Compliance Strafen enthüllt

10.000 Euro Strafe wegen einer Online-Bewertung – wie kann das passieren?

Ein Gynäkologe reagierte auf eine schlechte Bewertung einer Patientin – und kassierte dafür eine saftige Strafe. Was war passiert? In seiner Antwort machte er die Diagnose der Patientin öffentlich und nannte sie dabei sogar beim Klarnamen. Ein klarer Datenschutzverstoß! Die Datenschutzbehörde schritt ein und verhängte eine Geldstrafe von 10.000 Euro. Zusätzlich weigerte sich der Arzt im Verfahren, seine finanziellen Verhältnisse offenzulegen – trotz mehrfacher Aufforderung. Ein teurer Fehler!

Doch was passiert eigentlich, wenn man sich in Österreich nicht an Compliance-Vorgaben hält? Dieser Artikel zeigt anhand realer Fälle, welche Konsequenzen drohen und wie man sich mit etwas Sorgfalt teure Strafen ersparen kann.

Welche Strafe droht, wenn man Compliance missachtet?

Wer sich nicht an Datenschutz- und Compliance-Vorgaben hält, kann schnell tief in die Tasche greifen müssen. Hier sind einige Beispiele aus den letzten Monaten, in denen Unternehmen und Organisationen hohe Geldbußen zahlen mussten:

1. Auskunft verweigert – 9.500 Euro Strafe
Eine Bank erhielt eine Anfrage nach Art. 15 DSGVO. Doch anstatt die gewünschten Daten herauszugeben, löschte sie diese und lieferte der betroffenen Person nur allgemeine Informationen. Die Datenschutzbehörde wertete dies als klaren Verstoß und verhängte eine Strafe von 9.500 Euro.

2. Illegale Videoüberwachung – 20.000 Euro Strafe
Ein Gastronomiebetrieb hatte Kameras ohne rechtliche Grundlage installiert und konnte kein gesetzlich vorgeschriebenes Verarbeitungsverzeichnis vorlegen. Mitarbeiter beschwerten sich – und die Datenschutzbehörde verhängte eine satte Geldstrafe.

3. Ignorierte Behördenanfragen – 10.000 Euro Strafe
Ein Unternehmen wurde aufgefordert, in einem Beschwerdeverfahren mit der Datenschutzbehörde zu kooperieren. Doch es ignorierte die Aufforderungen. Ironischerweise wäre vermutlich keine Strafe verhängt worden, hätte das Unternehmen einfach mitgewirkt.

4. Verspätete Meldung eines Hackerangriffs – 5.900 Euro Strafe
Nach einem Ransomware-Angriff ließ sich ein Unternehmen über einen Monat Zeit, um den Vorfall zu melden – und tat dies auch noch unvollständig. Zudem verweigerte es die Mitwirkung an der Untersuchung. Die Konsequenz: eine Geldstrafe von 5.900 Euro.

5. Daten nicht gelöscht – 11.000 Euro Strafe
Ein Verein kam einer Löschaufforderung nicht nach und unterließ es, notwendige Maßnahmen zu ergreifen, um personenbezogene Daten tatsächlich zu entfernen. Die Behörde griff ein und verhängte eine Strafe von 11.000 Euro.

6. Vertrauliche Bankdaten falsch verschickt – 50.000 Euro Strafe
Eine Bankmitarbeiterin versendete versehentlich vertrauliche Kundendaten per E-Mail an falsche Empfänger. Da das Kreditinstitut keine wirksamen technischen Maßnahmen zur Verhinderung solcher Fehler getroffen hatte, musste es 50.000 Euro Strafe zahlen.

Wenn du Interesse hast, den aktuellen Stand nachzusehen: Von allen verhängten Strafen der letzten Zeit gibt es hier eine tolle Datenbank, die regelmäßig aktualisiert wird – Bußgeld-Datenbank.

Wie wissen Unternehmen, welche Regeln sie einhalten müssen?

Gerade im IT-Bereich ist es essenziell, die richtigen Compliance-Vorgaben zu kennen, um Datenschutzverstöße und damit verbundene Strafen zu vermeiden. Unternehmen sollten sich daher intensiv mit geltenden Gesetzen und Standards befassen. Neben der DSGVO und dem Telekommunikationsgesetz (TKG) rücken immer mehr neue EU-Regulierungen in den Fokus, die für Unternehmen entscheidend sind. Besonders relevant sind die NIS2-Richtlinie, der Digital Operational Resilience Act (DORA) und der Cyber Resilience Act (CRA), die spezifische Anforderungen an IT-Sicherheit und Cyber-Resilienz stellen.

Datenschutz und IT-Sicherheit als Grundpfeiler

Die DSGVO bleibt eine der zentralen Vorschriften und regelt unter anderem, dass Datenschutzrichtlinien klar definiert und eingehalten werden, technische und organisatorische Maßnahmen (TOMs) vorhanden sind, um Datenlecks zu verhindern, sowie Zugriffsrechte und Berechtigungen für Mitarbeiter eindeutig festgelegt werden. Auch die fristgerechte Löschung personenbezogener Daten und die Pflicht zur Meldung von Datenschutzverstößen sind entscheidende Elemente, um Compliance zu gewährleisten.

NIS2: Verschärfte Sicherheitsanforderungen

Die NIS2-Richtlinie richtet sich insbesondere an Betreiber kritischer Infrastrukturen wie Energieversorger, Banken und Gesundheitsdienste. Sie fordert ein umfassendes Risikomanagement für Cybersicherheit, eine strenge Meldepflicht für Sicherheitsvorfälle sowie eine verbesserte Kontrolle der Sicherheitsstandards in der gesamten Lieferkette. Unternehmen müssen sicherstellen, dass ihre IT-Systeme nicht nur geschützt sind, sondern auch Angriffen standhalten können.

DORA: IT-Resilienz in der Finanzbranche

Besonders Finanzinstitute und Versicherungen stehen durch DORA vor neuen Herausforderungen. Diese Verordnung schreibt vor, dass IT-Systeme widerstandsfähig gegen Cyberangriffe sein müssen, Drittanbieter strengen Sicherheitsprüfungen unterzogen werden und regelmäßige Tests sowie Notfallpläne implementiert werden. Damit soll die digitale Betriebsstabilität des Finanzsektors auf europäischer Ebene gewährleistet werden.

CRA: Mehr Sicherheit für vernetzte Produkte

Der Cyber Resilience Act zielt darauf ab, die Sicherheit von Hardware und Softwareprodukten zu verbessern. Hersteller und Anbieter digitaler Produkte müssen Sicherheitsrisiken bereits in der Entwicklungsphase berücksichtigen, kontinuierlich Updates bereitstellen und Transparenz über bekannte Schwachstellen gewährleisten. Dadurch soll die IT-Sicherheit in der gesamten EU nachhaltig gestärkt werden.

Fazit

Unternehmen müssen sich nicht nur mit Datenschutz, sondern zunehmend auch mit IT-Sicherheitsvorgaben auseinandersetzen. Wer Verstöße vermeiden will, sollte sich kontinuierlich über neue Regulierungen informieren, interne Prozesse optimieren und gegebenenfalls externe Experten hinzuziehen. So lassen sich Risiken minimieren und die Einhaltung der gesetzlichen Anforderungen sicherstellen.

Quellen 🔗

1. heute.at – Arzt stellt Online-Patientin bloß: 10.000 Euro Strafe
2. kpmg-law.at – Datenschutzbehörde verhängt Geldbußen
3. dsgvo-portal.de – DSGVO Bußgeld-Datenbank
4. Wikipedia – Datenschutzgesetz (Österreich)
5. Wikipedia – Datenpanne
6. Wikipedia – Datenschutz-Grundverordnung
7. ORF.at – Datenschutzbehörde verhängt Geldbuße gegen Bank
8. Der Standard – Illegale Videoüberwachung: 20.000 Euro Strafe
9. Die Presse – Arzt ignoriert Behördenanfrage: 10.000 Euro Strafe
10. Wirtschaftsblatt – Verspätete Meldung eines Hackerangriffs kostet 5.900 Euro