Bußgeldkatalog

Die teuersten Datenschutz-Fails

Dan Swinhoe schreibt für die US-Schwesterpublikation CSO Online.


Florian Maier beschäftigt sich mit diversen Themen rund um Technologie und Management.

Debit-Card-System vs. Datenschutz

Der Finanzarm der britischen Supermarktkette Tesco wurde im Jahr 2018 mit einer Geldstrafe in Höhe von 21,2 Millionen Dollar belegt. Der Grund: Der Diebstahl von drei Millionen Dollar aus circa 9.000 Kundenaccounts im Jahr 2016. Die britische Finanzaufsichtsbehörde FCA bemängelte Defizite im Debit-Card-System des Unternehmens und seine Kontrollmechanismen gegen Finanzbetrug.

Schwarzer Datenschutz-Freitag

Der Retail-Riese Target erklärte sich 2017 im Rahmen einer außergerichtlichen Einigung bereit, 18,5 Millionen Dollar zu zahlen. Vier Jahre zuvor waren im Rahmen einer Black-Friday-Verkaufsaktion 40 Millionen Kreditkartendatensätze gestohlen worden. Im Laufe der Ermittlungen zu diesem Datenschutz-Debakel kam heraus, das persönliche Informationen von weiteren 70 Millionen Kunden ebenfalls entwendet wurden. Die Gesamtkosten dieses Datenlecks summieren sich auf über 200 Millionen Dollar.

Unversichert gegen Hacker

Der US-Versicherungskonzern Anthem wurde im Jahr 2015 Opfer eines Datendesasters, das 79 Millionen Kunden betraf. Persönliche und medizinische Informationen - inklusive Sozialversicherungsnummern - wurden dabei gestohlen. In der Konsequenz wurde das Unternehmen vom US-Gesundheitsministerium wegen des Verstoßes gegen die HIPAA-Richtlinie zur Zahlung von 16 Millionen Dollar verpflichtet. Das war angesichts der 115 Millionen Dollar, die für die Beilegung einer Sammelklage aufgewendet werden mussten, allerdings nur ein Tropfen auf den heißen Stein.

DSGVO-Bußgeld-Spitzenreiter

In Sachen DSGVO-Geldstrafen in Deutschland war von November 2019 bis Februar 2021 die Wohnungsgesellschaft Deutsche Wohnen führend. Die Datenschutzbehörde in Berlin verhängte eine Strafe in Höhe von 14,5 Millionen Euro, weil das Unternehmen kein Löschkonzept für nicht mehr gebrauchte persönliche Daten vorweisen konnte. Das führte dazu, dass die Deutsche Wohnen diverse persönliche Informationen von Kunden und Interessenten speicherte, auch wenn schon seit Jahren kein Mietverhältnis mehr Bestand hatte.

Noch bevor die DSGVO in Kraft trat, wurde das Unternehmen bezüglich seiner Datenpraktiken gerügt - im März 2019 war in dieser Hinsicht allerdings immer noch nichts passiert. Anfang 2021 entschied das Landgericht Berlin allerdings, dass der Bußgeldbescheid der Datenschutzbehörde Berlin unwirksam ist. Vom Tisch ist der Fall damit jedoch nicht, da die Behörde gegen die Einstellung des Verfahrens Beschwerde eingelegt hat.

1&1 macht Datenschutz-Fail

Nicht nur in Großbritannien und den USA werden Geldstrafen wegen Datenschutzverstößen verhängt. Der BfDI belegte den Webhoster 1&1 mit einer Geldstrafe in Höhe von 9,55 Millionen Euro, nachdem bekannt wurde, dass es für Personen ohne Berechtigung ein relativ leichtes Unterfangen darstellte, über die Service-Hotline an (fremde) Kundendaten zu gelangen. Die Behörden bemängelten die von 1&1 getroffenen technischen und organisatorischen Maßnahmen zum Schutz der Daten als unzureichend. 1&1 hat gegen die Entscheidung der Datenschutzbehörde Klage eingereicht - aus Sicht des Unternehmens sei das Bußgeld "unverhältnismaßig und verstößt gegen das Grundgesetz".

Das Landgericht Bonn entschied Ende 2020 im folgenden Gerichtsverfahren, die Geldbuße für das Unternehmen auf 900.000 Euro zu reduzieren, da die verhängte Strafe "nicht im Verhältnis zur Schwere des Verstoßes" stehe.

Der Datenschutz-Todesstoß

Normalerweise wird der Suchmaschinenriese Google eher mit Geldstrafen in Zusammenhang gebracht, wenn es um Monopolstellung oder Anti-Trust geht. 2020 musste der Konzern jedoch 7,5 Millionen Dollar bezahlen, um Sammelklagen wegen des mittlerweile eingestellten Google+-Netzwerks beizulegen. Eingestellt wurde Google+ auch, weil im Oktober 2018 bekannt wurde, dass ein Bug in der API den Zugriff auf private Daten erlaubt. Zwar ging der Konzern weiter davon aus, dass diese Schwachstelle nicht ausgenutzt wurde - musste aber zugeben, dass der Bug sich auf über 400 verschiedene Applikationen erstreckte, die die Google+ API nutzten. Damit waren potenziell mehr als 500.000 Nutzeraccounts betroffen.

Nur zwei Monate später musste Google einen weiteren Bug eingestehen - diesmal waren allerdings 52,5 Millionen User betroffen. Das führte dazu, dass Google+ rund vier Monate vor dem Plan eingestellt wurde. Im Jahr 2018 wurden zwei Sammelklagen eingereicht - die später "fusioniert" wurden, bevor es im Januar 2020 zu einer außergerichtlichen Einigung kam: Jeder Google+-Nutzer, der zwischen Januar 2015 und April 2019 von einem der Datenlecks betroffen war, erhielt zwischen fünf und zwölf Dollar.

Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.

Zur Startseite