Im August 2024 verhängte die niederländische Datenschutzbehörde Autoriteit Persoonsgegevens eine der höchsten Geldstrafen gegen Uber Technologies und Uber BV. Der Grund: Über zwei Jahre hinweg wurden sensible Daten von Mitarbeitenden ohne ausreichende Schutzmaßnahmen in die USA übertragen. Darunter befanden sich nicht nur Stammdaten und Führerscheine, sondern auch Kontodaten, Standortdaten und sogar Gesundheitsinformationen sowie Vorstrafen. Die Verfehlung beruhte auf dem Versäumnis, nach dem Ende der Privacy Shield-Zertifizierung geeignete Maßnahmen gemäß Art. 44 DSGVO zu implementieren. Uber ist mittlerweile zwar nach dem neuen EU-US Data Privacy Framework zertifiziert, die Lücke in der Vergangenheit führte jedoch zu einem Bußgeld von 290 Millionen Euro.
Behörde: Autoriteit Persoonsgegevens (AP)
Branche: Dienstleistung / Personenbeförderung
Verstoß: Art. 44 DSGVO
Bußgeld: 290 Mio. Euro
Auskunftsersuchen nicht beantwortet
Ein belgisches Telekommunikationsunternehmen musste sich ebenfalls einer empfindlichen Geldbuße stellen. Nachdem eine Kundin Änderungen in ihrem Vertrag bemerkt und ein Auskunftsersuchen nach Art. 15 DSGVO gestellt hatte, blieb eine Antwort aus. Trotz mehrfacher Nachfragen reagierte das Unternehmen nicht, sodass der Fall der belgischen Datenschutzbehörde gemeldet wurde. Diese verhängte schließlich eine Strafe von 100.000 Euro wegen der Missachtung des Auskunftsrechts der Kundin.
Behörde: Autorité de protection des données/Gegevensbeschermingsautoriteit (APDD)
Branche: Telekommunikation
Verstoß: Art. 15 DSGVO
Bußgeld: 100.000 Euro
Videoüberwachung durch Privatperson
Ein interessanter Fall ereignete sich in Spanien, wo eine Privatperson ein Bußgeld von 300 Euro erhielt. Diese hatte ohne Genehmigung und ausreichende Hinweise eine Kamera installiert, die nicht nur das eigene Grundstück, sondern auch das Nachbarhaus und öffentlichen Raum gefilmt hat. Der Beschwerdeführer fühlte sich dadurch in seinen Rechten verletzt, was die spanische Datenschutzbehörde Agencia Española Protección Datos (AEPD) bestätigte.
Behörde: Agencia Española Protección Datos (AEPD)
Branche: Privatperson
Verstoß: Art. 5 Abs. 1 lit. c DSGVO
Bußgeld: 300 Euro
Gestohlene Computer waren nicht verschlüsselt
Eine dänische Gemeinde sah sich mit einem Bußgeld konfrontiert, nachdem fünf unverschlüsselte Laptops aus einer Schule gestohlen worden waren. Diese Laptops enthielten sensible Daten von Schülern und Lehrern. Die darauffolgende Untersuchung der dänischen Datenschutzbehörde Datatilsynet ergab, dass bis zu 300 Computer in der Gemeinde ähnlich ungeschützt waren. Das Bußgeld belief sich auf 26.803 Euro (200.000 DKK).
Behörde: Datatilsynet
Branche: Behörde
Verstoß: Art. 32 DSGVO
Bußgeld: 26.803 Euro (200.000 DKK)
Fehlerhafter Versand von Gehaltsabrechnungen
Die spanische Aufsichtsbehörde AEPD verhängte ein Bußgeld von 270.000 Euro gegen Uniqlo, nachdem der Modekonzern versehentlich Gehaltsabrechnungen von 446 Personen an einen ehemaligen Dienstleister herausgegeben hatte. Es stellte sich heraus, dass im Unternehmen unzureichende technische und organisatorische Maßnahmen vorhanden waren, um solche Fehler zu verhindern.
Behörde: Agencia Española Protección Datos (AEPD)
Branche: Einzelhandel
Verstoß: Art. 5 Abs. 1 lit. f DSGVO, Art. 32 DSGVO
Bußgeld: 270.000 Euro