DSGVO-Bußgelder in Höhe von fast EUR 320.000.000 verhängt oder angedroht

Kurz vor dem Ausstieg aus der EU macht die britische Datenschutzbehörde mit Strafandrohungen von mehr als EUR 200 Mio. gegenüber British Airways und mehr als EUR 110 Mio. gegenüber der Hotelkette Marriott auf sich aufmerksam.
Bei British Airways hatten Betrüger im Sommer 2018 über 500.000 Datensätze von BA-Kunden erbeutet. Untersuchungen hatten ergeben, dass British Airways den Betrügern die Arbeit durch unzureichende technische und organisatorische Maßnahmen zu einfach gemacht hatte. Die Datenschutzbehörde bewertete den Verstoß mit knapp EUR 400 je erbeutetem Datensatz, insgesamt fast EUR 205 Mio.
Die Hotelkette Marriott war im November 2018 ebenfalls von Hackern angegriffen worden. Dabei wurden weltweit ca. 339 Mio. Datensätze erbeutet, wovon ca. 7 Mio. britische Einwohner betrafen. Das Datenleck hatte vermutlich bereits seit 2014 bestanden. Die Datenschutzbehörde wirft Marriott Hotels vor, die Sicherheitsmaßnahmen für den Schutz der Kundendaten beim Erwerb der Datenbanken nicht sorgfältig genug überprüft zu haben.

Mehrere Bußgelder gegen Krankenhäuser verhängt

In Portugal wurde bereits im Jahr 2018 ein Krankenhaus mit einem Bußgeld in Höhe von EUR 400.000 belegt. Dort hatte sich das Personal mittels gefälschter Profile rechtswidrig Zugriff auf Patientendaten verschafft. So existierten dort fast eintausend Arztprofile mit entsprechenden Zugriffsrechten, tatsächlich waren an dem Krankenhaus jedoch lediglich 295 Ärzte und Ärztinnen beschäftigt.

Ein noch etwas höheres Bußgeld, insgesamt EUR 460.000, verhängte die Niederländische Datenschutzbehörde ebenfalls gegen ein Krankenhaus. Auch hier wurde beanstandet, dass die Daten der Patienten nicht angemessen geschützt seien.

Deutsche Datenschutzbehörden halten sich bei der Strafhöhe zurück

Die deutschen Datenschutzbehörden fallen bisher eher durch die Anzahl der verhängten Bußen, statt durch deren Höhe auf. So sind bisher aus Deutschland insgesamt 101 Fälle bekannt geworden, in denen die Datenschutzbehörden Bußgelder in Höhe von insgesamt knapp EUR 500.000 verhängt haben. Die Beträge reichen hierbei von EUR 118 bis hinauf zum bisherigen Höchstbetrag (in Deutschland) von EUR 80.000. Für die zweite Jahreshälfte ist davon auszugehen, dass die Datenschutzbehörden zunehmend aktiver werden.