Zum Inhalt springen Zur Navigation springen
Top 5 DSGVO-Bußgelder im August 2025

Top 5 DSGVO-Bußgelder im August 2025

Artikel von Dr. Datenschutz·1. September 2025

Die Datenschutzaufsichtsbehörden verhängen monatlich Bußgelder wegen Verstößen gegen die DSGVO. Aus diesen können Unternehmen einen Überblick über aktuelle Prüfungsschwerpunkte und die Sanktionspraxis der Behörden gewinnen. Hier finden Sie daher unsere Top 5 Bußgelder im August 2025.

Datenspeicherung ohne Rechtsgrundlage

Im August 2025 verhängte die spanische Datenschutzbehörde AEPD (Agencia Española de Protección de Datos) ein Bußgeld in Höhe von 200.000 Euro gegen die „valencianische“ Caixabank. Anlass war die Beschwerde einer ehemaligen Kundin, die feststellte, dass ihre personenbezogenen Daten weiterhin von der Bank verarbeitet wurden, obwohl ihr Hypothekenvertrag bereits am 29. Februar 2008 durch eine vor einem Notar beurkundete Urkunde über Zahlungserfüllung und Hypothekenlöschung aufgehoben worden war.

Erst nach Einschreiten der spanischen Datenschutzbehörde (AEPD) im Februar 2024 wurde die Datenverarbeitung beendet. Die AEPD stellte fest, dass Caixabank damit gegen Art. 5 Abs. 1 lit. e DSGVO („Speicherbegrenzung“) verstoßen hat. Danach dürfen personenbezogene Daten nur so lange gespeichert werden, wie es der Zweck, zu dem sie verarbeitet werden, erfordert. Die Behörde betonte, dass die Sanktion nicht nur wirksam und verhältnismäßig, sondern auch abschreckend sein müsse. Bei der Bemessung der Höhe des Bußgelds wurde sowohl die Schwere des Verstoßes als auch der große Kreis potenziell betroffener Personen sowie die wirtschaftliche Situation der Bank berücksichtigt.

Behörde: Agencia Española de Protección de Datos (AEPD, Spanien)
Branche: Finanzdienstleistungen / Bankwesen
Verstoß: Art. 5 Abs. 1 lit. e DSGVO (Speicherbegrenzung), Art. 83 Abs. 5 lit. a DSGVO (Sanktionsrahmen)
Bußgeld: 200.000 Euro

Die Entscheidung der AEPD unterstreicht die Bedeutung der Speicherbegrenzung und macht deutlich, dass Unternehmen personenbezogene Daten nach Beendigung des Vertragsverhältnisses zeitnah aus ihren Systemen entfernen müssen, sobald keine Rechtsgrundlage für die Datenverarbeitung besteht. Die Sanktion soll Caixabank dazu verpflichten, ihre technischen und organisatorischen Maßnahmen zu verbessern, um die Rechte und Freiheiten der Betroffenen künftig besser zu schützen.

Datenschutzpanne bei der Real Sociedad

Der baskische Fußballverein Real Sociedad S.A.D. ist ins Visier der spanischen Datenschutzbehörde AEPD geraten. Nach monatelangen Ermittlungen stellte die Behörde fest, dass der Fußballclub über einen längeren Zeitraum hinweg gegen zentrale Datenschutzvorgaben verstoßen hatte. Am 18. Oktober 2023 wurde der spanischen Datenschutzbehörde (AEPD) eine Verletzung des Schutzes personenbezogener Daten durch den Fußballverein gemeldet. Durch einen Ransomware-Angriff auf Real Sociedad kam es zu einer Beeinträchtigung der Vertraulichkeit und Verfügbarkeit personenbezogener Daten von rund 60.000 Betroffenen. Zu den kompromittierten Daten zählten biometrische Informationen, Stammdaten (wie Name, Nachname, Geburtsdatum), Bildmaterial (Fotos und Videos), Ausweisdokumente (z. B. Personalausweis, Aufenthaltsgenehmigung, Reisepass oder andere Identifikationsdokumente), wirtschaftliche und finanzielle Daten (ohne Zahlungsinformationen), Standortdaten, Kontaktdaten sowie Gesundheitsdaten.

Die AEPD bewertete es als besonders schwerwiegend, dass die beim Angriff betroffenen Daten unverschlüsselt gespeichert waren und der Verein keine ausreichenden Sicherheitsmaßnahmen getroffen hatte. Durch den Angriff wurden die Server verschlüsselt und die Daten waren zeitweise nicht verfügbar. Die lange Dauer des Verstoßes und die hohe Zahl potenziell Betroffener wirkten sich erschwerend aus. Ursprünglich wurde eine Geldbuße von 110.000 Euro verhängt, die durch Anerkennung der Verantwortung und freiwillige Zahlung auf 66.000 Euro reduziert werden konnte.

Behörde: Agencia Española de Protección de Datos (AEPD, Spanien)
Branche: Sportverein / Fußballverein
Verstoß: Art. 5 Abs. 1 lit. f DSGVO (Vertraulichkeit und Integrität), Art. 83 Abs. 5 und 6 DSGVO
Bußgeld: 110.000 Euro (reduzierbar auf 66.000 Euro bei Anerkennung und freiwilliger Zahlung)

Die Entscheidung der AEPD unterstreicht die Bedeutung der Vertraulichkeit und Verfügbarkeit personenbezogener Daten. Sie macht deutlich, dass auch Sportvereine verpflichtet sind, technische und organisatorische Maßnahmen zu ergreifen, um Datenschutzverstöße zu verhindern. Die Sanktion soll die Real Sociedad dazu anhalten, die eigenen Datenschutzprozesse zu überprüfen und zu verbessern, um die Daten vor um die Rechte und Freiheiten der Betroffenen künftig besser vor Ransomware-Angriffen zu schützen.

Mangelhafte Umsetzung von Löschfristen

Die zyprische Datenschutzbehörde hat ein Bußgeld in Höhe von 10.000 Euro gegen die Organisation für Wohnungsfinanzierung verhängt. Anlass war die Beschwerde eines Bürgers, der nach einem abgelehnten Hypothekendarlehen erfahren hatte, dass die Organisation einen früheren, ebenfalls abgelehnten Kreditantrag aus dem Jahr 2020 weiterhin gespeichert und bei der erneuten Ablehnung im Jahr 2023 herangezogen hatte – obwohl die eigenen Datenschutzregeln eine Löschung spätestens sechs Monate nach Ablehnung vorschreiben.

Die Untersuchung der Behörde ergab, dass die Organisation personenbezogene Daten des Antragstellers deutlich länger als zulässig gespeichert hatte. Besonders schwer wog, dass die internen Datenschutzrichtlinien zwar auf dem Papier existierten, aber praktisch nicht umgesetzt wurden. Die Löschung der Daten erfolgte nicht automatisiert, sondern musste manuell durch Mitarbeitende angestoßen werden – ein Prozess, der laut Organisation fehleranfällig und durch Personalmangel erschwert war. Die Behörde stellte klar, dass technische oder personelle Schwierigkeiten keine Entschuldigung für Verstöße gegen die DSGVO darstellen.

Behörde: Datenschutzbehörde Zypern
Branche: Wohnungsfinanzierung / Kreditvergabe
Verstoß: Art. 5 Abs. 1 lit. d, e und Art. 24 Abs. 1 DSGVO (Richtigkeit, Speicherbegrenzung, technische und organisatorische Maßnahmen)
Bußgeld: 10.000 Euro

Die Datenschutzbehörde ordnete nicht nur das Bußgeld an, sondern verpflichtete die Organisation auch zur sofortigen Löschung aller nach Ablauf der Sechs-Monats-Frist gespeicherten Daten des Beschwerdeführers. Zudem muss die Organisation innerhalb von sechs Monaten wirksame technische und organisatorische Maßnahmen zur Einhaltung der DSGVO umsetzen und dies der Behörde nachweisen. Die Entscheidung macht deutlich: Datenschutz darf keine reine Formsache sein – Richtlinien müssen auch praktisch gelebt und technisch umgesetzt werden.

Unzulässige Fingerabdruck-Erfassung

Die spanische Datenschutzbehörde AEPD hat ein Bußgeld in Höhe von 250.000 Euro gegen den bekannten Freizeitpark Loro Parque auf Teneriffa verhängt. Auslöser waren mehrere Beschwerden von Besuchern, die sich darüber beklagten, dass sie beim Kauf von Kombitickets für Loro Parque und Siam Park verpflichtet wurden, ihren Fingerabdruck abzugeben. Die biometrischen Daten wurden zur Zugangskontrolle verwendet, um sicherzustellen, dass die Person, die beide Parks besucht, tatsächlich dieselbe ist. Die Betroffenen gaben an, dass sie über die Verarbeitung ihrer Fingerabdrücke weder ausreichend informiert wurden noch eine echte Wahlmöglichkeit hatten.

Die AEPD stellte im Rahmen ihrer Untersuchung fest, dass Loro Parque damit gegen Artikel 9 der DSGVO verstoßen hat, der den besonderen Schutz biometrischer Daten wie Fingerabdrücke regelt. Die Verarbeitung dieser sensiblen Daten erfolgte ohne wirksame Einwilligung und ohne transparente Information der Betroffenen. Die Behörde bewertete dies als sehr schweren Verstoß, da biometrische Daten besonders schützenswert sind und nur unter strengen Voraussetzungen verarbeitet werden dürfen.

Behörde: Agencia Española de Protección de Datos (AEPD, Spanien)
Branche: Freizeitpark / Tourismus
Verstoß: Art. 9 DSGVO (Verarbeitung besonderer Kategorien personenbezogener Daten – biometrische Daten), Art. 83 Abs. 5 lit. a DSGVO
Bußgeld: 250.000 Euro

Neben der Geldbuße ordnete die AEPD an, dass Loro Parque die Verarbeitung von Fingerabdrücken zur Zugangskontrolle unverzüglich einstellen und geeignete Maßnahmen zum Schutz der Rechte der Betroffenen umsetzen muss. Die Entscheidung macht deutlich: Die Verarbeitung biometrischer Daten ist nur in Ausnahmefällen und unter strengen Bedingungen zulässig. Unternehmen, die solche Technologien einsetzen, müssen höchste Anforderungen an Transparenz, Einwilligung und Datensicherheit erfüllen – andernfalls drohen empfindliche Sanktionen.

Rechtswidrige Datenweitergabe

Die spanische Datenschutzbehörde AEPD hat gegen das Unternehmen Camerdata ein Bußgeld verhängt, nachdem der Verein „Institut per a la Cultura Democràtica a l’Era Digital“ eine Beschwerde eingereicht hatte. Anlass war, dass personenbezogene Daten von Selbstständigen, die sich bei Camerdata registrierten, ohne ausreichende Information der Betroffenen an verschiedene Stellen weitergegeben wurden. Zu den weitergegebenen Daten zählten unter anderem Ausweisnummern und andere personenbezogene Informationen, die aus sogenannten „Quellen mit öffentlichem Zugang“ stammten.

Camerdata übermittelte diese Daten nicht nur an Behörden wie die Steuerverwaltungsagentur und verschiedene Handels-, Industrie-, Dienstleistungs- und Schifffahrtskammern, sondern auch an private Unternehmen. Teilweise wurden die Daten sogar verkauft. Die Betroffenen wurden über diese Weitergaben und die damit verbundene Datenverarbeitung weder ausreichend informiert noch lag eine gültige Rechtsgrundlage für die Verarbeitung und Weitergabe vor.

Behörde: Agencia Española de Protección de Datos (AEPD, Spanien)
Branche: Wirtschaftsinformationsdienst / Datenverarbeitung
Verstoß: Art. 6 Abs. 1 DSGVO (fehlende Rechtsgrundlage), Art. 14 DSGVO (fehlende Informationspflichten), Art. 83 Abs. 5 DSGVO
Bußgeld: (Höhe im Dokument nicht explizit genannt)

Die AEPD stellte klar, dass Unternehmen wie Camerdata verpflichtet sind, personenbezogene Daten wirksam zu schützen, eine klare Rechtsgrundlage für jede Verarbeitung zu haben und die Betroffenen transparent über die Verwendung ihrer Daten zu informieren. Die Entscheidung macht deutlich: Wer personenbezogene Daten öffentlich zugänglich macht oder gar verkauft, ohne die Betroffenen zu informieren oder eine Rechtsgrundlage zu haben, muss mit empfindlichen Sanktionen rechnen.

Mehr zum Thema
Informieren Sie sich über unsere praxisnahen Webinare
  • »DSGVO und Künstliche Intelligenz«
  • »Microsoft 365 sicher gestalten«
  • »Bewerber- und Beschäftigtendatenschutz«
  • »Auftragsverarbeitung in der Praxis«
  • »IT-Notfall Ransomware«
  • »DSGVO-konformes Löschen«
  • »ISMS: Informationssicherheit mit System«
Webinare entdecken
Mit dem Code „Webinar2025B“ erhalten Sie 10% Rabatt, gültig bis zum 31.12.2025.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.