Datenschutz: 2021 ist das Jahr mit den bisher höchsten Bußgeldern
Rechtliche Unsicherheit bei der Drittstaatenübermittlung
Bereits im Juli 2020 erklärte der Europäische Gerichtshof das US-Privacy-Shield, das bis dahin die Datenübermittlung zwischen den USA und der Europäischen Union bestimmte, für nichtig. Dadurch entstand eine rechtliche Lücke, die für große Unsicherheit bei Unternehmen sorgte – besonders da die Aufsichtsbehörden die Drittstaatenübermittlung 2021 vermehrt auf den Prüfstand stellten. In unserem DSGVO-Faktencheck haben wir die Thematik inklusive Handlungsanweisungen für Unternehmen bereits zusammengefasst.
Ein Grund, warum die Beträge der Bußgelder 2021 so stark nach oben gingen, ist aber sicher auch, dass sich die Aufsichtsbehörden verstärkt die großen Tech-Unternehmen vornahmen: Facebook etwa erhielt gleich zwei Strafen – für ihre Social-Media-Plattform und für den Messengerdienst WhatsApp. Auch TikTok kassierte eine Datenschutzstrafe, ebenso wie Amazon. Neben den Großkonzernen bekamen aber auch kleinere Unternehmen relativ hohe Bußgelder. Wir haben uns einige der interessantesten Fälle mal genauer für Sie angesehen.
Wie sich die Höhe von DSGVO-Bußgeldern errechnet, haben wir in folgendem Artikel für Sie erläutert: Formel für DSGVO-Bußgelder: So errechnet sich die Höhe des Bußgeldes bei einem Datenschutzverstoß
65.500 Euro DSGVO-Strafe für veraltete Software
Dieser Fall gehört definitiv zu den vermeidbaren Fehlern: Ein Unternehmen aus Niedersachsen wurde im August 2021 zu einer Datenschutzstrafe in Höhe von 65.500 Euro verdonnert. Grund war die Verwendung einer veralteten Software für den Betrieb der Firmenwebsite. Medienberichten zufolge ging bei der zuständigen Datenschutzbehörde von Niedersachsen eine Meldung bezüglich eines Datenschutzvorfalls ein. Bei genauerer Überprüfung der Website stellte sich heraus, dass die Software bereits seit 2014 veraltet war und auch die Passwörter nicht ausreichend geschützt waren.
Gerade für kleine und mittelständische Unternehmen kann sich eine DSGVO-Strafe empfindlich auf die Existenz auswirken. Deshalb empfehlen wir die Absicherung dagegen mit einer Berufshaftpflichtversicherung – wie diese Sie bei Bußgeldern absichert, haben wir in folgendem Video zusammengefasst:
475.000 Euro Strafe für Booking.com wegen verspäteter Meldung
Im April 2021 verhängte die niederländische Datenschutzbehörde ein Bußgeld gegen Booking.com in Höhe von 475.000 Euro. Grund: Die Reiseplattform hatte der Behörde einen Datenschutzvorfall erst nach 22 Tagen, statt der gesetzlich vorgeschriebenen 72 Stunden gemeldet. Der Vorfall passierte bereits im Dezember 2018, als mehrere Hotels versehentlich Kontodaten an Online-Betrüger:innen weitergaben. Die Plattform selbst erfuhr am 13. Januar 2019 davon, meldete das Vorkommnis aber erst am 07. Februar 2019 der zuständigen Behörde. Dieses Beispiel zeigt gut, dass auch verhältnismäßig „kleine“ Versäumnisse, wie eine verzögerte Meldung eines Datenschutzvorfalls, mit hohen Strafen seitens der Datenschutzbehörden geahndet werden.
750.000 Euro Datenschutzstrafe gegen TikTok
Seit 2020 ist TikTok nicht mehr wegzudenken aus der Social-Media-Welt, gerade in der jungen Zielgruppe der 14 bis 20-Jährigen erfreut sich das Video-Portal weiterhin steigender Beliebtheit. Leider schludert das Video-Portal aber offenbar gerade beim Schutz der Privatsphäre der minderjährigen Nutzer:innen. Nach einer eingehenden Untersuchung verhängte deshalb die niederländische Datenschutzbehörde ein Bußgeld in Höhe von 750.000 Euro. Alle Details zu dem Fall finden Sie in unserem Artikel „Privatsphäre verletzt? Aufsichtsbehörden untersuchen Datenschutzverstöße von TikTok“.
Wer TikTok oder andere soziale Netzwerke nutzt, um Marken oder Unternehmen zu bewerben – sowohl fürs eigene Business als auch das Ihrer Auftraggeber:innen – der muss bei der Verwendung von lizenzpflichtiger Musik einiges beachten. Mehr dazu lesen Sie in folgendem Artikel: Das sollten Sie über die Verwendung lizenzpflichtiger Musik auf TikTok, YouTube, Instagram und Co. wissen
7 Millionen Euro DSGVO-Strafe für Facebook wegen intransparenten Datenschutzbestimmungen
Facebook erhält bereits zum zweiten Mal eine hohe DSGVO-Strafe. Grund: Aus den Datenschutzbestimmungen der Plattform ist nach wie vor nicht ersichtlich, welche personenbezogenen Daten das Unternehmen verarbeitet. Zwar hat Facebook seine Datenschutzbestimmungen bereits nach der ersten Strafe 2018 angepasst, nach Ansicht der italienischen Datenschutzbehörde aber nicht in einem ausreichenden Maß. Die Folge ist nun ein erneutes Bußgeld in Höhe von 7 Millionen Euro. Facebook kündigte bereits an, das Urteil anfechten zu wollen.
Insgesamt 9,5 Millionen Euro aus 28 Datenschutzstrafen für Vodafone
Das Telekommunikationsunternehmen Vodafone „sammelt“ 2021 in ganz Europa Datenschutzstrafen. Alleine in Spanien bekam der Konzern im Februar 2021 Bußgeld in Höhe von 8 Millionen Euro auferlegt. In Rumänien soll Vodafone 2.915 Euro zahlen, wegen des unberechtigten Zugriffs auf Kundendaten durch Mitarbeiter:innen. Dazu kommen weitere Strafen aus Deutschland, Irland und Italien – insgesamt 28 Strafen gegen den Mobilfunkanbieter finden sich 2021 in der Bußgeld-Datenbank dsgvo-portal.de.
Grund für die Strafen sind meist der unberechtigte Zugriff oder die Weitergabe von Kundendaten an Vertriebspartner:innen, sowie unzulässige Werbeanrufe, SMS und Mails an Kundinnen und Kunden, obwohl diese explizit untersagt wurden. Ebenfalls wurden die Rechte der Kundschaft verletzt, weil der Aufforderung zur Datenlöschung oder zur Datenkorrektur nicht nachgekommen wurde.
9,5 Millionen Euro DSGVO-Bußgeld gegen die Österreichische Post AG
In Österreich handelte sich die Österreichische Post AG im September 2021 ein saftiges Bußgeld in Höhe von 9,5 Millionen Euro ein. Grund ist ein Verstoß gegen Art 12 DSGVO und Art 15 DSGVO – demnach ließ das Unternehmen keine datenschutzrechtlichen Anfragen per E-Mail zu. Lediglich per Post, über den Kundenservice und per Kontaktformular konnten Anfragen gestellt werden. Die Österreichische Post AG kündigte an, gegen die Entscheidung der Datenschutzbehörde Rechtsmittel einzuleiten.
Unzulässige Videoüberwachung? Notebooksbilliger soll 10,4 Millionen Euro Strafe zahlen
Das deutsche Unternehmen Notebooksbilliger soll über einen Zeitraum von mindestens zwei Jahren die Angestellten per Video überwacht haben, ohne dass es dafür eine Rechtsgrundlage gab. Das zumindest teilte die Landesbeauftragte für Datenschutz (LfD) Niedersachsen, Barbara Thiel, mit und verhängte im Januar 2021 ein Bußgeld in Höhe von saftigen 10,4 Millionen Euro. Notebooksbilliger dementiert die Vorwürfe und hat Einspruch gegen den Bußgeldbescheid eingelegt. Für Videoüberwachung von Mitarbeiterinnen und Mitarbeitern gibt es strenge Regeln. So wird stets geprüft, ob eine Videoaufzeichnung für den beabsichtigten Zweck wirklich erforderlich ist oder ob es auch mildere Mittel gibt.
Intransparenz bei der Datenverarbeitung: 225 Millionen Euro Strafe für WhatsApp
Nach Facebook selbst hat es auch die Tochterfirma WhatsApp im Jahr 2021 erwischt: 225 Millionen Euro Strafe soll das Unternehmen wegen fehlender Transparenz bei der Verarbeitung und Weitergabe persönlicher Daten der Nutzer:innen bezahlen. Bereits 2018 hatte die irische Datenschutzbehörde eine Untersuchung gegen WhatsApp eingeleitet, da hier – wie eben bei der Plattform Facebook auch - die Verwendung der Daten undurchsichtig ist. WhatsApp kündigte an, gegen das Urteil in Berufung zu gehen.
746 Millionen Euro – Rekordstrafe für Amazon
Ein Rekord, über den sich Amazon nicht freuen dürfte: Im Juli 2021 verhängte die luxemburgische Datenschutzbehörde CNPD (Commission Nationale pour la Protection des Données) das bisher höchste Bußgeld in der Geschichte der DSGVO. 746 Millionen Euro soll Amazon zahlen. Grund dafür soll das von Amazon angewendete Online-Targeting sein. So sammelt das Unternehmen wohl im großen Stil Daten – sowohl auf den eigenen Seiten, als auch auf Drittseiten – und nutzt diese für personalisierte Werbung. Amazon will das Urteil nicht annehmen und Widerspruch gegen die Entscheidung einlegen.
DSGVO-Strafen: Ein Risiko für jedes Unternehmen
Diese Beispiele zeigen sehr schön, dass DSGVO-Strafen jedes Business – egal ob One-Man/Woman-Show oder Großkonzern – aus unterschiedlichsten Gründen treffen können. Die Datenschutzbehörden der einzelnen Länder nehmen zudem auch weiterhin Verstöße gegen die Datenschutz-Grundverordnung sehr ernst. Egal ob Sie Freelancer:in sind oder ein Unternehmen leiten: Sie sollten in jedem Fall entweder eine/n (externen oder internen) Mitarbeiter:in haben, die/der in Sachen Datenschutzbestimmungen stets auf dem neuesten Stand ist oder eben selbst regelmäßig die Rechtssituation, sowie Ihre Kanäle überprüfen.
Abgesichert auch bei DSGVO-Strafen: Mit der Berufshaftpflicht über exali
Im Bereich der Datenschutzgrundverordnung gibt es immer wieder neue Urteile (siehe das eingangs erwähnte Privacy Shield). Dabei fällt es oft schwer, den Überblick zu behalten. Mit einer Berufshaftpflichtversicherung über exali sind Sie selbst im Falle von Datenschutzpannen geschützt, aber auch wenn eine Kundin oder ein Kunde von ihnen eine DSGVO-Abmahnung oder ein behördliches Bußgeld erhält und von Ihnen auf dem Regresswege Schadenersatz dafür fordert. Selbst ein gegen Sie direkt verhängtes Bußgeld kann der Berufshaftpflichtversicherer übernehmen, soweit dies nach jeweils gültigem Landesrecht zulässig ist.
Unsere Kundenbetreuer:innen erläutern Ihnen gerne weitere Details zur Berufshaftpflichtversicherung und welche Haftpflicht für Ihre Business die Passendste ist. Sie erreichen unser Kundenservice-Team telefonisch unter 0821 / 80 99 46 - 0 (Montag bis Freitag von 09:00 Uhr bis 18:00 Uhr) und über unser Kontaktformular.