Top 5 DSGVO-Bußgelder im April 2025

Die Datenschutzaufsichtsbehörden verhängen monatlich Bußgelder wegen Verstößen gegen die DSGVO. Aus diesen können Unternehmen einen Überblick über aktuelle Prüfungsschwerpunkte und die Sanktionspraxis der Behörden gewinnen. Hier finden Sie daher unsere Top 5 Bußgelder im April 2025.

Fehlende Einbindung und Unterstützung des DSB

Die norwegische Datenschutzbehörde hat gegen Telenor ASA ein Bußgeld verhängt, weil das Unternehmen seinen Datenschutzbeauftragten (DSB) nicht ausreichend in die Organisation eingebunden und mit zu wenig Ressourcen ausgestattet hat. Zudem fehlte es an einer wirksamen internen Datenschutzkontrolle. Die Behörde stellte fest, dass der DSB nicht unabhängig agieren konnte und die Leitungsebene zu wenig Verantwortung für das Datenschutzmanagement übernahm.

Behörde: Datatilsynet
Branche: Telekommunikation
Verstoß: Art. 24 DSGVO, Art. 37 DSGVO, Art. 38 DSGVO, Art. 39 DSGVO
Bußgeld: 4.000.000 NOK (ca. 342.774 EUR)

Unternehmen müssen ihren Datenschutzbeauftragten frühzeitig und umfassend einbinden, ihm ausreichende Ressourcen zur Verfügung stellen und seine Unabhängigkeit sicherstellen. Der DSB sollte direkt an die Geschäftsleitung berichten und in alle relevanten Prozesse rechtzeitig einbezogen werden.

Ausgedachte Einwilligungen

Die spanische Datenschutzbehörde AEPD verhängte ein Bußgeld gegen die Banco Bilbao Vizcaya Argentaria, weil ein Bankmitarbeiter ohne Zustimmung der Betroffenen (ein Ehepaar) Datenschutzerklärungen unterzeichnet hatte. Die Bank argumentierte, dies sei „übliche Praxis“, um Prozesse zu vereinfachen. Konkret hatte ein Mitarbeiter im System Formulare ausgefüllt und die Unterschrift des Ehepaars unter ein Antragsformular gesetzt, ohne dass diese tatsächlich unterschrieben oder zugestimmt hätten. Die AEPD stellte klar, dass eine solche Praxis gegen die Grundprinzipien der DSGVO verstößt, da die Verarbeitung personenbezogener Daten ohne Rechtsgrundlage erfolgte. Das ursprüngliche Bußgeld von 200.000 Euro wurde nach freiwilliger Zahlung und Anerkennung der Verantwortung auf 120.000 Euro reduziert.

Behörde: Agencia Española Protección Datos (AEPD)
Branche: Bank
Verstoß: Art. 5 DSGVO, Art. 6 DSGVO
Bußgeld: 120.000 EUR

Unternehmen dürfen keine personenbezogene Daten verarbeiten, ohne eine klare Rechtsgrundlage (z. B. Einwilligung) zu haben – selbst wenn es „übliche Praxis“ ist. Notwendigerweise sind Mitarbeiter regelmäßig zu DSGVO-Pflichten schulen und interne Kontrollen etablieren, um eigenmächtiges Handeln oder ungewünschte Prozesse zu verhindern.

Datenhandel ohne Rechtsgrundlage und ohne Informationen

Die belgische Datenschutzbehörde verhängte gegen einen Data Broker ein Bußgeld, weil das Unternehmen große Mengen personenbezogener Daten aus verschiedenen Quellen gesammelt, verarbeitet und weitergegeben hat, ohne die betroffenen Personen ordnungsgemäß zu informieren und ohne eine ausreichende Rechtsgrundlage für die Verarbeitung zu haben. Anlass war die Auskunftsanfrage einer Privatperson zu ihren verarbeiteten Daten, auf die der Data Broker laut Aufsichtsbehörde nur unzureichend reagierte. Die Verstöße betrafen insbesondere die fehlende bzw. mangelhafte Information der Betroffenen über die Datenverarbeitung und das Fehlen einer gültigen Rechtsgrundlage für die Verarbeitung und Weitergabe der Daten.

Behörde: Belgische Datenschutzbehörde (APD/GBA)
Branche: Datenhandel
Verstoß: Art. 5 DSGVO, Art. 6 DSGVO, Art. 12 DSGVO, Art. 13 DSGVO, Art. 14 DSGVO, Art. 15 DSGVO
Bußgeld: 20.000 EUR

Es sind wieder einmal die Basics: Unternehmen, die personenbezogene Daten aus dem Internet scrapen und weiterverarbeiten, benötigen eine klare Rechtsgrundlage und müssen die Informationspflichten strikt beachten. Auch das Auskunftsrecht nach Art. 15 zählt zu den zentralsten Rechten der DSGVO und muss vollumfassend umgesetzt werden.

Künstliche Hürden beim Einholen der Einwilligung

Apple muss ein neues Bußgeld in Höhe von 150 Millionen Euro zahlen. Gleichzeitig möchten wir transparent sein: Dieses Bußgeld stammt von der französischen Wettbewerbsbehörde (L’Autorité de la concurrence) – es ist aber trotzdem wichtig für das Datenschutzrecht. Die französische Entscheidung gegen Apple ist ein Musterbeispiel für die enge Verzahnung von Wettbewerbsrecht und Datenschutzrecht. Die Wettbewerbsbehörde und die Datenschutzaufsicht CNIL haben gemeinsam untersucht, wie Apples App Tracking Transparency (ATT) nicht nur den Wettbewerb verzerrt, sondern auch die Umsetzung der DSGVO erschwert.

Kern des Falls ist, dass Apple mit ATT Drittanbieter-Apps dazu zwingt, für dieselbe Verarbeitung personenbezogener Daten mehrfach und aufwendig Einwilligungen einzuholen, während Apple für eigene Dienste einen einfacheren Weg nutzt. Dies erschwert es insbesondere kleineren Anbietern, eine klare, informierte und freiwillige Einwilligung der Nutzer einzuholen und benachteiligt sie gegenüber Apple selbst. Hinzukommt laut Wettbewerbsbehörde, dass die Einwiligung via ATT nicht einmal den Anforderungen einer gültigen Einwilligung entspreche und damit bereits der Mehrwert in Zweifel gezogen wird.
Durch die komplexe Einwilligungsarchitektur werden zentrale DSGVO-Prinzipien wie Transparenz, Nachvollziehbarkeit und Freiwilligkeit unterlaufen. Die Entscheidung zeigt, dass Datenschutz nicht durch künstliche Hürden für Wettbewerber erreicht werden darf und faire Bedingungen für alle Marktteilnehmer gelten müssen.

Behörde: Autorité de la Concurrence (Frankreich)
Branche: Technologie
Verstoß: Art. L. 420-2 C. com., Art. 5 DSGVO, Art. 6 DSGVO, Art. 7 DSGVO
Bußgeld: 150.000.000 Mio. EUR

Die Gestaltung von Einwilligungsprozessen muss nicht nur den Datenschutz, sondern ggf. auch den fairen Wettbewerb berücksichtigen. Eigene technische Maßnahmen dürfen nicht dazu führen, dass DSGVO-konforme Einwilligungen für Wettbewerber künstlich erschwert werden. Auch dies würde nämlich dem Sinn und Zweck der Schutzrechte von Personen widersprechen. Unternehmen sollten darauf achten, dass ihre Systeme für alle Marktteilnehmer gleiche Bedingungen schaffen, um den Schutz der Nutzerrechte tatsächlich zu gewährleisten.

SMS-Werbung ohne Rechtsgrundlage

Die rumänische Datenschutzbehörde ANSPDCP verhängte zuletzt ein Bußgeld gegen eine Handels- und Marketingplattform. Anlass war die Beschwerde eines Betroffenen, der kommerzielle SMS mit Werbeinhalten erhalten hatte, ohne zuvor seine Einwilligung zur Verarbeitung seiner Telefonnummer zu Direktmarketingzwecken erteilt zu haben. Die Aufsichtsbehörde stellte fest, dass das Unternehmen nicht nachweisen konnte, dass eine gültige Einwilligung des Betroffenen vorlag. Damit lag ein klarer Verstoß gegen Art. 6 Abs. 1 lit. a DSGVO vor.
Im Rahmen der Untersuchung wurde außerdem festgestellt, dass das Unternehmen die Anfragen des Betroffenen auf Auskunft und Löschung seiner Daten nicht ordnungsgemäß bearbeitet hatte. Die Antworten des Unternehmens entsprachen nicht den Vorgaben der DSGVO hinsichtlich Transparenz, Fristwahrung und Vollständigkeit.

Behörde: Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)
Branche: Handel- und Marketingplattform
Verstoß: Art. 6 DSGVO, Art. 12 DSGVO, Art. 15 DSGVO, Art. 17 DSGVO
Bußgeld: 74.661 RON (14.999 EUR)

Wer personenbezogene Daten zu Werbezwecken nutzt, benötigt typischerweise eine freiwillige und dokumentierte Einwilligung der Betroffenen. Unternehmen müssen außerdem sicherstellen, dass Anfragen auf Auskunft oder Löschung ordnungsgemäß und fristgerecht beantwortet werden. Insofern ist es einerseits ratsam, erhaltene Einwilligungen systematisch zu dokumentieren und andererseits interne Prozesse für Betroffenenrechte klar zu regeln und das Personal regelmäßig zu schulen.