DSGVO Strafen in Europa gestiegen

Die Geldbußen und Strafen der EU-Aufsichtsbehörden aus dem Jahr 2020 sind zum Teil drastisch angestiegen. Wir zeigen Ihnen, welche Staaten und Unternehmen betroffen waren. [...]

Geldbußen und Strafen, die Datenschutzbehörden innerhalb der EU im Rahmen der Datenschutzgrundverordnung der EU (DSGVO) verhängt haben, zeigen wie wichtig in Zukunft das Thema Datensicherheit ist.

Erstaunlich ist, dass ein Großteil der jüngsten Bußgelder auf Verletzungen von Art. 5, 6 und 32 DSGVO – beruht. Und die Bußgelder werden deutlich höher – auch im Bereich der Verletzungen von Datensicherheitsvorgaben. Die DSGVO Datenschutz Ziviltechniker GmbH hat die Geldbußen und Strafen der EU-Aufsichtsbehörden aus dem Jahr 2020 analysiert und die wichtigsten Passagen zusammengefasst.

So ist die Anzahl der Strafen von 2019 auf 2020 drastisch von 142 auf 324 angestiegen, was einer Steigerung um 228 Prozent entspricht. Das Strafvolumen hat sich von 315 Mio. auf 170 Mio. Euro fast halbiert. Allerdings wurden einige Strafen wegen Einsprüchen in mehreren Jahren gezählt (siehe H&M in Deutschland), und zudem der Strafrahmen insgesamt reduziert. Bei den empfindlichen Strafen sind Italien mit 34,5 Prozent, Großbritannien mit 25,7 Prozent und Deutschland mit 21,9 Prozent führend. Österreich ist hier im Schlussfeld zu finden. Die folgenden Statistiken zeigen die Gesamtsumme an Strafen.

Die Tabelle ist alphabetisch nach Land sortiert. Sie enthält auch Nicht-EU-Staaten wie z.B. Island, Isle of Man und Norwegen. Die Auswertungen basieren auf der Seite GDPR Enforcement Tracker – diese stellt keinen Anspruch auf Vollständigkeit. EU-weit wurden 324 Strafen in der Höhe von 170,495.386 € ausgesprochen. Keine Strafen wurden in Luxemburg und Malta verhängt. Übrigens: In den ersten 6 Wochen 2021 wurden bereits 39 Strafen verhängt.

Die höchsten Strafen im Detail

Deutschland spricht höchste Strafe gegen H&M aus

Die mit Abstand höchste DSGVO-Strafe wurde von der Aufsichtsbehörde Hamburg in der Höhe von 35,3 Mio € gegen H&M ausgesprochen. Folgende Faktenlage führte zu dieser Strafe:

  • Seit mindestens 2014 wurden die privaten Lebensumstände einiger Mitarbeiter umfassend erfasst und diese Informationen auf einem Netzlaufwerk gespeichert. 
  • So führte das Unternehmen ein „Welcome Back Talk“ durch, nachdem die Mitarbeiter nach Urlaub oder Krankheit wieder zur Arbeit zurückgekehrt waren. 
  • Diese Informationen – einschließlich Informationen zu Krankheitssymptomen und Diagnosen der Mitarbeiter – wurden aufgezeichnet und gespeichert. 
  • Weiters wurde der „Flurfunk“ genutzt, um ein breites Wissen über einzelne Mitarbeiter zu erlangen, beispielsweise über familiäre Probleme und religiöse Überzeugungen. 
  • Die Daten wurden u.a. dazu verwendet, die Arbeitsleistung der Mitarbeiter zu bewerten und Beschäftigungsentscheidungen zu treffen.

Telekommunikation Italien

Die italienische Aufsichtsbehörde hat u.a. folgende Verstöße bei TIM festgestellt:

  • Empfang unerwünschter kommerzieller Mitteilungen ohne Einwilligung der betroffenen Personen oder trotz ihrer Eintragung in das öffentliche Einspruchsregister 
  • Unregelmäßigkeiten bei der Datenverarbeitung im Zusammenhang mit Wettbewerben beanstandet. 
  • In den vom Unternehmen bereitgestellten Apps wurden falsche und nicht transparente Informationen zur Datenverarbeitung bereitgestellt.
  • Ungültige Einwilligungsmethoden wurden verwendet. 
  • Papierformulare, in denen eine einzige Zustimmung angefordert wurde, wurde für verschiedene Zwecke – einschließlich Marketing verwendet. 
  • Daten wurden länger als nötig aufbewahrt, damit wurde gegen die Löschfristen verstoßen. 

Für diese Verstöße erhielt das Telekommunikationsunternehmen eine Geldstrafe von 27,8 Mio. EUR. 

Strafe gegen British Airways von 183 auf 22 Mio reduziert

  • Im Juli 2019 wurde British Airways eine Geldstrafe von 183,39 Mio verdonnert. 
  • Die Geldbuße bezieht sich auf einen Cyber-Vorfall, der dem ICO von British Airways im September 2018 gemeldet wurde. 
  • Dieser Vorfall hatte teilweise zur Folge, dass der Benutzerverkehr auf der British Airways-Website auf eine betrügerische Website umgeleitet wurde. 
  • Durch diese falsche Seite wurden Kundendaten von den Angreifern gesammelt. 
  • Durch diesen Vorfall wurden personenbezogene Daten von ungefähr 500.000 Kunden kompromittiert. 
  • Es wurde eine Vielzahl von schlechten Sicherheitsvorkehrungen im Unternehmen festgestellt, betroffen waren Login, Zahlungskarten usw.
  • In der Zwischenzeit wurde die endgültige Geldbuße gegen die Fluggesellschaft auf 20 Mio. GBP (ca. 22.046.000 EUR) festgesetzt. 

20 Mio Strafe gegen Mariott

  • Nach einem Cyber-Vorfalls vom Nov. 2018 wurde bekannt, dass in ungefähr 339 Millionen Gastaufzeichnungen betroffen waren.  Ca. 30 Millionen Einwohner aus dem EWR waren betroffen, davon sieben Millionen aus Großbritannien. 
  • Am 30.10.2020 gab das ICO seine endgültige Entscheidung bekannt, eine Geldbuße von 18,4 Mio. GBP (ca. 20,4 Mio. EUR) gegen Marriott International Inc. zu verhängen. 
  • Das Fehlens vorheriger Verstöße und die Tatsache, dass Marriott uneingeschränkt an der Untersuchung mitgearbeitet und Schritte unternommen hatte, um die betroffenen Personen zu benachrichtigen bewog die Aufsichtsbehörde, die Strafhöhe herabzusetzen. 

Formfehler verschont die Österreichische Post AG

Die ursprünglich gegen die Post ausgesprochene Strafe in der Höhe von ca 18 Mio € wurde von der Post erfolgreich beeinsprucht. Aufgrund eines Formfehlers wurde die Strafe nicht wirksam, es ist noch nicht entschieden, ob der Weg der außerordentlichen Revision eingeschlagen wird.

Die folgende Grafik entstammt dem Bericht „DLA PIPER GDPR FINES AND DATA BREACH SURVEY: JANUARY 202“. Sie zeigt die Spitzenreiter einzelner Strafen, wobei in dieser Aufstellung die 50 Mio Strafe gegen Google zu Unrecht angeführt ist. Diese wurde bereits 2019 ausgesprochen und nicht 2020. Durch die Verlegung des Firmensitzes von Frankreich nach Irland, ist das noch anhängige Verfahren allerdings nach Irland gewandert.

Zu beachten ist, dass der Auswertungszeitraum jahresübergreifend ist und die Zahlen von den Autoren z.T. extrapoliert wurden!

Die nachfolgenden Grafiken beziehen sich auf die Anzahl der Datenschutzverletzungen. Sie stammen ebenfalls aus der o.a. Quelle. 

Während Deutschland Datenschutzverletzungen mit 40.111 Meldungen sehr ernst nimmt, liegt Österreich mit 869 im Mittelfeld. Entsprechend dem Verhältnis der Bevölkerungszahlen, müssten die Zahlen in Österreich bei ca. 4.000 liegen. Das ist aber nicht der Fall, was wohl darauf zurückzuführen ist, dass die Österreicher nicht so pingelig sind und mit Datenschutzverletzungen etwas sorglos umgehen.

Anzahl der Strafen drastisch von 142 auf 324 angestiegen

Im Jahr 2020 wurden 324 Strafen ausgesprochenen, das entspricht einer Steigerungsrate von 128%. Das Strafvolumen hat sich allerdings von 315 Mio auf 170 Mio fast halbiert. Diese Aussage ist allerdings trügerisch, da einige Strafen wegen Einsprüchen in mehreren Jahren zählen (siehe H&M in Deutschland) und außerdem der Strafrahmen reduziert wurde. Die folgenden Statistiken zeigt die Gesamtsumme an Strafen.



Diese Aufstellung zeigt die Summe der Strafen pro EU-Land.
Die Tabelle ist alphabetisch nach Land sortiert.
EU-weit wurden 324 Strafen in der Höhe von 170,495.386 € ausgesprochen.

Wenig Strafen in Q2

Die Statistik der Anzahl der Strafen pro Quartal zeigt folgendes Bild:




In Q2 gab es die wenigsten Strafen, in Q4 die meisten.

Analyse der Begründungen

Die im Jahr 2020 ausgesprochenen 142 Strafen weisen als Begründung folgende Häufigkeitsverteilung auf:

Die Artikel der DSGVO, auf die sich die meisten Strafen begründen sind:

  • Art. 5 Grundsätze der Verarbeitung personenbezogener Daten
  • Art. 6 Rechtmäßigkeit der Verarbeitung (Legitimation)
  • Art. 32 Sicherheit der Verarbeitung

Interessant ist die Auswertung, welche Artikel in Kombination mit anderen als Begründung für Strafen dienen:

Auswertung nach Sektoren

Die nachfolgende Tabelle gibt einen Überblick wieviel Strafen es in welchen Branchen-Sektoren gab. Besonders im Focus standen Industrie & Commerce, Media & Telecoms sowie Public Sector & Education. Mit Respektabstand folgen Finance & Insurance sowie Health Care.

In der rechten Tabelle sind die Branchen nach Ländern aufgeschlüsselt. Damit ist ersichtlich, dass z.B. Spanien mit 47 Strafen einen Schwerpunkt im Medien/Telekom-Umfeld gesetzt hat. 

Dasselbe gilt für Industrie & Handel mit 31 Strafen. Gleiches gilt u.a. für den Public Sector & Education in Italien.

Das Tagebuch wird zur Verfügung gestellt von 

DSGVO Datenschutz Ziviltechniker GmbH

www.dsgvo-zt.at


Mehr Artikel

Gregor Schmid, Projektcenterleiter bei Kumavision, über die Digitalisierung im Mittelstand und die Chancen durch Künstliche Intelligenz. (c) timeline/Rudi Handl
Interview

„Die Zukunft ist modular, flexibel und KI-gestützt“

Im Gespräch mit der ITWELT.at verdeutlicht Gregor Schmid, Projektcenterleiter bei Kumavision, wie sehr sich die Anforderungen an ERP-Systeme und die digitale Transformation in den letzten Jahren verändert haben und verweist dabei auf den Trend zu modularen Lösungen, die Bedeutung der Cloud und die Rolle von Künstlicher Intelligenz (KI) in der Unternehmenspraxis. […]

News

Richtlinien für sichere KI-Entwicklung

Die „Guidelines for Secure Development and Deployment of AI Systems“ von Kaspersky behandeln zentrale Aspekte der Entwicklung, Bereitstellung und des Betriebs von KI-Systemen, einschließlich Design, bewährter Sicherheitspraktiken und Integration, ohne sich auf die Entwicklung grundlegender Modelle zu fokussieren. […]

News

Datensilos blockieren Abwehrkräfte von generativer KI

Damit KI eine Rolle in der Cyberabwehr spielen kann, ist sie auf leicht zugängliche Echtzeitdaten angewiesen. Das heißt, die zunehmende Leistungsfähigkeit von GenAI kann nur dann wirksam werden, wenn die KI Zugriff auf einwandfreie, validierte, standardisierte und vor allem hochverfügbare Daten in allen Anwendungen und Systemen sowie für alle Nutzer hat. Dies setzt allerdings voraus, dass Unternehmen in der Lage sind, ihre Datensilos aufzulösen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*