Datenschutz-Vorfälle

Im Folgenden stellen wir Informationen über Datenschutz-Vorfälle zur Verfügung, die an die Öffentlichkeit geraten sind.

Sie sind in den Medien oder im Internet über die Meldung zu einem Datenschutz-Vorfall gestolpert? In diesem Fall können Sie uns gerne hier Hinweise zu entsprechenden Veröffentlichungen von Datenschutz-Vorfällen geben. Wir prüfen Ihre Angaben und ergänzen die Liste. Bitte nennen Sie uns KEINESFALLS interne, eigene oder unveröffentlichte Datenschutz-Vorfälle.

Datum Titel Kurzbescheibung Kategorie(n) der Betroffenen Anzahl Betroffene Name Verantwortlicher Bereich Land Auswirkungen
07.10.2019 Kunden erhielten unaufgeforderte Anrufe von Drittunternehmen - 200.000 Euro Geldbuße Die griechische Datenschutzbehörde hat ein Bußgeld von 200.000 Euro gegen die Telekommunikationsanbieter "OTE" verhängt. Kunden des Unternehmen reichten Beschwerde ein, da sie unaufgeforderte Anrufe von Drittunternehmen zur Förderung von Produkten und Dienstleistungen erhalten haben. Daraufhin stellte die griechische Aufsichtsbehörde Verstöße gegen Artikel 25 (privacy by design) sowie Artikel 5 DSGVO (Grundsätze für die Verarbeitung personenbezogener Daten) fest. Interessentאinnen / Kundאinnen / Lieferantאinnen ? Hellenic Telecommunications Organization (“OTE”) Telekommunikation Griechenland 3: substanziell
02.10.2019 Trojaner-Befall legt Berliner Kammergericht lahm Schwerwiegender Einbruch in das Netz des Berliner Kammergerichts: Auslöser war eine Emotet-Infektion. Als Vorsichtsmaßnahme wurde das komplette Computersystem vom Netz genommen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt zur Beseitigung der Infektion die betroffenen Computer zu löschen und komplett neu aufzusetzen. Beschäftigte, Bürgerאinnen ? Stadt Berlin Öffentliche Stellen (Behörden / Kommunen) Deutschland 3: substanziell
19.09.2019 Missachtung von Auskunfts-, Lösch- und Widerspruchsrechte von Kundאinnen – 195.407 Euro Gelbuße Das Unternehmen Delivery Hero muss wegen Datenschutzverstößen eine Geldbuße in Höhe von 195.407 Euro zahlen. Das Verfahren wurde durch Beschwerden von Kundאinnen ins Rollen gebracht. Die Berliner Aufsichtsbehörde teilte mit, dass Kundאinnendaten nicht gelöscht wurden, obwohl die Betroffenen den Lieferdienst seit Jahren nicht mehr genutzt haben. Zudem haben sich Kundאinnen darüber beschwert, dass Delivery Hero einigen Auskunftsersuchen nicht nachgekommen sei. Obwohl Kundאinnen der Nutzung ihrer Daten für Werbezwecke widersprochen hatten, erhielten einige von ihnen weiter Werbe-Emails. In weiteren Fällen wurden angefragte Selbstauskünfte gar nicht bearbeitet bzw. erst nachdem die Berliner Aufsichtsbehörde eingeschritten war. Interessentאinnen / Kundאinnen / Lieferantאinnen ? Delivery Hero SE Freizeit / Tourismus / Gastro Deutschland 3: substanziell
17.09.2019 Datenleck im Gesundheitsbereich: 16 Millionen Patientendatensätze auf ungeschützten Servern frei im Internet abrufbar Brustkrebsscreenings, Wirbelsäulenbilder, Röntgenaufnahmen eines Brustkorbs, mit gut erkennbarem Herzschrittmacher. Daten, die wohl über Jahre hinweg frei verfügbar im Netz zu finden gewesen sind. Die besagten Datensätze von weltweit mehreren Millionen Patienten liegen auf ungeschützten Servern. Betroffen davon auch tausende Patientinnen und Patienten aus Deutschland. Herausgefunden haben dies der Bayerische Rundfunk in Zusammenarbiet mit dem US-amerikanischen Rechercheportal ProPublica. Patientאinnen 16 Millionen Verschiedene Einrichtungen / Kliniken / Ärzte / Serverbetreiber Gesundheits-wesen weltweit 4: groß
17.09.2019 Offene Datenbank gibt Informationen zu Millionen Bürgern Ecuadors preis Riesiger Datenleck in Ecuador: Persönliche Daten der nahezu gesamten Bevölkerung Ecuadors online auf Servern veröffentlicht. Laut Medienberichten verursachte eine unsachgemäß konfigurierte Datenbank die Veröffentlichung vertraulicher persönlicher Daten von nahezu allen Einwohnern Ecuadors im Internet. Der Großteil der Daten stammt wohl von den ecuadorianischen Standesämtern. Zudem sind auch Informationen zum Präsidenten Ecuadors sowie zum Wikileaks-Gründer Julian Assange vorhanden. Betroffene Datenkategorien: Namen, Geburtsdatum, Geburtsort, Wohnadresse, Familienstand, Ausweisnummer, Informationen zum Arbeitgeber, Telefonnummern, Bildungsabschluss, Konto,- und Kreditinformationen sowie Informationen zum KFZ. Bürgerאinnen, Kinder 17 Mio. Noch zu klären Öffentliche Stellen (Behörden / Kommunen) Ecuador 3: substanziell
16.09.2019 Falscher Verteiler: Personenbezogene Daten einer Betroffenen landen bei diversen Medienvertretern Datenpanne im Polizeipräsidium Neubrandenburg: Ein Polizeibeamter bestätigte den Erhalt einer Anfrage einer Frau in einer E-Mail. Als der Ploizeibeamte die Anfrage an das zuständige Polizeirevier in Barth (Landkreis Vorpommern-Rügen) weiterleiten wollte, verwechselte dieser die E-Mail-Adresse des anderen Polizeireviers mit einem großen Presseverteiler und sendete so die Anfrage, den Namen der Frau und das Aktenzeichen an 158 Medien (u.a. Bild, ZDF, NDR, RTL, dpa und Nordkurier). Bürgerאinnen 1 Polizeipräsidium Neubrandenburg Öffentliche Stellen (Behörden / Kommunen) Deutschland 3: substanziell
10.09.2019 Trojaner Befall legt Stadtverwaltung lahm Schwerwiegender Einbruch in das Netz der Stadtverwaltung Neustadt am Rübenberge (Niedersachsen): Auslöser war eine Emotet-Infektion. Infizierte Rechner wurden komplett außer Betrieb genommen. Bürgerאinnen ? Stadt Neustadt Öffentliche Stellen (Behörden / Kommunen) Deutschland 4: groß
05.09.2019 Millionen Telefonnummern von Facebook Usern frei zugänglich Ca. 413 Mio Datensätze, darunter Telefonnummern von Facebook-Usern, hauptsächlich aus den USA, Großbritannien und Vietnam waren im Internet frei zugänglich. Ob auch deutsche Nutzer von dem Leak betroffen sind, ist unbekannt. Einige der Datensätze enthielten auch den Namen, das Geschlecht und den Standort des Benutzers nach Land. Jedoch sind Telefonnummern seit mehr als einem Jahr nicht mehr öffentlich, da Facebook den Zugang eingeschränkt hat. Bürgerאinnen, Interessentאinnen / Kundאinnen / Lieferantאinnen ca. 413 Mio Facebook Social Media Plattformen weltweit 4: groß
27.08.2019 Übermittlung sensibler Daten an Facebook Der Blutspendedienst (BSD) des Bayerischen Roten Kreuzes (BRK) hat gesundheitsbezogene Daten möglicher Spender an Facebook gesendet, darunter intime Angaben zu HIV-Infektionen, Schwangerschaftsabbrüchen, Drogenkonsum oder Diabetes. Die Daten der Blutspender wurden bei einem "Vorcheck" auf der Webseite des BSD erhoben, einem Tochterunternehmen des BRK. Die Antworten der Spender auf den "Vorcheck" wurden automatisch an Facebook weitergeleitet. Interessentאinnen / Kundאinnen / Lieferantאinnen ? Bayerisches Rotes Kreuz Gesundheits-wesen Deutschland 4: groß
27.08.2019 Schweizer Krankenkasse schickt Tausende von Abrechnungen an falsche Kunden Bereits im letzten Jahr kam die Schweizer Krankenkasse CSS durch eine Datenpanne in die Schlagzeilen. Nun wurde wieder bekannt, dass über das Online-Portal der CSS Abrechnungsdaten an falsche Kunden geschickt wurden. Dabei erhielten Kunden im Online-Portal Abrechnungen, die nicht für sie gedacht waren. Zudem erlangten Kunden Einblick in hochsensible Gesundheitsdaten von fremden Personen. Die CSS hat daraufhin reagiert und Maßnahmen ergriffen, um eine erneute Datenpanne zu vermeiden. Interessentאinnen / Kundאinnen / Lieferantאinnen, Patientאinnen ca. 12.000 CSS Versicherung Gesundheits-wesen Schweiz 4: groß
26.08.2019 Hacker gelangen an Kundendaten Sicherheitsvorfall beim Webhoster Hostinger: Unbekannte hatten Zugriff auf Server des Webhosters Hostinger und konnten Datenbanken mit Informationen über Kunden einsehen. In der Datenbank befinden sich Namen, E-Mail- und IP-Adressen und Kennwörter. Auf Bank- und Kreditkartendaten soll es keine Zugriffe gegeben haben, da diese nicht auf den hauseigenen Servern gespeichert werden. Interessentאinnen / Kundאinnen / Lieferantאinnen ca. 14 Mio Hostinger International, Ltd. Sonstiges Litauen 3: substanziell
22.08.2019 Mitarbeiter hören Xbox-Spracheingaben ab Sprachbefehle werden seit der Einführung der Xbox One Kinect-Kamera im Jahr 2013 gespeichert und in einigen Fällen zur Analyse von Microsoft-Mitarbeitern sowie Vertragspartnern abgehört. In einem Großteil der Aufnahmen sollen Kinder mit der Xbox One agiert haben, welche die typischen Befehle zur Steuerung der Konsole und In-Game-Optionen aktivieren wollten. Es soll aber auch vorgekommen sein, dass Kinect und später Cortana versehentlich - zum Beispiel im Sprachchat - aktiviert wurden und so Mitschnitte von persönlichen Gesprächen die Mitarbeiter erreichten. Interessentאinnen / Kundאinnen / Lieferantאinnen ? Microsoft Sonstiges Vereinigte Staaten 4: groß
22.08.2019 Polizeibeamte versenden persönliche Daten von Kollegen auf ihre privaten Mailadressen Datenschutzverstoß in der Thüringer Polizei: Laut Medienberichten schickten sich zwei Polizeibeamte Ende vergangenen Jahres die privaten Daten von 134 Kollegen über Dienstmails auf ihre privaten Mailadressen. Bei den Daten handelt es sich um eine sogenannte Alarmdatei. In dieser sind Wohnadresse, private Handy- und/oder Festnetznummern der Polizisten gespeichert. Diese besonders geschützte Datei wird nur bei großen Einsätzen und in Ernstfällen genutzt, um Beamte zügig in den Dienst zu holen. Besonders brisant: Die Betroffenen seien erst Ende Juli über den Vorfall informiert worden! Beschäftigte, Bürgerאinnen 134 Polizeiinspektion (PI) Unstrut-Hainich Öffentliche Stellen (Behörden / Kommunen) Deutschland 3: substanziell
21.08.2019 Verarbeitung besonderer Kategorien personenbezogener Daten ohne ausreichende Rechtsgrundlage - 18.500 Euro Geldbuße Eine Schule in Skellefteå hat eine Gesichtserkennung verwendet, um die Anwesenheit der Schüler im Unterricht zu testen. In einem Pilotversuch kontrollierte sie die Anwesenheit in einer Klasse von 22 Schülerאinnen über einen Zeitraum von drei Wochen. Gleichwohl sich die Schule vor der Maßnahme zwar die Einwilligung der Eltern eingeholt hat, stellte die Aufsichtsbehörde fest, dass die Gesichtserkennung durch Kameraüberwachung der Schüler in ihrer täglichen Umgebung einen Eingriff in die persönliche Integrität darstelle. Die Kontrolle der Anwesenheit der Schüler ist auf eine andere Weise möglich, die als gelinderes Mittel eingesetzt werden kann und die die Privatsphäre der Schüler weniger verletzt als die verwendete Gesichtserkennung. Bürgerאinnen, Kinder 22 Gemeinde Skellefteå Öffentliche Stellen (Behörden / Kommunen) Schweden 4: groß
19.08.2019 Kundendaten zu Mastercard-Bonusprogramm im Netz abrufbar Die Daten von Nutzern eines Mastercard-Bonusprogramms waren zeitweise in einem Online-Forum abrufbar. Eine Tabellen-Datei, die zeitweise in dem Online-Forum verfügbar war, listete unter anderem Namen und E-Mail-Adressen auf. Daneben standen jeweils die ersten zwei und die letzten vier Zahlen der Mastercard-Kartennummer und in manchen Fällen auch die Anschrift und Telefonnummern der Kunden. Zudem enthielt die Liste zusätzlich Angaben dazu, ob Nutzer einen Newsletter und SMS-Benachrichtigungen abonniert hatten. Interessentאinnen / Kundאinnen / Lieferantאinnen 90.000 Mastercard Banken / Versicherung Vereinigte Staaten 3: substanziell
14.08.2019 Mitarbeiter hören Messenger-Audioaufnahmen ab Das soziale Netzwerk ließ offenbar Hunderte externe Mitarbeiter die Sprachnachrichten von Nutzern transkribieren, um die KI zu trainieren. Betroffen seien Nutzer gewesen, die die Transkriptions-Funktion für Sprachnachrichten eingeschaltet hatten. Aufgabe der Mitarbeiter sei es gewesen, zu prüfen, ob die Software die gesprochenen Sätze korrekt verstanden habe. Interessentאinnen / Kundאinnen / Lieferantאinnen ? Facebook Social Media Plattformen Vereinigte Staaten 4: groß
14.08.2019 Biometrische Daten von Millionen Nutzern offen im Netz Sicherheitsgau bei der Biometriedatenbank "Biostar 2" der südkoreanischen IT-Firma Suprema: Forscher des israelischen Online-Dienstes vpnMentor haben entdeckt, dass das webbasierte System mit hochsensiblen personenbezogenen Informationen weitgehend ungeschützt im Internet zur Verfügung stand. Die Experten konnten sich nach eigenen Angaben ohne große Mühen Zugang zu 27,8 Millionen Einträgen verschaffen, die 23 Gigabyte an Daten ausmachten. Darunter waren Fingerabdruck- und Gesichtserkennungsdaten, Gesichtsfotos von Benutzern, unverschlüsselte Benutzernamen und Passwörter, Protokolle über den Zugang zu den Einrichtungen, Sicherheitsstufen und -freigabe sowie persönliche Daten des Personals. Interessentאinnen / Kundאinnen / Lieferantאinnen ? Suprema Sonstiges Südkorea 4: groß
14.08.2019 Daten von, zu Versammlungen angemeldeten Personen, an den Verfassungsschutz gemeldet! Im Zusammenhang mit dem Demonstrationsgeschehen am 1. Mai in Plauen wurden Name, Anschrift, Telefonnummer, Email-Adressen der Anmelder, Leiter und Stellvertreter an den Verfassungsschutz übermittelt. Das Landratsamt Plauen hat mittlerweile den Datenschutzverstoß eingeräumt, allerdings wird der Vorfall nun zum Politikum. So ist die Fraktion BÜNDNIS 90/DIE GRÜNEN an einer raschen Aufklärung des Sachverhalts interessiert. Eine Anfrage im Landrat erfolgte bereits. Bürgerאinnen ? Landratsamt Plauen Öffentliche Stellen (Behörden / Kommunen) Deutschland 4: groß
09.08.2019 Mitarbeiter hören Skype-Gespräche ab Bestimmte Skype-Gespräche werden von Microsoft-Mitarbeitern abgehört und analysiert. Zwar beschreibt Microsoft in seinem Hilfebereich, dass "automatische Transkripte analysiert werden", jedoch geht in der Erklärung nicht hervor, dass diese Aufgabe offenbar von Menschen erledigt wird. In der Datenschutzerklärung wird hierzu auch nicht informiert. Zudem soll ein Teil der Angestellten die Aufnahmen nicht einmal in einer geschützten Büroumgebung, sondern von zuhause aus bearbeiten. Interessentאinnen / Kundאinnen / Lieferantאinnen ? Microsoft Social Media Plattformen Vereinigte Staaten 4: groß
08.08.2019 Millionen Standortdaten von Instagram-Nutzern abgegriffen Datensammlung auf Instagram durch das amerikanisches Start-up Hyp3r. Daten von Menschen werden überwacht und analysiert: Dazu hat das Unternehmen offenbar Nutzerdaten von Millionen Instagram-Nutzern gesammelt. Gespeichert wurde zum Beispiel, wo sie sich aufhalten, aber auch Informationen aus ihren Profilen wie die Selbstbeschreibung ("Bio") und Inhalte wie die Kurzvideos in den Instagram Stories. Die verschwinden eigentlich nach 24 Stunden aus der App, Hyp3r sicherte sie aber dauerhaft mit einem eigens entwickelten Programm und wertete sie mit einer Bildanalyse-Software aus. Interessentאinnen / Kundאinnen / Lieferantאinnen ? Facebook Social Media Plattformen Vereinigte Staaten 4: groß
07.08.2019 Mögliche unerlaubte Datenweitergabe Twitter hat möglicherweise, ohne Einverständnis der Nutzer, Daten mit Werbekunden geteilt. Durch den Fehler seien Nutzern möglicherweise seit Mai 2018 personalisierte Werbeanzeigen angezeigt worden - auch auf Basis unzulässig gesammelter Daten. Informationen zu Passwörtern oder E-Mail-Konten sind wohl nicht betroffen. Dabei handele es sich um Ländercodes, Verbindungen zu Werbeanzeigen und Rückschlüsse auf verwendete Geräte. Die Probleme seien am 5. August behoben worden. Interessentאinnen / Kundאinnen / Lieferantאinnen ? Twitter Social Media Plattformen Vereinigte Staaten 1: geringfügig
06.08.2019 Kontaktdaten von Messe-Fachbesuchern online einsehbar Nach der Spielemesse E3, Electronic Entertainment Expo, sind die persönlichen Daten der Fachbesucher online abrufbar gewesen. Eine Liste mit den Datensätzen von 2025 registrierten Journalisten, Analysten, Influencern, Korrespondenten und Produzenten war mindestens einige Tage lang frei auf der E3-Website zugänglich. Derartige Dokumente mit Namen, Medium, Telefonnummern, Adressen und E-Mail-Adressen werden normalerweise für die Aussteller von Messen erstellt. Interessentאinnen / Kundאinnen / Lieferantאinnen 2025 Entertainment Software Association Sonstiges Vereinigte Staaten 1: geringfügig
05.08.2019 Missbräuchliche Datenabfrage bei der Polizei In Hessen nutzen Polizisten ihren dienstlichen Zugriff auf die Landespolizeidatenbank Polas (Polizei-Auskunfts-System) immer wieder privat. In dem Pola werden zum Teil sensible Daten über Personen gespeichert: von der Meldeadresse bis hin zu personengebundenen Hinweisen (PHW) wie Drogenkonsum und psychischen Problemen. Bürgerאinnen ? Polizei Hessen Öffentliche Stellen (Behörden / Kommunen) Deutschland 4: groß
02.08.2019 Widerrechtliche Verarbeitung von personenbezogenen Daten - 150.000 Euro Geldbuße Die griechische Aufsichtsbehörde wurde tätig, nachdem mittels einer Beschwerde mitgeteilt wurde, dass das Unternehmen Defizite hinsichtlich des Beschäftigtendatenschutzes aufweise. So stützte Price Waterhouse Coopers Business Solutions S.A (PWC) die Datenverarbeitung fälschlicherweise auf Einwilligungen nach Art. 6 Abs. 1 lit. a DSGVO, obwohl andere der in Art. 6 Abs. 1 DSGVO genannten Erlaubnistatbestände einschlägig gewesen wären. Dieses Vorgehen stelle seitens PWC nicht nur einen Verstoß gegen das Rechtmäßigkeitsprinzip nach Art. 5 Abs. 1 lit.a DSGVO dar, sondern verletze insb. auch den Grundsatz der Verarbeitung nach Treu und Glauben. Hiernach dürfe nämlich ggü. der betroffenen Person nicht der Anschein erweckt werden, die Verarbeitung stütze sich lediglich auf die jederzeit widerrufbare Einwilligung. Vielmehr müsse, sofern ein anderer Erlaubnistatbestand greift, dieser herangezogen werden und die betroffene Person entsprechend informiert werden. Entsprechend verletzte PWC seine Informations- ebenso wie seine Nachweispflichten. Beschäftigte ? Price Waterhouse Coopers Business Solutions S.A Dienstleistung / Handwerk Griechenland 4: groß
01.08.2019 Massiver Hackerangriff auf US-Bank Hackerin erbeutet Informationen aus Anträgen von Verbrauchern und kleinen Unternehmen aus den Jahren 2005 bis 2019 auf Kreditkarten: Namen, Adressen, Telefonnummern, E-Mail-Adresse, Geburtsdaten und angegebenes Einkommen. Hinzu kommen Bonitätsbewertungen, Kreditrahmen, Kontostand, Zahlungsverhalten, und weitere Kontaktdaten hinzu, sowie Umsatzdaten. Der Hack wurde durch Fehlkonfiguration einer Firewall ermöglicht. Das FBI ermittelt. Interessentאinnen / Kundאinnen / Lieferantאinnen 106 Mio Capital One Financial Corp. Banken / Versicherung Vereinigte Staaten 4: groß
29.07.2019 Mitarbeiter hören Siri-Gespräche ab Ein Teil der Fragen an Apples Assistentin Siri wird zur Kontrolle an Menschen weitergeleitet. Die bekommen dadurch private und sogar intime Gespräche mit. Apples Mitarbeiter sind damit beauftragt, Siris Reaktionen auf die Gesprächsschnipsel zu bewerten. Angefangen damit, ob die Aktivierung der künstlichen Assistentin überhaupt gewünscht war, aber auch ob Siris Antwort angemessen war und ob es sich überhaupt um eine von Siri beantwortbare Frage handelt. Interessentאinnen / Kundאinnen / Lieferantאinnen ? Apple Sonstiges Vereinigte Staaten 4: groß
28.07.2019 Liste von Einwohnern mit Hausverbot im Amtsgebäude der Stadt veröffentlicht Auf der Internetseite der Stadt Winsen im Landkreis Harburg war eine Liste öffentlich einsehbar. Die 28 Personen auf der Liste, haben Hausverbot im Amtsgebäude der Stadt. Die Liste mit Vorname, Nachname, Adressdaten war für das Intranet gedacht und wurde ungewollt im Internet veröffentlicht. Bürgerאinnen 28 Stadt Winsen Öffentliche Stellen (Behörden / Kommunen) Deutschland 2: überschaubar
27.07.2019 Keine Datenschutzkonforme Entsorgung von Akten Ungeschredderte Akten, welche personenbezogene Daten enthalten haben sollen, wurden in blauen Papiertonnen entsorgt. Die Tonnen und somit auch die Akten waren für jeden zugänglich. Welche Datenarten entsorgt wurden ist nicht sicher. Es könnten sich dabei um Adressdaten, Kontodaten, Mietdaten, medizinische Daten etc. handeln. Bürgerאinnen ? Jobcenter Gütersloh Öffentliche Stellen (Behörden / Kommunen) Deutschland 4: groß
26.07.2019 Weitergabe von Nutzerdaten an Cambridge Analytica - 5 Milliarden Dollar Geldbuße Facebook hat Nutzerdaten an das Datenanalyse-Startup Cambridge Analytica weitergegeben. Cambridge Analytica verarbeitete unterlaubter Weise persönliche Daten von Facebook-Nutzern und wertete deren persönliche Profile aus. Neben der Geldbuße soll es nun auch zu strukturellen Veränderungen bei Facebook kommen, um mehr Datenschutz und Transparenz zu gewährleisten. Interessentאinnen / Kundאinnen / Lieferantאinnen 87 Mio Facebook Social Media Plattformen Vereinigte Staaten 3: substanziell
25.07.2019 Tracking von Kindern bei YouTube Google trackte Kinder unter 13 Jahren: FTC droht mit Millionenstrafe. Google hat während der Untersuchung schon reagiert und Inhalte für Kinder zum Beispiel für Kommentare gesperrt. Kinder ? Google Social Media Plattformen Vereinigte Staaten 3: substanziell
24.07.2019 Bug im Messenger Kids: Kinder konnten mit Fremden chatten Technischer Fehler bei Facebook: Kinder konnten mit unberechtigten Personen chatten. Betroffen war der "Messenger Kids", der besonderen Schutz für Kinder verspricht. Eigentlich dürfen die jungen Nutzer nur Leute kontaktieren, die von den Eltern zuvor freigegeben wurden. Diese Sicherheitsmaßnahme ließ sich jedoch über Gruppenchats umgehen, wie sich nun herausstellte. Kinder konnten deshalb auch mit Fremden chatten. Kinder ? Facebook Social Media Plattformen Vereinigte Staaten 4: groß
22.07.2019 Datenleck bei Petitionsplattform von Campact Ein Fehler auf der Petitionsplattform WeAct von Campact ermöglichte den Zugriff auf die Daten der Unterstützer. Rund 1,8 Millionen Unterzeichner sind betroffen. Die Nichtregierungsorganisation hat die Hintergründe des Fehlers veröffentlicht. Die Daten umfassen den Namen, die Postleitzahl sowie teilweise die E-Mail-Adressen. Sogar Gewerkschaftszugehörigkeit sichtbar! Bürgerאinnen 1,8 Mio. Petitionsplattform WeAct der Organisation Campact Öffentliche Stellen (Behörden / Kommunen) Deutschland 4: groß
22.07.2019 Massiver Hackerangriff auf russischen Geheimdienst Hackerangriff auf den russischen Geheimdienst FSB: Hacker entwenden 7,5 Terabyte an Daten zu laufenden Projekten und Operationen der Moskauer Spionagebehörde. Beschäftigte, Sonstiges ? FSB Öffentliche Stellen (Behörden / Kommunen) Russland 4: groß
18.07.2019 Verschlüsselungstrojaner legt Klinikserver lahm Malware legt Klinikserver lahm: komplettes Netzwerk des Krankenhausverbundes der DRK Trägergesellschaft Süd-West infiziert. Daraufhin seien die Server aus Sicherheitsgründen vom Netz genommen, um sie auf einen Befall zu überprüfen und um zu verhindern, dass sich die Schadsoftware weiter ausbreitet. Patientאinnen, Sonstiges ? DRK Trägergesellschaft Süd-West Gesundheits-wesen Deutschland 3: substanziell
17.07.2019 Hacker erlangen Millionen Datensätze von Bürgern und Unternehmen Hackerangriff auf die bulgarische Finanzbehörde NAP: Hacker erlangten Daten von 5 Millionen Bulgaren, Ausländern und Unternehmen und drohen mit der Veröffentlichung der gestohlenen Daten. Politisches Motiv nicht ausgeschlossen. Bürgerאinnen, Sonstiges 5 Mio Finanzbehörde NAP Öffentliche Stellen (Behörden / Kommunen) Bulgarien 4: groß
17.07.2019 Privatsphäre eines Patienten nicht ausreichend geschützt - 460.000 Euro Geldbuße Das Krankenhaus hat die Privatsphäre eines Patienten nicht ausreichend geschützt. Weitere Geldbußen könnten folgen. Patientאinnen 1 HagaZiekenhuis Gesundheits-wesen Niederlande 4: groß
13.07.2019 LKA-Beamter verliert Aktentasche mit brisantem Inhalt Datenpanne beim LKA Niedersachsen: Einem LKA-Beamten, der einen V-Mann führte, war eine Aktentasche aus seinem Privatwagen gestohlen worden. Die Tasche enthielt neben Geld und dienstlicher EC-Karte auch sensible Dokumente. Bürgerאinnen 1 LKA Niedersachsen Öffentliche Stellen (Behörden / Kommunen) Deutschland 4: groß
12.07.2019 Mitarbeiter hören Google Assistant-Gespräche ab Auch Google lässt die Audiomitschnitte Tausender Gespräche mit seinem virtuellen Assistenten von Menschen analysieren. Die meisten Audioaufzeichnungen sind absichtlich entstanden, 153 Gespräche jedoch "hätten nie aufgezeichnet werden sollen". Ähnlich wie zu Amazon und Apple steht bei Google´s Datenschutzbestimmungen nichts dazu. Interessentאinnen / Kundאinnen / Lieferantאinnen ? Google Sonstiges Vereinigte Staaten 4: groß
10.07.2019 Hacker erlangen Daten von bis zu 500 Mio. Hotelgästen - 110 Mio Euro Geldbuße Bei der Hotelkette Marriott gab es ein massives Datenleck: Hacker erlangten 5,25 Millionen unverschlüsselte Ausweisnummern und 385.000 gültige Zahlungskartennummern von bis zu 500 Millionen Hotelgästen. Kinder, Interessentאinnen / Kundאinnen / Lieferantאinnen, Sonstiges 500 Mio Marriott International, Inc. Freizeit / Tourismus / Gastro Vereinigtes Königreich 4: groß
10.07.2019 Technische und organisatorische Maßnahmen nicht ergriffen - 130.000 Euro Geldbuße Datenschutzverletzung bei der Unicredit Bank in Rumänien: Offenlegung der persönliche Identifikationsnummerndaten und Adressen der Zahlenden bzw. Adressdaten der Zahlenden. Interessentאinnen / Kundאinnen / Lieferantאinnen 337.042 Unicredit Bank S.A. Banken / Versicherung Rumänien 4: groß
09.07.2019 Liste mit 46 Frühstücksgästen fotografiert und online gestellt - 15.000 Euro Geldbuße Ein Hotel meldete der Aufsichtsbehörde eine Datenschutzverletzung: Eine gedruckte Liste mit personenbezogenen Daten von 46 Gästen, die das Frühstück im Hotel einnehmen, wurde von unbefugten Personen fotografiert und online veröffentlicht. Interessentאinnen / Kundאinnen / Lieferantאinnen 46 WORLD TRADE CENTER BUCHAREST SA Freizeit / Tourismus / Gastro Rumänien 2: überschaubar
08.07.2019 Hacker erlangen Daten von 500.000 Fluggästen - 204 Mio Euro Geldbuße Großes Datenleck bei der Fluggesellschaft British Airways: Aufgrund schwacher Sicherheitsvorkehrungen gelangten Betrüger an Login-, Kreditkarten-, Reise- und Adressdaten der Fluggäste. Kinder, Interessentאinnen / Kundאinnen / Lieferantאinnen, Sonstiges 500.000 British Airways Freizeit / Tourismus / Gastro Vereinigtes Königreich 3: substanziell
02.07.2019 Fehlende Sicherheitsmaßnahmen und übermäßige Datenspeicherung - 400.000 Euro Geldbuße Die Immobilienfirma hatte für personenbezogene Daten erfolgloser Mietkandidaten weder ausreichende Sicherheitsmaßnahmen ergriffen noch deren Aufbewahrungsfristen festgeschrieben. Über leichte Änderungen im Browser konnte auch auf Dokumente anderer Personen zugegriffen werden. Dazu gehörten sensible Dokumente wie Ausweiskopien, Sozialversicherungskarten, Steuerbescheide, Scheidungsurteile, Kontoauszüge und Bankinformationen. Das Unternehmen wusste schon seit Monaten von der Schwachstelle wusste und speicherte darüber hinaus alle Dokumente erfolgloser Bewerber auf Wohnungen auf unbestimmte Zeit in einer aktiven Datenbank. Interessentאinnen / Kundאinnen / Lieferantאinnen ? SAS Sergic Invest Sonstiges Frankreich 4: groß
27.06.2019 Wahlkämpfer erhielten illegal Informationen Massive Datenpannen In deutschen Meldeämtern: Vor der Europa- und Kommunalwahlen im Mai wurden offenbar Informationsbestände illegal an Wahlkämpfer weitergegeben. Selbst Kinder und Säuglinge betroffen! Bürgerאinnen, Kinder ? Meldeämter Öffentliche Stellen (Behörden / Kommunen) Deutschland 2: überschaubar
26.06.2019 Flughafen Bukarest: Veröffentlichung personenbezogener Daten eines ehemaligen Vorstandsmitgliedes Auf der Internetplattform der Aeroporturi Bucuresti SA wurden personenbezogene Daten eines Vorstandsmitglieds veröffentlicht. Dabei handelt es sich um: Adresse, persönliche Identifikationsnummer, Datum und Ort der Ausstellung des Personalausweises. Die Daten fanden sich zudem auch auf anderen Internetplattformen sowie auf Facebook. Zunächst verlangte der Geschädigte 60.000 Leu Schadensersatz. Das Gericht verurteile den Verantwortlichen letztendlich zur Löschung der Daten sowie 10.000 Leu an immateriellem Schadenersatz. Sonstiges 1 C.N. A.B. S.A. Sonstiges Rumänien 2: überschaubar
25.06.2019 Illegale Mitarbeiterüberwachung - 20.000 Euro Geldbuße Die Commission Nationale de l’informatique et des Libertés (CNIL) verhängt ein Bußgeld von 20.000 Euro gegen ein Pariser Unternehmen wegen mehrerer DSGVO-Verstöße. Anlass der Überprüfung des Unternehmens durch die Behörde waren mehrere Mitarbeiterbeschwerden über die neu eingeführte Videoüberwachung. Zudem wies das Unternehmen unzureichende technische und organisatorische Maßnahmen auf. Beschäftigte 6 UNIONTRAD COMPANY Dienstleistung / Handwerk Frankreich 4: groß
18.06.2019 Geldbuße gegen Polizeibeamten: KFZ-Kennzeichen für privates "Interesse" Datenschutzbehörde in Baden-Würrtemberg verhängt erstes Bußgeld gegen Polizeibeamten: Bußgeldbescheid in Höhe von 1.400 Euro richtet sich gegen einen Polizeibeamten, der dienstlich erlangte personenbezogene Daten eigenmächtig für private und damit nicht gesetzeskonforme Zwecke weiterverarbeitete. Bürgerאinnen 1 Privatperson - Name unbekannt Öffentliche Stellen (Behörden / Kommunen) Deutschland 3: substanziell
13.06.2019 Telefonwerbung ohne Einwilligung - über 2 Mio Euro Geldbuße Unternehmen führte, über ein Callcenter, das außerhalb der EU liegt, Telemarketing und Teleselling Maßnahmen durch. Die kontaktierten Betroffenen wurden weder über Ihre Rechte informiert, noch lag eine Einwilligung zur Erhebung und Verarbeitung zu Marketingzwecken vor. Darüber hinaus mangelte es an einer Kooperation mit den Behörden. Interessentאinnen / Kundאinnen / Lieferantאinnen ? Vincall Dienstleistung / Handwerk Italien 2: überschaubar
12.06.2019 Fehlendes Löschkonzept und Löschfristen nicht eingehalten - 200.000 Euro Geldbuße Daten über einen längeren Zeitraum verarbeitet, als es für die Zwecke, für die sie verarbeitet wurden, erforderlich war. Darüber hinaus hatte das Unternehmen in seinem neuen CRM-System keine Fristen für die Löschung personenbezogener Daten festgelegt und dokumentiert. Die für das alte System gesetzten Fristen wurden nach Ablauf der Frist für die Information nicht gelöscht. Außerdem hatte der für die Datenverarbeitung Verantwortliche seine Verfahren zur Löschung personenbezogener Daten nicht ausreichend dokumentiert. Interessentאinnen / Kundאinnen / Lieferantאinnen 385.000 IDdesign A / S Sonstiges Dänemark 2: überschaubar
07.06.2019 Trojaner Befall bei Heise Schwerwiegenden Einbruch in das Heise-Netz: Auslöser war eine Emotet-Infektion. Infizierte Rechner wurden komplett außer Betrieb genommen. Beschäftigte, Sonstiges ? Heise Gruppe Dienstleistung / Handwerk Deutschland 4: groß
26.05.2019 Personenbezogene Daten ehemaliger Kunden unbefugt verarbeitet - 50.000 Euro Geldbuße Informationen früherer Nutzer wurden auf einer Art schwarzen Liste gespeichert, die den ehemaligen Kunden die Eröffnung eines Bankkontos verweigert. Gerechtfertigt wäre das Führen einer solchen Liste aber nur bei Kunden, die unter Geldwäscheverdacht stehen. Lesson Learned: Jeder Verantwortliche muss die Grundsätze und die Rechtmäßigkeit der Datenverarbeitung beachten. Im Sinne der Speicherbegrenzung sind Daten zu löschen, sobald sie zur Zweckerfüllung nicht mehr erforderlich sind. Wäre die Verarbeitungstätigkeit „Schwarze Liste für Ex-Kunden“ durch die Datenschutzbeauftragte rechtzeitig geprüft worden, hätte sie den Verantwortlichen darauf hinweisen können, dass es keine Rechtsgrundlage gibt, auf die die gewählte Vorgehensweise gestützt werden könnte und dass mit der Liste auch gegen das Gebot der Speicherbegrenzung verstoßen wird. Interessentאinnen / Kundאinnen / Lieferantאinnen ? N26 Banken / Versicherung Deutschland 2: überschaubar
21.05.2019 Fusion-Festival: Polizei gibt sensible personenbezogene Daten ungeschwärzt rechtem Gewalttäter an Polizeihochschule Polizeipräsidium Neubrandenburg gab das Sicherheitskonzept des Fusions-Festivals samt personenbezogenen Daten wie Namen und Telefonnummern von Mitarbeitern des Kulturkosmos ungeschwärzt an rechtem Polizeidozenten (ehemaliger AFD-Politiker) weiter. Bürgerאinnen, Sonstiges ? Polizeipräsidium Neubrandenburg Öffentliche Stellen (Behörden / Kommunen) Deutschland 4: groß
10.05.2019 Bußgeld gegen norwegische Stadtverwaltung - 170.000 Euro Geldbuße Benutzerkonten von SchülerInnen und SchulangestelltenInnen offen zugänglich! Fehlende Sicherheitsmaßnahmen führten dazu, dass sich jeder in unterschiedlichste Informationssysteme einloggen konnte. Somit waren Daten wie z.B. Name, Passwort, Geburtsdatum, Adresse, Schulzugehörigkeit und Schulnote des Benutzers bzw. der Benutzerin einsehbar. Zudem war auch eine digitale Lernplattform erreichbar, in der die schulischen Leistungen der SchülerInnen und die Einschätzungen der LehrerInnen zu den Leistungen jedes einzelnen Schülers bzw. jeder einzelnen Schülerinnen enthalten waren. Bürgerאinnen, Kinder 35000 Stadtverwaltung Bergen Öffentliche Stellen (Behörden / Kommunen) Norwegen 4: groß
01.05.2019 Nichterfüllung von Informationspflichten - 200.000 Euro Geldbuße Die polnische Datenschutzaufsicht hat umgerechnet 200.000 Euro Geldbuße gegen ein Unternehmen verhängt, weil es seine Informationspflicht aus Art. 14 DSGVO nur ungenügend ausübte. Das Unternehmen sammelte in einer Datenbank personenbezogene Daten aus öffentlichen Quellen, um sie für kommerzielle Zwecke zu nutzen. Dem Unternehmen wird vorgeworfen, dass es nicht jede betroffene Person aus dem Datenpool über die Datenverwendung informierte, sondern seine Informationspflicht lediglich gegenüber den Personen ausübte, von denen die E-Mail-Adresse vorlag. Um die Betriebskosten zu sparen, verzichtete das Unternehmen auf eine anderweitige Kontaktaufnahme mit den Betroffenen. Stattdessen veröffentlichte es eine entsprechende Information auf der Unternehmens-Website. Mit der Folge, dass vielen betroffenen Personen die kommerzielle Verarbeitung ihrer Daten nicht bekannt war. Interessentאinnen / Kundאinnen / Lieferantאinnen ? Bisnode AB Banken / Versicherung Polen 4: groß
28.04.2019 Mitarbeiter hören Alexa-Gespräche ab Die Alexa-Mitarbeiter hören sich Alexa-Sprachbefehle an, um die Fähigkeiten des digitalen Assistenten zu verbessern. Befehle von Nutzern an die Assistenzsoftware Alexa würden auch von Personen angehört und abgetippt, um die Spracherkennung zu verbessern. Zudem wurde dem Unternehmen bekannt, dass die Mitarbeiter umfangreichen Zugriff auf Kundendaten erhielten. Interessentאinnen / Kundאinnen / Lieferantאinnen ? Amazon Sonstiges Vereinigte Staaten 4: groß
28.03.2019 Aufbewahrungs- und Löschfrist nicht eingehalten - 160.000 Euro Geldbuße? Die dänische Datenschutzaufsichtsbehörde empfahl eine Geldbuße in Höhe von umgerechnet 160.000 Euro gegen ein Taxiunternehmen wegen des Verstoßes gegen die Grundsätze für die Verarbeitung personenbezogener Daten, der Speicherbegrenzung, Datenminimierung und Zweckbindung. Das Unternehmen löschte zwar die Namen seiner Fahrgäste nach zwei Jahren aus allen seinen Aufzeichnungen. Doch es verarbeitete die restlichen Fahrgastdaten, u.a. die Telefonnummern, die Positionsdaten und die Fahrtenaufzeichnungen von etwa 8.873.333 Taxifahrten weiter. Interessentאinnen / Kundאinnen / Lieferantאinnen ? Taxa 4x35 Dienstleistung / Handwerk Dänemark 2: überschaubar
05.02.2019 Unerlaubte Datennutzung - 135.000 Euro Geldbuße Britische Datenschutzbehörde Information Commissioner's Office (ICO) hat gegen die Brexit-Kampagne Leave.EU und den Versicherer Eldon Insurances eine Strafe von insgesamt 120.000 Pfund (ca. 135.000 Euro) verhängt, da Eldon eine Million E-Mails an Abonnenten von Leave.EU versendete, welche Werbung für eine Versicherungsmarke von Eldon enthielt. Zudem habe Leave.EU Kundendaten von Eldon genutzt, um knapp 300.000 politische Kampagnen-Nachrichten zu schicken. Bürgerאinnen, Interessentאinnen / Kundאinnen / Lieferantאinnen ? Leave.EU und den Versicherer Eldon Insurances Banken / Versicherung Vereinigtes Königreich 2: überschaubar
28.01.2019 Google: Verstoß gegen Transparenz- und Informationspflicht - 50 Mio Euro Geldbuße Größte Geldbuße in der Geschichte des europäischen Datenschutzes: Gegenstand der Beschwerde waren die Datenschutzbestimmungen von Google, Facebook, Instagram uns WhatsApp. Kinder, Interessentאinnen / Kundאinnen / Lieferantאinnen ? Google, Facebook, Instagram uns WhatsApp Social Media Plattformen Frankreich 2: überschaubar
22.01.2019 Fehlender AV-Vertrag - 5.000 Euro Geldbuße Fehlender AV-Vertrag: Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit hat wegen des Verstoßes gegen die Regelungen in Art. 28 Abs. 3 DSGVO einen Bußgeldbescheid in Höhe von 5.000 Euro erlassen und es mit dem Fehlen eines Auftragsverarbeitungsvertrags (AV-Vertrag) begründet. Sonstiges - Kolibri Image Dienstleistung / Handwerk Deutschland 1: geringfügig
19.12.2018 Datenschutz-Panne bei Kandidatenkür: Mitglieder erhalten Daten anderer Mitglieder. Fehlversagen beim technischen Dienstleister. Datenpanne bei FDP in Sachsen: Im Zuge einer Briefwahl habe ein Teil der Mitglieder das falsch zugeordnetes Formular bekommen, mit der das eigenhändige Ausfüllen bestätigt werden soll. Offenbar stand dort teilweise der Name und die Anschrift eines anderen Mitglieds vorhanden gewesen. Der Fehler lag beim technischen Dienstleister. Beschäftigte, Bürgerאinnen ? FDP Sachsen Öffentliche Stellen (Behörden / Kommunen) Deutschland 1: geringfügig
13.12.2018 Sensible Personaldaten zu Mitarbeitern eines Vereins erscheinen in öffentlich zugänglichen Sitzungsunterlagen Datenpanne im Landratsamt: In einer Beratungsvorlage für den Jugendhilfeausschuss und das Gesamtgremium waren Namen von Mitarbeitern des Vereins Miteinanderleben aufgeführt, samt ihres Einsatzorts, ihres Eintrittsdatums sowie den jeweiligen Einsatzkosten. Zudem waren die Daten im Ratsinformationssystem des Kreises im Internet einsehbar. Bürgerאinnen ? Landkreis Enzkreis Öffentliche Stellen (Behörden / Kommunen) Deutschland 4: groß
19.11.2018 Computervirus legt Klinik lahm Computervirus legt Klinikum Fürstenfeldbruck lahm: Rettungswagen kann nur noch lebensgefährlich erkrankte oder verletzte Menschen anfahren. Patienten werden in andere Kliniken verlegt. Ursache ist wohl ein Mail-Trojaner, der über den Anhang einer E-Mail ins System eingedrungen sein könnte. Patientאinnen, Sonstiges ? Klinikum Fürstenfeldbruck Gesundheits-wesen Deutschland 4: groß
24.10.2018 Unerlaubter Zugriff auf Patientenakten sowie weitere Verstöße gegen die DSGVO - 400.000 Euro Geldbuße Nutzer mit dem Profil "Techniker" konnten in den IT-Systemen eines Krankenhauses unbegrenzt auf Daten zugreifen, die eigentlich nur für Ärzte einsehbar sein dürfen. Das Profil wurde von dem Krankenhaus „bewusst“ angelegt. Der Großteil der gegen ein Krankenhaus verhängten Geldbuße ist die Strafe dafür, dass zu viele Personen Zugriff auf die Patientendaten hatten. Für einen anderen Verstoß wurden 100.000 Euro Strafe verhängt. Kinder, Interessentאinnen / Kundאinnen / Lieferantאinnen, Sonstiges ? Krankenhaus Barreiro Montijo Gesundheits-wesen Portugal 4: groß
23.09.2018 Unzulässige Videoüberwachung - 5.280 Euro Geldbuße Die Datenschutzbehörde in Österreich hat nun die erste Verwaltungsstrafe verhängt: Der Betreiber eines österreichischen Wettbüros hatte auf der Außenseite des Lokals eine Kamera installiert, die den Großteil des Gehsteig erfasste und zudem unzureichend gekennzeichnet war. Bürgerאinnen, Kinder, Interessentאinnen / Kundאinnen / Lieferantאinnen, Sonstiges ? Unbekannt Freizeit / Tourismus / Gastro Österreich 1: geringfügig
20.07.2018 Knuddels Nutzerdaten geleakt Bei der deutschen Chat-Community Knuddels.de gab es ein riesiges Datenleck: Die Accountdaten aller User, die am 20. Juli 2018 einen Account auf dem Portal hatten, standen öffentlich im Internet abrufbar. Kinder, Interessentאinnen / Kundאinnen / Lieferantאinnen, Sonstiges 1,8 Mio Knuddels GmbH & Co. KG Social Media Plattformen Deutschland 4: groß
1: geringfügig Betroffene erleiden eventuell Unannehmlichkeiten, welche sie aber mit einigen Problemen überwinden können.
2: überschaubar Betroffene erleiden eventuell signifikante Unannehmlichkeiten, welche sie aber mit einigen Schwierigkeiten überwinden können.
3: substanziell Betroffene erleiden eventuell signifikante Konsequenzen, die sie nur mit ernsthaften Schwierigkeiten überwinden können.
4: groß Betroffene erleiden eventuell signifikante oder sogar unumkehrbare Konsequenzen, die sie nicht überwinden können.

Sind Sie über einen Datenschutz-Vorfall gestolpert oder aufmerksam geworden? Hier können Sie uns Hinweise auf entsprechende Veröffentlichungen von Verarbeitungspannen geben. Wir begrüßen Ihren Beitrag und stellen Ihnen die Möglichkeit zur Verfügung diesen hier zu melden (HINWEIS: Bitte nennen Sie uns KEINESFALLS interne, eigene oder unveröffentlichte Datenschutz-Vorfälle!):

Bitte rechnen Sie 2 plus 5.