Bußgeldbescheid unterm Weihnachtsbaum

Pixabay.com/de; Simon Matzinger/8moments

1&1 Telecom GmbH trifft es mit 9,55 Mio Euro
Technische & Organisatorische Maßnahmen sollen unter anderem dafür sorgen, dass personenbezogene Daten vor unbefugtem Zugriff geschützt sind. 


Im aktuellen Fall (09. Dezember 2019) hat der BfDI ein Bußgeld in durchaus bemerkenswerter Höhe verhängt, weil er Maßnahmen des Unternehmens als unzureichend erachtete und einen Verstoß gegen Art. 32 DSGVO sah. 

Konkret: 
"...Im Fall von 1&1 Telecom GmbH hatte der BfDI Kenntnis erlangt, dass Anrufer bei der Kundenbetreuung des Unternehmens allein schon durch Angabe des Namens und Geburtsdatums eines Kunden weitreichende Informationen zu weiteren personenbezogenen Kundendaten erhalten konnten.

In diesem Authentifizierungsverfahren sieht der BfDI einen Verstoß gegen Artikel 32 DSGVO, nach dem das Unternehmen verpflichtet ist, geeignete technische und organisatorische Maßnahmen zu ergreifen, um die Verarbeitung von personenbezogenen Daten systematisch zu schützen...."
Die ganze Pressemitteilung des BfDI finden Sie hier (externer Link, BfDI).  

10.000 Euro Bußgeld gegen deutsches Kleinst-Unternehmen 
Pflicht zur Benennung eines Datenschutzbeauftragten, aber keinen benannt? Von der Aufsichtsbehörde aufgefordert, einen zu benennen und dies nicht gemacht? Schlechte Idee. 

Das musste das Unternehmen Rapidata GmbH über ein Bußgeld in Höhe von 10.000 Euro lernen. 

105.000 Euro Bußgeld gegen Krankenhaus
Was war passiert: 
"...Die bestandskräftige Geldbuße beruht auf mehreren Verstößen gegen die Datenschutz-Grundverordnung im Zusammenhang mit einer Patientenverwechslung bei der Aufnahme des Patienten.

Diese hatte eine falsche Rechnungsstellung zur Folge und offenbarte strukturelle technische und organisatorische Defizite des Krankenhauses beim Patientenmanagement."
Hier (externer Link, LfDI RLP) die Pressemitteilung des LfDI Rheinland-Pfalz.   

Und sonst so? 

  • 10.000 Euro gegen IKEA in Spanien wegen des Setzens von Drittanbieter-Cookies ohne entsprechende informierte Einwilligung der Nutzer. 
  • 20.000 Euro gegen rumänische Airline wegen Verstoß gegen Art. 32 DSGVO und daraus resultierendem Datenschutzvorfall durch einen Mitarbeiter (unauthorisierter Zugriff auf und Offenlegung von Daten).

Mal sehen, was der kurze Rest von 2019 und vor allem das Jahr 2020 da noch so alles bringt.