Millionenstrafe wegen DSGVO-Verstößen: Clearview AI im Visier
Die niederländische Datenschutzbehörde verhängte ein Bußgeld gegen das amerikanische Unternehmen Clearview AI aufgrund mehrerer Verstöße gegen die DSGVO. Hauptsächlich wurde Clearview AI dafür sanktioniert, dass es unberechtigt personenbezogene Daten, insbesondere biometrische Daten wie Fingerabdrücke, von Personen in den Niederlanden gesammelt hat, ohne diese ausreichend zu informieren. Außerdem reagierte das Unternehmen nicht auf Anfragen von Betroffenen, die Einsicht in ihre Daten verlangten.
Zudem wurde festgestellt, dass Clearview AI keinen Datenschutzbeauftragten für die EU ernannt hat, was ebenfalls gegen die DSGVO verstößt. Clearview korrigierte diese Verstöße trotz Benachrichtigung nicht. Das Gesamtbußgeld setzt sich aus vier Strafen zusammen, die sich durch die mangelnde Kooperation des Unternehmens weiter erhöht haben.
Enérgya-VM: Bußgeld für mangelnde Kontrolle eines datenverarbeitenden Dienstleisters
Die spanische Datenschutzbehörde (AEPD) verhängte ein Bußgeld, nachdem sie Verstöße gegen die DSGVO bei der Datenverarbeitung durch das Unternehmen Nivalco aufgedeckt hatte. Nivalco war vom Energieversorger Enérgya-VM (Energya) beauftragt worden, personenbezogene Daten im Auftrag zu verarbeiten. Die Untersuchung ergab, dass Energya keine ausreichenden Risikoanalysen durchgeführt hatte und Nivalco die Daten ohne rechtliche Grundlage und nicht DSGVO-konform verarbeitete. Energya reagierte zwar auf die Verstöße, ergriff jedoch keine präventiven Maßnahmen und setzte die Zusammenarbeit mit Nivalco fort. Energya legte Einspruch gegen die Entscheidung ein, der von der AEPD abgelehnt wurde.
TD Bank zahlt Millionenstrafe für fehlerhafte Verbraucherdaten
Die US-Verbraucherschutzbehörde hat die TD Bank zu einer Strafe verurteilt, weil sie jahrelang fehlerhafte Konsumentendaten an Wirtschaftsauskunfteien weitergegeben hat. Trotz Kenntnis dieser Falschinformationen ergriff die Bank keine ausreichenden Maßnahmen zur Korrektur. Die Strafe umfasst 7,76 Millionen USD als Entschädigung für Betroffene und 20 Millionen USD als zivilrechtliche Strafe.
CEGEDIM SANTÉ: Datenschutzverstoß durch unzureichende Anonymisierung
Die französische Datenschutzbehörde verhängte ein Bußgeld gegen CEGEDIM SANTÉ im Jahr 2021, da das Unternehmen personenbezogene Daten ohne ausreichende Anonymisierung an Kunden weiterleitete, damit diese die Informationen zur Erstellung von Studien nutzen konnten. Die Daten waren nur pseudonymisiert, wodurch eine Identifizierung der Betroffenen möglich blieb. Zudem fehlte eine Genehmigung für diese Art der Datenverarbeitung.
Meta zahlt für unverschlüsselte Passwörter: Datenschutz-Desaster bei internen Datenbanken
Die irische Datenschutzbehörde verhängte ein Bußgeld gegen Meta Platforms Ireland Ltd. (MPIL), weil das Unternehmen 2019 meldete, dass unverschlüsselte Passwörter in internen Datenbanken gespeichert waren. Diese Passwörter waren intern zugänglich, jedoch nicht von außen. Die Behörde stellte fest, dass MPIL keine ausreichenden Maßnahmen zum Schutz personenbezogener Daten ergriffen hatte, insbesondere in Bezug auf die Verschlüsselung. Zudem kritisierte sie unzureichende Risikoeinschätzungen und die verspätete Meldung des Vorfalls.
Fazit
Diese Vorfälle verdeutlichen die Notwendigkeit, Datenschutzrichtlinien strikt einzuhalten und die Rechte der Nutzer zu respektieren. Unternehmen müssen sicherstellen, dass sie transparente und rechtmäßige Verfahren zur Datenverarbeitung implementieren und aufrechterhalten. Die Einhaltung der DSGVO ist nicht nur gesetzliche Pflicht, sondern auch ein wichtiger Faktor für das Vertrauen der Kunden.