Aktuelle Bußgelder

Bußgeld wegen der unrechtmäßigen Weitergabe personenbezogener Daten

Die tschechische Datenschutzbehörde (UOOU) hat gegen das Cybersicherheitsunternehmen Avast Software s.r.o. und Avast Limited ein Bußgeld in Höhe von umgerechnet etwa 14 Mio. € verhängt.

Infolge von Medienberichten ergab eine Untersuchung der Behörde, dass Avast personenbezogene Daten der Benutzer seiner Antivirensoftware und seiner Browsererweiterungen unrechtmäßig, also ohne datenschutzrechtliche Rechtsgrundlage, an ein Schwesterunternehmen weitergegeben hatte. Darunter waren pseudonymisierte Internetbrowser-Verläufe mit einer eindeutigen Kennung von rund 100 Millionen Benutzern.

Avast hat seine Nutzer zudem irreführend informiert, indem das Unternehmen behauptete, dass die übermittelten Daten anonymisiert seien und ausschließlich für statistische Trendanalysen verwendet werden würden.

Die Datenschutzbehörde stellte klar, dass selbst unvollständige Internetbrowser-Verläufe als personenbezogene Daten gelten können, da Personen identifiziert werden könnten.

Auch wird hier nochmal deutlich, dass auch die konzerninterne Weitergabe personenbezogener Daten von einem datenschutzrechtlichen Erlaubnistatbestand gedeckt sein muss und die Erfüllung der Informationspflichten gegenüber den betroffenen Personen geprüft werden muss.

Bußgelder wegen nicht erfülltem Löschanspruch

Die italienische Datenschutzbehörde verhängte gegen eine der größten Einzelhandelsketten in Italien ein Bußgeld in Höhe von 90.000 €, da sie nicht auf eine Löschbitte einer betroffenen Person nicht nachkam, sondern lediglich mit einer Eingangsbestätigung reagierte.  Der betroffenen Person wurden auch nach dem Löschersuchen weiterhin Werbenachrichten zugesendet. Auf eine erneute Löschungsaufforderung reagierte das Unternehmen gar nicht.

Bußgeld wegen Abfrage von personenbezogenen Daten mit vorausgefülltem Dokument ohne Widerspruchsmöglichkeit

Die spanische Datenschutzbehörde verhängte ein Bußgeld in Höhe von 1,2 Mio. € gegen eine spanische Privatkundenbank.

Ein Kunde hatte sich bei der Datenschutzbehörde beschwert, weil die Bank von ihm eine Reihe von Daten angefordert hatte. Dies tat sie mittels eines bereits mit personenbezogenen Daten vorausgefüllten Dokuments, welches er unterschrieben sollte. Dieses Dokument enthielt zudem eine Klausel, nach welcher sich der Kunde bereiterklärte, das die Bank seine Daten bei der Sozialversicherungskasse anforderte. Eine Möglichkeit, dies abzulehnen, gab es nicht. Nach einer Beschwerde des Kunden bei der Bank drohte diese mit einer Sperre des Bankkontos.

Das ursprüngliche Bußgeld in Höhe von 2 Mio EUR wurde aufgrund von Schuldeingeständnis und freiwilliger Zahlung auf 1,2 Mio. € reduziert.

Bußgeld wegen unzureichendem Schutz der Systeme

Bei der griechischen Post kam es zu einem Ransomware-Angriff bei dem die personenbezogenen Daten von mehr als 4 Mio. Personen betroffen waren.

Bei einem Ransomware-Angriff werden die Daten auf einem IT-System verschlüsselt und eine Entschlüsselung erst gegen Zahlung eines Lösegeldes (engl. Ransom) in Aussicht gestellt. In diesem Fall wurde zudem ein Teil der Daten im Darknet veröffentlicht. Ein solcher Angriff bewirkt, dass Dienstleistungen und Geschäftsprozesse nicht mehr zur Verfügung gestellt werden können und die IT des Betroffenen zum Erliegen kommt.

Der Zugang zu den Daten der Post-Mitarbeiter, Führungskräfte, Kunden und Kreditunternehmen war über eine Sicherheitslücke erfolgt, welche zwar erkannt und auch bereits seit geraumer Zeit über Sicherheitsupdates geschlossen worden war. Allerdings stellte sich heraus, dass die Sicherheitssysteme nicht funktionierten. Es wurden zwar Backups erstellt, jedoch waren diese ungesichert auf anderen, nicht angegriffenen Teilen des Systems abgelegt worden. Die Post hatte also keine ausreichenden technischen Maßnahmen zum Schutz der Systeme getroffen und auch die Systeme nicht regelmäßig auf ihre Funktionalität getestet.

Die Datenschutzaufsichtsbehörde Griechenlands verhängte ein Bußgeld in Höhe von 2,99 Mio. €.

Bußgeld wegen unzureichender technischer und organisatorischer Maßnahmen

Das Unabhängiges Datenschutzzentrum Saarland verhängte ein Bußgeld in Höhe von 200.000 € gegen ein Versicherungsunternehmen, nachdem es wegen einer Sicherheitslücke zu einem Datenschutzvorfall gekommen war. Grund für die Sicherheitslücke waren auch hier nicht dem Risiko angemessene technische und organisatorische Maßnahmen zum Schutz der Daten