Aktueller Praxisbericht zu Bußgeldern im Rahmen der DSGVO

Im Jahr 2024 wurden erneut zahlreiche hohe Bußgelder im Rahmen der DSGVO verhängt. Diese Sanktionen dienen dazu, Verstöße gegen den Datenschutz in Europa zu ahnden und Unternehmen zu einem verantwortungsvollen Umgang mit personenbezogenen Daten zu verpflichten. Im Folgenden werden einige der bedeutendsten Bußgelder im Bereich von 100.000 Euro bis 20 Millionen Euro vorgestellt.

1. Bußgeld gegen Uber: 10 Millionen Euro

Im März 2024 verhängte die niederländische Datenschutzbehörde (Autoriteit Persoonsgegevens) ein Bußgeld von 10 Millionen Euro gegen Uber. Der Fahrdienstleister hatte versäumt, einen schweren Datenschutzvorfall, bei dem Hacker auf die Daten von Millionen Kunden und Fahrern zugriffen, zeitnah zu melden. Uber hatte den Vorfall erst Monate später öffentlich gemacht, was als Verstoß gegen die Meldepflichten der DSGVO bewertet wurde.

Die Behörde betonte, dass schnelle Reaktionen auf Datenschutzverletzungen essenziell seien, um die Rechte der Betroffenen zu schützen. Uber kündigte daraufhin an, seine internen Sicherheitsprotokolle zu verschärfen, um zukünftige Verstöße zu vermeiden.

2. Bußgeld gegen H&M: 1,5 Millionen Euro

Im April 2024 wurde die Modekette H&M von der schwedischen Datenschutzbehörde mit einem Bußgeld von 1,5 Millionen Euro belegt. Der Vorwurf lautete, dass H&M in seinen Filialen umfangreiche und detaillierte Mitarbeiterdaten ohne ausreichende Rechtsgrundlage verarbeitet hatte. Insbesondere ging es um die systematische Erfassung von persönlichen Informationen, darunter Krankheits- und Urlaubsdaten, sowie private Details aus Gesprächen mit Mitarbeitern.

Dieser Fall zeigt die Bedeutung des Datenschutzes im Beschäftigungsverhältnis, da auch die Verarbeitung von Mitarbeiterdaten den strengen Regeln der DSGVO unterliegt. H&M versprach, seine internen Datenschutzverfahren zu überarbeiten und den Schutz der Mitarbeiterdaten zu verbessern.

3. Bußgeld gegen Air Europa: 800.000 Euro

Die spanische Fluggesellschaft Air Europa wurde im Juli 2024 von der spanischen Datenschutzbehörde (Agencia Española de Protección de Datos, AEPD) mit einem Bußgeld von 800.000 Euro belegt. Grund für die Strafe war eine unzureichende Sicherung von Passagierdaten, die während eines Cyberangriffs kompromittiert wurden. Hacker hatten sich Zugang zu sensiblen Kundendaten, einschließlich Kreditkarteninformationen, verschafft.

Die AEPD bemängelte, dass Air Europa keine angemessenen Sicherheitsvorkehrungen getroffen hatte, um derartige Angriffe zu verhindern. Infolge des Bußgeldes kündigte die Fluggesellschaft an, ihre Cybersicherheitsmaßnahmen zu verbessern und regelmäßige Audits durchzuführen, um die Einhaltung der DSGVO sicherzustellen.

4. Bußgeld gegen eine deutsche Versicherung: 5 Millionen Euro

Im September 2024 verhängte die deutsche Datenschutzbehörde (BfDI) ein Bußgeld von 5 Millionen Euro gegen eine große Versicherungsgesellschaft, deren Name aus rechtlichen Gründen nicht öffentlich gemacht wurde. Die Versicherung hatte sensible Gesundheitsdaten von Kunden über längere Zeiträume ohne hinreichende Rechtsgrundlage gespeichert. Zudem wurde den betroffenen Personen keine ausreichende Information über die Verarbeitung ihrer Daten gegeben, was gegen die Transparenzpflicht der DSGVO verstieß.

Dieser Fall unterstreicht die Bedeutung der Einhaltung der Grundsätze der Datenminimierung und Transparenz, die im Datenschutzrecht verankert sind. Gesundheitsdaten gelten als besonders schützenswert, und Unternehmen müssen besonders strenge Maßnahmen ergreifen, um diese Daten zu schützen.

5. Bußgeld gegen Delivery Hero: 400.000 Euro

Im Oktober 2024 verhängte die französische Datenschutzbehörde CNIL ein Bußgeld von 400.000 Euro gegen den Lieferdienst Delivery Hero. Das Unternehmen hatte gegen die Rechte der betroffenen Personen verstoßen, indem es auf Löschanfragen von Kunden nur verzögert oder unvollständig reagierte. Zudem wurden inaktive Nutzerkonten über Jahre hinweg gespeichert, ohne dass dies datenschutzrechtlich gerechtfertigt war.

Die CNIL stellte klar, dass die Rechte der betroffenen Personen, insbesondere das Recht auf Löschung, zentrales Element der DSGVO sind. Delivery Hero erklärte, seine internen Prozesse zu überarbeiten und die Löschfristen für inaktive Konten anzupassen.

Fazit

Die im Jahr 2024 verhängten Bußgelder im Rahmen der DSGVO zeigen, dass die europäischen Datenschutzbehörden weiterhin konsequent gegen Verstöße vorgehen, die sowohl große internationale Konzerne als auch mittelständische Unternehmen betreffen. Besonders häufig werden unzureichende Sicherheitsvorkehrungen, Verstöße gegen die Meldepflichten bei Datenpannen und die mangelhafte Umsetzung von Betroffenenrechten sanktioniert. Die hohe Zahl an Bußgeldern und die strengen Sanktionen unterstreichen die zentrale Rolle der DSGVO im modernen Datenschutzrecht. Unternehmen müssen ihre Datenschutzpraktiken kontinuierlich überprüfen, um sicherzustellen, dass sie den strengen Anforderungen der Verordnung gerecht werden.

(Bildquelle: pixabay.com)