Top 5 DSGVO-Bußgelder im Dezember 2025

Die Datenschutzaufsichtsbehörden verhängen monatlich Bußgelder wegen Verstößen gegen die DSGVO. Aus diesen können Unternehmen einen Überblick über aktuelle Prüfungsschwerpunkte und die Sanktionspraxis der Behörden gewinnen. Hier finden Sie daher unsere Top 5 Bußgelder im Dezember 2025.

Immer noch Cookies I

Bereits im Jahr 2023 führte die französische Aufsichtsbehörde in den Räumlichkeiten und auf der Webseite eines großen US-amerikanischen Finanzdienstleisters Kontrollen durch. Dabei stellte sie einige datenschutzrechtliche Verstöße fest. Die Untersuchung ergab, dass auf der Webseite des Unternehmens Cookies gesetzt wurden, noch bevor der Nutzer die Gelegenheit hatte, dem Einsatz zuzustimmen oder diesen abzulehnen. Da es sich unter anderem um Cookies zu Werbezwecken handelte, wäre eine Einwilligung erforderlich gewesen. Darüber hinaus wurden die Cookies gesetzt, obwohl Nutzer dies in dem entsprechenden Auswahlfenster abgelehnt hatten und auch, nachdem die Nutzer eine zuvor erteilte Einwilligung widerrufen hatten.

Die CNIL gibt an, bei der Bemessung des Bußgeldes unter anderem berücksichtigt zu haben, dass die Vorschriften für Cookies aufgrund ihrer langen Geschichte und ihrer weit verbreiteten Bekanntmachung durch die Behörde allgemein bekannt sein sollten.

Behörde: CNIL (Frankreich)
Branche: Finanzen
Verstoß: Art. 6 Abs. 1 DSGVO, Art. 7 DSGVO
Bußgeld: 1.500.000 Euro

Der datenschutzrechtliche korrekte Umgang mit Cookies sollte aufgrund zahlreicher behördlicher Entscheidungen und Gerichtsurteilen seit Einführung der DSGVO eigentlich ein alter Hut sein. Es verwundert daher, dass auch große Unternehmen hier teilweise noch nicht datenschutzkonform agieren, gerade auch aufgrund der Außenwirkung einer Webseite. Hier gibt es eine unüberschaubare Anzahl potenzieller Beschwerdeführer und für Behörden sind sie recht einfach überprüfbar. Die datenschutzkonforme Konfiguration der eigenen Webseite sollte daher entsprechend ernst genommen werden.

Immer noch Cookies II

Auch das zweite hohe Bußgeld des Monats Dezember dreht sich um das Thema Cookies. Auf der Webseite einer international bekannten Zeitschrift wurden ebenfalls Cookies unmittelbar bei Aufruf der Webseite gesetzt, bevor Nutzer ihre Auswahlmöglichkeiten wahrgenommen hatten. Eine Ablehnung bzw. ein Widerruf der Einwilligung führten hier auch nicht dazu, dass einwilligungspflichtige Cookies nicht gesetzt wurden. Darüber hinaus waren einige Cookies als „unbedingt erforderlich“ deklariert (d. h. dort gab es keine Wahlmöglichkeit), ohne dass den Nutzern die erforderlichen Informationen zur Verfügung gestellt wurden. Diesbezügliche Beschwerden wurden bereits 2019 erhoben, worauf die Behörde im Jahr 2021 das Unternehmen rügte und zur Behebung der Missstände aufforderte. Behördliche Kontrollen in den Jahren 2023 und 2025 deckten auf, dass das Unternehmen dieser Aufforderung nicht nachgekommen war. Daraufhin erließ die Behörde ein Bußgeld gegen den Betreiber der Webseite.

Behörde: CNIL (Frankreich)
Branche: Journalismus
Verstoß: Art. 6 Abs. 1 DSGVO, Art. 7 DSGVO
Bußgeld: 750.000 Euro

Hier gilt grundsätzlich das Gleiche wie bereits im obigen Fall beschrieben. Dass manch ein Webseiten-Betreiber die Cookie-Banner so gestaltet, dass Nutzer zu einer Einwilligung „gedrängt“ werden (Nudging, dark pattern) ist ein verbreitetes Phänomen. Das Ignorieren der Einstellungen der Nutzer ist noch einmal eine andere Kategorie. Zusätzlich zeigt der Fall, dass Behörden die Einhaltung ihrer Anforderungen durchaus (manchmal auch erst einige Jahre) später kontrollieren und es daher keine gute Idee ist, diese zu ignorieren oder auf die lange Bank zu schieben. Das niedrigere Bußgeld lässt sich hier mit einem geringeren Umsatz sowie mit ggf. niedrigeren Aufrufzahlen der Webseite erklären.

Ein teurer Datenschutzvorfall

Bei einem großen spanischen Einzelhandelsunternehmen für Sportartikel kam es zu einem Cybersicherheitsvorfall, bei dem Daten von über 6 Millionen Betroffenen (Kunden und Mitarbeiter sowie ehemalige Mitarbeiter) kompromittiert wurden. Ein Unbefugter hatte hierbei auf das Unternehmensnetzwerk zugegriffen und mehrere virtuelle Maschinen verschlüsselt bzw. ausgeschaltet. Es handelte sich um einen Ransomware-Angriff. Betroffen waren unter anderem sensible Daten wie Finanzinformationen und Gesundheitsdaten.

Genauere Angaben über die technischen und organisatorischen Maßnahmen (TOMs) lassen sich den behördlichen Informationen nicht entnehmen. Es findet sich allerdings der Hinweis, dass das Unternehmen erst als Reaktion auf diesen Vorfall eine Multi-Faktor-Authentifizierung eingeführt hat. Die Behörde war jedenfalls der Ansicht, dass die zu dem Zeitpunkt des Vorfalls bestehenden TOMs nicht angemessen waren. In seiner ersten Meldung des Datenschutzvorfalls hatte das Unternehmen dies bereits kurioserweise selbst angegeben. Trotz der Vielzahl der Betroffenen und der Sensibilität der Daten wurden die Betroffenen zudem erst nach ca. einem Monat über den Vorfall informiert, obwohl gem. Art. 34 Abs. 1 DSGVO eine unverzügliche Mitteilung hätte erfolgen müssen. 

Behörde: AEPD (Spanien)
Branche: Einzelhandel
Verstoß: Art. 32 DSGVO, Art. 34 Abs. 1 DSGVO
Bußgeld: 1.560.000 Euro

Der Fall zeigt einmal mehr, dass die Bedeutung der TOMs nicht überschätzt werden kann. Gerade etwas, wie die Zwei-Faktor-Authentifizierung hat sich mittlerweile großflächig als Sicherheitsstandard etabliert, ist technisch unkompliziert umzusetzen und kann das Risiko eines Angriffs signifikant reduzieren. Unternehmen sollten unbedingt Prozesse etablieren, welche eine stetige Überprüfung und Aktualisierung der TOMs vorsehen.

Bei Vorliegen eines hohen Risikos für die Betroffenen, z. B. wenn Finanz- oder Gesundheitsdaten kompromittiert sind, müssen betroffene Personen unverzüglich informiert werden (d. h. ohne schuldhaftes Zögern, bestenfalls innerhalb weniger Stunden nach dem Vorfall), damit sie gewarnt sind und geeignete Schutzmaßnahmen ergreifen können.

SMS-Werbung ohne Rechtsgrundlage und trotz Widerspruch

Eine italienische Hotelkette versandte Werbe-SMS an ehemalige Hotelgäste. Einer der Betroffenen beschwerte sich bei der Aufsichtsbehörde, da er das Unternehmen mehrfach erfolglos aufgefordert hatte, dies zu unterlassen. Der Hotelaufenthalt des Betroffenen lag zum Zeitpunkt der Beschwerde schon ca. 9 Jahre zurück. Nach Ansicht der Behörde bestand für das Vorgehen des Verantwortlichen keine Rechtsgrundlage. Die Behörde führte zudem aus, dass die Daten des Betroffenen schon längst hätten gelöscht werden müssen.

Das Unternehmen berief sich jedoch ohnehin auf ein berechtigtes Interesse, was schon deshalb nicht vorlag, da in Italien spezialgesetzlich geregelt ist, dass SMS-Werbung unter Verwendung automatischer Systeme ohne Einwilligung nicht zulässig ist. Darüber hinaus konnte das Hotel keinerlei Dokumentation zu dem Vorfall und dem Umgang mit dem Betroffenen vorweisen.

Behörde: GPDP (Italien)
Branche: Hotelgewerbe
Verstoß: Art. 5 Abs. 1 lit. e DSGVO, Art. 6 Abs. 1 lit. a DSGVO, Art. 17 DSGVO, Art. 24 DSGVO
Bußgeld: 6.000 Euro

Das Vorgehen des Verantwortlichen wäre auch in Deutschland aufgrund wettbewerbsrechtlicher Normen unzulässig und könnte daher nicht auf ein berechtigtes Interesse gestützt werden. Das Ausspielen von Direktwerbung ohne Einwilligung ist hierzulande nur unter engen Voraussetzungen möglich. Diese sind neben dem Datenschutz auch wettbewerbsrechtlich geprägt (§ 7 UWG) und sollten vor dem Start einer Kampagne genau geprüft werden.

Für Widerrufe oder Widersprüche sollte zwingend ein verlässlicher Prozess etabliert sein, der gewährleistet, dass den Wünschen der Betroffenen entsprochen wird. Genervte Betroffene sind verständlicherweise schnell auf dem Weg zur nächsten Aufsichtsbehörde und können zudem auch noch zivilrechtliche Ansprüche geltend machen.

Videoüberwachung mit Ton (und beim Essen)

Ein Bußgeld erhielt in Spanien ein Unternehmen wegen des unzulässigen Einsatzes von Videoüberwachungskameras. Die Kameras zeichneten neben Bild- auch Audiodaten innerhalb von Arbeitsbereichen und Außenbereichen (die teilweise auch für Pausen genutzt wurden) auf, was die Behörde als unverhältnismäßig einstufte. Die vorhandenen Hinweisschilder waren zudem unvollständig. Das ursprünglich veranschlagte Bußgeld von 6.000 € wurde reduziert, da das Unternehmen seine Schuld eingestand und unverzüglich zahlte.

In einem anderen Fall, in dem die AEPD ein Bußgeld in gleicher Höhe erließ, befand sich eine Überwachungskamera in der Kantine eines Nahrungsmittelherstellers, wofür die Behörde ebenfalls keine Rechtfertigung sah. Hinweisschilder waren hier zudem überhaupt nicht vorhanden.

Behörde: AEPD (Spanien)
Branche: Fahrzeugvermietung
Verstoß: Art. 6 Abs. 1 lit. f DSGVO, Art. 13 DSGVO
Bußgeld: 3.600 Euro

Das Thema Videoüberwachung ist ein Dauerbrenner im Datenschutzrecht, bei dem immer wieder gegen die DSGVO verstoßen wird. Eine Videoüberwachung mit Ton ist so gut wie immer unzulässig. Am Arbeitsplatz stellt dies einen massiven Eingriff in die Persönlichkeitsrechte der Mitarbeiter dar, der nur in seltenen Einzelfällen gerechtfertigt werden kann. In Deutschland kann dabei nicht zuletzt auch eine strafrechtliche Relevanz bestehen (§ 201 StGB). Das Erfordernis zur Beschilderung der Videoüberwachung mit Hinweisen dürfte mittlerweile auch kein Geheimnis mehr sein. Zahlreiche Aufsichtsbehörden haben hierzu Informationen veröffentlicht und Vorlagen für DSGVO-konforme Hinweisschilder zur Verfügung gestellt. Eine Videoüberwachung in Pausenräumen, wie einer Kantine, scheitert so gut wie immer an der Interessenabwägung im Rahmen des Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse). Da in Pausenräumen die Arbeitnehmer private Tätigkeiten oder Gespräche führen können, überwiegt dort grundsätzlich stets das Interesse der Betroffenen.