Immer wieder kommt es zu verhängten Bußgeldern aufgrund von Datenschutzverstößen.
Eine kleine Auswahl finden Sie in diesem Blogbeitrag.
Eine Liste aller in Europa verhängten Bussgleder finden Sie hier.
Mermaid – Bußgeld in Höhe von 29.183€
Die gemeinnützige Organisation Mermaids, die sich um die Belange von Transgender-Personen kümmert, bekam ein Bußgeld in Höhe von rund 29.000 € von der britischen Datenschutzbehörde ICO auferlegt, da hunderte E-Mails von Betroffenen in Suchmaschinen auffindbar waren.
Mermaids nutze den Internetdienst Groups.IO und bildete hier E-Mail Gruppen. Über diese Gruppen wurden E-Mails mit teilweise sensiblen Daten und Informationen ausgetauscht. Eine Standardeinstellung sorgte dafür, dass diese E-Mails über drei Jahre hinweg in Suchmaschinen gefunden werden konnten. Die Standardeinstellung „Group listed in directory, publicly viewable messages“ wurde durch den Verantwortlichen CEO nicht geändert.
Bei den öffentlich zugängigen Daten handelte es sich um die Namen und E-Mail-Adressen der Betroffenen. In 24 Fällen enthielten die E-Mails zudem Angaben über das Befinden der Betroffenen und in weiteren 15 Fällen Informationen zu derer psychischen und physischen Gesundheit, sowie sexuellen Orientierung.
Nach Auffassung der ICO (britische Datenschutzbehörde Information Commissioner’s Office) kam es zu dem Vorfall, weil Mermaids es versäumt hatte, technische und organisatorische Maßnahmen zu implementieren, die ein angenmessenes Schutzniveau der Verarbeitung personenbezogener Daten gewährleisten. Davon ausgehend stellte die Datenschutzbehörde ebenso eine Verletzung des Prinzips der Integrität und Vertraulichkeit fest.
Charlottenlund Lægehus Medicals Nordic I/S – Bußgeld in Höhe von 80.681€
Der COVID-19 Testanbieter Charlottenlund Lægehus Medicals Nordic I/S erhielt ein Bußgeld in Höhe von rund 80.000€, weil Mitarbeiter Testergebnisse von Kunden via WhattsApp über ihre privaten Smartphones an die Verwaltung des Unternehmens sendeten. Dazu gehörten mitunter Gesundheitsdaten, sowie weitere vertrauliche Informationen der Betroffenen wie z.B. ihre Identitätsnummern.
Medical Nordic hatte für jedes von ihren Testzentren eine eigene WhatsApp Gruppe erstellt und alle jeweiligen Mitarbeiter des Testzentrums in diese Gruppen eingeladen. Dadurch hatten auch Beschäftigte Zugang zu den Daten, die diese für ihre Tätigkeiten gar nicht benötigten. Außerdem wurden nicht mehr beschäftigte Mitarbeiter nicht aus den WhatsApp-Gruppen entfernt und hatten so weiterhin Zugriff auf Daten, die in der Gruppe übermittelt wurden.
Die dänische Datenschutzbehörde mahnte an, das Unternehmen komme seiner Pflicht, technische und organisatorische Maßnahmen zum Schutz der Verarbeitung von personenbezogenen Daten nicht nach. Auch eine Risikoanalyse zu der durchgeführten Datenverarbeitung sei nicht erfolgt.