Verletzung

Zahlreiche Datenschutzverstöße, u.a. gegen Art. 5 Abs. 1 a), 9 Abs. 1, 12, 13, 28, 35, 44 und 46 DSGVO

Was ist passiert? 

Die im Jahr 2021 durchgeführte Volkszählung in Portugal erfolgte unter Verstoß gegen zahlreiche Regelungen der DSGVO

Mehr erfahren

265.000.000 € gegen Meta Platforms Ireland Ltd.

Land

Irland

Art der Verletzung

Fehlende Umsetzung von "privacy by design" und "privacy by default" gemäß Art. 25 DSGVO

Was ist passiert? 

Veröffentlichung personenbezogener Daten (wie z. B. Name, Telefonnummer und E-Mail-Adresse) von bis zu 533 Millionen Nutzern aus über 100 Ländern

Mehr erfahren

1.400.000 € gegen Douglas Italia S.p.A.

Land

Italien

Art der Verletzung

Verletzung des Grundsatzes der Rechtmäßigkeit, Art. 6 Abs. 1 DSGVO

Was ist passiert? 

Aufbewahrung personenbezogener Daten von 3,2 Millionen Kunden auch nach der Kündigung der Kundenkarte

Mehr erfahren

5.057.878 € gegen Interserve Group Limited

Land

Vereinigtes Königreich (UK)

Art der Verletzung

Fehlende Umsetzung angemessener technischer und organisatorischer Maßnahmen nach Art. 5 Abs. 1 f) und Art. 32 DSGVO

Was ist passiert? 

Kompromittierung von personenbezogenen Daten von über 100.000 Beschäftigten durch Cyberattacke

Mehr erfahren

1.546.870 € gegen Easylife Ltd.

Land

Vereinigtes Königreich (UK)

Art der Verletzung

Verarbeitung personenbezogener Daten ohne Rechtsgrundlage, Art. 5 Abs. 1 a), 9 DSGVO

Was ist passiert? 

Verarbeitung von Gesundheitsdaten inklusive Profiling von Kunden eines Haushaltswarenanbieters ohne ausdrückliche Einwilligung

Mehr erfahren

525.000 € gegen Unternehmen

Land

Deutschland

Art der Verletzung

Interessenskonflikt des Datenschutzbeauftragten i.S.d. Art. 38 Abs. 6 DSGVO

Was ist passiert? 

Der Geschäftsführer eines Unternehmens hatte für das Unternehmen zugleich die Rolle des Datenschutzbeauftragten übernommen

Mehr erfahren

600.000 € gegen Accor S.A. (Hotelkonzern)

Land

Frankreich

Art der Verletzung

Verstoß gegen Betroffenenrechte der Art. 12, 13 und 21 DSGVO

Was ist passiert? 

Der Hotelkonzern meldete Kunden per vorausgefüllter Checkbox automatisch zu einem Newsletter an; eine Abmeldung war aufgrund technischer Mängel  nicht möglich

Mehr erfahren

900.000 € gegen Kreditinstitut

Land

Deutschland

Art der Verletzung

Verarbeitung personenbezogener Daten ohne Rechtsgrundlage, Art. 5 Abs. 1, Art. 6 Abs. 1 DSGVO

Was ist passiert? 

Profilbildung über Kunden bzgl. der Nutzung von Banking-App, Kontoauszugdruckern und Überweisungen im Online-Banking zur gezielten Ansprache zu Werbezwecken

Mehr erfahren

1.100.000 € gegen Volkswagen AG

Land

Deutschland

Art der Verletzung

Mangelhafte Information der Betroffenen, fehlender Vertrag zur Auftragsverarbeitung, fehlende Datenschutzfolgenabschätzung, Art. 14, 28, 35 DSGVO

Was ist passiert? 

Durchführung von Forschungsfahrten für Fahrassistenzsysteme durch einen Dienstleister ohne entsprechende Hinweise auf die stattfindende Videoüberwachung, ohne Durchführung der notwenigen Datenschutzfolgenabschätzung und ohne Abschluss eines Vertrags zur Auftragsverarbeitung

Mehr erfahren

20.000.000 € gegen Clearview AI Inc.

Land

Griechenland

Art der Verletzung

Verstoß gegen die Grundsätze der Rechtmäßigkeit und der Transparenz, Art. 5, 6, 12 ff. DSGVO

Was ist passiert? 

Anbieten eines Services, mit dem mittels künstlicher Intelligenz biometrische Profile von Personen erstellt werden können; hierzu unterhält das Unternehmen eine Datenbank mit aktuell ca. 20 Milliarden Bildern von Gesichtern, die durch Web-Scraping aus öffentlichen Internetquellen zusammengetragen wurden

Mehr erfahren

1.000.000 € gegen TOTALENERGIES ÉLECTRICITÉ ET GAZ FRANCE

Land

Frankreich

Art der Verletzung

Mangelhafte Information der Betroffenen, fehlende Umsetzung der Betroffenenrechte, Art. 14 ff. DSGVO

Was ist passiert? 

Keine Einholung von Werbeeinwilligungen bei Neukundenverträgen, keine Information der Kunden über bzw. bei Werbemaßnahmen und keine Möglichkeit für Kunden, Werbemaßnahmen zu widersprechen

Mehr erfahren

484.107 € gegen Datatilsynet (Behörde)

Land

Norwegen

Art der Verletzung

Verarbeitung personenbezogener Daten ohne Rechtsgrundlage, Art. 5 Abs. 1, Art. 6 Abs. 1 DSGVO

Was ist passiert? 

Die norwegische Arbeitsagentur verpflichtete Arbeitssuchende ohne rechtliche Grundlage zum Upload ihres Lebenslaufs auf einer Plattform der Behörde, welcher anschließend durch potentielle Arbeitgeber eingesehen werden konnte

Mehr erfahren

10.000.000 € gegen Google LLC

Land

Spanien

Art der Verletzung

Unrechtmäßige Übermittlung personenbezogener Daten gem. Art. 6 DSGVO und Verstoß gegen das Recht auf Löschung gem. Art. 17 DSGVO

Was ist passiert? 

Umsetzung des Rechts auf Löschung nur unter der Bedingung der Weitergabe der jeweiligen Löschanfrage an einen Dritten in den USA

Mehr erfahren

3.700.000 € gegen die niederländische Steuer- und Zollbehörde

Land

Niederlande

Art der Verletzung

Verarbeitung personenbezogener Daten ohne Rechtsgrundlage, unzureichende technische und organisatorische Maßnahmen, Verarbeitung veralteter, unrichtiger Daten, Art. 5 Abs. 1, Art. 6 Abs. 1, Art. 32 Abs. 1 DSGVO

Was ist passiert? 

Führen einer unrechtmäßigen Liste mit Hinweisen zu Betrugsstraftaten Betroffener mit bis zu ca. 270.000 Einträgen über einen Zeitraum von 6 Jahre. Betroffene wurden mehrfach zu Unrecht bzw. grundlos als potentielle Betrüger geführt, was für diese zu schwerwiegenden finanziellen Nachteilen führte.

Mehr erfahren

1.344.357 € gegen die Danske Bank

Land

Dänemark

Art der Verletzung

Verstoß gegen die Rechenschaftspflicht, Art. 5 Abs. 2 DSGVO

Was ist passiert? 

In den betroffenen Systemen der Bank wurden personenbezogene Daten von mehreren Millionen Betroffenen verarbeitet, ohne dass der Verantwortliche ein Löschkozept nachweisen konnte.

Mehr erfahren

100.000 € gegen Flughafen Brüssel-Charleroi und Flughafen Brüssel-Zavantem

Land

Belgien

Art der Verletzung

Verarbeitung von Gesundheitsdaten ohne Rechtsgrundlage, mangelhafte Information der Betroffenen und mangelhafte Datenschutz-Folgenabschätzung, Art. 5 Abs. 1 lit. a), b) DSGVO, Art. 6 Abs. 1 lit. c), Abs. 3 DSGVO, Art. 9 Abs. 2 DSGVO, Art. 12 DSGVO, Art. 13 DSGVO, Art. 32 DSGVO, Art. 35 Abs. 1 und 7 DSGVO

Was ist passiert? 

An beiden Flughäfen wurden über einen längeren Zeitraum Wärmebildkameras zur Messung der Körpertemperatur von Flughafengästen eingesetzt, um diejenigen mit einer Körpertemperatur von über 38°C nach möglichen Corona-Symptomen zu befragen.

Mehr erfahren

725.551 € gegen Klarna Bank AB

Land

Schweden

Art der Verletzung

Verstoß gegen die Informationspflichten, Art. 13 DSGVO

Was ist passiert? 

Umzureichende Umsetzung der Informationspflichten auf der Unternehmenswebsite, insbesondere hinsichtlich der Empfänger von Daten und Drittlandübermittlungen

Mehr erfahren

17.000.000 € gegen Meta Platforms Ireland Limited

Land

Irland

Art der Verletzung

Fehlende technische und organisatorische Maßnahmen, Art. 5 Abs. 2, 24 Abs. 1 DSGVO

Was ist passiert? 

Nach wiederholten Datenpannen konnten keine geeigneten technischen und organisatorischen Maßnahmen nachgewiesen werden, um Datenpannen in Zukunft zu reduzieren oder zu verhindern

Mehr erfahren

1.900.000 € gegen die BREBAU GmbH

Land

Deutschland

Art der Verletzung

Verarbeitung personenbezogener Daten ohne Rechtsgrundlage, Art. 5, 6 DSGVO

Was ist passiert? 

Unrechtmäßige Verarbeitung und Speicherung auch besonderer Kategorien personenbezogener Daten von Mietinteressenten ohne Rechtsgrundlage

Mehr erfahren

120.000 € gegen Santander Bank Polska S.A.

Land

Polen

Art der Verletzung

Verstoß gegen Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person, Art. 34 DSGVO

Was ist passiert? 

Unrechtmäßige Zugriffsmöglichkeit auf Gesundheitsdaten von Beschäftigten durch ehemalige Beschäftige

Mehr erfahren

2.000.000 € gegen Amazon Road Transport Spain, S.L.

Land

Spanien

Art der Verletzung

Verstoß gegen das Verarbeitungsverbot von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten, Art. 10 DSGVO, Übermittlungen personenbezogener Daten an Drittländer ohne rechtliche Legitimation, Art. 44 ff. DSGVO

Was ist passiert? 

Unrechtmäßigen Verarbeitung und Drittlandsübermittlung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten

Mehr erfahren

5.850.000 € gegen COSMOTE

Land

Griechenland

Art der Verletzung

Verletzung des Grundsatzes der Rechtmäßigkeit, Art. 6 Abs. 1 DSGVO, unzureichende technische und organisatorische Maßnahmen, Art. 5 Abs. 1 c) und e), Art. 32 DSGVO sowie unzureichende Klärung der datenschutzrechtlichen Verantwortlichkeiten, Art. 26 und 28 DSGVO

Was ist passiert? 

Offenlegung personenbezogener Daten durch Hackerangriff aufgrund mangelhafter Anonymisierung

Mehr erfahren

26.500.000 € gegen Enel Energia S.p.A.

Land

Italien

Art der Verletzung

Verletzung des Grundsatzes der Rechtmäßigkeit, Art. 6 Abs. 1 DSGVO u.v.m.

Was ist passiert? 

Aggressiven Telefonmarketing ohne Einwilligung der Kunden und zahlreiche weitere Verstöße gegen die DSGVO

Mehr erfahren

60.000.000 € gegen Facebook Ireland Limited

Land

Frankreich

Art der Verletzung

Verstoß gegen die Freiwilligkeit der Einwilligung, Art. 82 des Französischen Datenschutzgesetzes i.V.m. e-Privacy-Richtlinie

Was ist passiert? 

Erschwerung für Nutzer, den Einsatz von Cookies auf Websites abzulehnen

Mehr erfahren

150.000.000 € gegen Google LLC und Google Ireland Limited

Land

Frankreich

Art der Verletzung

Verstoß gegen die Freiwilligkeit der Einwilligung, Art. 82 des Französischen Datenschutzgesetzes i.V.m. e-Privacy-Richtlinie

Was ist passiert? 

Erschwerung für Nutzer, den Einsatz von Cookies auf Websites abzulehnen

Mehr erfahren

608.000 € gegen Psychotherapiezentrum

Land

Finnland

Art der Verletzung

Verletzung der Sicherheit der Verarbeitung, Art. 5 Abs. 1 f) i.V.m. Art. 32 DSGVO und Verletzung der Meldepflicht , Art. 33, 34 DSGVO

Was ist passiert? 

Unbefugter Zugriff auf eine technisch nicht ausreichend geschützte Patientendatenbank; Verletzung der Meldepflicht gegenüber der zuständigen Aufsichtsbehörde

Mehr erfahren

400.000 € gegen Transavia Airlines

Land

Niederlande

Art der Verletzung

Verletzung der Sicherheit der Verarbeitung, Art. 5 Abs. 1 f) i.V.m. Art. 32 DSGVO

Was ist passiert? 

Offenlegung personenbezogener Daten von 83.000 Betroffenen durch Hackerangriff aufgrund mangelhafter Passwortsicherheit von IT-Administratoren-Konten

Mehr erfahren

400.000 Euro gegen Régie autonome des transports parisiens (RATP)

Land

Frankreich

Art der Verletzung

Verletzung des Grundsatzes der Datenminimierung und der Speicherbegrenzung sowie unzureichende technische und organisatorische Maßnahmen Art. 5 Abs. 1 c) und e), Art. 32 DSGVO

Was ist passiert? 

Dokumentation der Tage, an denen Beschäftigte an Streiks teilgenommen haben und Verwertung der Informationen im Rahmen von Beförderungsentscheidungen

Mehr erfahren

3.000.000 € gegen CAIXABANK PAYMENTS & CONSUMER EFC

Land

Spanien

Art der Verletzung

Verletzung des Grundsatzes der Rechtmäßigkeit, Art. 6 Abs. 1 DSGVO

Was ist passiert? 

Unzulässige Datenverarbeitung zur Bewertung der Kreditwürdigkeit, auch von Nicht-Kunden

Mehr erfahren

3.200.000 € gegen Sky Italia S.r.l.

Land

Italien

Art der Verletzung

Verletzung des Grundsatzes der Rechtmäßigkeit, Art. 6 Abs. 1 DSGVO

Was ist passiert? 

Werbeanrufe ohne die Einwilligung der Betroffenen und Verwendung von Kontaktdaten aus ungeprüften Listen, die von anderen Unternehmen erworben wurden

Mehr erfahren

9.500.000 € gegen Österreichische Post AG

Land

Österreich

Art der Verletzung

Unzureichende Möglichkeit der Datenauskunft, Art. 12, 15 DSGVO

Was ist passiert? 

Datenschutzrechtlichen Anfragen nur per Post, Kundenservice oder Kontaktformular auf der Website möglich, nicht jedoch per E-Mail

Mehr erfahren

901.389 € gegen die Vattenfall Europe Sales GmbH

Land

Deutschland

Art der Verletzung

Verstoß gegen Grundsatz der Transparenz, Art. 5 Abs. 1 a) DSGVO

Was ist passiert? 

Vattenfall hat in über 500.000 Fällen Betroffene nicht ausreichend über eine Auswertung von Kundendaten auf „wechselauffälliges Verhalten“ informiert

Mehr erfahren

225.000.000 € gegen WhatsApp Ireland Ltd.

Land

Irland

Art der Verletzung

Verstoß gegen Grundsatz der Transparenz, Art. 5 Abs. 1 a) DSGVO

Was ist passiert? 

WhatsApp ist seinen Transparenzverpflichtungen in Bezug auf die Bereitstellung von Informationen und deren Weiterverarbeitung zwischen WhatsApp und anderen Facebook-Unternehmen nicht nachgekommen

Mehr erfahren

746.000.000 € gegen Amazon Europe Core S.à r.l.

Land

Luxemburg

Art der Verletzung

Fehlende Rechtsgrundlage, Art. 5 Abs. 1 lit. a), 6 Abs. 1 DSGVO

Was ist passiert? 

Nutzer können den Einsatz personalisierter Werbung auf der Webseite des Online-Marktplatzes nicht ablehnen, obwohl die DSGVO dies so vorsieht

Mehr erfahren

400.000 € gegen MONSANTO

Land

Frankreich

Art der Verletzung

Verstoß gegen die Informationspflichten, Art. 14 DSGVO

Was ist passiert? 

Erstellung einer Liste von mehr als 200 Persönlichkeiten inklusive deren Kontaktdaten, die dazu in der Lage sind, die öffentliche Meinung über die Zulassung von Glyphosat in Europa zu beeinflussen

Mehr erfahren

2.520.000 € gegen MERCADONA, S.A.

Land

Spanien

Art der Verletzung

Verstoß gegen Grundsatz der Datenminimierung, Fehlen einer Datenschutzfolgenabschätzung, Art. 5 Abs. 1, 6, 9, 12, 13, 25 Abs. 1, 35 DSGVO

Was ist passiert? 

Umfangreiche Gesichtserkennungssysteme in über 40 Supermärkten

Mehr erfahren

1.750.000 € gegen AG2R LA MONDIALE

Land

Frankreich

Art der Verletzung

Verstoß gegen Grundsatz der Speicherbegrenzung, Art. 5 Abs. 1, 13, 14 DSGVO

Was ist passiert? 

Langfristige Speicherung von fast 2.000 Datensätzen von Interessenten und von mehr als 2.000.000 Datensätzen von Kunden

Mehr erfahren

2.600.000 € gegen Foodinho s.r.l.

Land

Italien

Art der Verletzung

Zahlreiche Verstöße gegen geltende Datenschutzbestimmungen, Art. 5 Abs. 1, 13, 22, 25, 30, 32, 35 und 37 DSGVO

Was ist passiert? 

Verletzung des Beschäftigtendatenschutzes in 19.000 Fällen bei der Essenslieferung

Mehr erfahren

2.856.169 € gegen Iren Mercato S.p.A.

Land

Italien

Art der Verletzung

Verletzung der Grundsätze der Rechtmäßigkeit und Transparenz, Art. 5 Abs. 1 und 2, 6 Abs. 1, 7 Abs. 1 DSGVO

Was ist passiert? 

Durchfühung von Telemarketing-Aktivitäten ohne Einwilligung der Betroffenen / rechtswidriger Verkauf von E-Mail-Adressen zu Werbezwecken

Mehr erfahren

1.566.125 EUR gegen Storstockholms Lokaltrafik (Verkehrsbetrieb)

Land

Schweden

Art der Verletzung

Verletzung der Grundsätze der Rechtmäßigkeit, Transparenz und Zweckbindung sowie der Datenminimierung, Art. 5 Abs. 1 lit. a) und c), Art. 6 Abs. 1 lit. f), Art. 13 DSGVO

Was ist passiert? 

Ausstattung der Fahrkartenkontrolleure mit Bodycams, welche kontinuierlich Video- und Tonaufzeichnungen der Fahrgäste angefertigt haben

Mehr erfahren

475.000 € gegen Booking.com

Land

Niederlande

Art der Verletzung

Verletzung der Meldepflicht, Art. 33 DSGVO

Was ist passiert? 

Offenlegung personenbezogener Daten von 4000 Betroffenen durch Hackerangriff

Mehr erfahren

600.000 € gegen Stadt Enschede (NL)

Land

Niederlande

Art der Verletzung

Fehlende Rechtsgrundlage, Art. 5 Abs. 1 lit. a), 6 Abs. 1 DSGVO

Was ist passiert? 

Unzulässige Erhebung von Bewegungsdaten von Passanten mittels WLAN-Tracking im Zentrum von Enschede

Mehr erfahren

300.000 € gegen VfB Stuttgart 1893 AG

Land

Deutschland

Art der Verletzung

Verstoß gegen die Rechenschaftspflicht, Art. 5 Abs. 2 DSGVO

Was ist passiert? 

Wiederholte Weitergabe von Mitgliederdaten an Dritte

Mehr erfahren

9.600.000 € gegen Grindr LLC

Land

Norwegen

Art der Verletzung

Unrechtmäßige Weitergabe personenbezogener Daten, Art. 9 Abs. 1 DSGVO

Was ist passiert? 

Weitergabe sensibler personenbezogener Daten zur sexuellen Orientierung an Dritte

Mehr erfahren

10.400.000 € gegen notebooksbilliger.de

Land

Deutschland

Art der Verletzung

Fehlende Rechtsgrundlage, Art. 5, 6 DSGVO

Was ist passiert? 

Unzulässige Videoüberwachung von Mitarbeitern über mehrere Jahre

Mehr erfahren

145.000 € gegen Cell it! GmbH & Co. KG

Land

Deutschland

Art der Verletzung

Fehlende Rechtsgrundlage, Art. 5, 6 DSGVO

Was ist passiert? 

Wiederholte Werbeanrufe ohne gültige Einwilligung, unerlaubter Handel mit Adressdaten

Mehr erfahren

60.000.000 € und 40.000.000 € gegen Google LLC und Google Ireland Ltd.

Land

Frankreich

Art der Verletzung

Fehlende Rechtsgrundlage, Verstoß gegen Datenschutzgrundsätze, Art. 5, 6 DSGVO

Was ist passiert? 

Intransparenter Einsatz von Werbecookies ohne gültige Einwilligung und ohne Widerspruchsmöglichkeit

Mehr erfahren

18.000.000 € gegen Österreichische Post AG (ÖPAG)

Land

Österreich

Art der Verletzung

Fehlende Rechtsgrundlage, Verstoß gegen Datenschutzgrundsätze, unbefugte Weitergabe personenbezogener Daten, Art. 5, 6 DSGVO

Was ist passiert? 

Unzulässiges Profiling im Hinblick auf die politische Meinung, Verkauf der Daten u.a. an politische Parteien

Mehr erfahren

12.250.000 € gegen Vodafone Italia S.p.A.

Land

Italien

Art der Verletzung

Fehlende Rechtsgrundlage, Verstoß gegen Datenschutzgrundsätze, unzureichende technische und organisatorische Maßnahmen, Art. 5, 6, 32 DSGVO

Was ist passiert? 

Wiederholte Werbeanrufe an Bestands- und Neukunden ohne gültige Einwilligung, unerlaubter Handel mit Adressdaten

Mehr erfahren

1.400.000 € gegen Ticketmaster UK Limited

Land

UK

Art der Verletzung

Unzureichende technische und organisatorische Maßnahmen, Art. 32 DSGVO

Was ist passiert? 

Offenlegung personenbezogener Daten, darunter Kreditkartendaten, von 9,4 Mio. Betroffenen durch Hackerangriff

Mehr erfahren

900.000 € gegen 1&1 Telecom GmbH

Land

Deutschland

Art der Verletzung

Unzureichende technische und organisatorische Maßnahmen, Art. 32 DSGVO

Was ist passiert? 

Mangelhafter Authentifizierungsprozess in der Kunden-Hotline

Mehr erfahren

21.100.000 € gegen Marriott International Inc.

Land

UK

Art der Verletzung

Unzureichende technische und organisatorische Maßnahmen, Art. 32 DSGVO

Was ist passiert? 

Offenlegung personenbezogener Daten von 339 Mio. Betroffenen durch Hackerangriff

Mehr erfahren

23.000.000 € gegen British Airways

Land

UK

Art der Verletzung

Unzureichende technische und organisatorische Maßnahmen, Art. 32 DSGVO

Was ist passiert? 

Abfluss personenbezogener Daten von 500.000 Betroffenen über eine Umleitung von Kunden von der Buchungswebsite auf eine betrügerische Website

Mehr erfahren

35.258.708 € gegen H&M Hennes & Mauritz Online Shop A.B. & Co. KG

Land

Deutschland

Art der Verletzung

Fehlende Rechtsgrundlage, Art. 5, 6 DSGVO

Was ist passiert? 

Umfangreiche, unzulässige Erhebung, Speicherung und Auswertung personenbezogener Mitarbeiterdaten, darunter Daten zum Privatleben und zur Gesundheit, zur Verhaltens- und Leistungskontrolle im Arbeitsverhältnis

Mehr erfahren

40.000 € gegen BANKIA, S.A.

Land

Spanien

Art der Verletzung

Verstoß gegen Datenschutzgrundsätze, Art. 5 Abs. 1 lit. b) DSGVO

Was ist passiert? 

Unzulässige langjährige Speicherung personenbezogener Daten ehemaliger Bankkunden und unzulässige Weiterverwendung dieser Daten zu anderen Zwecken

Mehr erfahren

250.000 € gegen SPARTOO SAS

Land

Frankreich

Art der Verletzung

Verstoß gegen Datenschutzgrundsätze, Art. 5 Abs. 1 lit. c), e) DSGVO

Was ist passiert? 

Millionenfache dauerhafte Speicherung von Kundendaten ohne Löschkonzept, unzulässige Aufzeichnung von Telefongesprächen, unzulässige Identitätsfeststellung mit Hilfe von Personalausweis- und Gesundheitsausweisdaten

Mehr erfahren

830.000 € gegen Stichting Bureau Krediet Registratie (BKR)

Land

Niederlande

Art der Verletzung

Verletzung von Betroffenenrechten, Art. 12, 15 DSGVO

Was ist passiert? 

Auskunftsersuchen nur gegen Gebühr

Mehr erfahren

1.240.000 € gegen AOK Baden-Württemberg

Land

Deutschland

Art der Verletzung

Unzureichende technische und organisatorische Maßnahmen, Art. 5, 6, 32 DSGVO

Was ist passiert? 

Unzulässige Nutzung personenbezogener Daten von Teilnehmern von Gewinnspielen zu Werbezwecken

Mehr erfahren

100.000 € gegen Posti Oy (Postdienstleister)

Land

Finnland

Art der Verletzung

Unzureichende Erfüllung der Informationspflichten, Art. 13, 14 DSGVO

Was ist passiert? 

Intransparente Weitergabe personenbezogener Daten an Dritte

Mehr erfahren

11.000 € gegen Gesundheitsausschuss Örebro

Land

Schweden

Art der Verletzung

Fehlende Rechtsgrundlage, Verstoß gegen Datenschutzgrundsätze, unzureichende technische und organisatorische Maßnahmen, Art. 5, 6, 32 DSGVO

Was ist passiert? 

Veröffentlichung sensibler Gesundheitsdaten über die Website des Verantwortlichen

Mehr erfahren

5.000 € gegen Banca Comercială Română S.A.

Land

Rumänien

Art der Verletzung

Unzureichende technische und organisatorische Maßnahmen, Art. 32 DSGVO

Was ist passiert? 

Empfang von Fotografien von Personalausweisen zur Legitimierung von Bankgeschäften per WhatsApp

Mehr erfahren

725.000 € gegen unbekannten Verantwortlichen

Land

Niederlande

Art der Verletzung

Unzulässige Verarbeitung biometrischer Daten, Art. 9 Abs. 1 DSGVO

Was ist passiert? 

Unzulässige Verarbeitung der Fingerabdrücke von 337 Mitarbeitern durch den Arbeitgeber

Mehr erfahren

525.000 € gegen Tennisverband KNLTB

Land

Niederlande

Art der Verletzung

Fehlende Rechtsgrundlage, Art. 5, 6 DSGVO

Was ist passiert? 

Verkauf personenbezogener Daten von 300.000 Mitgliedern an Dritte zu Werbezwecken

Mehr erfahren

10.000 € gegen Rapidata GmbH

Land

Deutschland

Art der Verletzung

Fehlende Bestellung DSB, Art. 37 DSGVO

Was ist passiert? 

Fehlende Bestellung eines Datenschutzbeauftragten trotz gesetzlicher Verpflichtung

Mehr erfahren

105.000 € gegen Krankenhaus

Land

Deutschland

Art der Verletzung

Unzureichende technische und organisatorische Maßnahmen, Art. 32 DSGVO

Was ist passiert? 

Patientenverwechslung mit falscher Rechnungsstellung

Mehr erfahren

14.500.000 € gegen Deutsche Wohnen SE

Land

Deutschland

Art der Verletzung

Verstoß gegen Datenschutzgrundsätze, Art. 5 DSGVO

Was ist passiert? 

Einsatz eines Archivierungssystems ohne Löschmöglichkeit und dadurch zeitlich unbegrenzte Speicherung sensibler personenbezogener Daten von Mietern

Mehr erfahren

100.000 € gegen Lebensmittelhersteller

Land

Deutschland

Art der Verletzung

Unzureichende technische und organisatorische Maßnahmen, Art. 5, 32 DSGVO

Was ist passiert? 

Ungesicherte Datenübertragung und Datenspeicherung von Bewerberdaten über die Website des Verantwortlichen, Offenlegung von Bewerberdaten über Google

Mehr erfahren

170.000 € gegen Raiffeisen Bank S.A.

Land

Rumänien

Art der Verletzung

Unzureichende technische und organisatorische Maßnahmen, Art. 32 DSGVO

Was ist passiert? 

Unzulässiger Austausch von Kundendaten zwischen zwei Banken per WhatsApp

Mehr erfahren

195.407 € gegen Delivery Hero Germany GmbH

Land

Deutschland

Art der Verletzung

Verletzung von Betroffenenrechten, Art. 15, 17, 21 DSGVO

Was ist passiert? 

Zeitlich unbegrenzte Speicherung von Kundendaten, Versendung unerwünschter Werbe-E-Mails, keine Beantwortung von Auskunftsersuchen Betroffener

Mehr erfahren

150.000 € gegen PwC BS

Land

Griechenland

Art der Verletzung

Verstoß gegen Datenschutzgrundsätze, Art. 5 DSGVO

Was ist passiert? 

Einholung von Einwilligungen von Mitarbeitern für die Datenverarbeitung im Beschäftigungsverhältnis

Mehr erfahren

460.000 € gegen Krankenhaus

Land

Niederlande

Art der Verletzung

Verstoß gegen Datenschutzgrundsätze, unzureichende technische und organisatorische Maßnahmen, Art. 5 Abs. 1 lit f), 32 DSGVO

Was ist passiert? 

Umfangreiche Einräumung von Zugriffsrechten auf Patientendaten

Mehr erfahren

50.000 € gegen Spanischen Fußballliga „La Liga“

Land

Spanien

Art der Verletzung

Fehlende Rechtsgrundlage, Verstoß gegen Datenschutzgrundsätze, Verstoß gegen Widerrufrecht bei Einwilligung, Art. 5, 6, 7 DSGVO

Was ist passiert? 

Unzulässige Aufnahmen des Mikrofons sowie Standortdaten von App-Nutzern zur Aufdeckung unlizenzierter Übertragungen von Fußballspielen

Mehr erfahren

400.000 € gegen SERGIC SAS

Land

Frankreich

Art der Verletzung

Verstoß gegen Datenschutzgrundsätze, unzureichende technische und organisatorische Maßnahmen, Art. 5 Abs. 1 lit. e), 32 DSGVO

Was ist passiert? 

Ungesicherte Zugriffsmöglichkeit auf sensible personenbezogener Daten von Mietern über die Website des Verantwortlichen

Mehr erfahren

1.400 € gegen Polizist

Land

Deutschland

Art der Verletzung

Fehlende Rechtsgrundlage, Art. 5, 6 DSGVO

Was ist passiert? 

Unzulässige Abfrage von Halterdaten eines Kfz zur Erlangung der Rufnummer und Kontaktaufnahme mit einer privaten Zufallsbekanntschaft

Mehr erfahren

80.000 € gegen Finanzdienstleister

Land

Deutschland

Art der Verletzung

Unzureichende technische und organisatorische Maßnahmen, Art. 5, 32 DSGVO

Was ist passiert? 

Veröffentlichung sensibler Gesundheitsdaten im Internet

Mehr erfahren

220.000 € gegen Bisnode AB (Bisnode Polska)

Land

Polen

Art der Verletzung

Verletzung von Betroffenenrechten, Art. 14 Abs. 5 DSGVO

Was ist passiert? 

Verletzung der Informationspflichten gegenüber 6 Mio. Betroffenen

Mehr erfahren

50.000 € gegen N26 Bank GmbH

Land

Deutschland

Art der Verletzung

Fehlende Rechtsgrundlage, Art. 5, 6 DSGVO

Was ist passiert? 

Führen einer „schwarzen Liste“ für Personen, mit denen kein erneutes Vertragsverhältnis eingegangen werden sollte

Mehr erfahren

Bußgeld in unbekannter Höhe gegen Hamburger Volksbank eG

Land

Deutschland

Art der Verletzung

Verletzung von Betroffenenrechten, Art. 21 DSGVO

Was ist passiert? 

Versendung von E-Mail-Werbung trotz Vorliegen eines Werbewiderspruchs

Mehr erfahren

20.000 € gegen Hamburger Verkehrsverbund GmbH (HVV GmbH)

Land

Deutschland

Art der Verletzung

Verletzung der Meldepflicht, Art. 33, 34 DSGVO

Was ist passiert? 

Ungesicherte Zugriffsmöglichkeit auf personenbezogener Daten anderer Kunden über die Website des Verantwortlichen

Mehr erfahren

51.000 € gegen Facebook Germany GmbH

Land

Deutschland

Art der Verletzung

Fehlende Bestellung DSB, Art. 37 DSGVO

Was ist passiert? 

Fehlende Meldung des Datenschutzbeauftragten an die Aufsichtsbehörde trotz gesetzlicher Verpflichtung

Mehr erfahren

294.000 € gegen unbekannten Verantwortlichen

Land

Deutschland

Art der Verletzung

Verstoß gegen Datenschutzgrundsätze, Art. 5 DSGVO

Was ist passiert? 

Unnötig lange Aufbewahrung von Personalakten und unzulässige Erhebung von Gesundheitsdaten im Bewerbungsverfahren

Mehr erfahren

5.000 € gegen Kolibri Image Regina und Dirk Maass GbR

Land

Deutschland

Art der Verletzung

Fehlender Vertrag zur Auftragsverarbeitung, Art. 28 Abs. 3 DSGVO

Was ist passiert? 

Fehlender Vertrag zur Auftragsverarbeitung

Mehr erfahren

20.000 € gegen Knuddels.de

Land

Deutschland

Art der Verletzung

Unzureichende technische und organisatorische Maßnahmen, Art. 32 DSGVO

Was ist passiert? 

Offenlegung personenbezogener Daten von 330.000 Betroffenen durch Hackerangriff

Mehr erfahren

Ihr Schutz vor Bußgeldern

Nur wenn Unternehmen den Datenschutz fest im Griff haben, sind sie vor exorbitanten Bußgeldern sicher geschützt. Wir unterstützen Sie bei dieser Aufgabe und sorgen dafür, dass auch Geschäftsführer wieder ruhig schlafen können.

Kostenloses Erstgespräch vereinbaren