Zum Hauptinhalt springen

Bußgeld-Monitor

DSGVO-Bußgelder im Überblick

Bußgelder in schwindelerregenden Höhen

Die Datenschutz-Grundverordnung sieht für Datenschutzverstöße empfindliche Bußgelder vor. Während nach dem alten Bundesdatenschutzgesetz Bußgelder von maximal 300.000 Euro möglich waren, beträgt die maximale Geldbuße im Rahmen von Art. 83 DSGVO 20 Millionen Euro oder bis zu 4% des gesamten weltweit erzielten Jahresumsatzes im vorangegangenen Geschäftsjahr.

Während deutsche Aufsichtsbehörden in der ersten zwei Jahren nach Inkrafttreten der DSGVO ihre Aufgabe vorwiegend in der Beratung von Unternehmen sahen, hat sich dies spätestens jetzt geändert. Vermehrt wird in Unternehmen auf die Einhaltung datenschutzrechtlicher Vorschriften überprüft - oftmals themenspezifisch und länderübergreifend.

Besonders spektakuläre und richtungsweisende Bußgelder deutscher und europäischer Aufsichtsbehörden sind auf dieser Seite übersichtlich zusammengestellt.

901.389 € gegen die Vattenfall Europe Sales GmbH

Land

Deutschland

Art der Verletzung

Verstoß gegen Grundsatz der Transparenz, Art. 5 Abs. 1 a) DSGVO

Was ist passiert? 

Vattenfall hat in über 500.000 Fällen Betroffene nicht ausreichend über eine Auswertung von Kundendaten auf „wechselauffälliges Verhalten“ informiert

Mehr erfahren

225.000.000 € gegen WhatsApp Ireland Ltd.

Land

Irland

Art der Verletzung

Verstoß gegen Grundsatz der Transparenz, Art. 5 Abs. 1 a) DSGVO

Was ist passiert? 

WhatsApp ist seinen Transparenzverpflichtungen in Bezug auf die Bereitstellung von Informationen und deren Weiterverarbeitung zwischen WhatsApp und anderen Facebook-Unternehmen nicht nachgekommen

Mehr erfahren

746.000.000 € gegen Amazon Europe Core S.à r.l.

Land

Luxemburg

Art der Verletzung

Fehlende Rechtsgrundlage, Art. 5 Abs. 1 lit. a), 6 Abs. 1 DSGVO

Was ist passiert? 

Nutzer können den Einsatz personalisierter Werbung auf der Webseite des Online-Marktplatzes nicht ablehnen, obwohl die DSGVO dies so vorsieht

Mehr erfahren

400.000 € gegen MONSANTO

Land

Frankreich

Art der Verletzung

Verstoß gegen die Informationspflichten, Art. 14 DSGVO

Was ist passiert? 

Erstellung einer Liste von mehr als 200 Persönlichkeiten inklusive deren Kontaktdaten, die dazu in der Lage sind, die öffentliche Meinung über die Zulassung von Glyphosat in Europa zu beeinflussen

Mehr erfahren

2.520.000 € gegen MERCADONA, S.A.

Land

Spanien

Art der Verletzung

Verstoß gegen Grundsatz der Datenminimierung, Fehlen einer Datenschutzfolgenabschätzung, Art. 5 Abs. 1, 6, 9, 12, 13, 25 Abs. 1, 35 DSGVO

Was ist passiert? 

Umfangreiche Gesichtserkennungssysteme in über 40 Supermärkten

Mehr erfahren

1.750.000 € gegen AG2R LA MONDIALE

Land

Frankreich

Art der Verletzung

Verstoß gegen Grundsatz der Speicherbegrenzung, Art. 5 Abs. 1, 13, 14 DSGVO

Was ist passiert? 

Langfristige Speicherung von fast 2.000 Datensätzen von Interessenten und von mehr als 2.000.000 Datensätzen von Kunden

Mehr erfahren

2.600.000 € gegen Foodinho s.r.l.

Land

Italien

Art der Verletzung

Zahlreiche Verstöße gegen geltende Datenschutzbestimmungen, Art. 5 Abs. 1, 13, 22, 25, 30, 32, 35 und 37 DSGVO

Was ist passiert? 

Verletzung des Beschäftigtendatenschutzes in 19.000 Fällen bei der Essenslieferung

Mehr erfahren

2.856.169 € gegen Iren Mercato S.p.A.

Land

Italien

Art der Verletzung

Verletzung der Grundsätze der Rechtmäßigkeit und Transparenz, Art. 5 Abs. 1 und 2, 6 Abs. 1, 7 Abs. 1 DSGVO

Was ist passiert? 

Durchfühung von Telemarketing-Aktivitäten ohne Einwilligung der Betroffenen / rechtswidriger Verkauf von E-Mail-Adressen zu Werbezwecken

Mehr erfahren

1.566.125 EUR gegen Storstockholms Lokaltrafik (Verkehrsbetrieb)

Land

Schweden

Art der Verletzung

Verletzung der Grundsätze der Rechtmäßigkeit, Transparenz und Zweckbindung sowie der Datenminimierung, Art. 5 Abs. 1 lit. a) und c), Art. 6 Abs. 1 lit. f), Art. 13 DSGVO

Was ist passiert? 

Ausstattung der Fahrkartenkontrolleure mit Bodycams, welche kontinuierlich Video- und Tonaufzeichnungen der Fahrgäste angefertigt haben

Mehr erfahren

475.000 € gegen Booking.com

Land

Niederlande

Art der Verletzung

Verletzung der Meldepflicht, Art. 33 DSGVO

Was ist passiert? 

Offenlegung personenbezogener Daten von 4000 Betroffenen durch Hackerangriff

Mehr erfahren

600.000 € gegen Stadt Enschede (NL)

Land

Niederlande

Art der Verletzung

Fehlende Rechtsgrundlage, Art. 5 Abs. 1 lit. a), 6 Abs. 1 DSGVO

Was ist passiert? 

Unzulässige Erhebung von Bewegungsdaten von Passanten mittels WLAN-Tracking im Zentrum von Enschede

Mehr erfahren

300.000 € gegen VfB Stuttgart 1893 AG

Land

Deutschland

Art der Verletzung

Verstoß gegen die Rechenschaftspflicht, Art. 5 Abs. 2 DSGVO

Was ist passiert? 

Wiederholte Weitergabe von Mitgliederdaten an Dritte

Mehr erfahren

9.600.000 € gegen Grindr LLC

Land

Norwegen

Art der Verletzung

Unrechtmäßige Weitergabe personenbezogener Daten, Art. 9 Abs. 1 DSGVO

Was ist passiert? 

Weitergabe sensibler personenbezogener Daten zur sexuellen Orientierung an Dritte

Mehr erfahren

10.400.000 € gegen notebooksbilliger.de

Land

Deutschland

Art der Verletzung

Fehlende Rechtsgrundlage, Art. 5, 6 DSGVO

Was ist passiert? 

Unzulässige Videoüberwachung von Mitarbeitern über mehrere Jahre

Mehr erfahren

145.000 € gegen Cell it! GmbH & Co. KG

Land

Deutschland

Art der Verletzung

Fehlende Rechtsgrundlage, Art. 5, 6 DSGVO

Was ist passiert? 

Wiederholte Werbeanrufe ohne gültige Einwilligung, unerlaubter Handel mit Adressdaten

Mehr erfahren

60.000.000 € und 40.000.000 € gegen Google LLC und Google Ireland Ltd.

Land

Frankreich

Art der Verletzung

Fehlende Rechtsgrundlage, Verstoß gegen Datenschutzgrundsätze, Art. 5, 6 DSGVO

Was ist passiert? 

Intransparenter Einsatz von Werbecookies ohne gültige Einwilligung und ohne Widerspruchsmöglichkeit

Mehr erfahren

18.000.000 € gegen Österreichische Post AG (ÖPAG)

Land

Österreich

Art der Verletzung

Fehlende Rechtsgrundlage, Verstoß gegen Datenschutzgrundsätze, unbefugte Weitergabe personenbezogener Daten, Art. 5, 6 DSGVO

Was ist passiert? 

Unzulässiges Profiling im Hinblick auf die politische Meinung, Verkauf der Daten u.a. an politische Parteien

Mehr erfahren

12.250.000 € gegen Vodafone Italia S.p.A.

Land

Italien

Art der Verletzung

Fehlende Rechtsgrundlage, Verstoß gegen Datenschutzgrundsätze, unzureichende technische und organisatorische Maßnahmen, Art. 5, 6, 32 DSGVO

Was ist passiert? 

Wiederholte Werbeanrufe an Bestands- und Neukunden ohne gültige Einwilligung, unerlaubter Handel mit Adressdaten

Mehr erfahren

1.400.000 € gegen Ticketmaster UK Limited

Land

UK

Art der Verletzung

Unzureichende technische und organisatorische Maßnahmen, Art. 32 DSGVO

Was ist passiert? 

Offenlegung personenbezogener Daten, darunter Kreditkartendaten, von 9,4 Mio. Betroffenen durch Hackerangriff

Mehr erfahren

900.000 € gegen 1&1 Telecom GmbH

Land

Deutschland

Art der Verletzung

Unzureichende technische und organisatorische Maßnahmen, Art. 32 DSGVO

Was ist passiert? 

Mangelhafter Authentifizierungsprozess in der Kunden-Hotline

Mehr erfahren

21.100.000 € gegen Marriott International Inc.

Land

UK

Art der Verletzung

Unzureichende technische und organisatorische Maßnahmen, Art. 32 DSGVO

Was ist passiert? 

Offenlegung personenbezogener Daten von 339 Mio. Betroffenen durch Hackerangriff

Mehr erfahren

23.000.000 € gegen British Airways

Land

UK

Art der Verletzung

Unzureichende technische und organisatorische Maßnahmen, Art. 32 DSGVO

Was ist passiert? 

Abfluss personenbezogener Daten von 500.000 Betroffenen über eine Umleitung von Kunden von der Buchungswebsite auf eine betrügerische Website

Mehr erfahren

35.258.708 € gegen H&M Hennes & Mauritz Online Shop A.B. & Co. KG

Land

Deutschland

Art der Verletzung

Fehlende Rechtsgrundlage, Art. 5, 6 DSGVO

Was ist passiert? 

Umfangreiche, unzulässige Erhebung, Speicherung und Auswertung personenbezogener Mitarbeiterdaten, darunter Daten zum Privatleben und zur Gesundheit, zur Verhaltens- und Leistungskontrolle im Arbeitsverhältnis

Mehr erfahren

40.000 € gegen BANKIA, S.A.

Land

Spanien

Art der Verletzung

Verstoß gegen Datenschutzgrundsätze, Art. 5 Abs. 1 lit. b) DSGVO

Was ist passiert? 

Unzulässige langjährige Speicherung personenbezogener Daten ehemaliger Bankkunden und unzulässige Weiterverwendung dieser Daten zu anderen Zwecken

Mehr erfahren

250.000 € gegen SPARTOO SAS

Land

Frankreich

Art der Verletzung

Verstoß gegen Datenschutzgrundsätze, Art. 5 Abs. 1 lit. c), e) DSGVO

Was ist passiert? 

Millionenfache dauerhafte Speicherung von Kundendaten ohne Löschkonzept, unzulässige Aufzeichnung von Telefongesprächen, unzulässige Identitätsfeststellung mit Hilfe von Personalausweis- und Gesundheitsausweisdaten

Mehr erfahren

830.000 € gegen Stichting Bureau Krediet Registratie (BKR)

Land

Niederlande

Art der Verletzung

Verletzung von Betroffenenrechten, Art. 12, 15 DSGVO

Was ist passiert? 

Auskunftsersuchen nur gegen Gebühr

Mehr erfahren

1.240.000 € gegen AOK Baden-Württemberg

Land

Deutschland

Art der Verletzung

Unzureichende technische und organisatorische Maßnahmen, Art. 5, 6, 32 DSGVO

Was ist passiert? 

Unzulässige Nutzung personenbezogener Daten von Teilnehmern von Gewinnspielen zu Werbezwecken

Mehr erfahren

100.000 € gegen Posti Oy (Postdienstleister)

Land

Finnland

Art der Verletzung

Unzureichende Erfüllung der Informationspflichten, Art. 13, 14 DSGVO

Was ist passiert? 

Intransparente Weitergabe personenbezogener Daten an Dritte

Mehr erfahren

11.000 € gegen Gesundheitsausschuss Örebro

Land

Schweden

Art der Verletzung

Fehlende Rechtsgrundlage, Verstoß gegen Datenschutzgrundsätze, unzureichende technische und organisatorische Maßnahmen, Art. 5, 6, 32 DSGVO

Was ist passiert? 

Veröffentlichung sensibler Gesundheitsdaten über die Website des Verantwortlichen

Mehr erfahren

5.000 € gegen Banca Comercială Română S.A.

Land

Rumänien

Art der Verletzung

Unzureichende technische und organisatorische Maßnahmen, Art. 32 DSGVO

Was ist passiert? 

Empfang von Fotografien von Personalausweisen zur Legitimierung von Bankgeschäften per WhatsApp

Mehr erfahren

725.000 € gegen unbekannten Verantwortlichen

Land

Niederlande

Art der Verletzung

Unzulässige Verarbeitung biometrischer Daten, Art. 9 Abs. 1 DSGVO

Was ist passiert? 

Unzulässige Verarbeitung der Fingerabdrücke von 337 Mitarbeitern durch den Arbeitgeber

Mehr erfahren

525.000 € gegen Tennisverband KNLTB

Land

Niederlande

Art der Verletzung

Fehlende Rechtsgrundlage, Art. 5, 6 DSGVO

Was ist passiert? 

Verkauf personenbezogener Daten von 300.000 Mitgliedern an Dritte zu Werbezwecken

Mehr erfahren

10.000 € gegen Rapidata GmbH

Land

Deutschland

Art der Verletzung

Fehlende Bestellung DSB, Art. 37 DSGVO

Was ist passiert? 

Fehlende Bestellung eines Datenschutzbeauftragten trotz gesetzlicher Verpflichtung

Mehr erfahren

105.000 € gegen Krankenhaus

Land

Deutschland

Art der Verletzung

Unzureichende technische und organisatorische Maßnahmen, Art. 32 DSGVO

Was ist passiert? 

Patientenverwechslung mit falscher Rechnungsstellung

Mehr erfahren

14.500.000 € gegen Deutsche Wohnen SE

Land

Deutschland

Art der Verletzung

Verstoß gegen Datenschutzgrundsätze, Art. 5 DSGVO

Was ist passiert? 

Einsatz eines Archivierungssystems ohne Löschmöglichkeit und dadurch zeitlich unbegrenzte Speicherung sensibler personenbezogener Daten von Mietern

Mehr erfahren

100.000 € gegen Lebensmittelhersteller

Land

Deutschland

Art der Verletzung

Unzureichende technische und organisatorische Maßnahmen, Art. 5, 32 DSGVO

Was ist passiert? 

Ungesicherte Datenübertragung und Datenspeicherung von Bewerberdaten über die Website des Verantwortlichen, Offenlegung von Bewerberdaten über Google

Mehr erfahren

170.000 € gegen Raiffeisen Bank S.A.

Land

Rumänien

Art der Verletzung

Unzureichende technische und organisatorische Maßnahmen, Art. 32 DSGVO

Was ist passiert? 

Unzulässiger Austausch von Kundendaten zwischen zwei Banken per WhatsApp

Mehr erfahren

195.407 € gegen Delivery Hero Germany GmbH

Land

Deutschland

Art der Verletzung

Verletzung von Betroffenenrechten, Art. 15, 17, 21 DSGVO

Was ist passiert? 

Zeitlich unbegrenzte Speicherung von Kundendaten, Versendung unerwünschter Werbe-E-Mails, keine Beantwortung von Auskunftsersuchen Betroffener

Mehr erfahren

150.000 € gegen PwC BS

Land

Griechenland

Art der Verletzung

Verstoß gegen Datenschutzgrundsätze, Art. 5 DSGVO

Was ist passiert? 

Einholung von Einwilligungen von Mitarbeitern für die Datenverarbeitung im Beschäftigungsverhältnis

Mehr erfahren

460.000 € gegen Krankenhaus

Land

Niederlande

Art der Verletzung

Verstoß gegen Datenschutzgrundsätze, unzureichende technische und organisatorische Maßnahmen, Art. 5 Abs. 1 lit f), 32 DSGVO

Was ist passiert? 

Umfangreiche Einräumung von Zugriffsrechten auf Patientendaten

Mehr erfahren

50.000 € gegen Spanischen Fußballliga „La Liga“

Land

Spanien

Art der Verletzung

Fehlende Rechtsgrundlage, Verstoß gegen Datenschutzgrundsätze, Verstoß gegen Widerrufrecht bei Einwilligung, Art. 5, 6, 7 DSGVO

Was ist passiert? 

Unzulässige Aufnahmen des Mikrofons sowie Standortdaten von App-Nutzern zur Aufdeckung unlizenzierter Übertragungen von Fußballspielen

Mehr erfahren

400.000 € gegen SERGIC SAS

Land

Frankreich

Art der Verletzung

Verstoß gegen Datenschutzgrundsätze, unzureichende technische und organisatorische Maßnahmen, Art. 5 Abs. 1 lit. e), 32 DSGVO

Was ist passiert? 

Ungesicherte Zugriffsmöglichkeit auf sensible personenbezogener Daten von Mietern über die Website des Verantwortlichen

Mehr erfahren

1.400 € gegen Polizist

Land

Deutschland

Art der Verletzung

Fehlende Rechtsgrundlage, Art. 5, 6 DSGVO

Was ist passiert? 

Unzulässige Abfrage von Halterdaten eines Kfz zur Erlangung der Rufnummer und Kontaktaufnahme mit einer privaten Zufallsbekanntschaft

Mehr erfahren

80.000 € gegen Finanzdienstleister

Land

Deutschland

Art der Verletzung

Unzureichende technische und organisatorische Maßnahmen, Art. 5, 32 DSGVO

Was ist passiert? 

Veröffentlichung sensibler Gesundheitsdaten im Internet

Mehr erfahren

220.000 € gegen Bisnode AB (Bisnode Polska)

Land

Polen

Art der Verletzung

Verletzung von Betroffenenrechten, Art. 14 Abs. 5 DSGVO

Was ist passiert? 

Verletzung der Informationspflichten gegenüber 6 Mio. Betroffenen

Mehr erfahren

50.000 € gegen N26 Bank GmbH

Land

Deutschland

Art der Verletzung

Fehlende Rechtsgrundlage, Art. 5, 6 DSGVO

Was ist passiert? 

Führen einer „schwarzen Liste“ für Personen, mit denen kein erneutes Vertragsverhältnis eingegangen werden sollte

Mehr erfahren

Bußgeld in unbekannter Höhe gegen Hamburger Volksbank eG

Land

Deutschland

Art der Verletzung

Verletzung von Betroffenenrechten, Art. 21 DSGVO

Was ist passiert? 

Versendung von E-Mail-Werbung trotz Vorliegen eines Werbewiderspruchs

Mehr erfahren

20.000 € gegen Hamburger Verkehrsverbund GmbH (HVV GmbH)

Land

Deutschland

Art der Verletzung

Verletzung der Meldepflicht, Art. 33, 34 DSGVO

Was ist passiert? 

Ungesicherte Zugriffsmöglichkeit auf personenbezogener Daten anderer Kunden über die Website des Verantwortlichen

Mehr erfahren

51.000 € gegen Facebook Germany GmbH

Land

Deutschland

Art der Verletzung

Fehlende Bestellung DSB, Art. 37 DSGVO

Was ist passiert? 

Fehlende Meldung des Datenschutzbeauftragten an die Aufsichtsbehörde trotz gesetzlicher Verpflichtung

Mehr erfahren

294.000 € gegen unbekannten Verantwortlichen

Land

Deutschland

Art der Verletzung

Verstoß gegen Datenschutzgrundsätze, Art. 5 DSGVO

Was ist passiert? 

Unnötig lange Aufbewahrung von Personalakten und unzulässige Erhebung von Gesundheitsdaten im Bewerbungsverfahren

Mehr erfahren

5.000 € gegen Kolibri Image Regina und Dirk Maass GbR

Land

Deutschland

Art der Verletzung

Fehlender Vertrag zur Auftragsverarbeitung, Art. 28 Abs. 3 DSGVO

Was ist passiert? 

Fehlender Vertrag zur Auftragsverarbeitung

Mehr erfahren

20.000 € gegen Knuddels.de

Land

Deutschland

Art der Verletzung

Unzureichende technische und organisatorische Maßnahmen, Art. 32 DSGVO

Was ist passiert? 

Offenlegung personenbezogener Daten von 330.000 Betroffenen durch Hackerangriff

Mehr erfahren

Ihr Schutz vor Bußgeldern

Nur wenn Unternehmen den Datenschutz fest im Griff haben, sind sie vor exorbitanten Bußgeldern sicher geschützt. Wir unterstützen Sie bei dieser Aufgabe und sorgen dafür, dass auch Geschäftsführer wieder ruhig schlafen können.

Kostenloses Erstgespräch vereinbaren