Zum Inhalt springen Zur Navigation springen
Top 5 DSGVO-Bußgelder im April 2026

Top 5 DSGVO-Bußgelder im April 2026

Artikel von Dr. Datenschutz·6. Mai 2026

Die Datenschutzaufsichtsbehörden verhängen monatlich Bußgelder wegen Verstößen gegen die DSGVO. Aus diesen können Unternehmen einen Überblick über aktuelle Prüfungsschwerpunkte und die Sanktionspraxis der Behörden gewinnen. Hier finden Sie daher unsere Top 5 Bußgelder im April 2026.

Getrackt durch Banking-Apps

Poste Italiane setzte gemeinsam mit ihrer Tochtergesellschaft Postepay in den Android-Apps „BancoPosta“ und „Postepay“ ein neues Sicherheitsverfahren ein, das bei jeder Nutzung zusätzliche Informationen über das verwendete Gerät auswertete. Dabei wurden unter anderem installierte Apps, das Nutzungsverhalten und Hinweise auf eine mögliche Manipulation des Geräts erhoben. Wer dieser umfassenden Auswertung seines Smartphones nicht zustimmte, konnte die Apps nach kurzer Zeit nur noch eingeschränkt nutzen und hatte damit faktisch keinen regulären Zugang mehr zu den Onlinefunktionen seines Kontos.

Behörde: Garante per la protezione dei dati personali (GPDP)
Branche: Bank- und Finanzwesen
Verstoß: Art. 5 DSGVO, Art. 6 DSGVO, Art. 13 DSGVO, Art. 25 DSGVO, Art. 28 DSGVO, Art. 32 DSGVO, Art. 35 DSGVO
Bußgeld: 12.501.000 Euro, anteilig 5.877.000 Euro für Postepay S.p.A. und 6.624.000 Euro für Poste Italiane S.p.A.

Der Fall zeigt in besonderer Weise, wie schnell ein technisch als Sicherheitsmaßnahme geplantes Verfahren in eine unzulässige Überwachung umschlagen kann. Das Bußgeld macht deutlich, dass auch bei Betrugsprävention die Grenzen der Datensparsamkeit und Freiwilligkeit der Einwilligung zu beachten sind und dass, wie in diesem Fall, der Zugang zu zentralen Bankdiensten nicht von einer so weitreichenden Geräteauswertung abhängig gemacht werden darf.

Mangelndes Berechtigungskonzept bei der Videoüberwachung

Unicaja Banco setzte ein Videoüberwachungssystem ein, das von einem externen Sicherheitsdienst als Auftragsverarbeiter betrieben wurde. Der Zugriff auf die Videoaufzeichnungen erfolgte über gemeinsam genutzte Passwörter, anstatt über persönliche Benutzerkonten. Es gab kein tragfähiges Berechtigungskonzept, das die Zugriffsrechte beim Auftragsverarbeiter klar regelte, und es wurde nicht zuverlässig protokolliert, welche Person zu welchem Zeitpunkt auf welche Kamerabilder zugegriffen hat, sodass die Zugriffe auf die Aufzeichnungen nicht nachvollziehbar waren.

Behörde: Agencia Española de Protección de Datos (AEPD)
Branche: Bank- und Finanzwesen
Verstoß: Art. 32 DSGVO
Bußgeld: 400.000 Euro

Der Fall veranschaulicht, wie grundlegende Versäumnisse bei Zugriffsrechten und einer gemeinsamen Passwortnutzung unmittelbar zu einem hohen Bußgeld führen können. Die Entscheidung macht deutlich, dass geteilte Passwörter und fehlende individuelle Benutzerkonten in einem von einem Auftragsverarbeiter betriebenen Videoüberwachungssystem nicht akzeptabel sind. Sie unterstreicht außerdem, dass Unicaja Banco die Verantwortung für ein Berechtigungskonzept und eine nachvollziehbare Protokollierung der Zugriffe nicht auf den Sicherheitsdienst übertragen konnte, sondern selbst für eine datenschutzkonforme Ausgestaltung der Videoüberwachung sorgen musste.

Verpflichtender App-Download auf privaten Smartphones

Ares Capital verpflichtete Beschäftigte dazu, auf ihren privaten Smartphones eine vom Unternehmen vorgegebene App zu installieren und zur Arbeitszeiterfassung zu nutzen. Beginn und Ende der Arbeit mussten über die App gemeldet werden, wobei jeweils der Standort des Geräts erfasst und gespeichert wurde. Auf diese Weise entstanden detaillierte Bewegungsprofile während der Arbeitszeit, ohne dass die Mitarbeitenden eine echte Möglichkeit hatten, die Nutzung der App abzulehnen.

Behörde: Agencia Española de Protección de Datos (AEPD)
Branche: Bank- und Finanzwesen
Verstoß: Art. 5 Abs. 1 lit. c DSGVO, Art. 6 Abs. 1 DSGVO, Art. 13 DSGVO
Bußgeld: 200.000 Euro

Wo die Grenzen datenschutzkonformer Kontrolle im Arbeitsverhältnis verlaufen, wird anhand dieses Falles deutlich. Er macht klar, dass standortbezogene Zeiterfassung über private Smartphones unverhältnismäßig ist und dass eine Einwilligung, die unter dem Druck des bestehenden Arbeitsverhältnisses abgegeben wird, nicht als freiwillig gilt. Die Entscheidung eignet sich daher gut, um Unternehmen für die Risiken von Tracking‑Apps im HR‑Bereich zu sensibilisieren und eigene Modelle der Arbeitszeiterfassung kritisch zu überprüfen.

SMS-Werbung ohne Einwilligung

Crowd Entertainment Limited, ein Unternehmen aus England, nutzte für seine Werbekampagnen SMS-Nachrichten. Hierfür verarbeitete das Unternehmen die Mobilnummer der beschwerdeführenden Person, ohne zuvor eine wirksame Einwilligung eingeholt zu haben. Die betroffene Person erhielt Werbung in Form einer SMS, obwohl sie die Nutzung ihrer Telefonnummer für Marketingzwecke weder veranlasst noch bestätigt hatte. Die rumänische Aufsichtsbehörde wertete dieses Vorgehen als eine Datenverarbeitung ohne eine Rechtsgrundlage.

Behörde: Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)
Branche: Entertainment
Verstoß: Art. 5 Abs. 1 lit. a DSGVO, Art. 5 Abs. 1 lit. c DSGVO, Art. 5 Abs. 1 lit. d DSGVO, Art. 5 Abs. 2 DSGVO
Bußgeld: 35.000 Euro

Klassische Themen, wie Einwilligungen für Marketingzwecke und die Datensparsamkeit, stehen weiterhin im Fokus der Aufsichtsbehörden. Unternehmen benötigen für SMS und Werbung über vergleichbare Kanäle in der Regel ein Double-Opt-In-Verfahren und müssen hierbei auf den Grundsatz der Datenminimierung achten. Auch Unternehmen außerhalb der EU müssen mit Sanktionen rechnen, wenn sie personenbezogene Daten von Betroffenen in der EU ohne eine Rechtsgrundlage verarbeiten, denn in solchen Fällen ist der Anwendungsbereich der DSGVO geöffnet.

Sicherheitslücken nach Cyberangriff

Blue Projects hatte der rumänischen Aufsichtsbehörde einen Datenschutzvorfall gemeldet, nachdem ein Cyberangriff auf die IT-Systeme des Unternehmens entdeckt worden war. Dabei erhielten Unbefugte Zugriff auf personenbezogene Daten einer großen Anzahl von Personen, darunter Beschäftigte, Bewerbende und weitere Kontaktpersonen des Unternehmens. Betroffen waren unter anderem Namen, persönliche Kennnummern, Wohnadressen, Kontaktdaten, E-Mail-Adressen, Berufsbezeichnungen und Angaben aus Lebensläufen.

Behörde: Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)
Branche: Beratung
Verstoß: Art. 32 Abs. 1 lit. b DSGVO, Art. 32 Abs. 1 lit. d DSGVO, Art. 32 Abs. 2 DSGVO
Bußgeld: 2.500 Euro

Anhand dieses Bußgeldes werden die Anforderungen aus Art. 32 DSGVO greifbar gemacht. Die Meldung und die Dokumentation eines Datenschutzvorfalls genügen nicht, wenn grundlegende Schutzmaßnahmen und regelmäßige Wirksamkeitsprüfungen fehlen. Besonders praxisrelevant ist die von der Aufsicht zusätzlich angeordnete Einführung eines Systems zur Überwachung der Datenflüsse, weil damit deutlich wird, dass ein strukturiert aufgebautes und fortlaufend kontrolliertes Sicherheitskonzept erwartet wird.

Mehr zum Thema
Informieren Sie sich über unsere praxisnahen Webinare
  • »DSGVO und Künstliche Intelligenz«
  • »Microsoft 365 sicher gestalten«
  • »Bewerber- und Beschäftigtendatenschutz«
  • »Auftragsverarbeitung in der Praxis«
  • »IT-Notfall Ransomware«
  • »DSGVO-konformes Löschen«
  • »ISMS: Informationssicherheit mit System«
Webinare entdecken
Mit dem Code „Webinar2026B“ erhalten Sie 10% Rabatt, gültig bis zum 30.06.2026.
    Beitrag kommentieren
    Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
    Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.