Datenschutz-Vorfälle

Im Folgenden stellen wir Informationen über Datenschutz-Vorfälle zur Verfügung, die an die Öffentlichkeit geraten sind.

Sie sind in den Medien oder im Internet über die Meldung zu einem Datenschutz-Vorfall gestolpert? In diesem Fall können Sie uns gerne hier Hinweise zu entsprechenden Veröffentlichungen von Datenschutz-Vorfällen geben. Wir prüfen Ihre Angaben und ergänzen die Liste. Bitte nennen Sie uns KEINESFALLS interne, eigene oder unveröffentlichte Datenschutz-Vorfälle.

Datum Titel Kurzbescheibung Kategorie(n) der Betroffenen Anzahl Betroffene Name Verantwortlicher Bereich Land Auswirkungen
19.08.2019 Kundendaten zu Mastercard-Bonusprogramm im Netz abrufbar Die Daten von Nutzern eines Mastercard-Bonusprogramms waren zeitweise in einem Online-Forum abrufbar. Eine Tabellen-Datei, die zeitweise in dem Online-Forum verfügbar war, listete unter anderem Namen und E-Mail-Adressen auf. Daneben standen jeweils die ersten zwei und die letzten vier Zahlen der Mastercard-Kartennummer und in manchen Fällen auch die Anschrift und Telefonnummern der Kunden. Zudem enthielt die Liste zusätzlich Angaben dazu, ob Nutzer einen Newsletter und SMS-Benachrichtigungen abonniert hatten. Interessentאinnen / Kundאinnen / Lieferantאinnen 90.000 Mastercard Banken / Versicherung Vereinigte Staaten 3: substanziell
14.08.2019 Mitarbeiter hören Messenger-Audioaufnahmen ab Das soziale Netzwerk ließ offenbar Hunderte externe Mitarbeiter die Sprachnachrichten von Nutzern transkribieren, um die KI zu trainieren. Betroffen seien Nutzer gewesen, die die Transkriptions-Funktion für Sprachnachrichten eingeschaltet hatten. Aufgabe der Mitarbeiter sei es gewesen, zu prüfen, ob die Software die gesprochenen Sätze korrekt verstanden habe. Interessentאinnen / Kundאinnen / Lieferantאinnen ? Facebook Social Media Plattformen Vereinigte Staaten 4: groß
14.08.2019 Biometrische Daten von Millionen Nutzern offen im Netz Sicherheitsgau bei der Biometriedatenbank "Biostar 2" der südkoreanischen IT-Firma Suprema: Forscher des israelischen Online-Dienstes vpnMentor haben entdeckt, dass das webbasierte System mit hochsensiblen personenbezogenen Informationen weitgehend ungeschützt im Internet zur Verfügung stand. Die Experten konnten sich nach eigenen Angaben ohne große Mühen Zugang zu 27,8 Millionen Einträgen verschaffen, die 23 Gigabyte an Daten ausmachten. Darunter waren Fingerabdruck- und Gesichtserkennungsdaten, Gesichtsfotos von Benutzern, unverschlüsselte Benutzernamen und Passwörter, Protokolle über den Zugang zu den Einrichtungen, Sicherheitsstufen und -freigabe sowie persönliche Daten des Personals. Interessentאinnen / Kundאinnen / Lieferantאinnen ? Suprema Sonstiges Südkorea 4: groß
09.08.2019 Mitarbeiter hören Skype-Gespräche ab Bestimmte Skype-Gespräche werden von Microsoft-Mitarbeitern abgehört und analysiert. Zwar beschreibt Microsoft in seinem Hilfebereich, dass "automatische Transkripte analysiert werden", jedoch geht in der Erklärung nicht hervor, dass diese Aufgabe offenbar von Menschen erledigt wird. In der Datenschutzerklärung wird hierzu auch nicht informiert. Zudem soll ein Teil der Angestellten die Aufnahmen nicht einmal in einer geschützten Büroumgebung, sondern von zuhause aus bearbeiten. Interessentאinnen / Kundאinnen / Lieferantאinnen ? Microsoft Social Media Plattformen Vereinigte Staaten 4: groß
08.08.2019 Millionen Standortdaten von Instagram-Nutzern abgegriffen Datensammlung auf Instagram durch das amerikanisches Start-up Hyp3r. Daten von Menschen werden überwacht und analysiert: Dazu hat das Unternehmen offenbar Nutzerdaten von Millionen Instagram-Nutzern gesammelt. Gespeichert wurde zum Beispiel, wo sie sich aufhalten, aber auch Informationen aus ihren Profilen wie die Selbstbeschreibung ("Bio") und Inhalte wie die Kurzvideos in den Instagram Stories. Die verschwinden eigentlich nach 24 Stunden aus der App, Hyp3r sicherte sie aber dauerhaft mit einem eigens entwickelten Programm und wertete sie mit einer Bildanalyse-Software aus. Interessentאinnen / Kundאinnen / Lieferantאinnen ? Facebook Social Media Plattformen Vereinigte Staaten 4: groß
07.08.2019 Mögliche unerlaubte Datenweitergabe Twitter hat möglicherweise, ohne Einverständnis der Nutzer, Daten mit Werbekunden geteilt. Durch den Fehler seien Nutzern möglicherweise seit Mai 2018 personalisierte Werbeanzeigen angezeigt worden - auch auf Basis unzulässig gesammelter Daten. Informationen zu Passwörtern oder E-Mail-Konten sind wohl nicht betroffen. Dabei handele es sich um Ländercodes, Verbindungen zu Werbeanzeigen und Rückschlüsse auf verwendete Geräte. Die Probleme seien am 5. August behoben worden. Interessentאinnen / Kundאinnen / Lieferantאinnen ? Twitter Social Media Plattformen Vereinigte Staaten 1: geringfügig
06.08.2019 Kontaktdaten von Messe-Fachbesuchern online einsehbar Nach der Spielemesse E3, Electronic Entertainment Expo, sind die persönlichen Daten der Fachbesucher online abrufbar gewesen. Eine Liste mit den Datensätzen von 2025 registrierten Journalisten, Analysten, Influencern, Korrespondenten und Produzenten war mindestens einige Tage lang frei auf der E3-Website zugänglich. Derartige Dokumente mit Namen, Medium, Telefonnummern, Adressen und E-Mail-Adressen werden normalerweise für die Aussteller von Messen erstellt. Interessentאinnen / Kundאinnen / Lieferantאinnen 2025 Entertainment Software Association Sonstiges Vereinigte Staaten 1: geringfügig
05.08.2019 Missbräuchliche Datenabfrage bei der Polizei In Hessen nutzen Polizisten ihren dienstlichen Zugriff auf die Landespolizeidatenbank Polas (Polizei-Auskunfts-System) immer wieder privat. In dem Pola werden zum Teil sensible Daten über Personen gespeichert: von der Meldeadresse bis hin zu personengebundenen Hinweisen (PHW) wie Drogenkonsum und psychischen Problemen. Bürgerאinnen ? Polizei Hessen Öffentliche Stellen (Behörden / Kommunen) Deutschland 4: groß
02.08.2019 Widerrechtliche Verarbeitung von personenbezogenen Daten - 150.000 Euro Geldbuße Die griechische Aufsichtsbehörde wurde tätig, nachdem mittels einer Beschwerde mitgeteilt wurde, dass das Unternehmen Defizite hinsichtlich des Beschäftigtendatenschutzes aufweise. So stützte Price Waterhouse Coopers Business Solutions S.A (PWC) die Datenverarbeitung fälschlicherweise auf Einwilligungen nach Art. 6 Abs. 1 lit. a DSGVO, obwohl andere der in Art. 6 Abs. 1 DSGVO genannten Erlaubnistatbestände einschlägig gewesen wären. Dieses Vorgehen stelle seitens PWC nicht nur einen Verstoß gegen das Rechtmäßigkeitsprinzip nach Art. 5 Abs. 1 lit.a DSGVO dar, sondern verletze insb. auch den Grundsatz der Verarbeitung nach Treu und Glauben. Hiernach dürfe nämlich ggü. der betroffenen Person nicht der Anschein erweckt werden, die Verarbeitung stütze sich lediglich auf die jederzeit widerrufbare Einwilligung. Vielmehr müsse, sofern ein anderer Erlaubnistatbestand greift, dieser herangezogen werden und die betroffene Person entsprechend informiert werden. Entsprechend verletzte PWC seine Informations- ebenso wie seine Nachweispflichten. Beschäftigte ? Price Waterhouse Coopers Business Solutions S.A Dienstleistung / Handwerk Griechenland 4: groß
01.08.2019 Massiver Hackerangriff auf US-Bank Hackerin erbeutet Informationen aus Anträgen von Verbrauchern und kleinen Unternehmen aus den Jahren 2005 bis 2019 auf Kreditkarten: Namen, Adressen, Telefonnummern, E-Mail-Adresse, Geburtsdaten und angegebenes Einkommen. Hinzu kommen Bonitätsbewertungen, Kreditrahmen, Kontostand, Zahlungsverhalten, und weitere Kontaktdaten hinzu, sowie Umsatzdaten. Der Hack wurde durch Fehlkonfiguration einer Firewall ermöglicht. Das FBI ermittelt. Interessentאinnen / Kundאinnen / Lieferantאinnen 106 Mio Capital One Financial Corp. Banken / Versicherung Vereinigte Staaten 4: groß
29.07.2019 Mitarbeiter hören Siri-Gespräche ab Ein Teil der Fragen an Apples Assistentin Siri wird zur Kontrolle an Menschen weitergeleitet. Die bekommen dadurch private und sogar intime Gespräche mit. Apples Mitarbeiter sind damit beauftragt, Siris Reaktionen auf die Gesprächsschnipsel zu bewerten. Angefangen damit, ob die Aktivierung der künstlichen Assistentin überhaupt gewünscht war, aber auch ob Siris Antwort angemessen war und ob es sich überhaupt um eine von Siri beantwortbare Frage handelt. Interessentאinnen / Kundאinnen / Lieferantאinnen ? Apple Sonstiges Vereinigte Staaten 4: groß
28.07.2019 Liste von Einwohnern mit Hausverbot im Amtsgebäude der Stadt veröffentlicht Auf der Internetseite der Stadt Winsen im Landkreis Harburg war eine Liste öffentlich einsehbar. Die 28 Personen auf der Liste, haben Hausverbot im Amtsgebäude der Stadt. Die Liste mit Vorname, Nachname, Adressdaten war für das Intranet gedacht und wurde ungewollt im Internet veröffentlicht. Bürgerאinnen 28 Stadt Winsen Öffentliche Stellen (Behörden / Kommunen) Deutschland 2: überschaubar
27.07.2019 Keine Datenschutzkonforme Entsorgung von Akten Ungeschredderte Akten, welche personenbezogene Daten enthalten haben sollen, wurden in blauen Papiertonnen entsorgt. Die Tonnen und somit auch die Akten waren für jeden zugänglich. Welche Datenarten entsorgt wurden ist nicht sicher. Es könnten sich dabei um Adressdaten, Kontodaten, Mietdaten, medizinische Daten etc. handeln. Bürgerאinnen ? Jobcenter Gütersloh Öffentliche Stellen (Behörden / Kommunen) Deutschland 4: groß
26.07.2019 Weitergabe von Nutzerdaten an Cambridge Analytica - 5 Milliarden Dollar Geldbuße Facebook hat Nutzerdaten an das Datenanalyse-Startup Cambridge Analytica weitergegeben. Cambridge Analytica verarbeitete unterlaubter Weise persönliche Daten von Facebook-Nutzern und wertete deren persönliche Profile aus. Neben der Geldbuße soll es nun auch zu strukturellen Veränderungen bei Facebook kommen, um mehr Datenschutz und Transparenz zu gewährleisten. Interessentאinnen / Kundאinnen / Lieferantאinnen 87 Mio Facebook Social Media Plattformen Vereinigte Staaten 3: substanziell
25.07.2019 Tracking von Kindern bei YouTube Google trackte Kinder unter 13 Jahren: FTC droht mit Millionenstrafe. Google hat während der Untersuchung schon reagiert und Inhalte für Kinder zum Beispiel für Kommentare gesperrt. Kinder ? Google Social Media Plattformen Vereinigte Staaten 3: substanziell
24.07.2019 Bug im Messenger Kids: Kinder konnten mit Fremden chatten Technischer Fehler bei Facebook: Kinder konnten mit unberechtigten Personen chatten. Betroffen war der "Messenger Kids", der besonderen Schutz für Kinder verspricht. Eigentlich dürfen die jungen Nutzer nur Leute kontaktieren, die von den Eltern zuvor freigegeben wurden. Diese Sicherheitsmaßnahme ließ sich jedoch über Gruppenchats umgehen, wie sich nun herausstellte. Kinder konnten deshalb auch mit Fremden chatten. Kinder ? Facebook Social Media Plattformen Vereinigte Staaten 4: groß
22.07.2019 Datenleck bei Petitionsplattform von Campact Ein Fehler auf der Petitionsplattform WeAct von Campact ermöglichte den Zugriff auf die Daten der Unterstützer. Rund 1,8 Millionen Unterzeichner sind betroffen. Die Nichtregierungsorganisation hat die Hintergründe des Fehlers veröffentlicht. Die Daten umfassen den Namen, die Postleitzahl sowie teilweise die E-Mail-Adressen. Sogar Gewerkschaftszugehörigkeit sichtbar! Bürgerאinnen 1,8 Mio. Petitionsplattform WeAct der Organisation Campact Öffentliche Stellen (Behörden / Kommunen) Deutschland 4: groß
22.07.2019 Massiver Hackerangriff auf russischen Geheimdienst Hackerangriff auf den russischen Geheimdienst FSB: Hacker entwenden 7,5 Terabyte an Daten zu laufenden Projekten und Operationen der Moskauer Spionagebehörde. Beschäftigte, Sonstiges ? FSB Öffentliche Stellen (Behörden / Kommunen) Russland 4: groß
18.07.2019 Verschlüsselungstrojaner legt Klinikserver lahm Malware legt Klinikserver lahm: komplettes Netzwerk des Krankenhausverbundes der DRK Trägergesellschaft Süd-West infiziert. Daraufhin seien die Server aus Sicherheitsgründen vom Netz genommen, um sie auf einen Befall zu überprüfen und um zu verhindern, dass sich die Schadsoftware weiter ausbreitet. Patientאinnen, Sonstiges ? DRK Trägergesellschaft Süd-West Gesundheits-wesen Deutschland 3: substanziell
17.07.2019 Hacker erlangen Millionen Datensätze von Bürgern und Unternehmen Hackerangriff auf die bulgarische Finanzbehörde NAP: Hacker erlangten Daten von 5 Millionen Bulgaren, Ausländern und Unternehmen und drohen mit der Veröffentlichung der gestohlenen Daten. Politisches Motiv nicht ausgeschlossen. Bürgerאinnen, Sonstiges 5 Mio Finanzbehörde NAP Öffentliche Stellen (Behörden / Kommunen) Bulgarien 4: groß
17.07.2019 Privatsphäre eines Patienten nicht ausreichend geschützt - 460.000 Euro Geldbuße Das Krankenhaus hat die Privatsphäre eines Patienten nicht ausreichend geschützt. Weitere Geldbußen könnten folgen. Patientאinnen 1 HagaZiekenhuis Gesundheits-wesen Niederlande 4: groß
13.07.2019 LKA-Beamter verliert Aktentasche mit brisantem Inhalt Datenpanne beim LKA Niedersachsen: Einem LKA-Beamten, der einen V-Mann führte, war eine Aktentasche aus seinem Privatwagen gestohlen worden. Die Tasche enthielt neben Geld und dienstlicher EC-Karte auch sensible Dokumente. Bürgerאinnen 1 LKA Niedersachsen Öffentliche Stellen (Behörden / Kommunen) Deutschland 4: groß
12.07.2019 Mitarbeiter hören Google Assistant-Gespräche ab Auch Google lässt die Audiomitschnitte Tausender Gespräche mit seinem virtuellen Assistenten von Menschen analysieren. Die meisten Audioaufzeichnungen sind absichtlich entstanden, 153 Gespräche jedoch "hätten nie aufgezeichnet werden sollen". Ähnlich wie zu Amazon und Apple steht bei Google´s Datenschutzbestimmungen nichts dazu. Interessentאinnen / Kundאinnen / Lieferantאinnen ? Google Sonstiges Vereinigte Staaten 4: groß
10.07.2019 Hacker erlangen Daten von bis zu 500 Mio. Hotelgästen - 110 Mio Euro Geldbuße Bei der Hotelkette Marriott gab es ein massives Datenleck: Hacker erlangten 5,25 Millionen unverschlüsselte Ausweisnummern und 385.000 gültige Zahlungskartennummern von bis zu 500 Millionen Hotelgästen. Kinder, Interessentאinnen / Kundאinnen / Lieferantאinnen, Sonstiges 500 Mio Marriott International, Inc. Freizeit / Tourismus / Gastro Vereinigtes Königreich 4: groß
10.07.2019 Technische und organisatorische Maßnahmen nicht ergriffen - 130.000 Euro Geldbuße Datenschutzverletzung bei der Unicredit Bank in Rumänien: Offenlegung der persönliche Identifikationsnummerndaten und Adressen der Zahlenden bzw. Adressdaten der Zahlenden. Interessentאinnen / Kundאinnen / Lieferantאinnen 337.042 Unicredit Bank S.A. Banken / Versicherung Rumänien 4: groß
09.07.2019 Liste mit 46 Frühstücksgästen fotografiert und online gestellt - 15.000 Euro Geldbuße Ein Hotel meldete der Aufsichtsbehörde eine Datenschutzverletzung: Eine gedruckte Liste mit personenbezogenen Daten von 46 Gästen, die das Frühstück im Hotel einnehmen, wurde von unbefugten Personen fotografiert und online veröffentlicht. Interessentאinnen / Kundאinnen / Lieferantאinnen 46 WORLD TRADE CENTER BUCHAREST SA Freizeit / Tourismus / Gastro Rumänien 2: überschaubar
08.07.2019 Hacker erlangen Daten von 500.000 Fluggästen - 204 Mio Euro Geldbuße Großes Datenleck bei der Fluggesellschaft British Airways: Aufgrund schwacher Sicherheitsvorkehrungen gelangten Betrüger an Login-, Kreditkarten-, Reise- und Adressdaten der Fluggäste. Kinder, Interessentאinnen / Kundאinnen / Lieferantאinnen, Sonstiges 500.000 British Airways Freizeit / Tourismus / Gastro Vereinigtes Königreich 3: substanziell
02.07.2019 Fehlende Sicherheitsmaßnahmen und übermäßige Datenspeicherung - 400.000 Euro Geldbuße Die Immobilienfirma hatte für personenbezogene Daten erfolgloser Mietkandidaten weder ausreichende Sicherheitsmaßnahmen ergriffen noch deren Aufbewahrungsfristen festgeschrieben. Über leichte Änderungen im Browser konnte auch auf Dokumente anderer Personen zugegriffen werden. Dazu gehörten sensible Dokumente wie Ausweiskopien, Sozialversicherungskarten, Steuerbescheide, Scheidungsurteile, Kontoauszüge und Bankinformationen. Das Unternehmen wusste schon seit Monaten von der Schwachstelle wusste und speicherte darüber hinaus alle Dokumente erfolgloser Bewerber auf Wohnungen auf unbestimmte Zeit in einer aktiven Datenbank. Interessentאinnen / Kundאinnen / Lieferantאinnen ? SAS Sergic Invest Sonstiges Frankreich 4: groß
27.06.2019 Wahlkämpfer erhielten illegal Informationen Massive Datenpannen In deutschen Meldeämtern: Vor der Europa- und Kommunalwahlen im Mai wurden offenbar Informationsbestände illegal an Wahlkämpfer weitergegeben. Selbst Kinder und Säuglinge betroffen! Bürgerאinnen, Kinder ? Meldeämter Öffentliche Stellen (Behörden / Kommunen) Deutschland 2: überschaubar
26.06.2019 Flughafen Bukarest: Veröffentlichung personenbezogener Daten eines ehemaligen Vorstandsmitgliedes Auf der Internetplattform der Aeroporturi Bucuresti SA wurden personenbezogene Daten eines Vorstandsmitglieds veröffentlicht. Dabei handelt es sich um: Adresse, persönliche Identifikationsnummer, Datum und Ort der Ausstellung des Personalausweises. Die Daten fanden sich zudem auch auf anderen Internetplattformen sowie auf Facebook. Zunächst verlangte der Geschädigte 60.000 Leu Schadensersatz. Das Gericht verurteile den Verantwortlichen letztendlich zur Löschung der Daten sowie 10.000 Leu an immateriellem Schadenersatz. Sonstiges 1 C.N. A.B. S.A. Sonstiges Rumänien 2: überschaubar
25.06.2019 Illegale Mitarbeiterüberwachung - 20.000 Euro Geldbuße Die Commission Nationale de l’informatique et des Libertés (CNIL) verhängt ein Bußgeld von 20.000 Euro gegen ein Pariser Unternehmen wegen mehrerer DSGVO-Verstöße. Anlass der Überprüfung des Unternehmens durch die Behörde waren mehrere Mitarbeiterbeschwerden über die neu eingeführte Videoüberwachung. Zudem wies das Unternehmen unzureichende technische und organisatorische Maßnahmen auf. Beschäftigte 6 UNIONTRAD COMPANY Dienstleistung / Handwerk Frankreich 4: groß
18.06.2019 Geldbuße gegen Polizeibeamten: KFZ-Kennzeichen für privates "Interesse" Datenschutzbehörde in Baden-Würrtemberg verhängt erstes Bußgeld gegen Polizeibeamten: Bußgeldbescheid in Höhe von 1.400 Euro richtet sich gegen einen Polizeibeamten, der dienstlich erlangte personenbezogene Daten eigenmächtig für private und damit nicht gesetzeskonforme Zwecke weiterverarbeitete. Bürgerאinnen 1 Privatperson - Name unbekannt Öffentliche Stellen (Behörden / Kommunen) Deutschland 3: substanziell
13.06.2019 Telefonwerbung ohne Einwilligung - über 2 Mio Euro Geldbuße Unternehmen führte, über ein Callcenter, das außerhalb der EU liegt, Telemarketing und Teleselling Maßnahmen durch. Die kontaktierten Betroffenen wurden weder über Ihre Rechte informiert, noch lag eine Einwilligung zur Erhebung und Verarbeitung zu Marketingzwecken vor. Darüber hinaus mangelte es an einer Kooperation mit den Behörden. Interessentאinnen / Kundאinnen / Lieferantאinnen ? Vincall Dienstleistung / Handwerk Italien 2: überschaubar
12.06.2019 Fehlendes Löschkonzept und Löschfristen nicht eingehalten - 200.000 Euro Geldbuße Daten über einen längeren Zeitraum verarbeitet, als es für die Zwecke, für die sie verarbeitet wurden, erforderlich war. Darüber hinaus hatte das Unternehmen in seinem neuen CRM-System keine Fristen für die Löschung personenbezogener Daten festgelegt und dokumentiert. Die für das alte System gesetzten Fristen wurden nach Ablauf der Frist für die Information nicht gelöscht. Außerdem hatte der für die Datenverarbeitung Verantwortliche seine Verfahren zur Löschung personenbezogener Daten nicht ausreichend dokumentiert. Interessentאinnen / Kundאinnen / Lieferantאinnen 385.000 IDdesign A / S Sonstiges Dänemark 2: überschaubar
07.06.2019 Trojaner Befall bei Heise Schwerwiegenden Einbruch in das Heise-Netz: Auslöser war eine Emotet-Infektion. Infizierte Rechner wurden komplett außer Betrieb genommen. Beschäftigte, Sonstiges ? Heise Gruppe Dienstleistung / Handwerk Deutschland 4: groß
26.05.2019 Personenbezogene Daten ehemaliger Kunden unbefugt verarbeitet - 50.000 Euro Geldbuße Informationen früherer Nutzer wurden auf einer Art schwarzen Liste gespeichert, die den ehemaligen Kunden die Eröffnung eines Bankkontos verweigert. Gerechtfertigt wäre das Führen einer solchen Liste aber nur bei Kunden, die unter Geldwäscheverdacht stehen. Lesson Learned: Jeder Verantwortliche muss die Grundsätze und die Rechtmäßigkeit der Datenverarbeitung beachten. Im Sinne der Speicherbegrenzung sind Daten zu löschen, sobald sie zur Zweckerfüllung nicht mehr erforderlich sind. Wäre die Verarbeitungstätigkeit „Schwarze Liste für Ex-Kunden“ durch die Datenschutzbeauftragte rechtzeitig geprüft worden, hätte sie den Verantwortlichen darauf hinweisen können, dass es keine Rechtsgrundlage gibt, auf die die gewählte Vorgehensweise gestützt werden könnte und dass mit der Liste auch gegen das Gebot der Speicherbegrenzung verstoßen wird. Interessentאinnen / Kundאinnen / Lieferantאinnen ? N26 Banken / Versicherung Deutschland 2: überschaubar
21.05.2019 Fusion-Festival: Polizei gibt sensible personenbezogene Daten ungeschwärzt rechtem Gewalttäter an Polizeihochschule Polizeipräsidium Neubrandenburg gab das Sicherheitskonzept des Fusions-Festivals samt personenbezogenen Daten wie Namen und Telefonnummern von Mitarbeitern des Kulturkosmos ungeschwärzt an rechtem Polizeidozenten (ehemaliger AFD-Politiker) weiter. Bürgerאinnen, Sonstiges ? Polizeipräsidium Neubrandenburg Freizeit / Tourismus / Gastro Deutschland 4: groß
10.05.2019 Bußgeld gegen norwegische Stadtverwaltung - 170.000 Euro Geldbuße Benutzerkonten von SchülerInnen und SchulangestelltenInnen offen zugänglich! Fehlende Sicherheitsmaßnahmen führten dazu, dass sich jeder in unterschiedlichste Informationssysteme einloggen konnte. Somit waren Daten wie z.B. Name, Passwort, Geburtsdatum, Adresse, Schulzugehörigkeit und Schulnote des Benutzers bzw. der Benutzerin einsehbar. Zudem war auch eine digitale Lernplattform erreichbar, in der die schulischen Leistungen der SchülerInnen und die Einschätzungen der LehrerInnen zu den Leistungen jedes einzelnen Schülers bzw. jeder einzelnen Schülerinnen enthalten waren. Bürgerאinnen, Kinder 35000 Stadtverwaltung Bergen Öffentliche Stellen (Behörden / Kommunen) Norwegen 4: groß
01.05.2019 Nichterfüllung von Informationspflichten - 200.000 Euro Geldbuße Die polnische Datenschutzaufsicht hat umgerechnet 200.000 Euro Geldbuße gegen ein Unternehmen verhängt, weil es seine Informationspflicht aus Art. 14 DSGVO nur ungenügend ausübte. Das Unternehmen sammelte in einer Datenbank personenbezogene Daten aus öffentlichen Quellen, um sie für kommerzielle Zwecke zu nutzen. Dem Unternehmen wird vorgeworfen, dass es nicht jede betroffene Person aus dem Datenpool über die Datenverwendung informierte, sondern seine Informationspflicht lediglich gegenüber den Personen ausübte, von denen die E-Mail-Adresse vorlag. Um die Betriebskosten zu sparen, verzichtete das Unternehmen auf eine anderweitige Kontaktaufnahme mit den Betroffenen. Stattdessen veröffentlichte es eine entsprechende Information auf der Unternehmens-Website. Mit der Folge, dass vielen betroffenen Personen die kommerzielle Verarbeitung ihrer Daten nicht bekannt war. Interessentאinnen / Kundאinnen / Lieferantאinnen ? Bisnode AB Banken / Versicherung Polen 4: groß
28.04.2019 Mitarbeiter hören Alexa-Gespräche ab Die Alexa-Mitarbeiter hören sich Alexa-Sprachbefehle an, um die Fähigkeiten des digitalen Assistenten zu verbessern. Befehle von Nutzern an die Assistenzsoftware Alexa würden auch von Personen angehört und abgetippt, um die Spracherkennung zu verbessern. Zudem wurde dem Unternehmen bekannt, dass die Mitarbeiter umfangreichen Zugriff auf Kundendaten erhielten. Interessentאinnen / Kundאinnen / Lieferantאinnen ? Amazon Sonstiges Vereinigte Staaten 4: groß
28.03.2019 Aufbewahrungs- und Löschfrist nicht eingehalten - 160.000 Euro Geldbuße? Die dänische Datenschutzaufsichtsbehörde empfahl eine Geldbuße in Höhe von umgerechnet 160.000 Euro gegen ein Taxiunternehmen wegen des Verstoßes gegen die Grundsätze für die Verarbeitung personenbezogener Daten, der Speicherbegrenzung, Datenminimierung und Zweckbindung. Das Unternehmen löschte zwar die Namen seiner Fahrgäste nach zwei Jahren aus allen seinen Aufzeichnungen. Doch es verarbeitete die restlichen Fahrgastdaten, u.a. die Telefonnummern, die Positionsdaten und die Fahrtenaufzeichnungen von etwa 8.873.333 Taxifahrten weiter. Interessentאinnen / Kundאinnen / Lieferantאinnen ? Taxa 4x35 Dienstleistung / Handwerk Dänemark 2: überschaubar
05.02.2019 Unerlaubte Datennutzung - 135.000 Euro Geldbuße Britische Datenschutzbehörde Information Commissioner's Office (ICO) hat gegen die Brexit-Kampagne Leave.EU und den Versicherer Eldon Insurances eine Strafe von insgesamt 120.000 Pfund (ca. 135.000 Euro) verhängt, da Eldon eine Million E-Mails an Abonnenten von Leave.EU versendete, welche Werbung für eine Versicherungsmarke von Eldon enthielt. Zudem habe Leave.EU Kundendaten von Eldon genutzt, um knapp 300.000 politische Kampagnen-Nachrichten zu schicken. Bürgerאinnen, Interessentאinnen / Kundאinnen / Lieferantאinnen ? Leave.EU und den Versicherer Eldon Insurances Banken / Versicherung Vereinigtes Königreich 2: überschaubar
28.01.2019 Google: Verstoß gegen Transparenz- und Informationspflicht - 50 Mio Euro Geldbuße Größte Geldbuße in der Geschichte des europäischen Datenschutzes: Gegenstand der Beschwerde waren die Datenschutzbestimmungen von Google, Facebook, Instagram uns WhatsApp. Kinder, Interessentאinnen / Kundאinnen / Lieferantאinnen ? Google, Facebook, Instagram uns WhatsApp Social Media Plattformen Frankreich 2: überschaubar
22.01.2019 Fehlender AV-Vertrag - 5.000 Euro Geldbuße Fehlender AV-Vertrag: Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit hat wegen des Verstoßes gegen die Regelungen in Art. 28 Abs. 3 DSGVO einen Bußgeldbescheid in Höhe von 5.000 Euro erlassen und es mit dem Fehlen eines Auftragsverarbeitungsvertrags (AV-Vertrag) begründet. Sonstiges - Kolibri Image Dienstleistung / Handwerk Deutschland 1: geringfügig
19.12.2018 Datenschutz-Panne bei Kandidatenkür: Mitglieder erhalten Daten anderer Mitglieder. Fehlversagen beim technischen Dienstleister. Datenpanne bei FDP in Sachsen: Im Zuge einer Briefwahl habe ein Teil der Mitglieder das falsch zugeordnetes Formular bekommen, mit der das eigenhändige Ausfüllen bestätigt werden soll. Offenbar stand dort teilweise der Name und die Anschrift eines anderen Mitglieds vorhanden gewesen. Der Fehler lag beim technischen Dienstleister. Beschäftigte, Bürgerאinnen ? FDP Sachsen Öffentliche Stellen (Behörden / Kommunen) Deutschland 1: geringfügig
13.12.2018 Sensible Personaldaten zu Mitarbeitern eines Vereins erscheinen in öffentlich zugänglichen Sitzungsunterlagen Datenpanne im Landratsamt: In einer Beratungsvorlage für den Jugendhilfeausschuss und das Gesamtgremium waren Namen von Mitarbeitern des Vereins Miteinanderleben aufgeführt, samt ihres Einsatzorts, ihres Eintrittsdatums sowie den jeweiligen Einsatzkosten. Zudem waren die Daten im Ratsinformationssystem des Kreises im Internet einsehbar. Bürgerאinnen ? Landkreis Enzkreis Öffentliche Stellen (Behörden / Kommunen) Deutschland 4: groß
19.11.2018 Computervirus legt Klinik lahm Computervirus legt Klinikum Fürstenfeldbruck lahm: Rettungswagen kann nur noch lebensgefährlich erkrankte oder verletzte Menschen anfahren. Patienten werden in andere Kliniken verlegt. Ursache ist wohl ein Mail-Trojaner, der über den Anhang einer E-Mail ins System eingedrungen sein könnte. Patientאinnen, Sonstiges ? Klinikum Fürstenfeldbruck Gesundheits-wesen Deutschland 4: groß
24.10.2018 Unerlaubter Zugriff auf Patientenakten sowie weitere Verstöße gegen die DSGVO - 400.000 Euro Geldbuße Nutzer mit dem Profil "Techniker" konnten in den IT-Systemen eines Krankenhauses unbegrenzt auf Daten zugreifen, die eigentlich nur für Ärzte einsehbar sein dürfen. Das Profil wurde von dem Krankenhaus „bewusst“ angelegt. Der Großteil der gegen ein Krankenhaus verhängten Geldbuße ist die Strafe dafür, dass zu viele Personen Zugriff auf die Patientendaten hatten. Für einen anderen Verstoß wurden 100.000 Euro Strafe verhängt. Kinder, Interessentאinnen / Kundאinnen / Lieferantאinnen, Sonstiges ? Krankenhaus Barreiro Montijo Gesundheits-wesen Portugal 4: groß
23.09.2018 Unzulässige Videoüberwachung - 5.280 Euro Geldbuße Die Datenschutzbehörde in Österreich hat nun die erste Verwaltungsstrafe verhängt: Der Betreiber eines österreichischen Wettbüros hatte auf der Außenseite des Lokals eine Kamera installiert, die den Großteil des Gehsteig erfasste und zudem unzureichend gekennzeichnet war. Bürgerאinnen, Kinder, Interessentאinnen / Kundאinnen / Lieferantאinnen, Sonstiges ? Unbekannt Freizeit / Tourismus / Gastro Österreich 1: geringfügig
20.07.2018 Knuddels Nutzerdaten geleakt Bei der deutschen Chat-Community Knuddels.de gab es ein riesiges Datenleck: Die Accountdaten aller User, die am 20. Juli 2018 einen Account auf dem Portal hatten, standen öffentlich im Internet abrufbar. Kinder, Interessentאinnen / Kundאinnen / Lieferantאinnen, Sonstiges 1,8 Mio Knuddels GmbH & Co. KG Social Media Plattformen Deutschland 4: groß
1: geringfügig Betroffene erleiden eventuell Unannehmlichkeiten, welche sie aber mit einigen Problemen überwinden können.
2: überschaubar Betroffene erleiden eventuell signifikante Unannehmlichkeiten, welche sie aber mit einigen Schwierigkeiten überwinden können.
3: substanziell Betroffene erleiden eventuell signifikante Konsequenzen, die sie nur mit ernsthaften Schwierigkeiten überwinden können.
4: groß Betroffene erleiden eventuell signifikante oder sogar unumkehrbare Konsequenzen, die sie nicht überwinden können.

Sind Sie über einen Datenschutz-Vorfall gestolpert oder aufmerksam geworden? Hier können Sie uns Hinweise auf entsprechende Veröffentlichungen von Verarbeitungspannen geben. Wir begrüßen Ihren Beitrag und stellen Ihnen die Möglichkeit zur Verfügung diesen hier zu melden (HINWEIS: Bitte nennen Sie uns KEINESFALLS interne, eigene oder unveröffentlichte Datenschutz-Vorfälle!):

Bitte addieren Sie 5 und 6.