Durch die mediale Hysterie bei der Einführung der DSGVO letztes Jahr fürchteten viele eine große Bußgeld- und Abmahnwelle. Diese blieb dann allerdings aus.
Inzwischen haben die Aufsichtsbehörden aber die ersten Bußgelder verhängt.
Um Ihnen einen Überblick zu verschaffen, welche Vorfälle sanktioniert wurden und in welchem Rahmen sich die verhängten Bußgelder bewegen haben wir eine kleine Auswahl der sanktionierten Vorfälle aufgestellt.
Bitte beachten Sie, dass noch nicht alle verhängten Bußgelder endgültig und rechtskräftig sind.
Ungarn: Nicht durchgeführte Meldung eines Datenschutzvorfalls als ein Flash Drive mit personenbezogenen Daten verloren ging. Verstoss gegen Art. 33 DSGVO (Fehlende Meldung eines Datenschutzvorfalls) - € 15.000
Österreich: Unzureichendes Nachkommen der Auskunftsverpflichtungen und Nicht-Bestellung eines Datenschutzbeauftragten durch ein Unternehmen aus der Medizinbranche. Verstoss gegen Art. 13 DSGVO und Art 37 DSGVO (Nichtnachkommen der Auskunftspflicht und Nichtbenennung eines Datenschutz-beauftragten) - € 50.000
Lettland: Ein Onlinehändler kam der wiederholten Forderung der Löschung einer Telefonnummer, die er im Zuge einer Bestellung erhalten hatte nicht nach. Er sendet zusätzliche Werbe SMS an die Mobiltelefonnummer der betroffenen Person. Verstoss gegen Art. 17 DSGVO (Nichterfüllung der Betroffenenrechte) - € 7.000
Vereinigtes Königreich: Eine Britische Fluggesellschaft hatte der Aufsichtsbehörde gemeldet, dass ihre Internetseite gehakt worden war und ein Teil des Kundenverkehrs auf eine gefälschte Seite umgeleitete wurde um dort Informationen über die Besucher gesammelt. Die Aufsichtsbehörde befand, dass die Sicherheitsvorkehrungen des Unternehmens im Bereich Log In, Bezahlvorgang und Buchungen unzureichend gewesen seien. Verstoss gegen Art. 32 DSGVO
(Unzureichende technische und organisatorische Maßnahmen) - € 204.600.000
Deutschland: Ein Polizeibeamter nutzte seine offizielle Nutzerkennung, ohne dienstlichen Anlass um eine Halteranfrage über das Nummernschild der Person durchzuführen. Anschließend nutzte er die so erhaltenen personenbezogenen Daten um über Anfrage bei der Bundesnetzagentur an die Telefon- und Mobiltelefonnummer der betroffenen Person zu bekommen. Daraufhin kontaktierte der Polizeibeamte die betroffene Person ohne dienstlichen Anlass oder Einwilligung.
Die Aufsichtsbehörde befand, dass der Polizeibeamte die Anfrage zu privaten Zwecken und nicht in seiner offiziellen Funktion durchgeführt habe. Die Zuwiderhandlung sei dadurch nicht der Dienststelle des Polizeibeamten zuzurechnen. Auch sei der Polizeibeamte in diesem Fall nicht als separate öffentliche Stelle nach § 2 (1) oder (2) LDSG zu betrachten. Hierdurch findet § 28 LDSG keine Anwendung, der Bußgelder gegen öffentliche Stellen untersagt. Verstoss gegen Art. 6 DSGVO (fehlende Rechtsgrundlage) - € 1.400
Spanien: Eine betroffene Person gab an, dass ein Kosmetikunternehmen seine Identität nicht ausreichend überprüft habe was dazu führte, dass eine dritte Partei seine personenbezogenen Daten in betrügerischer Absicht genutzt habe. Als Folge dessen seien die Daten der betroffenen Person in einem Register mit fälligen Ansprüchen eingetragen worden, was die betroffene Person davon abhielt seine Bankgeschäfte durchzuführen. Verstoss gegen Art. 6 DSGVO
(fehlende Rechtsgrundlage) - € 60.000
Deutschland: Ein Bußgeld wurde gegen eine Privatperson verhängt, die mehrere Emails versendet hatte, bei der sie private Emailadressen verwendete, die alle Empfänger einsehen konnten. Der Person werden 10 Fälle vorgeworfen in denen zwischen 131 und 153 Emailadresse identifizierbar waren. Verstoss gegenArt. 5 DSGVO, Art. 6 DSGVO (fehlende Rechtsgrundlage) - € 2.000
