Bußgelder in schwindelerregenden Höhen
Die Datenschutz-Grundverordnung sieht für Datenschutzverstöße empfindliche Bußgelder vor. Während nach dem alten Bundesdatenschutzgesetz Bußgelder von maximal 300.000 Euro möglich waren, beträgt die maximale Geldbuße im Rahmen von Art. 83 DSGVO 20 Millionen Euro oder bis zu 4% des gesamten weltweit erzielten Jahresumsatzes im vorangegangenen Geschäftsjahr.
Während deutsche Aufsichtsbehörden in der ersten zwei Jahren nach Inkrafttreten der DSGVO ihre Aufgabe vorwiegend in der Beratung von Unternehmen sahen, hat sich dies spätestens jetzt geändert. Vermehrt wird in Unternehmen auf die Einhaltung datenschutzrechtlicher Vorschriften überprüft - oftmals themenspezifisch und länderübergreifend.
Besonders spektakuläre und richtungsweisende Bußgelder deutscher und europäischer Aufsichtsbehörden sind auf dieser Seite übersichtlich zusammengestellt.
18.000 € gegen luxemburgisches Unternehmen
Land
Luxemburg
Art der Verletzung
Verstoß gegen Art. 38 Abs. 1, 39 Abs. 1 DSGVO
Was ist passiert?
Mangelnden Einbindung und nicht ausreichende Ausstattung des Datenschutzbeauftragten mit arbeitszeitlichen Ressourcen
140.000 € gegen EL CORTE INGLÉS, S.A.
Land
Spanien
Art der Verletzung
Erschwerung der Ausübung von Betroffenenrechten nach Art. 15 und 18 DSGVO
Was ist passiert?
Löschung von Bildmaterial einer Videokamera, auf dem ein Unfall mit Personenschaden zu sehen war, nach Eingang eines entsprechenden Auskunftsersuchens
6.419.631 € gegen Eni Plenitude S.p.A. Società Benefit
Land
Italien
Art der Verletzung
Verarbeitung personenbezogener Daten ohne Rechtsgrundlage, Art. 5 Abs. 1, Art. 6 Abs. 1 DSGVO
Was ist passiert?
Werbeanrufe ohne Einwilligung, darunter auch Telefonnummern von der nationalen Blacklist, wegen fehlender Kontrollen von Subunternehmer und Werbeagenturen
1.332.681 € gegen Avanza Bank AB
Land
Schweden
Art der Verletzung
Unzureichende technische und organisatorische Maßnahmen nach Art. 32 DSGVO
Was ist passiert?
Die Bank hatte aufgrund falscher Einstellungen des Meta-Pixels auf der eigenen Website zahlreiche personenbezogene Daten von Website-Besuchern, darunter auch Informationen über Wertpapierportfolios sowie Kontonummern, an Meta übermittelt
30.000 EUR gegen Gestore Dei Servizi Energetici
Land
Italien
Art der Verletzung
Verstoß gegen Recht auf Auskunft nach Art. 15 DSGVO
Was ist passiert?
Unvollständige und nicht fristgerechte Beantwortung des Auskunftsersuchens eines Mitarbeiters
14.000.000 € gegen Avast Software s.r.o. / Avast Limited
Land
Tschechien
Art der Verletzung
Datenweitergabe in der Unternehmensgruppe ohne Rechtsgrundlage, Art. 5 Abs. 1, Art. 6 Abs. 1 DSGVO; Verstoß gegen Informationspflichten nach Art. 13 DSGVO
Was ist passiert?
Unrechtmäßige Weitergabe personenbezogener Daten von Nutzern an ein Schwesterunternehmen, darunter Internetbrowser-Verläufe von 100 Millionen Nutzern; irreführende Information der Betroffenen, es würde sich hierbei ausschließlich um anonymisierte Daten für statistische Zwecke handeln
40.000 € gegen IBERIA LÍNEAS AÉREAS DE ESPAÑA, S.A. OPERADORA
Land
Spanien
Art der Verletzung
Nichtbeantwortung von Auskunftsersuchen nach Art. 15 DSGVO
Was ist passiert?
Wiederholte Nichtbeantwortung von Auskunftsersuchen eines Betroffenen in Zusammenhang mit der Verarbeitung sensibler Dokumente für die Einreise in ein EU-Land
856.000 € gegen Verkkokauppa.com Oyi
Land
Finnland
Art der Verletzung
Verstoß gegen den Grundsatz der Speicherbegrenzung, Art. 5 Abs. 1 lit. e) DSGVO
Was ist passiert?
Pflicht zur Erstellung eines Kundenkontos bei einem Online-Händler und unbegrenzte Speicherung von Kundendaten
310.000 € gegen FORIOU (SFK GROUP)
Land
Frankreich
Art der Verletzung
Verarbeitung personenbezogener Daten ohne Rechtsgrundlage, Art. 5 Abs. 1, Art. 6 Abs. 1 lit. a) DSGVO
Was ist passiert?
Unrechtmäßiger Erwerb von Leaddaten in Zusammenhang mit der Einholung von Einwilligungen der Betroffenen aufgrund mangelnder Informationen und mangelnder Freiwilligkeit
79.107.101 € gegen Enel Energia S.p.A.
Land
Italien
Art der Verletzung
Unzureichende technische und organisatorische Maßnahmen nach Art. 32 DSGVO
Was ist passiert?
Fehlende bzw. mangelhafte Sicherheitsvorkehrungen ermöglichten es unbefugten Dritten, über einen Zeitraum von sieben Jahre hinweg auf das CRM-System des Unternehmens zuzugreifen, illegales Telefonmarketing durchzuführen und im Namen des Unternehmens Verträge abzuschließen.
10.000.000 € gegen Uber Technologies Inc. und Uber B.V.
Land
Niederlande
Art der Verletzung
Erschwerung der Ausübung von Betroffenenrechten nach Art. 12, 13 und 15 DSGVO
Was ist passiert?
Erschwerte Zugangsmöglichkeit zum Formular für Auskunftsersuchen, unverständliche Beantwortung von Auskunftsersuchen und intransparente Information der Fahrer über die Verarbeitung ihrer personenbezogenen Daten
32.000.000 € gegen AMAZON FRANCE LOGISTIQUE
Land
Frankreich
Art der Verletzung
Verstoß gegen Informationspflichten nach Art. 13 DSGVO
Was ist passiert?
Unverhältnismäßigen Überwachung der Beschäftigten durch die umfangreiche und zeitlich zu lange Speicherung personenbezogener Leistungsdaten via der verwendeten Handscanner und der untenrehmenseigenen Videoüberwachungsanlage ohne Information der Betroffenen
42.898 € gegen Indecap AB
Land
Schweden
Art der Verletzung
Fehlende Umsetzung angemessener technischer und organisatorischer Maßnahmen, Art. 32 DSGVO
Was ist passiert?
Versand eines Excel-Dokuments mit 52.000 zum Teil sensiblen Kundendatensätzen an 2800 Kunden.
600.000 EUR gegen GROUPE CANAL+
Land
Frankreich
Art der Verletzung
Verarbeitung personenbezogener Daten ohne Rechtsgrundlage, mangelhafte Information der Betroffenen, Art. 5 Abs. 1, Art. 6 Abs. 1, 12, 13 DSGVO
Was ist passiert?
Diverse Verstöße bei der Verarbeitung mit personenbezogener Daten, darunter:
- Versendung digitaler Werbung ohne gültige Einwilligung
- unvollständige Information der Kunden bei Erstellung eines Kundenkontos
- verspätete oder keine Reaktion auf Beschwerden und Auskunftsanfragen
- keine ausreichende Datensicherheit der Passwörter der Mitarbeiter
- fehlende Meldung einer Datenschutzverletzung an die Aufsichtsbehörde
30.265 € gegen H&M Hennes & Mauritz GBC AB
Land
Schweden
Art der Verletzung
Verarbeitung personenbezogener Daten ohne Rechtsgrundlage, Nichtbeachtung von Betroffenenrechten, Art. 6 Abs. 1, 12, 21 Abs. 3 DSGVO
Was ist passiert?
Nichtbeachtung von Widersprüchen gegen den Erhalt von Newslettern
200.000 € gegen SAF LOGISTICS
Land
Frankreich
Art der Verletzung
Verstoß gegen den Grundsatz der Datenminimierung, das Verbot der Verarbeitung sensibler Daten und die Verpflichtung zur Zusammenarbeit mit der Aufsichtsbehörde, Art. 5 Abs. 1 c) 9, 10, 31 DSGVO
Was ist passiert?
Im Bewerbungsverfahren für das chinesischen Mutterunternehmen wurden Bewerber dazu aufgefordert, Angaben zur ethnischen und politischen Zugehörigkeit, zu Gesundheitsdaten sowie allen Familienangehörigen zu machen; außerdem speicherte das Unternehmen Strafregisterauszüge von Mitarbeitern
345.000.000 € gegen TikTok Technology Limited
Land
Irland
Art der Verletzung
Verschiedene Verstöße gegen Datenschutzgrundsätze, Informationspflichten und Datenschutz durch Technikgestaltung, Art. 5, 12, 13, 25 DSGVO
Was ist passiert?
Diverse Verstöße im Umgang mit personenbezogenen Daten Minderjähriger, darunter:
- Profile minderjähriger Nutzer waren standardmäßig auf öffentlich gestellt
- "Family Pairing" ohne Sorgerechtsnachweis
- Einsatz von sog. "dark patterns", um im Anmeldeprozess möglichst viele Optionen zu aktivieren, welche den Datenschutz mindern
2.945.632 € gegen Tyrg Forsikring A/S
Land
Schweden
Art der Verletzung
Fehlende Umsetzung angemessener technischer und organisatorischer Maßnahmen, Art. 32 DSGVO
Was ist passiert?
Zugriffsmöglichkeit auf Versicherungsdaten von 650.000 Versicherungsnehmern zwischen Oktober 2018 und Februar 2021 über die Website des Unternehmens, darunter auch Gesundheitsdaten und Finanzinformationen
215.000 € gegen Berliner Unternehmen
Land
Deutschland
Art der Verletzung
Vielfältige Datenschutzverstöße, u. a. wegen unrechtmäßiger Datenverarbeitung, fehlender Beteiligung der Datenschutzbeauftragten, verspätete Meldung einer Datenpanne sowie fehlende Dokumentation im Verzeichnis von Verarbeitungstätigkeiten
Was ist passiert?
Beschwerde eines Beschäftigten bei der Aufsichtsbehörde wegen des Führens einer Liste zur Bewertung von Beschäftigten in der Probezeit inkl. Angaben zur Teilnahme an einer Psychotherapie oder dem Interesse an einer Betriebsratsgründung
40.000.000 € gegen gegen Criteo S.A.
Land
Frankreich
Art der Verletzung
Verstoß gegen den Grundsatz der Rechtmäßigkeit, Art. 5, 6 DSGVO und unzureichender Vertrag zur gemeinsamen Verantwortlichkeit, Art. 26 DSGVO
Was ist passiert?
Trotz gemeinsamer Verantwortlichkeit keine Verpflichtung zur Einholung von Einwilligung hinsichtlich Tracking-Aktivitäten durch Kunden
4.992.083 € gegen Spotify AB
Land
Schweden
Art der Verletzung
Verstoß gegen den Grundsatz der Transparenz und unzureichende Umsetzung des Rechts auf Auskunft, Art. 5, 12 ff., 15 DSGVO
Was ist passiert?
Mangelnde Information von Nutzern über die Zwecke der Verarbeitung und über geeignete Garantien für Übermittlungen in Drittländer
300.000 € gegen Berliner Bank
Land
Deutschland
Art der Verletzung
Verstoß gegen den Grundsatz der Transparenz, Art. 5, 12 ff. DSGVO
Was ist passiert?
Mangelnder Transparenz über eine automatisierte Entscheidungsfindung betreffend der Ablehnung eines Kreditkartenantrags
1.200.000.000 € gegen Meta Platforms Ireland Ltd.
Land
Irland
Art der Verletzung
Unzulässige Drittlandübermittlungen in die USA, Art. 44 ff. DSGVO
Was ist passiert?
Keine ausreichende Absicherungen personenbezogener Daten bei der Drittlandsübermittlung durch zusätzliche Maßnahmen
2.265.000 € gegen B2 Kapital d.o.o. (Inkassounternehmen)
Land
Kroatien
Art der Verletzung
Mangelhafte Information der Betroffenen und fehlende Umsetzung angemessener technischer und organisatorischer Maßnahmen, Art. 14, 5 Abs. 1 f) und 32 DSGVO
Was ist passiert?
Unbefugter Zugriff auf personenbezogene Daten von mehr als 10.000 Betroffenen durch anonymen Hinweisgeber; keine Information der Betroffenen auch nach Hinweis der Aufsichtsbehörde
125.000 € gegen CITYSCOOT
Land
Frankreich
Art der Verletzung
Verstoß gegen den Grundsatz der Datensparsamkeit, Art. 5 Abs. 1 c) DSGVO
Was ist passiert?
Erhebung und Speicherung der Standortdaten nach dem Anmieten eines Rollers durch Privatpersonen alle 30 Sekunden
218.365 € gegen Argon Medical Devices, Inc.
Land
Norwegen
Art der Verletzung
Verletzung der Meldepflicht , Art. 33, 34 DSGVO
Was ist passiert?
Meldung der Kompromittierung des E-Mail-Accounts des Personalleiters an die Aufsichtsbehörde mit zweimonatiger Verzögerung
30.000 € gegen Verizon Connect Italy S.p.A.
Land
Italien
Art der Verletzung
Verarbeitung personenbezogener Daten ohne Rechtsgrundlage, Art. 5 Abs. 1 a), 6, 28 Abs. 3 DSGVO
Was ist passiert?
Unzureichende vertragliche Ausgestaltung des Auftragsverarbeitungsverhältnisses in Zusammenhang mit dem Einbau und Betrieb von GPS-Systemen in Fahrzeugen
100.000 € gegen Altroconsumo Edizioni S.r.l.
Land
Italien
Art der Verletzung
Verarbeitung personenbezogener Daten ohne Rechtsgrundlage, Art. 5 Abs. 1 a) DSGVO
Was ist passiert?
Aufgrund einer Beschwerde einer Privatperson wegen eines unerwünschten Werbeanrufs stellte die zuständige Aufsichtsbehörde fest, dass die Kontaktdaten der Privatperson durch Dritte ohne entsprechende (Werbe-)Einwilligung weitergegeben und für Werbung verwendet wurden
5.000.000 € gegen TikTok Information Technologies UK Limited / TikTok Technology Limited
Land
Frankreich
Art der Verletzung
Verstoß gegen das französische Pendant des deutschen § 25 TTDSG
Was ist passiert?
Verwendung eines irreführenden Cookie-Banners, über den Einwilligung mit einem Klick erteilt, aber nur mit mehreren zusätzlichen Klicks abgelehnt werden können
390.000.000 € gegen Meta Platforms Ireland Ltd.
Land
Irland
Art der Verletzung
Verarbeitung personenbezogener Daten ohne Rechtsgrundlage, Art. 5 Abs. 1 a) DSGVO
Was ist passiert?
Änderung der Nutzungsbedingungen zur Heranziehung eines Vertragsverhältnisses nach Art. 6 Abs. 1 b) DSGVO anstelle einer Einwilligung nach Art. 6 Abs. 1 a) DSGVO als Rechtsgrundlage für die Verarbeitung personenbezogener Nutzerdaten (inkl. personalisierter, verhaltensbezogener Werbung)
60.000.000 € gegen Microsoft Ireland Operations Limited
Land
Frankreich
Art der Verletzung
Verarbeitung personenbezogener Daten ohne Rechtsgrundlage, Art. 5 Abs. 1 a), 9 DSGVO
Was ist passiert?
Auf dem Consent-Banner der Website war kein Button zur einfachen Ablehnung von Cookies verfügbar
4.300.000 € gegen das nationale Institut für Statistik (INE) in Portugal
Land
Portugal
Art der Verletzung
Zahlreiche Datenschutzverstöße, u.a. gegen Art. 5 Abs. 1 a), 9 Abs. 1, 12, 13, 28, 35, 44 und 46 DSGVO
Was ist passiert?
Die im Jahr 2021 durchgeführte Volkszählung in Portugal erfolgte unter Verstoß gegen zahlreiche Regelungen der DSGVO
265.000.000 € gegen Meta Platforms Ireland Ltd.
Land
Irland
Art der Verletzung
Fehlende Umsetzung von "privacy by design" und "privacy by default" gemäß Art. 25 DSGVO
Was ist passiert?
Veröffentlichung personenbezogener Daten (wie z. B. Name, Telefonnummer und E-Mail-Adresse) von bis zu 533 Millionen Nutzern aus über 100 Ländern
1.400.000 € gegen Douglas Italia S.p.A.
Land
Italien
Art der Verletzung
Verletzung des Grundsatzes der Rechtmäßigkeit, Art. 6 Abs. 1 DSGVO
Was ist passiert?
Aufbewahrung personenbezogener Daten von 3,2 Millionen Kunden auch nach der Kündigung der Kundenkarte
5.057.878 € gegen Interserve Group Limited
Land
Vereinigtes Königreich (UK)
Art der Verletzung
Fehlende Umsetzung angemessener technischer und organisatorischer Maßnahmen nach Art. 5 Abs. 1 f) und Art. 32 DSGVO
Was ist passiert?
Kompromittierung von personenbezogenen Daten von über 100.000 Beschäftigten durch Cyberattacke
1.546.870 € gegen Easylife Ltd.
Land
Vereinigtes Königreich (UK)
Art der Verletzung
Verarbeitung personenbezogener Daten ohne Rechtsgrundlage, Art. 5 Abs. 1 a), 9 DSGVO
Was ist passiert?
Verarbeitung von Gesundheitsdaten inklusive Profiling von Kunden eines Haushaltswarenanbieters ohne ausdrückliche Einwilligung
525.000 € gegen Unternehmen
Land
Deutschland
Art der Verletzung
Interessenskonflikt des Datenschutzbeauftragten i.S.d. Art. 38 Abs. 6 DSGVO
Was ist passiert?
Der Geschäftsführer eines Unternehmens hatte für das Unternehmen zugleich die Rolle des Datenschutzbeauftragten übernommen
600.000 € gegen Accor S.A. (Hotelkonzern)
Land
Frankreich
Art der Verletzung
Verstoß gegen Betroffenenrechte der Art. 12, 13 und 21 DSGVO
Was ist passiert?
Der Hotelkonzern meldete Kunden per vorausgefüllter Checkbox automatisch zu einem Newsletter an; eine Abmeldung war aufgrund technischer Mängel nicht möglich
900.000 € gegen Kreditinstitut
Land
Deutschland
Art der Verletzung
Verarbeitung personenbezogener Daten ohne Rechtsgrundlage, Art. 5 Abs. 1, Art. 6 Abs. 1 DSGVO
Was ist passiert?
Profilbildung über Kunden bzgl. der Nutzung von Banking-App, Kontoauszugdruckern und Überweisungen im Online-Banking zur gezielten Ansprache zu Werbezwecken
1.100.000 € gegen Volkswagen AG
Land
Deutschland
Art der Verletzung
Mangelhafte Information der Betroffenen, fehlender Vertrag zur Auftragsverarbeitung, fehlende Datenschutzfolgenabschätzung, Art. 14, 28, 35 DSGVO
Was ist passiert?
Durchführung von Forschungsfahrten für Fahrassistenzsysteme durch einen Dienstleister ohne entsprechende Hinweise auf die stattfindende Videoüberwachung, ohne Durchführung der notwenigen Datenschutzfolgenabschätzung und ohne Abschluss eines Vertrags zur Auftragsverarbeitung
20.000.000 € gegen Clearview AI Inc.
Land
Griechenland
Art der Verletzung
Verstoß gegen die Grundsätze der Rechtmäßigkeit und der Transparenz, Art. 5, 6, 12 ff. DSGVO
Was ist passiert?
Anbieten eines Services, mit dem mittels künstlicher Intelligenz biometrische Profile von Personen erstellt werden können; hierzu unterhält das Unternehmen eine Datenbank mit aktuell ca. 20 Milliarden Bildern von Gesichtern, die durch Web-Scraping aus öffentlichen Internetquellen zusammengetragen wurden
1.000.000 € gegen TOTALENERGIES ÉLECTRICITÉ ET GAZ FRANCE
Land
Frankreich
Art der Verletzung
Mangelhafte Information der Betroffenen, fehlende Umsetzung der Betroffenenrechte, Art. 14 ff. DSGVO
Was ist passiert?
Keine Einholung von Werbeeinwilligungen bei Neukundenverträgen, keine Information der Kunden über bzw. bei Werbemaßnahmen und keine Möglichkeit für Kunden, Werbemaßnahmen zu widersprechen
484.107 € gegen Datatilsynet (Behörde)
Land
Norwegen
Art der Verletzung
Verarbeitung personenbezogener Daten ohne Rechtsgrundlage, Art. 5 Abs. 1, Art. 6 Abs. 1 DSGVO
Was ist passiert?
Die norwegische Arbeitsagentur verpflichtete Arbeitssuchende ohne rechtliche Grundlage zum Upload ihres Lebenslaufs auf einer Plattform der Behörde, welcher anschließend durch potentielle Arbeitgeber eingesehen werden konnte
10.000.000 € gegen Google LLC
Land
Spanien
Art der Verletzung
Unrechtmäßige Übermittlung personenbezogener Daten gem. Art. 6 DSGVO und Verstoß gegen das Recht auf Löschung gem. Art. 17 DSGVO
Was ist passiert?
Umsetzung des Rechts auf Löschung nur unter der Bedingung der Weitergabe der jeweiligen Löschanfrage an einen Dritten in den USA
3.700.000 € gegen die niederländische Steuer- und Zollbehörde
Land
Niederlande
Art der Verletzung
Verarbeitung personenbezogener Daten ohne Rechtsgrundlage, unzureichende technische und organisatorische Maßnahmen, Verarbeitung veralteter, unrichtiger Daten, Art. 5 Abs. 1, Art. 6 Abs. 1, Art. 32 Abs. 1 DSGVO
Was ist passiert?
Führen einer unrechtmäßigen Liste mit Hinweisen zu Betrugsstraftaten Betroffener mit bis zu ca. 270.000 Einträgen über einen Zeitraum von 6 Jahre. Betroffene wurden mehrfach zu Unrecht bzw. grundlos als potentielle Betrüger geführt, was für diese zu schwerwiegenden finanziellen Nachteilen führte.
1.344.357 € gegen die Danske Bank
Land
Dänemark
Art der Verletzung
Verstoß gegen die Rechenschaftspflicht, Art. 5 Abs. 2 DSGVO
Was ist passiert?
In den betroffenen Systemen der Bank wurden personenbezogene Daten von mehreren Millionen Betroffenen verarbeitet, ohne dass der Verantwortliche ein Löschkozept nachweisen konnte.
100.000 € gegen Flughafen Brüssel-Charleroi und Flughafen Brüssel-Zavantem
Land
Belgien
Art der Verletzung
Verarbeitung von Gesundheitsdaten ohne Rechtsgrundlage, mangelhafte Information der Betroffenen und mangelhafte Datenschutz-Folgenabschätzung, Art. 5 Abs. 1 lit. a), b) DSGVO, Art. 6 Abs. 1 lit. c), Abs. 3 DSGVO, Art. 9 Abs. 2 DSGVO, Art. 12 DSGVO, Art. 13 DSGVO, Art. 32 DSGVO, Art. 35 Abs. 1 und 7 DSGVO
Was ist passiert?
An beiden Flughäfen wurden über einen längeren Zeitraum Wärmebildkameras zur Messung der Körpertemperatur von Flughafengästen eingesetzt, um diejenigen mit einer Körpertemperatur von über 38°C nach möglichen Corona-Symptomen zu befragen.
725.551 € gegen Klarna Bank AB
Land
Schweden
Art der Verletzung
Verstoß gegen die Informationspflichten, Art. 13 DSGVO
Was ist passiert?
Umzureichende Umsetzung der Informationspflichten auf der Unternehmenswebsite, insbesondere hinsichtlich der Empfänger von Daten und Drittlandübermittlungen
17.000.000 € gegen Meta Platforms Ireland Limited
Land
Irland
Art der Verletzung
Fehlende technische und organisatorische Maßnahmen, Art. 5 Abs. 2, 24 Abs. 1 DSGVO
Was ist passiert?
Nach wiederholten Datenpannen konnten keine geeigneten technischen und organisatorischen Maßnahmen nachgewiesen werden, um Datenpannen in Zukunft zu reduzieren oder zu verhindern
1.900.000 € gegen die BREBAU GmbH
Land
Deutschland
Art der Verletzung
Verarbeitung personenbezogener Daten ohne Rechtsgrundlage, Art. 5, 6 DSGVO
Was ist passiert?
Unrechtmäßige Verarbeitung und Speicherung auch besonderer Kategorien personenbezogener Daten von Mietinteressenten ohne Rechtsgrundlage
120.000 € gegen Santander Bank Polska S.A.
Land
Polen
Art der Verletzung
Verstoß gegen Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person, Art. 34 DSGVO
Was ist passiert?
Unrechtmäßige Zugriffsmöglichkeit auf Gesundheitsdaten von Beschäftigten durch ehemalige Beschäftige
2.000.000 € gegen Amazon Road Transport Spain, S.L.
Land
Spanien
Art der Verletzung
Verstoß gegen das Verarbeitungsverbot von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten, Art. 10 DSGVO, Übermittlungen personenbezogener Daten an Drittländer ohne rechtliche Legitimation, Art. 44 ff. DSGVO
Was ist passiert?
Unrechtmäßigen Verarbeitung und Drittlandsübermittlung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten
5.850.000 € gegen COSMOTE
Land
Griechenland
Art der Verletzung
Verletzung des Grundsatzes der Rechtmäßigkeit, Art. 6 Abs. 1 DSGVO, unzureichende technische und organisatorische Maßnahmen, Art. 5 Abs. 1 c) und e), Art. 32 DSGVO sowie unzureichende Klärung der datenschutzrechtlichen Verantwortlichkeiten, Art. 26 und 28 DSGVO
Was ist passiert?
Offenlegung personenbezogener Daten durch Hackerangriff aufgrund mangelhafter Anonymisierung
26.500.000 € gegen Enel Energia S.p.A.
Land
Italien
Art der Verletzung
Verletzung des Grundsatzes der Rechtmäßigkeit, Art. 6 Abs. 1 DSGVO u.v.m.
Was ist passiert?
Aggressiven Telefonmarketing ohne Einwilligung der Kunden und zahlreiche weitere Verstöße gegen die DSGVO
60.000.000 € gegen Facebook Ireland Limited
Land
Frankreich
Art der Verletzung
Verstoß gegen die Freiwilligkeit der Einwilligung, Art. 82 des Französischen Datenschutzgesetzes i.V.m. e-Privacy-Richtlinie
Was ist passiert?
Erschwerung für Nutzer, den Einsatz von Cookies auf Websites abzulehnen
150.000.000 € gegen Google LLC und Google Ireland Limited
Land
Frankreich
Art der Verletzung
Verstoß gegen die Freiwilligkeit der Einwilligung, Art. 82 des Französischen Datenschutzgesetzes i.V.m. e-Privacy-Richtlinie
Was ist passiert?
Erschwerung für Nutzer, den Einsatz von Cookies auf Websites abzulehnen
608.000 € gegen Psychotherapiezentrum
Land
Finnland
Art der Verletzung
Verletzung der Sicherheit der Verarbeitung, Art. 5 Abs. 1 f) i.V.m. Art. 32 DSGVO und Verletzung der Meldepflicht , Art. 33, 34 DSGVO
Was ist passiert?
Unbefugter Zugriff auf eine technisch nicht ausreichend geschützte Patientendatenbank; Verletzung der Meldepflicht gegenüber der zuständigen Aufsichtsbehörde
400.000 € gegen Transavia Airlines
Land
Niederlande
Art der Verletzung
Verletzung der Sicherheit der Verarbeitung, Art. 5 Abs. 1 f) i.V.m. Art. 32 DSGVO
Was ist passiert?
Offenlegung personenbezogener Daten von 83.000 Betroffenen durch Hackerangriff aufgrund mangelhafter Passwortsicherheit von IT-Administratoren-Konten
400.000 Euro gegen Régie autonome des transports parisiens (RATP)
Land
Frankreich
Art der Verletzung
Verletzung des Grundsatzes der Datenminimierung und der Speicherbegrenzung sowie unzureichende technische und organisatorische Maßnahmen Art. 5 Abs. 1 c) und e), Art. 32 DSGVO
Was ist passiert?
Dokumentation der Tage, an denen Beschäftigte an Streiks teilgenommen haben und Verwertung der Informationen im Rahmen von Beförderungsentscheidungen
3.000.000 € gegen CAIXABANK PAYMENTS & CONSUMER EFC
Land
Spanien
Art der Verletzung
Verletzung des Grundsatzes der Rechtmäßigkeit, Art. 6 Abs. 1 DSGVO
Was ist passiert?
Unzulässige Datenverarbeitung zur Bewertung der Kreditwürdigkeit, auch von Nicht-Kunden
3.200.000 € gegen Sky Italia S.r.l.
Land
Italien
Art der Verletzung
Verletzung des Grundsatzes der Rechtmäßigkeit, Art. 6 Abs. 1 DSGVO
Was ist passiert?
Werbeanrufe ohne die Einwilligung der Betroffenen und Verwendung von Kontaktdaten aus ungeprüften Listen, die von anderen Unternehmen erworben wurden
9.500.000 € gegen Österreichische Post AG
Land
Österreich
Art der Verletzung
Unzureichende Möglichkeit der Datenauskunft, Art. 12, 15 DSGVO
Was ist passiert?
Datenschutzrechtlichen Anfragen nur per Post, Kundenservice oder Kontaktformular auf der Website möglich, nicht jedoch per E-Mail
901.389 € gegen die Vattenfall Europe Sales GmbH
Land
Deutschland
Art der Verletzung
Verstoß gegen Grundsatz der Transparenz, Art. 5 Abs. 1 a) DSGVO
Was ist passiert?
Vattenfall hat in über 500.000 Fällen Betroffene nicht ausreichend über eine Auswertung von Kundendaten auf „wechselauffälliges Verhalten“ informiert
225.000.000 € gegen WhatsApp Ireland Ltd.
Land
Irland
Art der Verletzung
Verstoß gegen Grundsatz der Transparenz, Art. 5 Abs. 1 a) DSGVO
Was ist passiert?
WhatsApp ist seinen Transparenzverpflichtungen in Bezug auf die Bereitstellung von Informationen und deren Weiterverarbeitung zwischen WhatsApp und anderen Facebook-Unternehmen nicht nachgekommen
746.000.000 € gegen Amazon Europe Core S.à r.l.
Land
Luxemburg
Art der Verletzung
Fehlende Rechtsgrundlage, Art. 5 Abs. 1 lit. a), 6 Abs. 1 DSGVO
Was ist passiert?
Nutzer können den Einsatz personalisierter Werbung auf der Webseite des Online-Marktplatzes nicht ablehnen, obwohl die DSGVO dies so vorsieht
400.000 € gegen MONSANTO
Land
Frankreich
Art der Verletzung
Verstoß gegen die Informationspflichten, Art. 14 DSGVO
Was ist passiert?
Erstellung einer Liste von mehr als 200 Persönlichkeiten inklusive deren Kontaktdaten, die dazu in der Lage sind, die öffentliche Meinung über die Zulassung von Glyphosat in Europa zu beeinflussen
2.520.000 € gegen MERCADONA, S.A.
Land
Spanien
Art der Verletzung
Verstoß gegen Grundsatz der Datenminimierung, Fehlen einer Datenschutzfolgenabschätzung, Art. 5 Abs. 1, 6, 9, 12, 13, 25 Abs. 1, 35 DSGVO
Was ist passiert?
Umfangreiche Gesichtserkennungssysteme in über 40 Supermärkten
1.750.000 € gegen AG2R LA MONDIALE
Land
Frankreich
Art der Verletzung
Verstoß gegen Grundsatz der Speicherbegrenzung, Art. 5 Abs. 1, 13, 14 DSGVO
Was ist passiert?
Langfristige Speicherung von fast 2.000 Datensätzen von Interessenten und von mehr als 2.000.000 Datensätzen von Kunden
2.600.000 € gegen Foodinho s.r.l.
Land
Italien
Art der Verletzung
Zahlreiche Verstöße gegen geltende Datenschutzbestimmungen, Art. 5 Abs. 1, 13, 22, 25, 30, 32, 35 und 37 DSGVO
Was ist passiert?
Verletzung des Beschäftigtendatenschutzes in 19.000 Fällen bei der Essenslieferung
2.856.169 € gegen Iren Mercato S.p.A.
Land
Italien
Art der Verletzung
Verletzung der Grundsätze der Rechtmäßigkeit und Transparenz, Art. 5 Abs. 1 und 2, 6 Abs. 1, 7 Abs. 1 DSGVO
Was ist passiert?
Durchfühung von Telemarketing-Aktivitäten ohne Einwilligung der Betroffenen / rechtswidriger Verkauf von E-Mail-Adressen zu Werbezwecken
1.566.125 EUR gegen Storstockholms Lokaltrafik (Verkehrsbetrieb)
Land
Schweden
Art der Verletzung
Verletzung der Grundsätze der Rechtmäßigkeit, Transparenz und Zweckbindung sowie der Datenminimierung, Art. 5 Abs. 1 lit. a) und c), Art. 6 Abs. 1 lit. f), Art. 13 DSGVO
Was ist passiert?
Ausstattung der Fahrkartenkontrolleure mit Bodycams, welche kontinuierlich Video- und Tonaufzeichnungen der Fahrgäste angefertigt haben
475.000 € gegen Booking.com
Land
Niederlande
Art der Verletzung
Verletzung der Meldepflicht, Art. 33 DSGVO
Was ist passiert?
Offenlegung personenbezogener Daten von 4000 Betroffenen durch Hackerangriff
600.000 € gegen Stadt Enschede (NL)
Land
Niederlande
Art der Verletzung
Fehlende Rechtsgrundlage, Art. 5 Abs. 1 lit. a), 6 Abs. 1 DSGVO
Was ist passiert?
Unzulässige Erhebung von Bewegungsdaten von Passanten mittels WLAN-Tracking im Zentrum von Enschede
300.000 € gegen VfB Stuttgart 1893 AG
Land
Deutschland
Art der Verletzung
Verstoß gegen die Rechenschaftspflicht, Art. 5 Abs. 2 DSGVO
Was ist passiert?
Wiederholte Weitergabe von Mitgliederdaten an Dritte
9.600.000 € gegen Grindr LLC
Land
Norwegen
Art der Verletzung
Unrechtmäßige Weitergabe personenbezogener Daten, Art. 9 Abs. 1 DSGVO
Was ist passiert?
Weitergabe sensibler personenbezogener Daten zur sexuellen Orientierung an Dritte
10.400.000 € gegen notebooksbilliger.de
Land
Deutschland
Art der Verletzung
Fehlende Rechtsgrundlage, Art. 5, 6 DSGVO
Was ist passiert?
Unzulässige Videoüberwachung von Mitarbeitern über mehrere Jahre
145.000 € gegen Cell it! GmbH & Co. KG
Land
Deutschland
Art der Verletzung
Fehlende Rechtsgrundlage, Art. 5, 6 DSGVO
Was ist passiert?
Wiederholte Werbeanrufe ohne gültige Einwilligung, unerlaubter Handel mit Adressdaten
60.000.000 € und 40.000.000 € gegen Google LLC und Google Ireland Ltd.
Land
Frankreich
Art der Verletzung
Fehlende Rechtsgrundlage, Verstoß gegen Datenschutzgrundsätze, Art. 5, 6 DSGVO
Was ist passiert?
Intransparenter Einsatz von Werbecookies ohne gültige Einwilligung und ohne Widerspruchsmöglichkeit
18.000.000 € gegen Österreichische Post AG (ÖPAG)
Land
Österreich
Art der Verletzung
Fehlende Rechtsgrundlage, Verstoß gegen Datenschutzgrundsätze, unbefugte Weitergabe personenbezogener Daten, Art. 5, 6 DSGVO
Was ist passiert?
Unzulässiges Profiling im Hinblick auf die politische Meinung, Verkauf der Daten u.a. an politische Parteien
12.250.000 € gegen Vodafone Italia S.p.A.
Land
Italien
Art der Verletzung
Fehlende Rechtsgrundlage, Verstoß gegen Datenschutzgrundsätze, unzureichende technische und organisatorische Maßnahmen, Art. 5, 6, 32 DSGVO
Was ist passiert?
Wiederholte Werbeanrufe an Bestands- und Neukunden ohne gültige Einwilligung, unerlaubter Handel mit Adressdaten
1.400.000 € gegen Ticketmaster UK Limited
Land
UK
Art der Verletzung
Unzureichende technische und organisatorische Maßnahmen, Art. 32 DSGVO
Was ist passiert?
Offenlegung personenbezogener Daten, darunter Kreditkartendaten, von 9,4 Mio. Betroffenen durch Hackerangriff
900.000 € gegen 1&1 Telecom GmbH
Land
Deutschland
Art der Verletzung
Unzureichende technische und organisatorische Maßnahmen, Art. 32 DSGVO
Was ist passiert?
Mangelhafter Authentifizierungsprozess in der Kunden-Hotline
21.100.000 € gegen Marriott International Inc.
Land
UK
Art der Verletzung
Unzureichende technische und organisatorische Maßnahmen, Art. 32 DSGVO
Was ist passiert?
Offenlegung personenbezogener Daten von 339 Mio. Betroffenen durch Hackerangriff
23.000.000 € gegen British Airways
Land
UK
Art der Verletzung
Unzureichende technische und organisatorische Maßnahmen, Art. 32 DSGVO
Was ist passiert?
Abfluss personenbezogener Daten von 500.000 Betroffenen über eine Umleitung von Kunden von der Buchungswebsite auf eine betrügerische Website
35.258.708 € gegen H&M Hennes & Mauritz Online Shop A.B. & Co. KG
Land
Deutschland
Art der Verletzung
Fehlende Rechtsgrundlage, Art. 5, 6 DSGVO
Was ist passiert?
Umfangreiche, unzulässige Erhebung, Speicherung und Auswertung personenbezogener Mitarbeiterdaten, darunter Daten zum Privatleben und zur Gesundheit, zur Verhaltens- und Leistungskontrolle im Arbeitsverhältnis
40.000 € gegen BANKIA, S.A.
Land
Spanien
Art der Verletzung
Verstoß gegen Datenschutzgrundsätze, Art. 5 Abs. 1 lit. b) DSGVO
Was ist passiert?
Unzulässige langjährige Speicherung personenbezogener Daten ehemaliger Bankkunden und unzulässige Weiterverwendung dieser Daten zu anderen Zwecken
250.000 € gegen SPARTOO SAS
Land
Frankreich
Art der Verletzung
Verstoß gegen Datenschutzgrundsätze, Art. 5 Abs. 1 lit. c), e) DSGVO
Was ist passiert?
Millionenfache dauerhafte Speicherung von Kundendaten ohne Löschkonzept, unzulässige Aufzeichnung von Telefongesprächen, unzulässige Identitätsfeststellung mit Hilfe von Personalausweis- und Gesundheitsausweisdaten
830.000 € gegen Stichting Bureau Krediet Registratie (BKR)
Land
Niederlande
Art der Verletzung
Verletzung von Betroffenenrechten, Art. 12, 15 DSGVO
Was ist passiert?
Auskunftsersuchen nur gegen Gebühr
1.240.000 € gegen AOK Baden-Württemberg
Land
Deutschland
Art der Verletzung
Unzureichende technische und organisatorische Maßnahmen, Art. 5, 6, 32 DSGVO
Was ist passiert?
Unzulässige Nutzung personenbezogener Daten von Teilnehmern von Gewinnspielen zu Werbezwecken
100.000 € gegen Posti Oy (Postdienstleister)
Land
Finnland
Art der Verletzung
Unzureichende Erfüllung der Informationspflichten, Art. 13, 14 DSGVO
Was ist passiert?
Intransparente Weitergabe personenbezogener Daten an Dritte
11.000 € gegen Gesundheitsausschuss Örebro
Land
Schweden
Art der Verletzung
Fehlende Rechtsgrundlage, Verstoß gegen Datenschutzgrundsätze, unzureichende technische und organisatorische Maßnahmen, Art. 5, 6, 32 DSGVO
Was ist passiert?
Veröffentlichung sensibler Gesundheitsdaten über die Website des Verantwortlichen
5.000 € gegen Banca Comercială Română S.A.
Land
Rumänien
Art der Verletzung
Unzureichende technische und organisatorische Maßnahmen, Art. 32 DSGVO
Was ist passiert?
Empfang von Fotografien von Personalausweisen zur Legitimierung von Bankgeschäften per WhatsApp
725.000 € gegen unbekannten Verantwortlichen
Land
Niederlande
Art der Verletzung
Unzulässige Verarbeitung biometrischer Daten, Art. 9 Abs. 1 DSGVO
Was ist passiert?
Unzulässige Verarbeitung der Fingerabdrücke von 337 Mitarbeitern durch den Arbeitgeber
525.000 € gegen Tennisverband KNLTB
Land
Niederlande
Art der Verletzung
Fehlende Rechtsgrundlage, Art. 5, 6 DSGVO
Was ist passiert?
Verkauf personenbezogener Daten von 300.000 Mitgliedern an Dritte zu Werbezwecken
10.000 € gegen Rapidata GmbH
Land
Deutschland
Art der Verletzung
Fehlende Bestellung DSB, Art. 37 DSGVO
Was ist passiert?
Fehlende Bestellung eines Datenschutzbeauftragten trotz gesetzlicher Verpflichtung
105.000 € gegen Krankenhaus
Land
Deutschland
Art der Verletzung
Unzureichende technische und organisatorische Maßnahmen, Art. 32 DSGVO
Was ist passiert?
Patientenverwechslung mit falscher Rechnungsstellung
14.500.000 € gegen Deutsche Wohnen SE
Land
Deutschland
Art der Verletzung
Verstoß gegen Datenschutzgrundsätze, Art. 5 DSGVO
Was ist passiert?
Einsatz eines Archivierungssystems ohne Löschmöglichkeit und dadurch zeitlich unbegrenzte Speicherung sensibler personenbezogener Daten von Mietern
100.000 € gegen Lebensmittelhersteller
Land
Deutschland
Art der Verletzung
Unzureichende technische und organisatorische Maßnahmen, Art. 5, 32 DSGVO
Was ist passiert?
Ungesicherte Datenübertragung und Datenspeicherung von Bewerberdaten über die Website des Verantwortlichen, Offenlegung von Bewerberdaten über Google
170.000 € gegen Raiffeisen Bank S.A.
Land
Rumänien
Art der Verletzung
Unzureichende technische und organisatorische Maßnahmen, Art. 32 DSGVO
Was ist passiert?
Unzulässiger Austausch von Kundendaten zwischen zwei Banken per WhatsApp
195.407 € gegen Delivery Hero Germany GmbH
Land
Deutschland
Art der Verletzung
Verletzung von Betroffenenrechten, Art. 15, 17, 21 DSGVO
Was ist passiert?
Zeitlich unbegrenzte Speicherung von Kundendaten, Versendung unerwünschter Werbe-E-Mails, keine Beantwortung von Auskunftsersuchen Betroffener
150.000 € gegen PwC BS
Land
Griechenland
Art der Verletzung
Verstoß gegen Datenschutzgrundsätze, Art. 5 DSGVO
Was ist passiert?
Einholung von Einwilligungen von Mitarbeitern für die Datenverarbeitung im Beschäftigungsverhältnis
460.000 € gegen Krankenhaus
Land
Niederlande
Art der Verletzung
Verstoß gegen Datenschutzgrundsätze, unzureichende technische und organisatorische Maßnahmen, Art. 5 Abs. 1 lit f), 32 DSGVO
Was ist passiert?
Umfangreiche Einräumung von Zugriffsrechten auf Patientendaten
50.000 € gegen Spanischen Fußballliga „La Liga“
Land
Spanien
Art der Verletzung
Fehlende Rechtsgrundlage, Verstoß gegen Datenschutzgrundsätze, Verstoß gegen Widerrufrecht bei Einwilligung, Art. 5, 6, 7 DSGVO
Was ist passiert?
Unzulässige Aufnahmen des Mikrofons sowie Standortdaten von App-Nutzern zur Aufdeckung unlizenzierter Übertragungen von Fußballspielen
400.000 € gegen SERGIC SAS
Land
Frankreich
Art der Verletzung
Verstoß gegen Datenschutzgrundsätze, unzureichende technische und organisatorische Maßnahmen, Art. 5 Abs. 1 lit. e), 32 DSGVO
Was ist passiert?
Ungesicherte Zugriffsmöglichkeit auf sensible personenbezogener Daten von Mietern über die Website des Verantwortlichen
1.400 € gegen Polizist
Land
Deutschland
Art der Verletzung
Fehlende Rechtsgrundlage, Art. 5, 6 DSGVO
Was ist passiert?
Unzulässige Abfrage von Halterdaten eines Kfz zur Erlangung der Rufnummer und Kontaktaufnahme mit einer privaten Zufallsbekanntschaft
80.000 € gegen Finanzdienstleister
Land
Deutschland
Art der Verletzung
Unzureichende technische und organisatorische Maßnahmen, Art. 5, 32 DSGVO
Was ist passiert?
Veröffentlichung sensibler Gesundheitsdaten im Internet
220.000 € gegen Bisnode AB (Bisnode Polska)
Land
Polen
Art der Verletzung
Verletzung von Betroffenenrechten, Art. 14 Abs. 5 DSGVO
Was ist passiert?
Verletzung der Informationspflichten gegenüber 6 Mio. Betroffenen
50.000 € gegen N26 Bank GmbH
Land
Deutschland
Art der Verletzung
Fehlende Rechtsgrundlage, Art. 5, 6 DSGVO
Was ist passiert?
Führen einer „schwarzen Liste“ für Personen, mit denen kein erneutes Vertragsverhältnis eingegangen werden sollte
Bußgeld in unbekannter Höhe gegen Hamburger Volksbank eG
Land
Deutschland
Art der Verletzung
Verletzung von Betroffenenrechten, Art. 21 DSGVO
Was ist passiert?
Versendung von E-Mail-Werbung trotz Vorliegen eines Werbewiderspruchs
20.000 € gegen Hamburger Verkehrsverbund GmbH (HVV GmbH)
Land
Deutschland
Art der Verletzung
Verletzung der Meldepflicht, Art. 33, 34 DSGVO
Was ist passiert?
Ungesicherte Zugriffsmöglichkeit auf personenbezogener Daten anderer Kunden über die Website des Verantwortlichen
51.000 € gegen Facebook Germany GmbH
Land
Deutschland
Art der Verletzung
Fehlende Bestellung DSB, Art. 37 DSGVO
Was ist passiert?
Fehlende Meldung des Datenschutzbeauftragten an die Aufsichtsbehörde trotz gesetzlicher Verpflichtung
294.000 € gegen unbekannten Verantwortlichen
Land
Deutschland
Art der Verletzung
Verstoß gegen Datenschutzgrundsätze, Art. 5 DSGVO
Was ist passiert?
Unnötig lange Aufbewahrung von Personalakten und unzulässige Erhebung von Gesundheitsdaten im Bewerbungsverfahren
5.000 € gegen Kolibri Image Regina und Dirk Maass GbR
Land
Deutschland
Art der Verletzung
Fehlender Vertrag zur Auftragsverarbeitung, Art. 28 Abs. 3 DSGVO
Was ist passiert?
Fehlender Vertrag zur Auftragsverarbeitung
20.000 € gegen Knuddels.de
Land
Deutschland
Art der Verletzung
Unzureichende technische und organisatorische Maßnahmen, Art. 32 DSGVO
Was ist passiert?
Offenlegung personenbezogener Daten von 330.000 Betroffenen durch Hackerangriff
Ihr Schutz vor Bußgeldern
Nur wenn Unternehmen den Datenschutz fest im Griff haben, sind sie vor exorbitanten Bußgeldern sicher geschützt. Wir unterstützen Sie bei dieser Aufgabe und sorgen dafür, dass auch Geschäftsführer wieder ruhig schlafen können.