Liste der höchsten DSGVO-Strafen (Europa)
Wer musste bislang am tiefsten für die DSGVO in die Tasche greifen?
Die nachfolgende Liste führt einige der Bußgelder der DSGVO in Europa oberhalb der 100.000-Euro-Marke auf. Mit der stetig steigenden Anzahl der verhängten Geldstrafen können wir leider für die Vollständigkeit nicht mehr garantieren. Bußgelder deutscher Unternehmen findest du in einer eigenen Tabelle weiter unten.
Bitte beachte, dass noch nicht alle Bußgelder (beziehungsweise die anhängigen Verfahren) rechtskräftig sind. Teilweise laufen noch Widerspruchsfristen. In diesem Sinne ist dies eine Liste der voraussichtlichen oder angekündigten DSGVO-Bußgelder. Die Strafen in Deutschland findest du in einer zweiten Tabelle weiter unten.
Auch private Mobilgeräte am Arbeitsplatz (BYOD = Bring Your Own Device) sind ein DSGVO-Risiko. Kennst du schon unser Whitepaper dazu?
Unternehmen |
Land |
Strafe |
Grund |
| British Airways |  Vereinigtes Königreich |
204.040.000 Euro (183.390.000 Pfund) |
Der Fluggesellschaft werden mangelhafte Sicherheitsvorkehrungen vorgeworfen, die zu einem massiven Datendiebstahl führten. (Link) |
| Marriott International Inc. | Vereinigtes Königreich |
110.362.951 Euro (99.200.396 Pfund) |
Die Hotelkette ließ über mehrere Jahre die massenhafte Offenlegung von Kundendaten zu. (Link) |
| Google Inc. |  Frankreich |
50.000.000 Euro | Die Informationen zur Speicherung und Weiterverarbeitung von Nutzerdaten im mobilen Betriebssystem Android waren nicht DSGVO-konform zugänglich, sondern in einem Untermenü versteckt. (Link) |
| TIM SpA |  Italien |
27.802.946 Euro | Nach Untersuchungen der Behörde wurden millionenfach Werbeanrufe im Auftrag des Unternehmens durch Call-Center durchgeführt, in zahllosen Fälle ohne wirksame Einwilligung. (Link) |
| Österreichische Post AG |  Österreich |
18.000.000 Euro |
Die Datenschutzbehörde sah es als erwiesen an, dass das Unternehmen Informationen zur vermeintlichen politischen Affinität seiner Kund*innen gesammelt und verarbeitet hat. Auch die Weiterverarbeitung von Daten über die Paketfrequenz und die Häufigkeit von Umzügen zum Zweck des Direktmarketings wurde als Rechtsverstoß geahndet. (Link) |
|
Eni gas e luce SpA
|
Italien |
8.500.000 Euro
|
Das Unternehmen führte ohne Einwilligung der kontaktierten Personen Werbeanrufe durch. Zudem gab es nicht die erforderlichen technischen und organisatorischen Maßnahmen, um Werbewidersprüche der Nutzer*innen zu verarbeiten. (Link) |
|
Google LLC
|
 Schweden |
6.992.842 Euro
(75.000.000 Kronen) |
Google setzte Anordnungen der schwedischen Datenschutzbehörde nicht beziehungsweise nicht rechtzeitig um. (Link) |
|
Eni gas e luce SpA
|
Italien |
3.000.000 Euro
|
Die Aufsichtsbehörde stellte fest, dass bei dem Unternehmen nach ausgesprochenen Kündigungen heimliche Vertragsverlängerungen im Kundenerfassungssystem ohne Einwilligung vermerkt wurden. (Link) |
| Bulgarian National Revenue Agency |  Bulgarien |
2.607.495 Euro (5.100.000 BGN) |
Unzureichende technische und organisatorische Maßnahmen ermöglichten es Hackern, in die Datenbank des Finanzverwalters einzudringen. Millionen Datensätze von Kund*innen und sensible Unternehmensdaten wurden so angegriffen. (Link) |
| Vincall s.r.l.s | Italien |
2.018.000 Euro
|
Die Datenschutzbehörde stellte 78 Verstöße wegen unrechtmäßiger Datensammlung und 155 Verstöße wegen unrechtmäßiger Datenverarbeitung fest. (Link) |
|
UWV – Uitvoeringsinstituut Werknemersverzekeringen
|
 Niederlande |
900.000 Euro | Fehlende Mehrfachauthentifizierung bei Krankheits- und Abwesenheitsdaten von Angestellten in einem Abwesenheitssystem (Link) |
| Nicht benanntes Unternehmen | Niederlande |
725.000 Euro | Erhebung biometrischer Daten der Mitarbeiter*innen (Fingerabdrücke), die die eindeutige Identifizierung dieser natürlichen Personen ermöglichen oder bestätigen, ohne ausreichende Einwilligung (Link) |
| Morele.net Sp. z o. o. |  Polen |
660.000 Euro
|
Daten von über zwei Millionen Personen gerieten aufgrund mangelnder Sicherheitsvorkehrungen in die Hände von Cyberkriminellen. (Link) |
|
Fastweb S.p.A.
|
Italien |
600.000 Euro
|
Telemarketing ohne Einwilligung oder sogar trotz Widerspruchs der Betroffenen. (Link) |
|
Cathay Pacific Airways Limited
|
Vereinigtes Königreich |
590.821 Euro
(500.000 Pfund) |
Unverschlüsselte Datensicherungen der Datenbanken sorgten über Jahre für massiven Abfluss von Passagierdaten. (Link) |
|
DSG Retail Ltd
|
Vereinigtes Königreich |
586.972 Euro
(500.000 Pfund) |
Datenabfluss und -missbrauch durch unzureichende Maßnahmen zum Schutz von Kassensystemen. (Link) |
|
Facebook Ireland Ltd
|
Vereinigtes Königreich |
579.000 Euro
(500.000 Pfund) |
Datenabfluss vie „Cambridge Analytica“. Nach Ansicht der ICO räumte Facebook App-Entwicklern Zugang zu Nutzerdaten ein, ohne dass dies notwendig gewesen wäre. (Link) |
|
CRDNN Limited
|
Vereinigtes Königreich |
574.675 Euro
(500.000 Pfund) |
3.000 Beschwerden über aggressives Telemarketing und belästigende Telefonanrufe. (Link) |
|
Koninklijke Nederlandse Lawn Tennisbond (KNLTB)
|
Niederlande |
525.000 Euro
|
Unerlaubter Verkauf personenbezogener Daten an Sponsoren. (Link) |
|
DSK Bank
|
Bulgarien |
511.247 Euro
(1.000.000 BGN) |
Fehlen geeigneter technischer und organisatorischer Maßnahmen zum Datenschutz, wodurch vertrauliche Daten von rund 33.500 Bankkund*innen in die Hände Krimineller gerieten. (Link) |
|
FUTURA INTERNATIONALE
|
Frankreich |
500.000 Euro
|
Unerlaubtes Cold Calling. (Link) |
|
Bounty (UK) Limited
|
Vereinigtes Königreich |
474.850 Euro
(400.000 Pfund) |
Unerlaubte Weitergabe personenbezogener Daten an insgesamt 39 Unternehmen, ohne dass die Betroffenen hierzu Informationen erhielten. |
| SAS Sergic Invest | Frankreich |
400.000 Euro | Das Unternehmen beging Verstöße gegen das Minimierungsprinzip und die Datensicherheit. Zudem erhielten unautorisierte Personen Zugang zu personenbezogenen Daten. (Link) |
| Centro Hospitalar Barreiro Montijo |  Portugal |
400.000 Euro | Patientendaten wurden einem zu großem Personenkreis zugänglich gemacht. (Link) |
| LaLiga Santander |  Spanien |
250.000 Euro | Die Fußballliga veröffentlichte eine mobile App, die den Standort der Nutzer*innen erfasste und gleichzeitig deren Mikrofon aktivierte, um die Lizenzierung von Fußballübertragungen in Bars und Kneipen zu überprüfen. (Link) |
| Bisnode | Polen |
221.124 Euro (943.470 Zloty) |
Die Datenschutzbehörde UODO bestrafte das Unternehmen Bisnode für die unzulängliche Erfüllung der Auskunftspflicht nach Art. 14 im Zusammenhang mit Werbeaktivitäten. (Link) |
| IDdesign A/S |  Dänemark |
200.800 Euro (1.500.000 Kronen) |
Der Möbelhersteller speicherte Kundendaten unzulässig lange. (Link) |
| Stadtverwaltung Bergen |  Norwegen |
165.000 Euro (1.600.000 Kronen) |
Die städtische Verwaltung machte personenbezogene Daten von 35.000 Personen, überwiegend Kinder, aufgrund unzureichender Sicherheitsmaßnahmen öffentlich zugänglich. |
| Taxa 4×35 | Dänemark |
160.700 Euro (1.200.000 Kronen) |
Das Taxiunternehmen speicherte Daten von acht Millionen Fahrten und verstieß damit gegen das Minimierungsprinzip. |
| Unicredit Bank SA |  Rumänien |
Liste der höchsten DSGVO-Strafen (Deutschland)
Die nachfolgende Liste führt Bußgelder in Deutschland oberhalb der 10.000-Euro-Marke auf. Bußgelder aus anderen EU-Ländern findest du in der Tabelle oben.
Unternehmen |
Bundesland |
Strafe |
Grund |
| Hennes & Mauritz (H&M) | Hamburg | 35.258.708 Euro | Ausspähen von Personal/schwere Missachtung des Beschäftigtendatenschutzes am Standort Nürnberg (Link) |
| Deutsche Wohnen SE | Berlin | 14.500.000 Euro | Unzulässige Speicherung von Mieterdaten (Link) |
| 1&1 Telecommunication SE | [Bußgeld durch Bundesdatenschutzbehörde] | 9.550.000 Euro | keine hinreichenden technisch-organisatorischen Maßnahmen zum Schutz von Kundendaten (Link) |
| AOK | Baden-Württemberg | 1.240.000 Euro | Die Krankenkasse hatte Gewinnspiele veranstaltet und die dabei erhobenen personenbezogenen Daten widerrechtlich zu Werbezwecken verwendet. (Link) |
| Callcenter-Unternehmen SG Sales and Distribution GmbH | Bundesnetzagentur | 300.000 Euro | Werbeanrufe für Strom- und Gaslieferverträge verschiedener Energieversorger erfolgten ohne Einwilligung der Betroffenen. |
|
ENERGYsparks GmbH
|
Bundesnetzagentur | 300.000 Euro | Werbeanrufe erfolgten ohne Einwilligung der Betroffenen. |
| Nicht benannt | Niedersachsen | 294.000 Euro | Verstoß gegen den Beschäftigtendatenschutz; „unnötig lange“ Speicherung von Personaldaten; „überbordendes“ Personalauswahlverfahren mit Abfrage von Gesundheitsdaten (Link) |
|
Sky Deutschland Fernsehen GmbH & Co. KG
|
Bundesnetzagentur | 250.000 Euro | Werbeanrufe erfolgten ohne Einwilligung der Betroffenen. |
| Delivery Hero SE | Berlin | 195.407 Euro | Unerwünschte Werbemails, unterlassene Löschung inaktiver Accounts, verschleppte Auskunftsverfahren |
| Mobilcom Debitel | Bundesnetzagentur | 145.000 Euro | Werbeanrufe erfolgten ohne Einwilligung der Betroffenen, Missachtung von Widerrufen. (Link) |
|
E Wie Einfach GmbH
|
Bundesnetzagentur | 140.000 Euro | Werbeanrufe erfolgten ohne Einwilligung der Betroffenen. |
| Universitätsmedizin der Johannes Gutenberg-Universität Mainz |
Nordrhein-Westfalen | 105.000 Euro | Unzureichender Schutz von Gesundheitsdaten, falsche Rechnungslegung (Link) |
| Lebensmittel-handwerksunternehmen | Baden-Württemberg | 100.000 Euro | Unzureichender Datenschutz auf unverschlüsseltem Bewerberportal. (Link, S.41) |
|
Vodafone Kabel Deutschland GmbH
|
Bundesnetzagentur | 100.000 Euro | Kundenrückgewinnung trotz Anrufuntersagung. |
| Finanzunternehmen | Baden-Württemberg | 80.000 Euro | Unsachgemäße Entsorgung sensibler Dokumente. (Link,, S.40) |
| Nicht benanntes Klinikum/Krankenhaus | Baden-Württemberg | 80.000 Euro | Gesundheitsdaten der Patient*innen waren per Internet zugänglich (Link) |
| Facebook Germany GmbH | Hamburg | 51.000 Euro | Das Social-Media-Netzwerk versäumte es, den Wechsel des Datenschutzbeauftragten der zuständigen Behörde mitzuteilen (Link) |
|
N26 Bank GmbH |
Berlin | 50.000 Euro | Die Bank führte unzulässig eine „Blacklist“ unliebsamer Kund*innen (Link) |
|
Nicht benanntes Unternehmen |
Brandenburg | 50.000 Euro | Fehlender Vertrag zur Auftragsverarbeitung gemäß Art. 28 Abs. 9 DSGVO mit einem Dienstleister. |
| Knuddels GmbH & Co. KG | Baden-Württemberg | 20.000 Euro | Das Social-Media-Netzwerk speicherte und leakte unverschlüsselte Kunden-Passwörter (Link) |
| Nicht benanntes Unternehmen | Hamburg | 20.000 Euro | Verspätete Meldung eines Datenlecks an die zuständige Behörde (Link, S.134) |
Werden DSGVO-Strafen jetzt immer höher?
Davon ist auszugehen. Mehrere Landesdatenschutzbeauftragte haben schon angekündigt, dass die Kulanz gegenüber nachlässigen Unternehmen 2019 endgültig ihr Ende finde. Habe man bislang eher auf einen Informationseffekt gegenüber Unternehmen gezielt, sei nun regelmäßig mit hohen oder sehr hohen DSGVO-Strafen zu rechnen.
„Die Aufsichtsbehörden brauchten ein bisschen Vorlauf (…). Jetzt werden Bußgelder regelmäßig verhängt, in größerem Umfang und auch mit höheren Beträgen. Ein fünfstelliges Bußgeld wird keine Seltenheit mehr sein.. (…) Es geht um fünf- oder sechsstellige Beträge, in naher Zukunft auch um Bußgelder in Millionenhöhe.“
Landesdatenschutzbeauftragter Stefan Brink (Baden-Württemberg),
im Interview mit dem Spiegel, 24. Januar 2019
Die höchsten deutschen DSGVO-Strafen – Weblinks
Erfahre hier mehr über geahndete Verstöße gegen die DSGVO in Deutschland. Außerdem findest du hier Links zu Hintergründen und Geschichte der DSGVO.
Weitere Link-Liste zu den einzelnen deutschen DSGVO-Strafen
- Veröffentlichung von Gesundheitsdaten – 80.000 Euro Geldbuße (rosepartner.de)
- Berliner Datenschutzbeauftragte verhängt DSGVO-Bußgeld gegen N26 (spiegel.de)
- DSGVO-Strafe für Knuddels (datenschutz.org)
- Geldbuße für Hamburger Unternehmen (Tätigkeitsbericht des Datenschutzbeauftragten 2018, S.134)
Hintergrund/weiterführende Links
- DSGVO-Gesetzestext
- Zur Höhe von DSGVO-Strafen und Bußgeldern (dsgvo-gesetz.de)
- Ein Jahr DSGVO – die Bilanz
- Zwei Jahre DSGVO
- Bayern prescht mit DSGVO-Datenschutzkontrollen vor
- DSGVO: Google muss 50 Millionen Euro Strafe zahlen
- British Airways: bislang höchste DSGVO-Strafe
- DSGVO und WhatsApp auf dem Firmenhandy
- GDPR Enforcement Tracker (Liste aller DSGVO-Verfahren; auf Englisch)
