Im Folgenden stellen wir Informationen über Datenschutz-Vorfälle zur Verfügung, die an die Öffentlichkeit geraten sind.
Sie sind in den Medien oder im Internet über die Meldung zu einem Datenschutz-Vorfall gestolpert? In diesem Fall können Sie uns gerne hier Hinweise zu entsprechenden Veröffentlichungen von Datenschutz-Vorfällen geben. Wir prüfen Ihre Angaben und ergänzen die Liste. Bitte nennen Sie uns KEINESFALLS interne, eigene oder unveröffentlichte Datenschutz-Vorfälle.
| Datum | Titel | Kurzbescheibung | Kategorie(n) der Betroffenen | Anzahl Betroffene | Name Verantwortlicher | Bereich | Land | Auswirkungen |
|---|---|---|---|---|---|---|---|---|
| 02.10.2019 | Trojaner-Befall legt Berliner Kammergericht lahm | Schwerwiegender Einbruch in das Netz des Berliner Kammergerichts: Auslöser war eine Emotet-Infektion. Als Vorsichtsmaßnahme wurde das komplette Computersystem vom Netz genommen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt zur Beseitigung der Infektion die betroffenen Computer zu löschen und komplett neu aufzusetzen. | Beschäftigte, Bürgerאinnen | ? | Stadt Berlin | Öffentliche Stellen (Behörden / Kommunen) | Deutschland | 3: substanziell |
| 19.09.2019 | Missachtung von Auskunfts-, Lösch- und Widerspruchsrechte von Kundאinnen – 195.407 Euro Gelbuße | Das Unternehmen Delivery Hero muss wegen Datenschutzverstößen eine Geldbuße in Höhe von 195.407 Euro zahlen. Das Verfahren wurde durch Beschwerden von Kundאinnen ins Rollen gebracht. Die Berliner Aufsichtsbehörde teilte mit, dass Kundאinnendaten nicht gelöscht wurden, obwohl die Betroffenen den Lieferdienst seit Jahren nicht mehr genutzt haben. Zudem haben sich Kundאinnen darüber beschwert, dass Delivery Hero einigen Auskunftsersuchen nicht nachgekommen sei. Obwohl Kundאinnen der Nutzung ihrer Daten für Werbezwecke widersprochen hatten, erhielten einige von ihnen weiter Werbe-Emails. In weiteren Fällen wurden angefragte Selbstauskünfte gar nicht bearbeitet bzw. erst nachdem die Berliner Aufsichtsbehörde eingeschritten war. | Interessentאinnen / Kundאinnen / Lieferantאinnen | ? | Delivery Hero SE | Freizeit / Tourismus / Gastro | Deutschland | 3: substanziell |
| 17.09.2019 | Datenleck im Gesundheitsbereich: 16 Millionen Patientendatensätze auf ungeschützten Servern frei im Internet abrufbar | Brustkrebsscreenings, Wirbelsäulenbilder, Röntgenaufnahmen eines Brustkorbs, mit gut erkennbarem Herzschrittmacher. Daten, die wohl über Jahre hinweg frei verfügbar im Netz zu finden gewesen sind. Die besagten Datensätze von weltweit mehreren Millionen Patienten liegen auf ungeschützten Servern. Betroffen davon auch tausende Patientinnen und Patienten aus Deutschland. Herausgefunden haben dies der Bayerische Rundfunk in Zusammenarbiet mit dem US-amerikanischen Rechercheportal ProPublica. | Patientאinnen | 16 Millionen | Verschiedene Einrichtungen / Kliniken / Ärzte / Serverbetreiber | Gesundheits-wesen | weltweit | 4: groß |
| 17.09.2019 | Offene Datenbank gibt Informationen zu Millionen Bürgern Ecuadors preis | Riesiger Datenleck in Ecuador: Persönliche Daten der nahezu gesamten Bevölkerung Ecuadors online auf Servern veröffentlicht. Laut Medienberichten verursachte eine unsachgemäß konfigurierte Datenbank die Veröffentlichung vertraulicher persönlicher Daten von nahezu allen Einwohnern Ecuadors im Internet. Der Großteil der Daten stammt wohl von den ecuadorianischen Standesämtern. Zudem sind auch Informationen zum Präsidenten Ecuadors sowie zum Wikileaks-Gründer Julian Assange vorhanden. Betroffene Datenkategorien: Namen, Geburtsdatum, Geburtsort, Wohnadresse, Familienstand, Ausweisnummer, Informationen zum Arbeitgeber, Telefonnummern, Bildungsabschluss, Konto,- und Kreditinformationen sowie Informationen zum KFZ. | Bürgerאinnen, Kinder | 17 Mio. | Noch zu klären | Öffentliche Stellen (Behörden / Kommunen) | Ecuador | 3: substanziell |
| 10.09.2019 | Trojaner Befall legt Stadtverwaltung lahm | Schwerwiegender Einbruch in das Netz der Stadtverwaltung Neustadt am Rübenberge (Niedersachsen): Auslöser war eine Emotet-Infektion. Infizierte Rechner wurden komplett außer Betrieb genommen. | Bürgerאinnen | ? | Stadt Neustadt | Öffentliche Stellen (Behörden / Kommunen) | Deutschland | 4: groß |
| 05.09.2019 | Millionen Telefonnummern von Facebook Usern frei zugänglich | Ca. 413 Mio Datensätze, darunter Telefonnummern von Facebook-Usern, hauptsächlich aus den USA, Großbritannien und Vietnam waren im Internet frei zugänglich. Ob auch deutsche Nutzer von dem Leak betroffen sind, ist unbekannt. Einige der Datensätze enthielten auch den Namen, das Geschlecht und den Standort des Benutzers nach Land. Jedoch sind Telefonnummern seit mehr als einem Jahr nicht mehr öffentlich, da Facebook den Zugang eingeschränkt hat. | Bürgerאinnen, Interessentאinnen / Kundאinnen / Lieferantאinnen | ca. 413 Mio | Social Media Plattformen | weltweit | 4: groß | |
| 27.08.2019 | Übermittlung sensibler Daten an Facebook | Der Blutspendedienst (BSD) des Bayerischen Roten Kreuzes (BRK) hat gesundheitsbezogene Daten möglicher Spender an Facebook gesendet, darunter intime Angaben zu HIV-Infektionen, Schwangerschaftsabbrüchen, Drogenkonsum oder Diabetes. Die Daten der Blutspender wurden bei einem "Vorcheck" auf der Webseite des BSD erhoben, einem Tochterunternehmen des BRK. Die Antworten der Spender auf den "Vorcheck" wurden automatisch an Facebook weitergeleitet. | Interessentאinnen / Kundאinnen / Lieferantאinnen | ? | Bayerisches Rotes Kreuz | Gesundheits-wesen | Deutschland | 4: groß |
| 26.08.2019 | Hacker gelangen an Kundendaten | Sicherheitsvorfall beim Webhoster Hostinger: Unbekannte hatten Zugriff auf Server des Webhosters Hostinger und konnten Datenbanken mit Informationen über Kunden einsehen. In der Datenbank befinden sich Namen, E-Mail- und IP-Adressen und Kennwörter. Auf Bank- und Kreditkartendaten soll es keine Zugriffe gegeben haben, da diese nicht auf den hauseigenen Servern gespeichert werden. | Interessentאinnen / Kundאinnen / Lieferantאinnen | ca. 14 Mio | Hostinger International, Ltd. | Sonstiges | Litauen | 3: substanziell |
| 22.08.2019 | Mitarbeiter hören Xbox-Spracheingaben ab | Sprachbefehle werden seit der Einführung der Xbox One Kinect-Kamera im Jahr 2013 gespeichert und in einigen Fällen zur Analyse von Microsoft-Mitarbeitern sowie Vertragspartnern abgehört. In einem Großteil der Aufnahmen sollen Kinder mit der Xbox One agiert haben, welche die typischen Befehle zur Steuerung der Konsole und In-Game-Optionen aktivieren wollten. Es soll aber auch vorgekommen sein, dass Kinect und später Cortana versehentlich - zum Beispiel im Sprachchat - aktiviert wurden und so Mitschnitte von persönlichen Gesprächen die Mitarbeiter erreichten. | Interessentאinnen / Kundאinnen / Lieferantאinnen | ? | Microsoft | Sonstiges | Vereinigte Staaten | 4: groß |
| 21.08.2019 | Verarbeitung besonderer Kategorien personenbezogener Daten ohne ausreichende Rechtsgrundlage - 18.500 Euro Geldbuße | Eine Schule in Skellefteå hat eine Gesichtserkennung verwendet, um die Anwesenheit der Schüler im Unterricht zu testen. In einem Pilotversuch kontrollierte sie die Anwesenheit in einer Klasse von 22 Schülerאinnen über einen Zeitraum von drei Wochen. Gleichwohl sich die Schule vor der Maßnahme zwar die Einwilligung der Eltern eingeholt hat, stellte die Aufsichtsbehörde fest, dass die Gesichtserkennung durch Kameraüberwachung der Schüler in ihrer täglichen Umgebung einen Eingriff in die persönliche Integrität darstelle. Die Kontrolle der Anwesenheit der Schüler ist auf eine andere Weise möglich, die als gelinderes Mittel eingesetzt werden kann und die die Privatsphäre der Schüler weniger verletzt als die verwendete Gesichtserkennung. | Bürgerאinnen, Kinder | 22 | Gemeinde Skellefteå | Öffentliche Stellen (Behörden / Kommunen) | Schweden | 4: groß |
| 19.08.2019 | Kundendaten zu Mastercard-Bonusprogramm im Netz abrufbar | Die Daten von Nutzern eines Mastercard-Bonusprogramms waren zeitweise in einem Online-Forum abrufbar. Eine Tabellen-Datei, die zeitweise in dem Online-Forum verfügbar war, listete unter anderem Namen und E-Mail-Adressen auf. Daneben standen jeweils die ersten zwei und die letzten vier Zahlen der Mastercard-Kartennummer und in manchen Fällen auch die Anschrift und Telefonnummern der Kunden. Zudem enthielt die Liste zusätzlich Angaben dazu, ob Nutzer einen Newsletter und SMS-Benachrichtigungen abonniert hatten. | Interessentאinnen / Kundאinnen / Lieferantאinnen | 90.000 | Mastercard | Banken / Versicherung | Vereinigte Staaten | 3: substanziell |
| 14.08.2019 | Mitarbeiter hören Messenger-Audioaufnahmen ab | Das soziale Netzwerk ließ offenbar Hunderte externe Mitarbeiter die Sprachnachrichten von Nutzern transkribieren, um die KI zu trainieren. Betroffen seien Nutzer gewesen, die die Transkriptions-Funktion für Sprachnachrichten eingeschaltet hatten. Aufgabe der Mitarbeiter sei es gewesen, zu prüfen, ob die Software die gesprochenen Sätze korrekt verstanden habe. | Interessentאinnen / Kundאinnen / Lieferantאinnen | ? | Social Media Plattformen | Vereinigte Staaten | 4: groß | |
| 14.08.2019 | Biometrische Daten von Millionen Nutzern offen im Netz | Sicherheitsgau bei der Biometriedatenbank "Biostar 2" der südkoreanischen IT-Firma Suprema: Forscher des israelischen Online-Dienstes vpnMentor haben entdeckt, dass das webbasierte System mit hochsensiblen personenbezogenen Informationen weitgehend ungeschützt im Internet zur Verfügung stand. Die Experten konnten sich nach eigenen Angaben ohne große Mühen Zugang zu 27,8 Millionen Einträgen verschaffen, die 23 Gigabyte an Daten ausmachten. Darunter waren Fingerabdruck- und Gesichtserkennungsdaten, Gesichtsfotos von Benutzern, unverschlüsselte Benutzernamen und Passwörter, Protokolle über den Zugang zu den Einrichtungen, Sicherheitsstufen und -freigabe sowie persönliche Daten des Personals. | Interessentאinnen / Kundאinnen / Lieferantאinnen | ? | Suprema | Sonstiges | Südkorea | 4: groß |
| 09.08.2019 | Mitarbeiter hören Skype-Gespräche ab | Bestimmte Skype-Gespräche werden von Microsoft-Mitarbeitern abgehört und analysiert. Zwar beschreibt Microsoft in seinem Hilfebereich, dass "automatische Transkripte analysiert werden", jedoch geht in der Erklärung nicht hervor, dass diese Aufgabe offenbar von Menschen erledigt wird. In der Datenschutzerklärung wird hierzu auch nicht informiert. Zudem soll ein Teil der Angestellten die Aufnahmen nicht einmal in einer geschützten Büroumgebung, sondern von zuhause aus bearbeiten. | Interessentאinnen / Kundאinnen / Lieferantאinnen | ? | Microsoft | Social Media Plattformen | Vereinigte Staaten | 4: groß |
| 08.08.2019 | Millionen Standortdaten von Instagram-Nutzern abgegriffen | Datensammlung auf Instagram durch das amerikanisches Start-up Hyp3r. Daten von Menschen werden überwacht und analysiert: Dazu hat das Unternehmen offenbar Nutzerdaten von Millionen Instagram-Nutzern gesammelt. Gespeichert wurde zum Beispiel, wo sie sich aufhalten, aber auch Informationen aus ihren Profilen wie die Selbstbeschreibung ("Bio") und Inhalte wie die Kurzvideos in den Instagram Stories. Die verschwinden eigentlich nach 24 Stunden aus der App, Hyp3r sicherte sie aber dauerhaft mit einem eigens entwickelten Programm und wertete sie mit einer Bildanalyse-Software aus. | Interessentאinnen / Kundאinnen / Lieferantאinnen | ? | Social Media Plattformen | Vereinigte Staaten | 4: groß | |
| 07.08.2019 | Mögliche unerlaubte Datenweitergabe | Twitter hat möglicherweise, ohne Einverständnis der Nutzer, Daten mit Werbekunden geteilt. Durch den Fehler seien Nutzern möglicherweise seit Mai 2018 personalisierte Werbeanzeigen angezeigt worden - auch auf Basis unzulässig gesammelter Daten. Informationen zu Passwörtern oder E-Mail-Konten sind wohl nicht betroffen. Dabei handele es sich um Ländercodes, Verbindungen zu Werbeanzeigen und Rückschlüsse auf verwendete Geräte. Die Probleme seien am 5. August behoben worden. | Interessentאinnen / Kundאinnen / Lieferantאinnen | ? | Social Media Plattformen | Vereinigte Staaten | 1: geringfügig | |
| 06.08.2019 | Kontaktdaten von Messe-Fachbesuchern online einsehbar | Nach der Spielemesse E3, Electronic Entertainment Expo, sind die persönlichen Daten der Fachbesucher online abrufbar gewesen. Eine Liste mit den Datensätzen von 2025 registrierten Journalisten, Analysten, Influencern, Korrespondenten und Produzenten war mindestens einige Tage lang frei auf der E3-Website zugänglich. Derartige Dokumente mit Namen, Medium, Telefonnummern, Adressen und E-Mail-Adressen werden normalerweise für die Aussteller von Messen erstellt. | Interessentאinnen / Kundאinnen / Lieferantאinnen | 2025 | Entertainment Software Association | Sonstiges | Vereinigte Staaten | 1: geringfügig |
| 05.08.2019 | Missbräuchliche Datenabfrage bei der Polizei | In Hessen nutzen Polizisten ihren dienstlichen Zugriff auf die Landespolizeidatenbank Polas (Polizei-Auskunfts-System) immer wieder privat. In dem Pola werden zum Teil sensible Daten über Personen gespeichert: von der Meldeadresse bis hin zu personengebundenen Hinweisen (PHW) wie Drogenkonsum und psychischen Problemen. | Bürgerאinnen | ? | Polizei Hessen | Öffentliche Stellen (Behörden / Kommunen) | Deutschland | 4: groß |
| 02.08.2019 | Widerrechtliche Verarbeitung von personenbezogenen Daten - 150.000 Euro Geldbuße | Die griechische Aufsichtsbehörde wurde tätig, nachdem mittels einer Beschwerde mitgeteilt wurde, dass das Unternehmen Defizite hinsichtlich des Beschäftigtendatenschutzes aufweise. So stützte Price Waterhouse Coopers Business Solutions S.A (PWC) die Datenverarbeitung fälschlicherweise auf Einwilligungen nach Art. 6 Abs. 1 lit. a DSGVO, obwohl andere der in Art. 6 Abs. 1 DSGVO genannten Erlaubnistatbestände einschlägig gewesen wären. Dieses Vorgehen stelle seitens PWC nicht nur einen Verstoß gegen das Rechtmäßigkeitsprinzip nach Art. 5 Abs. 1 lit.a DSGVO dar, sondern verletze insb. auch den Grundsatz der Verarbeitung nach Treu und Glauben. Hiernach dürfe nämlich ggü. der betroffenen Person nicht der Anschein erweckt werden, die Verarbeitung stütze sich lediglich auf die jederzeit widerrufbare Einwilligung. Vielmehr müsse, sofern ein anderer Erlaubnistatbestand greift, dieser herangezogen werden und die betroffene Person entsprechend informiert werden. Entsprechend verletzte PWC seine Informations- ebenso wie seine Nachweispflichten. | Beschäftigte | ? | Price Waterhouse Coopers Business Solutions S.A | Dienstleistung / Handwerk | Griechenland | 4: groß |
| 01.08.2019 | Massiver Hackerangriff auf US-Bank | Hackerin erbeutet Informationen aus Anträgen von Verbrauchern und kleinen Unternehmen aus den Jahren 2005 bis 2019 auf Kreditkarten: Namen, Adressen, Telefonnummern, E-Mail-Adresse, Geburtsdaten und angegebenes Einkommen. Hinzu kommen Bonitätsbewertungen, Kreditrahmen, Kontostand, Zahlungsverhalten, und weitere Kontaktdaten hinzu, sowie Umsatzdaten. Der Hack wurde durch Fehlkonfiguration einer Firewall ermöglicht. Das FBI ermittelt. | Interessentאinnen / Kundאinnen / Lieferantאinnen | 106 Mio | Capital One Financial Corp. | Banken / Versicherung | Vereinigte Staaten | 4: groß |
| 29.07.2019 | Mitarbeiter hören Siri-Gespräche ab | Ein Teil der Fragen an Apples Assistentin Siri wird zur Kontrolle an Menschen weitergeleitet. Die bekommen dadurch private und sogar intime Gespräche mit. Apples Mitarbeiter sind damit beauftragt, Siris Reaktionen auf die Gesprächsschnipsel zu bewerten. Angefangen damit, ob die Aktivierung der künstlichen Assistentin überhaupt gewünscht war, aber auch ob Siris Antwort angemessen war und ob es sich überhaupt um eine von Siri beantwortbare Frage handelt. | Interessentאinnen / Kundאinnen / Lieferantאinnen | ? | Apple | Sonstiges | Vereinigte Staaten | 4: groß |
| 28.07.2019 | Liste von Einwohnern mit Hausverbot im Amtsgebäude der Stadt veröffentlicht | Auf der Internetseite der Stadt Winsen im Landkreis Harburg war eine Liste öffentlich einsehbar. Die 28 Personen auf der Liste, haben Hausverbot im Amtsgebäude der Stadt. Die Liste mit Vorname, Nachname, Adressdaten war für das Intranet gedacht und wurde ungewollt im Internet veröffentlicht. | Bürgerאinnen | 28 | Stadt Winsen | Öffentliche Stellen (Behörden / Kommunen) | Deutschland | 2: überschaubar |
| 27.07.2019 | Keine Datenschutzkonforme Entsorgung von Akten | Ungeschredderte Akten, welche personenbezogene Daten enthalten haben sollen, wurden in blauen Papiertonnen entsorgt. Die Tonnen und somit auch die Akten waren für jeden zugänglich. Welche Datenarten entsorgt wurden ist nicht sicher. Es könnten sich dabei um Adressdaten, Kontodaten, Mietdaten, medizinische Daten etc. handeln. | Bürgerאinnen | ? | Jobcenter Gütersloh | Öffentliche Stellen (Behörden / Kommunen) | Deutschland | 4: groß |
| 26.07.2019 | Weitergabe von Nutzerdaten an Cambridge Analytica - 5 Milliarden Dollar Geldbuße | Facebook hat Nutzerdaten an das Datenanalyse-Startup Cambridge Analytica weitergegeben. Cambridge Analytica verarbeitete unterlaubter Weise persönliche Daten von Facebook-Nutzern und wertete deren persönliche Profile aus. Neben der Geldbuße soll es nun auch zu strukturellen Veränderungen bei Facebook kommen, um mehr Datenschutz und Transparenz zu gewährleisten. | Interessentאinnen / Kundאinnen / Lieferantאinnen | 87 Mio | Social Media Plattformen | Vereinigte Staaten | 3: substanziell | |
| 25.07.2019 | Tracking von Kindern bei YouTube | Google trackte Kinder unter 13 Jahren: FTC droht mit Millionenstrafe. Google hat während der Untersuchung schon reagiert und Inhalte für Kinder zum Beispiel für Kommentare gesperrt. | Kinder | ? | Social Media Plattformen | Vereinigte Staaten | 3: substanziell | |
| 24.07.2019 | Bug im Messenger Kids: Kinder konnten mit Fremden chatten | Technischer Fehler bei Facebook: Kinder konnten mit unberechtigten Personen chatten. Betroffen war der "Messenger Kids", der besonderen Schutz für Kinder verspricht. Eigentlich dürfen die jungen Nutzer nur Leute kontaktieren, die von den Eltern zuvor freigegeben wurden. Diese Sicherheitsmaßnahme ließ sich jedoch über Gruppenchats umgehen, wie sich nun herausstellte. Kinder konnten deshalb auch mit Fremden chatten. | Kinder | ? | Social Media Plattformen | Vereinigte Staaten | 4: groß | |
| 22.07.2019 | Datenleck bei Petitionsplattform von Campact | Ein Fehler auf der Petitionsplattform WeAct von Campact ermöglichte den Zugriff auf die Daten der Unterstützer. Rund 1,8 Millionen Unterzeichner sind betroffen. Die Nichtregierungsorganisation hat die Hintergründe des Fehlers veröffentlicht. Die Daten umfassen den Namen, die Postleitzahl sowie teilweise die E-Mail-Adressen. Sogar Gewerkschaftszugehörigkeit sichtbar! | Bürgerאinnen | 1,8 Mio. | Petitionsplattform WeAct der Organisation Campact | Öffentliche Stellen (Behörden / Kommunen) | Deutschland | 4: groß |
| 22.07.2019 | Massiver Hackerangriff auf russischen Geheimdienst | Hackerangriff auf den russischen Geheimdienst FSB: Hacker entwenden 7,5 Terabyte an Daten zu laufenden Projekten und Operationen der Moskauer Spionagebehörde. | Beschäftigte, Sonstiges | ? | FSB | Öffentliche Stellen (Behörden / Kommunen) | Russland | 4: groß |
| 18.07.2019 | Verschlüsselungstrojaner legt Klinikserver lahm | Malware legt Klinikserver lahm: komplettes Netzwerk des Krankenhausverbundes der DRK Trägergesellschaft Süd-West infiziert. Daraufhin seien die Server aus Sicherheitsgründen vom Netz genommen, um sie auf einen Befall zu überprüfen und um zu verhindern, dass sich die Schadsoftware weiter ausbreitet. | Patientאinnen, Sonstiges | ? | DRK Trägergesellschaft Süd-West | Gesundheits-wesen | Deutschland | 3: substanziell |
| 17.07.2019 | Hacker erlangen Millionen Datensätze von Bürgern und Unternehmen | Hackerangriff auf die bulgarische Finanzbehörde NAP: Hacker erlangten Daten von 5 Millionen Bulgaren, Ausländern und Unternehmen und drohen mit der Veröffentlichung der gestohlenen Daten. Politisches Motiv nicht ausgeschlossen. | Bürgerאinnen, Sonstiges | 5 Mio | Finanzbehörde NAP | Öffentliche Stellen (Behörden / Kommunen) | Bulgarien | 4: groß |
| 17.07.2019 | Privatsphäre eines Patienten nicht ausreichend geschützt - 460.000 Euro Geldbuße | Das Krankenhaus hat die Privatsphäre eines Patienten nicht ausreichend geschützt. Weitere Geldbußen könnten folgen. | Patientאinnen | 1 | HagaZiekenhuis | Gesundheits-wesen | Niederlande | 4: groß |
| 13.07.2019 | LKA-Beamter verliert Aktentasche mit brisantem Inhalt | Datenpanne beim LKA Niedersachsen: Einem LKA-Beamten, der einen V-Mann führte, war eine Aktentasche aus seinem Privatwagen gestohlen worden. Die Tasche enthielt neben Geld und dienstlicher EC-Karte auch sensible Dokumente. | Bürgerאinnen | 1 | LKA Niedersachsen | Öffentliche Stellen (Behörden / Kommunen) | Deutschland | 4: groß |
| 12.07.2019 | Mitarbeiter hören Google Assistant-Gespräche ab | Auch Google lässt die Audiomitschnitte Tausender Gespräche mit seinem virtuellen Assistenten von Menschen analysieren. Die meisten Audioaufzeichnungen sind absichtlich entstanden, 153 Gespräche jedoch "hätten nie aufgezeichnet werden sollen". Ähnlich wie zu Amazon und Apple steht bei Google´s Datenschutzbestimmungen nichts dazu. | Interessentאinnen / Kundאinnen / Lieferantאinnen | ? | Sonstiges | Vereinigte Staaten | 4: groß | |
| 10.07.2019 | Hacker erlangen Daten von bis zu 500 Mio. Hotelgästen - 110 Mio Euro Geldbuße | Bei der Hotelkette Marriott gab es ein massives Datenleck: Hacker erlangten 5,25 Millionen unverschlüsselte Ausweisnummern und 385.000 gültige Zahlungskartennummern von bis zu 500 Millionen Hotelgästen. | Kinder, Interessentאinnen / Kundאinnen / Lieferantאinnen, Sonstiges | 500 Mio | Marriott International, Inc. | Freizeit / Tourismus / Gastro | Vereinigtes Königreich | 4: groß |
| 10.07.2019 | Technische und organisatorische Maßnahmen nicht ergriffen - 130.000 Euro Geldbuße | Datenschutzverletzung bei der Unicredit Bank in Rumänien: Offenlegung der persönliche Identifikationsnummerndaten und Adressen der Zahlenden bzw. Adressdaten der Zahlenden. | Interessentאinnen / Kundאinnen / Lieferantאinnen | 337.042 | Unicredit Bank S.A. | Banken / Versicherung | Rumänien | 4: groß |
| 09.07.2019 | Liste mit 46 Frühstücksgästen fotografiert und online gestellt - 15.000 Euro Geldbuße | Ein Hotel meldete der Aufsichtsbehörde eine Datenschutzverletzung: Eine gedruckte Liste mit personenbezogenen Daten von 46 Gästen, die das Frühstück im Hotel einnehmen, wurde von unbefugten Personen fotografiert und online veröffentlicht. | Interessentאinnen / Kundאinnen / Lieferantאinnen | 46 | WORLD TRADE CENTER BUCHAREST SA | Freizeit / Tourismus / Gastro | Rumänien | 2: überschaubar |
| 08.07.2019 | Hacker erlangen Daten von 500.000 Fluggästen - 204 Mio Euro Geldbuße | Großes Datenleck bei der Fluggesellschaft British Airways: Aufgrund schwacher Sicherheitsvorkehrungen gelangten Betrüger an Login-, Kreditkarten-, Reise- und Adressdaten der Fluggäste. | Kinder, Interessentאinnen / Kundאinnen / Lieferantאinnen, Sonstiges | 500.000 | British Airways | Freizeit / Tourismus / Gastro | Vereinigtes Königreich | 3: substanziell |
| 02.07.2019 | Fehlende Sicherheitsmaßnahmen und übermäßige Datenspeicherung - 400.000 Euro Geldbuße | Die Immobilienfirma hatte für personenbezogene Daten erfolgloser Mietkandidaten weder ausreichende Sicherheitsmaßnahmen ergriffen noch deren Aufbewahrungsfristen festgeschrieben. Über leichte Änderungen im Browser konnte auch auf Dokumente anderer Personen zugegriffen werden. Dazu gehörten sensible Dokumente wie Ausweiskopien, Sozialversicherungskarten, Steuerbescheide, Scheidungsurteile, Kontoauszüge und Bankinformationen. Das Unternehmen wusste schon seit Monaten von der Schwachstelle wusste und speicherte darüber hinaus alle Dokumente erfolgloser Bewerber auf Wohnungen auf unbestimmte Zeit in einer aktiven Datenbank. | Interessentאinnen / Kundאinnen / Lieferantאinnen | ? | SAS Sergic Invest | Sonstiges | Frankreich | 4: groß |
| 27.06.2019 | Wahlkämpfer erhielten illegal Informationen | Massive Datenpannen In deutschen Meldeämtern: Vor der Europa- und Kommunalwahlen im Mai wurden offenbar Informationsbestände illegal an Wahlkämpfer weitergegeben. Selbst Kinder und Säuglinge betroffen! | Bürgerאinnen, Kinder | ? | Meldeämter | Öffentliche Stellen (Behörden / Kommunen) | Deutschland | 2: überschaubar |
| 26.06.2019 | Flughafen Bukarest: Veröffentlichung personenbezogener Daten eines ehemaligen Vorstandsmitgliedes | Auf der Internetplattform der Aeroporturi Bucuresti SA wurden personenbezogene Daten eines Vorstandsmitglieds veröffentlicht. Dabei handelt es sich um: Adresse, persönliche Identifikationsnummer, Datum und Ort der Ausstellung des Personalausweises. Die Daten fanden sich zudem auch auf anderen Internetplattformen sowie auf Facebook. Zunächst verlangte der Geschädigte 60.000 Leu Schadensersatz. Das Gericht verurteile den Verantwortlichen letztendlich zur Löschung der Daten sowie 10.000 Leu an immateriellem Schadenersatz. | Sonstiges | 1 | C.N. A.B. S.A. | Sonstiges | Rumänien | 2: überschaubar |
| 25.06.2019 | Illegale Mitarbeiterüberwachung - 20.000 Euro Geldbuße | Die Commission Nationale de l’informatique et des Libertés (CNIL) verhängt ein Bußgeld von 20.000 Euro gegen ein Pariser Unternehmen wegen mehrerer DSGVO-Verstöße. Anlass der Überprüfung des Unternehmens durch die Behörde waren mehrere Mitarbeiterbeschwerden über die neu eingeführte Videoüberwachung. Zudem wies das Unternehmen unzureichende technische und organisatorische Maßnahmen auf. | Beschäftigte | 6 | UNIONTRAD COMPANY | Dienstleistung / Handwerk | Frankreich | 4: groß |
| 18.06.2019 | Geldbuße gegen Polizeibeamten: KFZ-Kennzeichen für privates "Interesse" | Datenschutzbehörde in Baden-Würrtemberg verhängt erstes Bußgeld gegen Polizeibeamten: Bußgeldbescheid in Höhe von 1.400 Euro richtet sich gegen einen Polizeibeamten, der dienstlich erlangte personenbezogene Daten eigenmächtig für private und damit nicht gesetzeskonforme Zwecke weiterverarbeitete. | Bürgerאinnen | 1 | Privatperson - Name unbekannt | Öffentliche Stellen (Behörden / Kommunen) | Deutschland | 3: substanziell |
| 13.06.2019 | Telefonwerbung ohne Einwilligung - über 2 Mio Euro Geldbuße | Unternehmen führte, über ein Callcenter, das außerhalb der EU liegt, Telemarketing und Teleselling Maßnahmen durch. Die kontaktierten Betroffenen wurden weder über Ihre Rechte informiert, noch lag eine Einwilligung zur Erhebung und Verarbeitung zu Marketingzwecken vor. Darüber hinaus mangelte es an einer Kooperation mit den Behörden. | Interessentאinnen / Kundאinnen / Lieferantאinnen | ? | Vincall | Dienstleistung / Handwerk | Italien | 2: überschaubar |
| 12.06.2019 | Fehlendes Löschkonzept und Löschfristen nicht eingehalten - 200.000 Euro Geldbuße | Daten über einen längeren Zeitraum verarbeitet, als es für die Zwecke, für die sie verarbeitet wurden, erforderlich war. Darüber hinaus hatte das Unternehmen in seinem neuen CRM-System keine Fristen für die Löschung personenbezogener Daten festgelegt und dokumentiert. Die für das alte System gesetzten Fristen wurden nach Ablauf der Frist für die Information nicht gelöscht. Außerdem hatte der für die Datenverarbeitung Verantwortliche seine Verfahren zur Löschung personenbezogener Daten nicht ausreichend dokumentiert. | Interessentאinnen / Kundאinnen / Lieferantאinnen | 385.000 | IDdesign A / S | Sonstiges | Dänemark | 2: überschaubar |
| 07.06.2019 | Trojaner Befall bei Heise | Schwerwiegenden Einbruch in das Heise-Netz: Auslöser war eine Emotet-Infektion. Infizierte Rechner wurden komplett außer Betrieb genommen. | Beschäftigte, Sonstiges | ? | Heise Gruppe | Dienstleistung / Handwerk | Deutschland | 4: groß |
| 26.05.2019 | Personenbezogene Daten ehemaliger Kunden unbefugt verarbeitet - 50.000 Euro Geldbuße | Informationen früherer Nutzer wurden auf einer Art schwarzen Liste gespeichert, die den ehemaligen Kunden die Eröffnung eines Bankkontos verweigert. Gerechtfertigt wäre das Führen einer solchen Liste aber nur bei Kunden, die unter Geldwäscheverdacht stehen. Lesson Learned: Jeder Verantwortliche muss die Grundsätze und die Rechtmäßigkeit der Datenverarbeitung beachten. Im Sinne der Speicherbegrenzung sind Daten zu löschen, sobald sie zur Zweckerfüllung nicht mehr erforderlich sind. Wäre die Verarbeitungstätigkeit „Schwarze Liste für Ex-Kunden“ durch die Datenschutzbeauftragte rechtzeitig geprüft worden, hätte sie den Verantwortlichen darauf hinweisen können, dass es keine Rechtsgrundlage gibt, auf die die gewählte Vorgehensweise gestützt werden könnte und dass mit der Liste auch gegen das Gebot der Speicherbegrenzung verstoßen wird. | Interessentאinnen / Kundאinnen / Lieferantאinnen | ? | N26 | Banken / Versicherung | Deutschland | 2: überschaubar |
| 21.05.2019 | Fusion-Festival: Polizei gibt sensible personenbezogene Daten ungeschwärzt rechtem Gewalttäter an Polizeihochschule | Polizeipräsidium Neubrandenburg gab das Sicherheitskonzept des Fusions-Festivals samt personenbezogenen Daten wie Namen und Telefonnummern von Mitarbeitern des Kulturkosmos ungeschwärzt an rechtem Polizeidozenten (ehemaliger AFD-Politiker) weiter. | Bürgerאinnen, Sonstiges | ? | Polizeipräsidium Neubrandenburg | Öffentliche Stellen (Behörden / Kommunen) | Deutschland | 4: groß |
| 10.05.2019 | Bußgeld gegen norwegische Stadtverwaltung - 170.000 Euro Geldbuße | Benutzerkonten von SchülerInnen und SchulangestelltenInnen offen zugänglich! Fehlende Sicherheitsmaßnahmen führten dazu, dass sich jeder in unterschiedlichste Informationssysteme einloggen konnte. Somit waren Daten wie z.B. Name, Passwort, Geburtsdatum, Adresse, Schulzugehörigkeit und Schulnote des Benutzers bzw. der Benutzerin einsehbar. Zudem war auch eine digitale Lernplattform erreichbar, in der die schulischen Leistungen der SchülerInnen und die Einschätzungen der LehrerInnen zu den Leistungen jedes einzelnen Schülers bzw. jeder einzelnen Schülerinnen enthalten waren. | Bürgerאinnen, Kinder | 35000 | Stadtverwaltung Bergen | Öffentliche Stellen (Behörden / Kommunen) | Norwegen | 4: groß |
| 01.05.2019 | Nichterfüllung von Informationspflichten - 200.000 Euro Geldbuße | Die polnische Datenschutzaufsicht hat umgerechnet 200.000 Euro Geldbuße gegen ein Unternehmen verhängt, weil es seine Informationspflicht aus Art. 14 DSGVO nur ungenügend ausübte. Das Unternehmen sammelte in einer Datenbank personenbezogene Daten aus öffentlichen Quellen, um sie für kommerzielle Zwecke zu nutzen. Dem Unternehmen wird vorgeworfen, dass es nicht jede betroffene Person aus dem Datenpool über die Datenverwendung informierte, sondern seine Informationspflicht lediglich gegenüber den Personen ausübte, von denen die E-Mail-Adresse vorlag. Um die Betriebskosten zu sparen, verzichtete das Unternehmen auf eine anderweitige Kontaktaufnahme mit den Betroffenen. Stattdessen veröffentlichte es eine entsprechende Information auf der Unternehmens-Website. Mit der Folge, dass vielen betroffenen Personen die kommerzielle Verarbeitung ihrer Daten nicht bekannt war. | Interessentאinnen / Kundאinnen / Lieferantאinnen | ? | Bisnode AB | Banken / Versicherung | Polen | 4: groß |
| 28.04.2019 | Mitarbeiter hören Alexa-Gespräche ab | Die Alexa-Mitarbeiter hören sich Alexa-Sprachbefehle an, um die Fähigkeiten des digitalen Assistenten zu verbessern. Befehle von Nutzern an die Assistenzsoftware Alexa würden auch von Personen angehört und abgetippt, um die Spracherkennung zu verbessern. Zudem wurde dem Unternehmen bekannt, dass die Mitarbeiter umfangreichen Zugriff auf Kundendaten erhielten. | Interessentאinnen / Kundאinnen / Lieferantאinnen | ? | Amazon | Sonstiges | Vereinigte Staaten | 4: groß |
| 28.03.2019 | Aufbewahrungs- und Löschfrist nicht eingehalten - 160.000 Euro Geldbuße? | Die dänische Datenschutzaufsichtsbehörde empfahl eine Geldbuße in Höhe von umgerechnet 160.000 Euro gegen ein Taxiunternehmen wegen des Verstoßes gegen die Grundsätze für die Verarbeitung personenbezogener Daten, der Speicherbegrenzung, Datenminimierung und Zweckbindung. Das Unternehmen löschte zwar die Namen seiner Fahrgäste nach zwei Jahren aus allen seinen Aufzeichnungen. Doch es verarbeitete die restlichen Fahrgastdaten, u.a. die Telefonnummern, die Positionsdaten und die Fahrtenaufzeichnungen von etwa 8.873.333 Taxifahrten weiter. | Interessentאinnen / Kundאinnen / Lieferantאinnen | ? | Taxa 4x35 | Dienstleistung / Handwerk | Dänemark | 2: überschaubar |
| 05.02.2019 | Unerlaubte Datennutzung - 135.000 Euro Geldbuße | Britische Datenschutzbehörde Information Commissioner's Office (ICO) hat gegen die Brexit-Kampagne Leave.EU und den Versicherer Eldon Insurances eine Strafe von insgesamt 120.000 Pfund (ca. 135.000 Euro) verhängt, da Eldon eine Million E-Mails an Abonnenten von Leave.EU versendete, welche Werbung für eine Versicherungsmarke von Eldon enthielt. Zudem habe Leave.EU Kundendaten von Eldon genutzt, um knapp 300.000 politische Kampagnen-Nachrichten zu schicken. | Bürgerאinnen, Interessentאinnen / Kundאinnen / Lieferantאinnen | ? | Leave.EU und den Versicherer Eldon Insurances | Banken / Versicherung | Vereinigtes Königreich | 2: überschaubar |
| 28.01.2019 | Google: Verstoß gegen Transparenz- und Informationspflicht - 50 Mio Euro Geldbuße | Größte Geldbuße in der Geschichte des europäischen Datenschutzes: Gegenstand der Beschwerde waren die Datenschutzbestimmungen von Google, Facebook, Instagram uns WhatsApp. | Kinder, Interessentאinnen / Kundאinnen / Lieferantאinnen | ? | Google, Facebook, Instagram uns WhatsApp | Social Media Plattformen | Frankreich | 2: überschaubar |
| 22.01.2019 | Fehlender AV-Vertrag - 5.000 Euro Geldbuße | Fehlender AV-Vertrag: Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit hat wegen des Verstoßes gegen die Regelungen in Art. 28 Abs. 3 DSGVO einen Bußgeldbescheid in Höhe von 5.000 Euro erlassen und es mit dem Fehlen eines Auftragsverarbeitungsvertrags (AV-Vertrag) begründet. | Sonstiges | - | Kolibri Image | Dienstleistung / Handwerk | Deutschland | 1: geringfügig |
| 19.12.2018 | Datenschutz-Panne bei Kandidatenkür: Mitglieder erhalten Daten anderer Mitglieder. Fehlversagen beim technischen Dienstleister. | Datenpanne bei FDP in Sachsen: Im Zuge einer Briefwahl habe ein Teil der Mitglieder das falsch zugeordnetes Formular bekommen, mit der das eigenhändige Ausfüllen bestätigt werden soll. Offenbar stand dort teilweise der Name und die Anschrift eines anderen Mitglieds vorhanden gewesen. Der Fehler lag beim technischen Dienstleister. | Beschäftigte, Bürgerאinnen | ? | FDP Sachsen | Öffentliche Stellen (Behörden / Kommunen) | Deutschland | 1: geringfügig |
| 13.12.2018 | Sensible Personaldaten zu Mitarbeitern eines Vereins erscheinen in öffentlich zugänglichen Sitzungsunterlagen | Datenpanne im Landratsamt: In einer Beratungsvorlage für den Jugendhilfeausschuss und das Gesamtgremium waren Namen von Mitarbeitern des Vereins Miteinanderleben aufgeführt, samt ihres Einsatzorts, ihres Eintrittsdatums sowie den jeweiligen Einsatzkosten. Zudem waren die Daten im Ratsinformationssystem des Kreises im Internet einsehbar. | Bürgerאinnen | ? | Landkreis Enzkreis | Öffentliche Stellen (Behörden / Kommunen) | Deutschland | 4: groß |
| 19.11.2018 | Computervirus legt Klinik lahm | Computervirus legt Klinikum Fürstenfeldbruck lahm: Rettungswagen kann nur noch lebensgefährlich erkrankte oder verletzte Menschen anfahren. Patienten werden in andere Kliniken verlegt. Ursache ist wohl ein Mail-Trojaner, der über den Anhang einer E-Mail ins System eingedrungen sein könnte. | Patientאinnen, Sonstiges | ? | Klinikum Fürstenfeldbruck | Gesundheits-wesen | Deutschland | 4: groß |
| 24.10.2018 | Unerlaubter Zugriff auf Patientenakten sowie weitere Verstöße gegen die DSGVO - 400.000 Euro Geldbuße | Nutzer mit dem Profil "Techniker" konnten in den IT-Systemen eines Krankenhauses unbegrenzt auf Daten zugreifen, die eigentlich nur für Ärzte einsehbar sein dürfen. Das Profil wurde von dem Krankenhaus „bewusst“ angelegt. Der Großteil der gegen ein Krankenhaus verhängten Geldbuße ist die Strafe dafür, dass zu viele Personen Zugriff auf die Patientendaten hatten. Für einen anderen Verstoß wurden 100.000 Euro Strafe verhängt. | Kinder, Interessentאinnen / Kundאinnen / Lieferantאinnen, Sonstiges | ? | Krankenhaus Barreiro Montijo | Gesundheits-wesen | Portugal | 4: groß |
| 23.09.2018 | Unzulässige Videoüberwachung - 5.280 Euro Geldbuße | Die Datenschutzbehörde in Österreich hat nun die erste Verwaltungsstrafe verhängt: Der Betreiber eines österreichischen Wettbüros hatte auf der Außenseite des Lokals eine Kamera installiert, die den Großteil des Gehsteig erfasste und zudem unzureichend gekennzeichnet war. | Bürgerאinnen, Kinder, Interessentאinnen / Kundאinnen / Lieferantאinnen, Sonstiges | ? | Unbekannt | Freizeit / Tourismus / Gastro | Österreich | 1: geringfügig |
| 20.07.2018 | Knuddels Nutzerdaten geleakt | Bei der deutschen Chat-Community Knuddels.de gab es ein riesiges Datenleck: Die Accountdaten aller User, die am 20. Juli 2018 einen Account auf dem Portal hatten, standen öffentlich im Internet abrufbar. | Kinder, Interessentאinnen / Kundאinnen / Lieferantאinnen, Sonstiges | 1,8 Mio | Knuddels GmbH & Co. KG | Social Media Plattformen | Deutschland | 4: groß |
Sind Sie über einen Datenschutz-Vorfall gestolpert oder aufmerksam geworden? Hier können Sie uns Hinweise auf entsprechende Veröffentlichungen von Verarbeitungspannen geben. Wir begrüßen Ihren Beitrag und stellen Ihnen die Möglichkeit zur Verfügung diesen hier zu melden (HINWEIS: Bitte nennen Sie uns KEINESFALLS interne, eigene oder unveröffentlichte Datenschutz-Vorfälle!):