Das erste Halbjahr 2024 hat gezeigt, dass Datenschutzverstöße sehr kostspielig sein können. Wenn Unternehmen bei der Sicherheit von Daten nachlässig sind oder ihre Verantwortung nicht ernst genug nehmen, kann das schnell zu Rekordstrafen führen. Ob aus Unwissenheit, fehlender Transparenz oder schlichtweg Nachlässigkeit – die Behörden greifen hart durch und die Summen, die dabei fällig werden, sind schockierend. Lassen Sie sich von diesen eindrucksvollen Fällen aus Europa zeigen, wie teuer mangelnder Datenschutz wirklich werden kann.
Strafe 1 aus den Niederlanden – Beförderungssektor
Unternehmen: Uber
Strafhöhe: € 10.000.000 Strafe
Verstoß: Unzureichende Transparenz und mangelhafte Informationspflichten
Uber wurde in den Niederlanden zu einer rekordverdächtigen Strafe von 10 Millionen Euro verurteilt. Der Grund: Fahrer wurden nicht nur unzureichend über die Verarbeitung ihrer Daten informiert, sondern fanden die wenigen verfügbaren Informationen auch nur schwer zugänglich und zudem nur auf Englisch vor. Hinzu kommt, dass die Datenschutzerklärung des Unternehmens wesentliche Fragen unbeantwortet ließ – etwa zur Speicherung von Daten oder deren Schutz außerhalb der EU. Die französische Datenschutzbehörde, die Beschwerden von 170 Uber-Fahrern gesammelt hatte, schickte diese an die niederländischen Behörden weiter, die letztendlich diese erheblichen Strafe verhängte.
Strafe 2 aus Spanien – Energiesektor
Unternehmen: I-DE und Iberdrola
Strafhöhe: € 6,5 Millionen Strafe
Verstoß: Gravierende Sicherheitslücken und mangelhafte Cybersecurity-Maßnahmen
Die spanischen Energieriesen I-DE und Iberdrola mussten zusammen eine Strafe von 6,5 Millionen Euro zahlen, nachdem Cyberkriminelle Schwachstellen in ihren Systemen ausgenutzt hatten. Dies führte zum massiven Datenabfluss von fast 3 Millionen Kundeninformationen. Die Untersuchung deckte auf, dass beide Unternehmen in puncto Datensicherheit erhebliche Defizite aufwiesen – sowohl in der Trennung von Kundendatenbanken als auch in der Reaktionsfähigkeit auf solche Vorfälle. Diese Mängel begünstigten nicht nur den unbefugten Zugang, sondern verschlimmerten auch die Auswirkungen des Datenlecks maßgeblich.
Strafe 3 aus Spanien – Banksektor
Unternehmen: CaixaBank
Strafhöhe: € 5.000.000 Strafe
Verstoß: Unzureichende Sicherheitsvorkehrungen und mangelhafte Bearbeitung von Datenschutzvorfällen
Die spanische CaixaBank wurde mit einer Strafe von 5 Millionen Euro belegt, nachdem ein Kunde versehentlich Zugang zu den Bankinformationen einer anderen Person erhielt. Dabei lagen personenbezogene Daten wie Namen, Adressen und Kontonummern sowie Herkunfts- und Zielort offen. Als der Kunde den Vorfall meldete, reagierte die Bank nicht angemessen. Die Datenschutzbehörde stellte fest, dass die Bank keine ausreichenden Sicherheitsvorkehrungen getroffen hatte, um solche Datenschutzpannen zu verhindern und auf Beschwerden rechtzeitig zu reagieren. Ein eklatantes Versagen, das die Bank teuer zu stehen kommt.
Strafe 4 aus Litauen – E-Commerce-Sektor
Unternehmen: Vinted
Strafhöhe: € 2.385.276 Strafe
Verstoß: Unzureichende Bearbeitung von Datenschutzanfragen und fehlende Datenlöschungen
Die litauische Datenschutzbehörde verhängte gegen Vinted eine Strafe von über 2,3 Millionen Euro, nachdem sich herausstellte, dass das Unternehmen Datenschutzanfragen von Nutzerinnen und Nutzern unzureichend beantwortete. Kundinnen und Kunden, die um die Löschung ihrer Daten baten, wurden fälschlicherweise nach Gründen gefragt und oft ohne Erklärung abgewiesen. Zudem stellte sich heraus, dass Vinted Nutzerinnen und Nutzer ohne deren Wissen von der Plattform ausgeschlossen hatte. Die unklaren und mangelhaften Antworten auf Anfragen sowie die fehlenden technischen und organisatorischen Maßnahmen führten schließlich zu dieser empfindlichen Strafe.
MeineBerater-Tipp
Datenschutz ist schon lange keine Nebensache mehr– im Gegenteil, er muss ganz oben auf der Prioritätenliste JEDES Unternehmens stehen. Stellen Sie sicher, dass sie Datenschutzanfragen ordnungsgemäß und innerhalb der vorgeschriebenen Zeit von einem Monat transparent beantworten. Klare Kommunikation ist der Schlüssel, um Vertrauen mit allen Stakeholdern, von den Kundinnen und Kunden bis zu kooperierenden Unternehmen aufzubauen. Darüber hinaus sind robuste technische und organisatorische Maßnahmen (TOMs) sowie regelmäßige Schulungen Ihrer Mitarbeitenden Pflicht, um sicherzustellen, dass die Daten auch tatsächlich geschützt sind, werden und bleiben.
Kontaktieren Sie uns für Ihr maßgeschneidertes Schulungsprogramm – ob Präsenzschulung, Webinar oder E-Learning: Von uns erhalten Sie alles, das die Gesetze rund um Datensicherheit, von der DSGVO über die DORA bis zur NIS-2, vorschreiben praxisgerecht und humorvoll aufbereitet. office@meineberater.at oder +43 316 931208 – wir sind jederzeit für Sie da.