[datensicherheit.de, 01.10.2025] Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) hat eine Zwischenbilanz Ende September 2025 gezogen und meldet in diesem Zusammenhang, dass er gegen ein Unternehmen aus der Finanzwirtschaft ein Bußgeld in Höhe von 492.00 Euro wegen Verstößen gegen die Rechte betroffener Kunden bei automatisierten Entscheidungen in Einzelfällen verhängt hat.

Foto: Bildwerkstatt Nienstedten

Thomas Fuchs: Entscheidet eine Software über Menschen, muss die verarbeitende Stelle die tragenden Gründe verständlich erklären können!

HmbBfDI monierte, dass das Unternehmen seine gesetzlich vorgegebenen Informations- und Auskunftspflichten nicht ausreichend erfüllte

Trotz guter Bonität seien die Kreditkartenanträge mehrerer Kunden mittels automatisierter Entscheidungen abgelehnt worden – „dabei handelt es sich um Entscheidungen, die auf der Grundlage von Algorithmen und ohne menschliches Eingreifen maschinell getroffen werden“.

• Als daraufhin die betroffenen Kunden eine Begründung für die abgelehnten Anträge verlangt hätten, habe das Unternehmen seine gesetzlich vorgegebenen Informations- und Auskunftspflichten nicht ausreichend erfüllt.

Automatisierte Entscheidungen, welche auf der Grundlage von Algorithmen und ohne menschliches Eingreifen maschinell getroffen werden, sind offensichtlich mit besonderen Risiken für die Rechte und Freiheiten der betroffenen Personen verbunden. Somit ist ein Einsatz solcher Verfahren nach den Vorschriften der Datenschutzgrundverordnung (DSGVO) demnach nur unter engen Voraussetzungen erlaubt.

Unternehmen hat HmbBfDI-Bußgeldbescheid akzeptiert

Neben diesen höheren Anforderungen an die Rechtmäßigkeit hätten die Verantwortlichen zusätzliche Informationspflichten, während betroffenen Personen weitergehende Auskunftsrechte zustünden.

• Stellten etwa betroffene Personen bei den Verantwortlichen einen Auskunftsantrag, so seien Verantwortliche verpflichtet, Antragstellern aussagekräftige Informationen über die involvierte Logik der automatisierten Entscheidung zu erteilen.

Sowohl im Verwaltungs- als auch im Bußgeldverfahren habe das betroffene Unternehmen erhebliche Anstrengungen unternommen, um seinen Prozess zur Erfüllung von Rechten der betroffenen Personen bei einer automatisierten Entscheidungsfindung zu verbessern und umfassend mit dem HmbBfDI zusammengearbeitet. Dieser Umstand sei bei der Bußgeldzumessung erheblich mildernd berücksichtigt worden – das Unternehmen habe den Bußgeldbescheid akzeptiert.

Auch gegen Beschäftigte der Polizei und anderer Hamburgischer Behörden Bußgeld-Forderungen des HmbBfDI

Das oben genannte Bußgeld eingerechnet, habe der HmbBfDI im Jahr 2025 bisher Bußgelder von rund 775.000 Euro wegen Verstößen gegen die DSGVO verhängt. „Insgesamt 15 Ordnungswidrigkeitenverfahren wurden bis September 2025 rechtskräftig abgeschlossen. Ahndungsschwerpunkte waren rechtswidrige Werbemaßnahmen sowie individuelle Verstöße von Mitarbeitenden.“

• In drei Fällen hätten Unternehmen Kunden Werbung per E-Mail zugesandt, ohne dass die Empfänger darin eingewilligt hätten. Gegen diese Unternehmen seien Bußgelder im unteren fünfstelligen Bereich festgesetzt worden.

Gegen Beschäftigte der Polizei und anderer Hamburgischer Behörden seien insgesamt sechs Bußgelder verhängt worden, weil sie ohne dienstliche Veranlassung Abfragen über Privatpersonen in behördlichen Datenbanken durchgeführt hätten. „Ein Beschäftigter eines Krankenhauses musste ein Bußgeld entrichten, weil er die Patientenakte eines Kollegen eingesehen hatte, obwohl er nicht an der Behandlung beteiligt war.“

HmbBfDI unterstreicht Rolle der Auskunfts- und Informationsansprüche

Zudem habe der HmbBfDI gegen ein Handelsunternehmen ein Bußgeld in Höhe von 195.000 Euro verhängt. Dieses Unternehmen habe Dienstleister mit dem Versand postalischer Werbung beauftragt – die nach Erhalt des Werbeschreibens von den Empfängern geltend gemachten Betroffenenrechte habe es in mehreren Fällen und über einen längeren Zeitraum nicht fristgerecht erfüllt.

• Der HmbBfDI, Thomas Fuchs, kommentiert: „Wenn Unternehmen auf Auskunfts- und Informationsansprüche systematisch nicht oder nur unzureichend reagieren, ist eine spürbare Sanktion geboten!“

Dies gelte insbesondere bei für die Betroffenen undurchsichtigen Strukturen, wie z.B. Adresshandel oder komplexe Entscheidungsalgorithmen – und immer mehr auch für den Einsatz Künstlicher Intelligenz (KI). „Entscheidet eine Software über Menschen, muss die verarbeitende Stelle die tragenden Gründe verständlich erklären können!“, stellt Fuchs abschließend klar.

Weitere Informationen zum Thema:

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit
Unsere Dienststelle

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit
Thomas Fuchs

datensicherheit.de, 14.03.2025
Untersuchung von Cyberattacken und DSGVO-Bußgeldern / USA in beiden Analysen auf Platz 1, Deutschland folgt bei Attacken auf Rang 2

datensicherheit.de, 24.01.2025
Laut Studie von DLA Piper wurden 2024 europaweit 1,2 Milliarden Euro DSGVO-Bußgelder verhängt / Erstmals seit Inkrafttreten der DSGVO im Mai 2018 ist der Trend kontinuierlich steigender Bußgelder unterbrochen worden

datensicherheit.de, 26.08.2024
HmbBfDI-Zwischenbilanz 2024: Bisher Bußgelder in Höhe von 130.000 Euro verhängt / HmbBfDI ahndete vielfältige Verstöße gegen die Datenschutzgrundverordnung (DSGVO)

datensicherheit.de, 08.06.2023
Bußgelder: Europäischer Datenschutzausschuss hat endgültige Leitlinien angenommen / Die Bußgeldpraxis der Datenschutzaufsichtsbehörden in Europa soll nun nach einheitlichen Maßstäben erfolgen

datensicherheit.de, 31.05.2023
300.000 Euro Bußgeld gegen Bank: Computer sagte nein zu Kreditkartenantrag / Berliner Beauftragte für Datenschutz und Informationsfreiheit ahndet mangelnde Transparenz einer Bank bei automatisierter Ablehnung

[datensicherheit.de, 26.08.2024] Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) hat eine Zwischenbilanz für das laufende Jahr, 2024, gezogen: Demnach wurden bislang (d.h. bis einschließlich Juli 2024) Bußgelder in Höhe von 130.000 Euro verhängt. Die Verstöße gegen die Datenschutzgrundverordnung (DSGVO) betrafen demnach beispielsweise die Nichteinhaltung von Löschpflichten, technische Sicherheitslücken bei Kundenservice-Systemen, verspätete Auskünfte eines Inkassounternehmens und heimliche Badezimmeraufnahmen im privaten Kontext.

HmbBfDI-Bußgelder gegen Unternehmen

So sei wegen „verletzter Löschpflichten“ ein Bußgeld in Höhe von 11.500 Euro gegenüber einem Unternehmen aus der Werbewirtschaft festgesetzt worden, „dessen IT-System zudem technische Sicherheitslücken aufwies“. Gegenüber einem Hotel sei ein Bußgeldbescheid in Höhe von 16.000 Euro erlassen worden, „weil es Personalausweisdaten ohne rechtliche Grundlage erhoben und gespeichert hatte“.

Zwei Bußgelder in einer Höhe von insgesamt 45.000 Euro hätten Unternehmen zu zahlen, „deren Support-Ticket-Systeme technische Sicherheitslücken aufwiesen“. Ein Logistikunternehmen habe wegen der fehlerhaften Entsorgung von Zustellerlisten 32.000 Euro zahlen müssen und ein Online-Händler wegen der deutlich verspäteten Meldung einer Datenpanne 6.000 Euro.

Auch Polizisten und Privatpersonen wurden vom HmbBfDI mit Bußgeldern belegt

Gegen zwei Angehörige der Polizei seien Bußgelder verhängt worden, „weil sie für private Zwecke dienstliche Datenbankabfragen durchgeführt hatten“. Fünf Bußgelder mussten laut HmbBfDI Privatpersonen entrichten, „weil sie Fotografien von Personen ohne deren Einverständnis gemacht oder gespeichert hatten“. In einem Fall habe ein Mann seiner Nachbarin nachgestellt und ein Video von ihr im Badezimmer angefertigt.

Die Summe der Bußgelder, die bis Juli 2024 vom HmbBfDI erhoben wurden, ergebe sich aus insgesamt 14 Ordnungswidrigkeitsverfahren. „Zum Vergleich: Im gesamten Jahr 2023 gab es beim HmbBfDI acht abgeschlossene Bußgeldverfahren, im Jahr 2022 waren es 15.“

[datensicherheit.de, 17.10.2012] Die Herausgeber von datensicherheit.de nehmen als Medienpartner der „it-sa 2012“ anerkennend zur Kenntnis, dass sich die Veranstalter und die Träger der Messe um eine konsequente Auffächerung des Themas bemühen – längst geht es nicht mehr allein um IT-Schutz und -Sicherung im engeren technischen Sinne. Daten als Träger von Informationen stellen schließlich schon einen Vermögenswert dar, denn es zu bewahren gilt. Nimmt dieser Schaden, so ist dies auf privater bzw. betrieblicher und in der Summe auf volkswirtschaftlicher Ebene fatal.

Die wiederholten Mahnungen des BITKOM an den deutschen Mittelstand

Aus diesem Grund hat der BITKOM die „it-sa 2012“ zum Anlass genommen, wiederholt auf die besondere Rolle des Mittelstands hinzuweisen. Seinen Erfahrungen nach, machten viele kleine und mittlere Unternehmen (KMU) keine Vorgaben zur sicheren PC-Nutzung im Betrieb – die Mitarbeiter lasse man in Datensicherheitsfragen allein. Vier von zehn Beschäftigten bekämen in Sachen IT-Sicherheit nicht die notwendige Unterstützung von ihrem Arbeitgeber, so BITKOM-Präsident Prof. Dieter Kempf – die KMU unterschätzten die Risiken.

Foto: Dirk Pinnow

Prof. Dieter Kempf warnt KMU vor Unterschätzung der Risiken beim Umgang mit betrieblichen Daten

Der richtige Umgang der Mitarbeiter mit Computern, mobilen IuK-Geräten und dem Internet sei zentrale Voraussetzung zur Eindämmung der Gefahren für die Unternehmen. Auch diese banal anmutende Erkenntnis hat eine signifikante volkswirtschaftliche Dimension. Dies zeigt auch die BITKOM-Publikation „Vertrauen und Sicherheit im Netz“ von 2012. Demnach habe außerhalb der IuK- bzw. IKT-Unternehmen nur jeder zweite Mittelstandsbetrieb Notfallpläne für IT-Schadensfälle. Gleichwohl sei Vertrauen für den Geschäftserfolg mittels Webanwendungen erfolgsentscheidend – so hätten 69 Prozent der Anwender online Schwierigkeiten, die Vertrauenswürdigkeit von Unternehmen bzw. Personen einzuschätzen. Daher forderten die Verbraucher zu 76 Prozent für Online-Angebote „nachvollziehbare Datensicherheit“ bzw. zu 75 Prozent „nachvollziehbaren Datenschutz“. In gleicher Größenordnung liege die Forderung nach verständlichen und fairen Geschäftsbedingungen. Diese Erwartungen würden laut BITKOM sogar höher bewertet als die Produktqualität (67 Prozent) oder der Firmenname des Anbieters (49 Prozent). Vertrauen sei nicht einzukaufen, etwa in Form von Audits und Zertifizierungen, sondern nur durch hartes Erarbeiten des bestmöglichen Datenschutzes bzw. eines Höchstmaßes an Datensicherheit zu erzielen, betont der Verband.
Der BITKOM-Präsident hob nun die Rolle der „it-sa“ als Plattform für den Austausch zwischen Wirtschaft und Öffentlicher Hand hervor. Deren Kooperation sei nötig, um die private wie die staatliche IuK-Infrastruktur gegen Cyber-Angriffe zu schützen. Der deutsche Mittelstand gehöre in vielen Bereichen zu den innovativsten weltweit, so im Maschinenbau, in der Medizintechnik oder in der Elektroindustrie. Daraus resultierten Begehrlichkeiten. Es hätten bereits 39 Prozent aller deutschen Unternehmen Angriffe auf ihre IuK-Systeme verzeichnet, teilweise sogar mehrfach. Ein Drittel habe Erfahrungen mit Datenverlusten machen müssen.
Aus der Verunsicherung der KMU erwachse zudem eine weitere, bisher kaum beachtete Problematik – viele Unternehmen verzichteten lieber auf Web-Transaktionen; 17 Prozent unterließen Online-Bestellungen und elf Prozent das Online-Banking. Bei immerhin rund 3,5 Millionen Unternehmen in Deutschland sei dies eine Größenordnung von Hunderttausenden Betrieben. Der BITKOM weist in diesem Zusammenhang auf die volkswirtschaftlich relevante Einbuße an Produktivität hin.

Deutschland ist längst im Cyber-Zeitalter angekommen!

Die Beauftragte für Informationstechnik, Staatssekretärin im Bundesinnenministerium Cornelia Rogall-Grothe, hatte in ihrer Eröffnungsrede „Cyber-Sicherheit – Gemeinsam zum Erfolg“ betont, dass schon heute 40 Prozent der weltweiten Wertschöpfung IuK-basiert erfolge. In Deutschland hänge bereits die Hälfte der Unternehmen aller Branchen vom Internet ab. Große Teile der nationalen Infrastrukturen seien IT-gesteuert. „Deutschland ist längst im Cyber-Zeitalter angekommen!“, führte die Staatssekretärin aus.

Foto: Dirk Pinnow

Staatssekretärin Cornelia Rogall-Grothe fordert starke Kooperation zwischen Staat, Wirtschaft und Privatanwendern

Zentrale Frage der Daseinsvorsorge seien Verfügbarkeit und Integrität der IuK, unterstrich Rogall-Grothe. Das FBI aber melde einen Anstieg der Cyber-Attacken um 84 Prozent in den vergangenen zehn Jahren; in Deutschland habe sich zwischen 2006 und 2011 die IuK-Kriminalität von rund 30.000 auf 60.000 Fälle verdoppelt. Sie plädiert daher für eine starke Kooperation zwischen Staat, Wirtschaft und Privatanwender.

Besser gleich ohne Schaden klug werden!

Am zweiten Tag moderierte der „spiritus rector“ der Messe, Peter Hohl, Vorsitzender des it-sa Benefiz e.V. und Geschäftsführer der SecuMedia-Verlags-GmbH, die Veranstaltung „IT – aber sicher! Neue Wege den Mittelstand fit zu machen. Die Projekte der Task Force ,IT-Sicherheit in der Wirtschaft'“. Für die „Awareness“ wäre es wohl am besten, wenn ein Schadensfall auftritt; und ein Sprichwort sage, dass man aus Schaden klug werde. Aber Hohl richtete die Frage in das Auditorium, ob man den Schaden denn nicht besser auslassen könne und gleich klug werde…

Foto: Dirk Pinnow

Peter Hohl wünscht sich, dass Unternehmer ohne Schaden klug werden

Sodann stellte Bärbel Vogel-Middeldorf, Leiterin der Unterabteilung „Telekommunikations- und Postpolitik, internationale Angelegenheiten“ im Bundesministerium für Wirtschaft und Technologie die Aufgaben und Ziele der „Task Force IT-Sicherheit- in der Wirtschaft“ vor.

Foto: Dirk Pinnow

Bärbel Vogel-Middeldorf setzt sich für die Unterstützung der KMU in Fragen der IuK-Sicherheit ein

Sie unterstrich, dass die KMU der Unterstützung bedürften und diese auch erhalten sollten. Es bestehe dort insbesondere Handlungsbedarf im organisatorischen Bereich. So fehlten – wie vom BITKOM beschrieben – Notfallpläne für IT-Schadensfälle, aber auch Schulungen für Mitarbeiter. Die sichere Wirtschaft sei ein bedeutendes Ziel des Staates, und darum wolle sich diese Task-Force kümmern.

Industrielle IT-Sicherheit bisher eher noch ein Stiefkind der betrieblichen Datensicherheit

Ebenfalls am zweiten Messetag fand die Podiumsdiskussion „Roundtable zum Thema Industrielle IT-Sicherheit“ statt. Moderator Dr. Thomas Störtkuhl von der TÜV SÜD AG stellte das Thema Industriespionage an den Anfang. Marco Di Filippo von der Compass Security AG führte aus, dass man kritische Strukturen im Rahmen einer Studie entdeckt habe; erschreckend sei das einfache Auffinden gewesen.

Foto: Dirk Pinnow

Marco Di Filippo zeigt sich erschreckt über aufgedeckte kritische Strukturen in der Industrie

Es sei daher eine gewisse Geheimhaltung geboten, erläuterte Di Filippo. 200 Firmen seien aber wegen der erkannten Schwachstellen kontaktiert worden. Es sei leider nicht immer klar, wer dort zu adressieren sei. Im Umfeld der Schnittstelle von IT, Telefonie und Haustechnik diskutierten leider oft die „falschen Leute“.

Foto: Dirk Pinnow

Dr. Gerd Wartmann wünscht sich, dass Schadensvorfälle bekannt gemacht werden, um daraus zu lernen

Dr. Gerd Wartmann von der Endress und Hauser Consult AG erklärte zu Dr. Störtkuhls Frage, warum so wenig darüber bekannt sei, dass niemand gerne mit einem solchen Thema an die Öffentlichkeit gehe. Indes wäre es fair, andere zu warnen. Dr. Störtkuhl betonte, dass Schadensvorfälle bekannt gemacht werden müssten, um daraus zu lernen. „Stuxnet“ habe immerhin zu einer gewissen Sensibilisierung geführt – fast müsse man den Verursachern in diesem Sinne dankbar sein.

Foto: Dirk Pinnow

Michael Krammel: Anwender müssten nach Implementation von Schutztechnologie gut geschult werden

Michael Krammel von der KORAMIS GmbH führte aus, dass die Erkennung eines Angriffs auch schwierig sein könne – ggf. sei eine Fehlerinterpretation als zufälliger regulärer Störfall möglich. Er äußerte sich kritisch zur Fernwartung; dennoch sei eher die mangelnde „Awareness“ problematisch. In diesem Zusammenhang führte er beispielhaft die Umgehung von Schutzmaßnahmen, etwa durch Nutzung eines USB-Sticks, an. Anwender müssten nach Implementation von Schutztechnologie gut geschult werden. Kritisch sei, dass man zuweilen die „Security Policy“ für den industriellen Bereich eines Betriebes einfach aus dem Office-Bereich übernehme. In den Betrieben sei es schwierig, hierfür einen Ansprechpartner zu finden, denn oft fehle eine explizite Stelle in der Organisation.

Foto: Dirk Pinnow

Torsten Rössel weist auf Verschwiegenheit nach dem Eintritt von Schadensfällen hin

Torsten Rössel von der Innominate Security Technologies AG beruhigte etwas mit dem empirischen Hinweis, dass bisher zum Glück kaum gezielte Attacken aufgetreten seien, sondern eher ein zufälliger Malware-Befall als eine Art „Kollateralschaden“. Es sei aber eben zumeist mit Verschwiegenheit zu rechnen.

Foto: Dirk Pinnow

Markus Bartsch erklärt, dass Sicherheitsmaßnahmen zuweilen aus Angst vor Störung der Funktionalität vermieden würden

Markus Bartsch von der TÜV Informationstechnik GmbH erklärte auf Dr. Störtkuhls Nachfrage nach Bedrohungsanalysen, dass es diese in Hinblick auf funktionale Sicherheit ja schon seit Jahrzehnten gebe, aber heute seien Industrieanlagen nicht mehr isoliert, sondern häufig an öffentliche Netze angebunden. Langsam beginne auch für diese Problematik eine gewisse Sensibilisierung. Warum in der Praxis gerne auf das Einbinden eines Sicherheits-Patch‘ verzichtet werde, erklärte er damit, dass man dadurch die Beeinträchtigung der Funktionalität befürchte.

[datensicherheit.de, 27.07.2011] In Rückblick auf den 11. September 2001 schreibt Peter Schaar in seinem Blog, dass dieser Tag eine „Zäsur“ gewesen sei, wie es sie nur wenige in der Weltgeschichte gebe. Dank TV und Internet habe sich die Botschaft des Terroranschlags in rasender Geschwindigkeit bis in die letzten Winkel verbreitet. Weltweit sei ein Gefühl der Angst, des Ausgeliefertseins entstanden – „Terror im wahrsten Sinne des Wortes“, so Schaar.
In Deutschland hätten fortan die sogenannten „Otto-Kataloge“, eine ironische Bezeichnung für die vom damaligen SPD-Innenminister Otto Schily auf den Weg gebrachten „Anti-Terror-Gesetze“, die Terrorgefahr bannen sollen. Viele der damals – und in den Folgejahren – beschlossenen Maßnahmen beinhalteten Grundrechtseingriffe, wie es sie in den Jahrzehnten davor nicht gegeben hätte. Die Terror-Anschläge jähren sich am 11. September 2011 zum zehnten Mal – dies sei laut Schaar Anlass für eine Zwischenbilanz. In den für die kommenden Wochen geplanten Blogs will sich Schaar näher mit verschiedenen Fragen und Entwicklungen auseinandersetzen, die sich seit 2001 ergeben haben.

Weitere Informationen zum Thema:

DATENSCHUTZ FORUM, 27.07.2011
Peter Schaar / Zehn Jahre nach 9/11

[datensicherheit.de, 27.02.2010] Das Projekt „Online-Schlichter Baden-Württemberg“ erfreut sich schon nach wenigen Monaten einer guten Annahme durch Verbraucher – so soll nach Angaben der Schlichtungsstelle die Fallzahl bereits die 250er-Marke überschritten haben. Zudem sei sie nunmehr von der Europäischen Kommission notifiziert und somit offiziell anerkannt:
Die Schlichtungsstelle zieht nach diesem erfolgreichen Start eine erste Zwischenbilanz – insgesamt sei in gut 76 Prozent der Fälle eine gütliche Lösung gefunden worden. Aus der Statistik herausgerechnet seien die Fälle, in denen die Schlichtungsstelle nicht zuständig gewesen sei, und diejenigen Fälle, in denen das betreffende Unternehmen eindeutig in betrügerischer Absicht tätig geworden sei.

Auszug aus dem Online-Formular der Schlichtungsstelle

Screenshot von http://www.online-schlichter.de/de/schlichtung/index.php

Die durchschnittliche Verfahrensdauer habe gut 40 Tage betragen. Der Durchschnittsstreitwert liege bei 426 Euro; allerdings rein rechnerisch, denn einzelne hohe Streitwerte hätten den Durchschnittsstreitwert erheblich erhöht. Tatsächlich bewegten sich die Fälle eher im Bereich von 50 bis 100 Euro.
Der Bekanntheitsgrad der Einrichtung ist erfolgsentscheidend – so seien an Tagen nach einer Medienberichterstattung z.B. allein binnen 48 Stunden 21 Fälle eingegangen; der Bedarf sei offensichtlich vorhanden.

Weitere Informationen zum Thema:

Der Online-Schlichter Baden-Württemberg
Herzlich willkommen auf dem Schlichtungsportal für elektronischen Geschäftsverkehr Baden-Württemberg!

datensicherheit.de 15.06.2009
Online-Schlichtungsverfahren für Internet-Handel in Baden-Württemberg startet / Vereinfachtes Beschwerdeverfahren für Verbraucher vorgesehen