Top 5 DSGVO-Bußgelder im März 2025

Die Datenschutzaufsichtsbehörden verhängen monatlich Bußgelder wegen Verstößen gegen die DSGVO. Aus diesen können Unternehmen einen Überblick über aktuelle Prüfungsschwerpunkte und die Sanktionspraxis der Behörden gewinnen. Hier finden Sie daher unsere Top 5 Bußgelder im März 2025.

Offenlegung von Bank- und Finanzdaten

Wie so oft in der Vergangenheit war auch dieses Mal die spanische Aufsichtsbehörde sehr aktiv. Die hat ein relativ hohes Bußgeld gegen die CaixaBank S.A. verhängt. Eine Kundin hat bei der Bank mehrere Konten geführt. Eines der Konten ist ein Gemeinschaftskonto mit einer Mitinhaberin, bei einem anderen Konto ist die Mutter der Kundin eine Bevollmächtigte. Über die Bank-App war es der Mitinhaberin möglich, auch auf das Konto der Kundin zuzugreifen, für welches sie keine (vertragliche) Berechtigung hatte. Auf die Beschwerde der Kundin hin hat die spanische Aufsichtsbehörde erhebliche Fehler bei der Vergabe von Berechtigungen innerhalb der App festgestellt.

Das hohe Bußgeld war unter anderem darauf zurückzuführen, dass sich die betroffene Bank zunächst nicht kooperativ bzw. einsichtig gezeigt hatte.

Behörde: Agencia Española Protección Datos (AEPD)
Branche: Bank
Verstoß: Art. 5 Abs. 1 lit. f DSGVO, Art. 32 DSGVO
Bußgeld: 3,5 Mio. EUR

Dieser Fall zeigt deutlich, dass geeignete technische und organisatorische Maßnahmen praktisch unverzichtbar in der Datenschutzwelt sind. Vor allem ein durchdachtes Berechtigungskonzept gehört zu den datenschutzrechtlichen Grundlagen. Während technische Maßnahmen in aller Regel den „IT-lastigen“ Teil betreffen, geht es bei organisatorischen Maßnahmen um die Umsetzung an sich, also um Arbeitsanweisungen und Zuständigkeiten, aber auch Maßnahmen zur Sensibilisierung der Beschäftigten. Nicht selten führen Verstöße gegen Art. 32 DSGVO nicht nur zu Bußgeldern, sondern auch zu Schadensersatzansprüchen von Betroffenen.

Bekannte Schwachstelle nicht geschlossen: Millionenbußgeld!

Ein weiteres Bußgeld in Millionenhöhe hat die britische Aufsichtsbehörde (ICO) kürzlich verhängt. Betroffen war die Advanced Health & Care Division Limited (AHC), eine Tochtergesellschaft der Aston M IDCO Ltd. Die Unternehmensgruppe bietet IT-Dienstleistungen u. a. für die Bereiche Gesundheitswesen, Rechtsberatung und Bildungswesen an. Durch einen Hackerangriff wurden personenbezogene Daten von ca. 82.000 Betroffenen kompromittiert. Darunter waren auch zahlreiche nach Art. 9 DSGVO geschützte Daten. Die Angreifer hatten dabei eine Schwachstelle bei Microsoft ausgenutzt, welche von Microsoft selbst und dem National Institute of Standards and Technology (NIST) bereits im Jahr 2020 als erhebliches Sicherheitsrisiko eingestuft worden war. Entsprechende Patches hatte Microsoft zur Verfügung gestellt.

Dem Unternehmen war vorzuwerfen, dass es trotz vorhandener Warnungen und Möglichkeiten zur Behebung keine Maßnahmen zur Risikominimierung ergriffen hatte. Laut ICO hätte die AHC die bekannte Schwachstelle durch regelmäßige Scans und ein effektives Patch-Management schließen können.

Behörde: Information Commissioner’s Office (ICO)
Branche: IT-Dienstleistungen
Verstoß: Art. 5 Abs. 1 lit. f DSGVO, Art. 9 DSGVO, Art. 32 DSGVO, Art. 32 Abs. 1 UK GDPR
Bußgeld: 3.076.320 Mio. GBP (ca. 3,68 Mio. EUR)

Cyber-Attacken sind besonders tückisch, weil sie zum einen meistens „im Hintergrund“ ablaufen und zum anderen oftmals der Mensch als ideales Einfallstor fungiert. Man kann daher nicht oft genug daraus hinweisen, die eigenen Kolleginnen und Kollegen ausreichend zu sensibilisieren. Ein gutes Informationssicherheits-Managementsystem ist in der heutigen Zeit daher längst unentbehrlich. Wie Unternehmen bei Cyber-Angriffen und ähnlichen Vorfällen reagieren können, haben wir in unserem jüngsten Beitrag zum Thema Incident Response übersichtlich zusammengefasst.

Gravierende Verstöße gegen Kooperationspflicht

Die sächsische Aufsichtsbehörde hat gegen zwei nicht näher genannte Unternehmen Bußgelder verhängt, weil diese massiv gegen die Pflicht zur Kooperation mit der Aufsichtsbehörde nach Art. 31 DSGVO verstoßen haben. Beide Unternehmen hatten nach Angaben der Behörde deren Aufforderungen zur Auskunftserteilung ignoriert und nicht die geforderten Unterlagen vorgelegt. Auch die Verhängung von Zwangsmitteln hat zunächst keine Wirkung gezeigt. Eines der beiden Unternehmen hatte die angeforderten Auskünfte und Unterlagen erst nach knapp zweieinhalb Jahren – in diesem Zeitraum wurden zudem fünf Zwangsgelder verhängt – der Behörde vorgelegt.

Weitere Angaben zum Sachverhalt selbst oder aus welchen Gründen die Kooperation so schleppend abgelaufen ist, hat die Sächsische Aufsichtsbehörde leider nicht gemacht.

Behörde: Sächsische Datenschutz- und Transparenzbeauftragte
Branche: Unternehmen
Verstoß: Art. 31 DSGVO
Bußgeld: 120.000 EUR und 22.080 EUR

Generell sind die deutschen Aufsichtsbehörden sehr zurückhaltend bei der Veröffentlichung von Bußgeldern. Ob diese Praxis dem Datenschutz hilft oder nicht, darf jeder gerne selbst bewerten. Oftmals werden ja nur drohende Bußgelder als das Damokles-Schwert des Datenschutzes gesehen. Die Aufsichtsbehörden haben gemäß Art. 58 DSGVO noch weitere Möglichkeiten zur Hand. Neben Bußgeldern ist von Verwarnungen über Auflagen bis hin zu Untersagungsverfügungen – je nach Schwere des Verstoßes – vieles möglich. Aufsichtsbehörden kommt aber grundsätzlich eine Doppelfunktion zu. Im Einzelfall ist auch eine Art Beratung durch die Aufsichtsbehörde denkbar.

Gesichtserkennung ohne Datenschutz-Folgenabschätzung

Schon wieder ein Millionen-Bußgeld aus Spanien! Die AEPD hat die Betreibergesellschaft der spanischen Profi-Fußballligen, die Liga Nacional de Fútbol Profesional (LNFP), mit einem hohen Bußgeld belegt. Die LNFP hatte seit der Saison 2015/2016 den Zugang zu einigen Bereichen der Stadien mit Hilfe von Kontrollmaßnahmen geregelt, bei denen auch Software zur Gesichtserkennung zum Einsatz kam. Da auf diese Weise biometrische Daten verarbeitet worden sind und der Umfang der Datenverarbeitung relativ groß war, hätte nach Ansicht der AEPD zwingend eine Datenschutz-Folgenabschätzung (DSFA) durchgeführt werden müssen.

Der Betreibergesellschaft wurde dementsprechend auferlegt, die Gesichtserkennung nicht durchzuführen, solange keine umfassende DSFA nachgewiesen ist. Die LNFP hat allerdings bereits angekündigt, sich gegen das Bußgeld zur Wehr zu setzen.

Behörde: Agencia Española Protección Datos (AEPD)
Branche: Sportverband
Verstoß: Art. 35 DSGVO
Bußgeld: 1 Mio. EUR

Datenschutz-Folgenabschätzungen sind in der Praxis zwar nicht allzu häufig, dennoch zeigt der obige Fall deren Brisanz und Wichtigkeit auf. Im Rahmen einer DSFA müssen Unternehmen besondere Risiken für die Rechte und Freiheiten betroffener Personen identifizieren und effektive Gegenmaßnahmen ergreifen. Besonders in in Krankenhäusern sind DSFA oftmals von Nöten, da hier oder in der medizinischen Forschung regelmäßig Gesundheitsdaten in einem großen Umfang verarbeitet werden. Aber auch in „klassischen“ Unternehmen kann eine DSFA notwendig sein, wenn beispielsweise eine Videoüberwachung am Arbeitsplatz eingeführt werden soll.

Datenverarbeitung und Weitergabe ohne Rechtsgrundlage

In diesem Fall stand der polnische Postdienstleister Poczta Polska im Fokus. Das Unternehmen war im Zuge der Vorbereitung der Präsidentschaftswahl 2020 vom Ministerium für Digitalisierung beauftragt worden, die für die Wahl notwendigen Digitalisierungen vorzunehmen, insbesondere ein elektronisches System zur Registrierung der polnischen Bevölkerung bereitzustellen. Dabei wurden neben der PESEL – hierzulande in etwa vergleichbar mit der Steuer-Identifikationsnummer – Namen, Adressen oder auch Angaben zu Auslandsreisen der Bürgerinnen und Bürger verarbeitet. Die Daten hatte das Unternehmen zuvor vom Ministerium für Digitalisierung erhalten.

Gegen diese Vorgehensweise, insbesondere die Offenlegung der Daten in diesem Umfang, gingen 178 Beschwerden von Privatpersonen bei der polnischen Aufsichtsbehörde ein. Die Behörde kam zu dem Ergebnis, dass der Großteil der Daten unrechtmäßig an das Postunternehmen weitergegeben worden war. Hier habe meist keine Erforderlichkeit vorgelegen. Auch gegen das Ministerium wurde ein Bußgeld verhängt, allerdings deutlich geringer: „nur“ 100.000 PLN (ca. 24.000 EUR).

Behörde: Urząd Ochrony Danych Osobowych (UODO)
Branche: Postdienstleister
Verstoß: Art. 5 Abs. 1 lit. a DSGVO, Art. 6 Abs. 1 DSGVO
Bußgeld: 27.124.816 PLN (ca. 6,48 Mio. EUR)

Keine Datenverarbeitung ohne Rechtsgrundlage! Sowohl das Digitalministerium als auch das Postunternehmen hätten sich besser an diesen Grundsatz gehalten. Im Rahmen der Erforderlichkeit der Datenverarbeitung ist stets auch der Grundsatz der Datenminimierung zu beachten. Sofern mehr Daten verarbeitet oder weitergegeben werden, als für den konkreten Zweck notwendig ist, können Verantwortliche in Erklärungsnot kommen.