Top 3 DSGVO-Bußgelder August 2022

Bayreuth, 08.09.2022 — Auch im August 2022 wurden wieder hohe Bußgelder auf Grund von Verstößen gegen die DSGVO verhängt. Je nach Einzelfall können diese Bußgelder bis zu 20 Mio. Euro (bzw. 4% des gesamten Vorjahresumsatzes) betragen. Deshalb stellen wir Ihnen hier die Top Bußgelder vor, welche die Aufsichtsbehörden im August verhängt haben, damit Sie Ihre vorhandenen Prozesse nochmals überprüfen und präventiv Maßnahmen ergreifen können.


1. Verstoß gegen die Informationspflicht aus Art. 12, 13 DSGVO durch automatische Newsletteranmeldung


Die französiche Aufsichtsbehörde Commission Nationale de l'Informatique et des Libertes (CNIL) hat gegen ein Hotel ein Bußgeld in Höhe von 600.000,00€ auf Grund eines Verstoßes gegen die Informationspflichten aus Art. 12 und 13 DSGVO verhängt.


Ein Luxushotel hat Kunden, welche eine Online-Buchung abschlossen automatisch mittels einer vorausgefüllten Check-Box für einen Marketing-Newsletter angemeldet. Kunden welche die Check-Box nicht deaktivierten erhielten fortan regelmäßig Werbung. Hinzu kam, dass technische Probleme aus der Sphäre des Hotels es unmöglich machten den Newsletter zu deabonnieren. Auch Auskunftsanfragen wurden nicht rechtzeitig beantwortet.


In diesem Verhalten sah die französiche Aufsichtsbehörde einen Verstoß gegen die Informationspflicht aus Art. 12, 13 DSGVO. Das Hotel hätte über die Datenverarbeitung zur Zusendung des Newsletters auf Basis einer Einwilligung informieren müssen. Außerdem sei die fehlende Abmeldemöglichkeit ein Verstoß gegen das Widerspruchsrecht des Betroffenen aus Art. 21 DSGVO. Die nicht fristgerechte Beantwortung der Auskunftsverlangen ist weiterhin ein Verstoß gegen Art. 15 DSGVO.


2. Verstoß gegen die Benachrichtigungspflicht der von einer Datenpanne betroffenen Person gem. Art. 34 DSGVO


Der Isle of Man Information Commissioner (IOM) verhängte gegen ein Gesundheitsunternehmen ein Bußgeld in Höhe von £170.500 (202.084,00€), da dieses eine betroffene Person nach einer Datenpanne nicht informiert hat.


Das Unternehmen hatte unverschlüsselte Gesundheitsdaten eines Patienten im Anhang einer E-Mail an 1870 unberechtigte Empfänger versendet. Obwohl man die Datenpanne bemerkte, informierte man den betroffenen Patienten nicht. Schon in der Vergangenheit war das Unternehmen durch mangelhafte technische und organisatorische Maßnahmen zum Schutz der sensiblen Patientendaten aufgefallen.


In diesem Verhalten sah die Aufsichtsbehörde einen Verstoß gegen Art. 34 DSGVO. Hat eine Datenpanne voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten einer natürlichen Personen zur Folge, so muss diese unverzüglich benachrichtigt werden. Weiterhin handelt es sich um einen anhaltenden Verstoß gegen die Pflicht geeignete technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten zu implementieren (Art. 5 Abs. 1 lit. c und f, Abs. 2, 24, 25 DSGVO).


3. Verstoß gegen das Auskunftsrecht gemäß Art. 15 DSGVO und den Grundsatz der Verfügbarkeit gemäß Art. 32 Abs. 1 lit. c DSGVO durch den Verlust von Patientendaten


Die Datenschutzaufsichtsbehörde Griechenlands verhängte gegen eine Polyklinik ein Bußgeld in Höhe von 30.000,00€ auf Grund des Verlusts von Patientendaten wegen unzureichender technischer Maßnahmen zur datenschutzkonformen Speicherung.


Die Polyklinik besaß schlicht keine Möglichkeit, um die verarbeiteten Patientendaten langfristig und sicher zu speichern. Dieses Fehlverhalten wurde im Rahmen einer Untersuchung der Aufsichtsberhörde aufgedeckt. Anlass der Untersuchung war das Auskunftsersuchen eines Patienten, welchem das Unternehmen nicht hinreichend nachkam.


In diesem Verhalten sah die Aufsichtsbehörde einen Verstoß gegen Art. 32 Abs. 1 lit. c DSGVO. Der Verantwortliche hat die Pflicht die Daten vor Verlust zu schützen. Dies hat durch geeignete technische und organisatorische Maßnahmen zu erfolgen. Außerdem stellt die magelhafte Beantwortung des Auskunftsersuchens einen Verstoß gegen Art. 15 DSGVO dar.

23 Ansichten