Bußgelder
die verhängt wurden
Das mittelständige Finanzunternehmen hatte Unterlagen, die auch personenbezogene Daten von zwei Kunden enthielten, unsachgemäß im Papiermüll entsorgt. Eine Nachbarin fand diese Unterlagen und leitete diese der Aufsichtsbehörde zu. Für den Verstoß gegen Art. 5 Abs. 1 lit. f DSGVO verhängte die Aufsichtsbehörde ein Bußgeld in Höhe von 80.000 Euro.
Hacker hatten personenbezogene Daten, u. a. E-Mail-Adressen und Passwörter, von rund 330.000 Nutzern einer Social-Media-Plattform gestohlen. Diese Daten veröffentlichten die Hacker wenige Wochen nach dem Diebstahl. Die Betreiber der Social-Media-Plattform unterrichteten die Nutzer als auch die Behörden unverzüglich. Im Zuge der Zusammenarbeit mit der Behörde stellte sich heraus, dass das Unternehmen die Passwörter ihrer Nutzer im Klartext, und damit unverschlüsselt sowie unverfremdet, gespeichert hatte. Das Unternehmen verstieß damit wissentlich gegen seine Pflicht zur Gewährleistung der Datensicherheit bei der Verarbeitung personenbezogener Daten gem. Art. 32 Abs. 1 lit a DSGVO. Aufgrund der großen Kooperationsbereitschaft mit der Behörde und der schnellen und unverzüglichen Umsetzung der erforderlichen datenschutzrechtlichen Maßnahmen erhob die Behörde lediglich ein Bußgeld in Höhe von 20.000 Euro.
Bußgeld, weil das Unternehmen bei einer unangekündigten Vor-Ort-Kontrolle den Zugang zu seinen Geschäftsräumen und Datenverarbeitungsanlagen verweigert hatte.
Nachdem der Bußgeldempfänger Rechtsmittel gegen die Entscheidung eingelegt hatte, reduzierte das zuständige Amtsgericht die Bußgeldhöhe von ursprünglich 20.000 EUR auf 7.000 EUR.
Durch ein Update kam es auf der Website zu einer Datenpanne: So konnte nicht ausgeschlossen werden, dass Kunden im Kundenportal nicht nur auf eigene hinterlegte Daten, wie Name, Adresse, Geburtsdatum, Mobilfunknummer, Bankdaten und Buchungshistorie zugreifen konnten, sondern auch auf Daten anderer Kunden. Hierzu musste lediglich die URL, die die Kundenkontonummer enthielt, abgeändert werden. Vor allem aber wurde beanstandet, dass die Meldefrist von 72 Stunden bei der Aufsichtsbehörde nach Bekanntwerden der Datenpanne nicht eingehalten wurde und dass auch die Kunden nicht benachrichtigt wurden. Die Behörde setzte für die Verstöße ein Bußgeld in Höhe von 20.000 Euro fest.
Verspätete Meldung einer Datenpanne, sowie Nicht-Benachrichtigung der Betroffenen.
Bußgeld 20.000 Euro
Es war Kunden an einer Niederlassung des Bußgeldempfängers außerhalb Hamburgs mitgeteilt worden, dass dortige Umstrukturierungsmaßnahmen aufgrund des krankheitsbedingten Ausfalls des Verkaufsleiters erfolgten. Der an über 3.000 Stammkunden versandten Mitteilung ließ sich mitunter der Beginn der Arbeitsunfähigkeit des betroffenen Mitarbeiters entnehmen sowie die Information, dass sein Ausfall vorerst auf unbestimmte Zeit erfolgte. Bußgeld 10.110 Euro