Millionenstrafen

Deutschlands schlimmste DSGVO-Sünder

10.03.2023 von Martin Bayer
Auch 2022 haben die Datenschützer in den verschiedenen Bundesländern gravierende Verstöße gegen die Datenschutzgrundverordnung (DSGVO) ermittelt und geahndet. Das sind die schlimmsten Sünder.
Verstöße gegen den Datenschutz können teuer werden.
Foto: Satur - shutterstock.com

1. BREBAU GmbH

Die BREBAU GmbH, eine Wohnungsbaugesellschaft mit Sitz in Bremen und eine hundertprozentige Tochter der Stadt Bremen, kassierte im vergangenen Jahr eine Strafe in Höhe von 1,9 Millionen Euro. Laut einer Mitteilung der Landesbeauftragten für Datenschutz und Informationsfreiheit (LfGI) Anfang März 2022 hat das Unternehmen mehr als 9.500 Daten von Mietinteressentinnen und -interessenten verarbeitet, ohne dass es dafür eine Rechtsgrundlage gab. Beispielsweise wurden Informationen über die Haarfrisur, den Körpergeruch und das persönliche Auftreten festgehalten.

In mehr als der Hälfte der Fälle seien sogar Daten über die Hautfarbe, die ethnische Herkunft, die Religionszugehörigkeit, die sexuelle Orientierung und den Gesundheitszustand erfasst und gespeichert worden. Diese Informationen fallen in die besondere Kategorien personenbezogener Daten, die nach der DSGVO grundsätzlich als besonders schützenswert einzustufen sind.

"Nach der DSGVO ist es nur in wenigen Ausnahmefällen überhaupt erlaubt, Daten über Hautfarbe, ethnische Herkunft, Religionszugehörigkeit, sexuelle Orientierung und über den Gesundheitszustand zu verarbeiten", sagte Imke Sommer, oberste Datenschützerin der Hansestadt. "Damit sorgt die DSGVO dafür, dass diese besonders geschützten Daten in den allermeisten Fällen gar nicht erst erhoben und gespeichert werden dürfen.

DSGVO-Bußgeldbescheide: Sich zu wehren kann sich lohnen

Anfragen betroffener Personen auf Transparenz über die von BREBAU verarbeiteten Daten habe das Unternehmen darüber hinaus bewusst verhindert, so der Vorwurf der LfDI. Die Schwere der Datenschutzverletzung hätte sogar ein wesentlich höheres Bußgeld gerechtfertigt, hieß es. Da die BREBAU GmbH allerdings in dem datenschutzrechtlichen Aufsichtsverfahren umfassend kooperierte, sich um Schadensminderung bemühte und durch interne Maßnahmen dafür gesorgt hat, dass sich derartige Vorfälle nicht mehr wiederholen, konnte die Höhe des Bußgeldes erheblich reduziert werden. Zwei leitende Angestellte seien in Folge des Vorfalls entlassen worden.

2. Volkswagen

Die zweite Millionenstrafe des vergangenen Jahres wegen DSGVO-Verstößen kassierte VW. 1,1 Millionen Euro mussten die Wolfsburger bezahlen, weil sie bei der Erprobung eines Fahrassistenzsystems in Sachen Datenschutz geschlampt hatten. Die Landesbeauftragte für den Datenschutz (LfD) Niedersachsen hatte Ermittlungen gegen den Autobauer aufgenommen, nachdem eines der für die Probefahrten eingesetzten Fahrzeuge 2019 in der Nähe von Salzburg in eine Verkehrskontrolle der österreichischen Polizei geraten war.

An dem Auto waren Kameras angebracht, welche dessen Umgebung erfassten und mittels derer das Assistenzsystem getestet und trainiert wurde. Bei der behördlichen Untersuchung kamen gleich mehrere Datenschutzverstöße zutage.

Beim Testen eines neuen Fahrassistenzsystems haben die Wolfsburger nicht auf den Datenschutz geachtet.
Foto: Marcel Paschertz - shutterstock.com

An dem kontrollierten Wagen waren keine Schilder angebracht, die etwaige Betroffene über die mit dem Kameraeinsatz einhergehende Datenverarbeitung informierten. Dies wertete Barbara Thiel, die Landesdatenschutzbeauftragte Niedersachsens, als eine Verletzung der Informationspflicht des Bußgeldempfängers. Darüber hinaus hatten die Volkswagen-Verantwortlichen keinen Vertrag über Auftragsverarbeitung mit dem Dienstleister abgeschlossen, der die Testfahrten organisierte und abwickelte. Außerdem fehlten eine Datenschutz-Folgenabschätzung, mit der vor Beginn einer solchen Verarbeitung mögliche Risiken und deren Eindämmung bewertet werden müssen, genauso wie eine Erläuterung der technischen und organisatorischen Schutzmaßnahmen im Verzeichnis der Verarbeitungstätigkeiten.

Volkswagen habe während der Untersuchung mit der Datenschutzbehörde kooperiert, die Mängel abgestellt und den Bußgeldbescheid akzeptiert, hieß es von Seiten der niedersächsischen Datenschützer.

3. Hannoversche Volksbank

Einen Bußgeldbescheid in Höhe von 900.000 Euro handelte sich die Hannoversche Volksbank ein. Das Finanzinstitut hatte Daten von rund 220.000 aktiven sowie ehemaligen Kundinnen und Kunden ohne deren Einwilligung ausgewertet. Analysiert wurde dabei das digitale Nutzungsverhalten wie beispielsweise das Gesamtvolumen von Einkäufen in App-Stores, die Häufigkeit der Nutzung von Kontoauszugsdruckern sowie die Gesamthöhe von Überweisungen im Online-Banking im Vergleich zur Nutzung des Filialangebots.

Die Ergebnisse der Analyse wurden zudem mit Informationen einer Wirtschaftsauskunftei abgeglichen und von dort weiter angereichert. Ziel war es, Kunden mit einer erhöhten Neigung für digitale Medien zu identifizieren und diese entsprechend verstärkt auf elektronischen Kommunikationswegen mit Werbung anzusprechen.

Laut den Datenschützern häufen sich die Fälle, in denen Daten von Kundinnen und Kunden, die zunächst rechtmäßig verarbeitet wurden, zur Profilbildung herangezogen werden. "Die Verantwortlichen holen sich für solche Auswertungen häufig keine Einwilligung der Kundinnen und Kunden ein", sagte die Landesdatenschutzbeauftragte Barbara Thiel. Stattdessen würden sie sich auf ihr berechtigtes Interesse und eine Interessenabwägung berufen. "Diese Rechtsgrundlage erlaubt es aber nicht, Profile für Werbezwecke zu bilden, indem man große Datenbestände auswertet."

Rekordanstieg: So hoch waren die DSGVO-Bußgelder in 2022

Die Interessen der Kunden seien höher einzustufen als das Interesse des Geldhauses, Werbung zu treiben, stellten die Datenschützer klar. "Die Betroffenen erwarten es in der Regel nicht, dass Verantwortliche im großen Umfang Datenbestände nutzen, um ihre Neigung zu bestimmten Produktkategorien oder Kommunikationswegen zu identifizieren", so Thiel - schon gar nicht, dass Daten aus unterschiedlichen Lebensbereichen verkettet und so noch genauere Profile erstellt werden. Für so eine Praxis müsse explizit eine Einwilligung eingeholt werden.

Das hat die Hannoversche Volksbank jedoch versäumt. Das dafür verhängte Bußgeld hätte noch deutlich höher ausfallen können, merkten die Behörden an. Zugunsten der Bank wurde aber berücksichtigt, dass die Daten nicht weiterverwendet wurden und sich das Geldhaus bei der Aufklärung des Sachverhalts kooperativ zeigte. Noch ist das Bußgeld nicht rechtskräftig, die Banker haben allerdings bereits durchblicken lassen, die Strafe zu akzeptieren und zahlen zu wollen.

Top 3 seit DSGVO-Beginn

Mit diesen Strafen liegen BREBAU, VW und die Hannoversche Volksbank zwar unter den deutschen Top ten der Bußgeldsünder seit DSGVO-Beginn - immerhin schafft es BREBAU mit dem 3. Platz noch aufs Treppchen. Ganz vorne im All-time-high der DSGVO-Strafen stehen jedoch andere:

Auf dem 2. Platz steht der Online-Versandhändler notebooksbilliger.de, der Anfang 2021 zu einem Bußgeld in Höhe von 10,4 Millionen Euro verdonnert wurde, weil Mitarbeiter und Kunden über Jahre hinweg per Videokamera unrechtmäßig überwacht wurden. Noch ist das Urteil nicht rechtskräftig. Der Händler hält die Höhe des Bußgelds für unverhältnismäßig und wehrt sich.

Mit deutlichem Abstand auf Platz 1 liegt die H&M Hennes & Mauritz Online Shop A.B. & Co. KG. Im Oktober 2020 verhängte die Datenschutzbehörde in Hamburg ein Bußgeld von über 35 Millionen Euro gegen den Modehändler. Der Vorwurf: H&M habe in einem Service Center Mitarbeiter bespitzelt und neben beruflichen Daten wie beispielsweise zu Urlaubs- und Krankenzeiten auch per Zufall erlangte private Informationen wie familiäre Probleme oder religiöse Bekenntnisse erfasst und gespeichert. H&M hat die Missstände beseitigt, den betroffenen Schadensersatz gezahlt und seine Strafe beglichen.