Zum Inhalt springen Zur Navigation springen
Top 5 DSGVO-Bußgelder im Februar 2025

Top 5 DSGVO-Bußgelder im Februar 2025

Artikel von Dr. Datenschutz·3. März 2025

Die Datenschutzaufsichtsbehörden verhängen monatlich Bußgelder wegen Verstößen gegen die DSGVO. Aus diesen können Unternehmen einen Überblick über aktuelle Prüfungsschwerpunkte und die Sanktionspraxis der Behörden gewinnen. Hier finden Sie daher unsere Top 5 Bußgelder im Februar 2025.

Unbefugte Datenweitergabe an Betrüger wegen unzureichender Identitätsprüfung

Eine Privatperson reichte bei der spanischen Aufsichtsbehörde (AEPD) Beschwerde gegen Orange Espagne S.A.U. ein, nachdem das Unternehmen ein Duplikat ihrer SIM-Karte an einen Betrüger ausgegeben hatte, ohne den Ausweis des Antragstellers zu verlangen oder seine Identität auf andere Weise zu überprüfen. Infolge des SIM-Karten-Duplikats wurden 9.000 Euro durch die Täter gestohlen. Nachdem Orange eine Kopie der Anweisungen für die Verkäufer in den Ladengeschäften zur Verfügung gestellt hatte, ergab sich im Laufe der Ermittlungen, dass die Mitarbeiter von der in der Dokumentation festgelegten Vorgehensweise abgewichen waren. Im Hinblick auf die Gründe für das Fehlverhalten der Verkäufer erklärte Orange, dass man in den ersten Monaten des Jahres 2023 festgestellt hatte, dass Kriminelle vermehrt versuchten, Verkäufer anzuwerben, um gegen hohe Belohnungen kriminelle Aktivitäten durchzuführen. Aufgrund dessen wurden die Mitarbeiter sensibilisiert und auf die möglichen strafrechtlichen Konsequenzen ihres Fehlverhaltens hingewiesen.

Behörde: Agencia Española de Protección de Datos (AEPD)
Branche: Telekommunikation
Verstoß: Art. 6 DSGVO, Art. 25 DSGVO
Bußgeld: 1,2 Mio. Euro

Die AEPD stellte fest, dass Orange ein Duplikat der SIM-Karte an einen Dritten gegeben hatte, ohne die Einwilligung der betroffenen Person eingeholt zu haben, sodass das Unternehmen gegen Art. 6 Abs. 1 DSGVO verstoßen hatte. Zudem hatte Orange zum Zeitpunkt der Gestaltung der Verarbeitungsprozesse versäumt, technische und organisatorische Maßnahmen vorzusehen, um die Einhaltung der Datenschutzgrundsätze zu gewährleisten. In diesem konkreten Fall hatte man keine technische Maßnahme implementiert, um zu verifizieren, dass die durch die Mitarbeiter eingegeben Informationen richtig waren. Infolgedessen verhängte die AEPD ein Bußgeld von 200.000 Euro wegen Verstoßes gegen Art. 6 Abs. 1 DSGVO und 1.000.000 Euro wegen Verstoßes gegen Art. 25 DSGVO.

Anforderung einer Ausweiskopie ohne Angaben zur Datenverarbeitung

Atrium Lex SFC, S.L. verwaltete mehrere Immobilienprojekte, an denen verschiedene Investoren beteiligt waren. In seiner Eigenschaft als Investor bat der Beschwerdeführer Atrium Lex um Informationen über die genannten Projekte, wurde aber von der Beschwerdegegnerin aufgefordert, eine Kopie seines Ausweises vorzulegen, ohne dass er über die beabsichtigte Datenverarbeitung informiert wurde. Daraufhin reichte der Investor Beschwerde bei der spanischen Datenschutz-Aufsichtsbehörde ein. Die AEPD stellte auf der Basis des E-Mail-Verkehrs der Parteien fest, dass der Verantwortliche keine Informationen über die angestrebte Datenverarbeitung zur Verfügung gestellt hatte, als er die personenbezogenen Daten erhob. Zudem legte der Verantwortliche im Rahmen der Ermittlungen keine Dokumente vor, die darlegen, welche Maßnahmen er zur Anpassung seiner Datenschutzprozesse an Art. 13 DSGVO ergriffen hat. Da die Kopie des Ausweises per E-Mail verlangt wurde, stellt die AEPD fest, dass der Verantwortliche keine angemessenen technischen und organisatorischen Maßnahmen getroffen hatte, um die Sicherheit der personenbezogenen Daten zu gewährleisten. Die AEPD weist hier darauf hin, dass die Übermittlung solcher sensiblen Daten per E-Mail erhebliche Risiken für die Rechte und Freiheiten der Betroffenen birgt, da mithilfe einer Ausweis-Kopie ein Identitätsdiebstahl durch einen Dritten ermöglicht wird.

Behörde: Agencia Española de Protección de Datos (AEPD)
Branche: Immobilien
Verstoß: Art. 13 DSGVO, Art. 32 Abs. 1 DSGVO
Bußgeld: 100.000 Euro

Die Umsetzung technischer und organisatorischer Maßnahmen zur Sicherstellung des Vertraulichkeitsschutzes im Umgang mit personenbezogenen Daten ist ein wesentlicher Bestandteil des Datenschutzes. Je sensibler die Informationen sind, desto strenger werden die Anforderungen an die Maßnahmen zum Schutz der Daten. Andererseits bilden die Informationspflichten nach Art. 13 und 14 DSGVO den zentralen Bestandteil des Datenschutzes, da Betroffene ihre Rechte nur dann ausüben können, wenn sie über die Datenverarbeitung ausreichend informiert werden. Wegen der Schwere der Verstöße verhängte die AEPD ein Gesamtbußgeld von 100.000 Euro gegen den Verantwortlichen.

Veröffentlichung von personenbezogenen Daten ohne Rechtsgrundlage

Nachdem die AEPD von der unbefugten Veröffentlichung personenbezogener Daten durch Publicaciones y Ediciones Baraca 208, S.L. in ihrer digitalen Zeitung erfahren hatte, entschied sie, ein Bußgeldverfahren gegen das Unternehmen zu eröffnen. Der Verantwortliche hatte Vor- und Nachnamen, Adresse, Ausweisnummer und Gesundheitsdaten der betroffenen Person in der Zeitung veröffentlicht. Die AEPD erklärt, dass die Daten über den Ausweis und die Wohnadresse für die Zwecke der Verarbeitung unnötig sind, sodass hier gegen das Prinzip der Datenminimierung aus Art. 5 Abs. 1 lit. c DSGVO verstoßen wird. Für die Verarbeitung von Gesundheitsdaten musste zudem eine der in Art. 9 DSGVO geregelten Fälle vorliegen, die eine Datenverarbeitung erlaubt. Für die Veröffentlichung der Gesundheitsdaten lag hier allerdings keine Rechtsgrundlage vor, sodass die Verarbeitung einen Verstoß gegen Art. 9 DSGVO darstellt. Im Ergebnis verhängte die spanische Aufsichtsbehörde ein Gesamtbußgeld in Höhe von 10.000 Euro.

Behörde: Agencia Española de Protección de Datos (AEPD)
Branche: Verlag
Verstoß: Art. 5 Abs. 1 lit. c DSGVO, Art. 9 DSGVO
Bußgeld: 10.000 Euro

Vor dem Hintergrund der Sensibilität der betroffenen personenbezogenen Daten erscheint das Bußgeld eher gering. Da der Verantwortliche seine Schuld einräumte und das Bußgeld zügig bezahlte, wurde das Bußgeld auf 6.000 Euro reduziert. Die Entscheidung der AEPD macht deutlich, dass Unternehmen stets das Prinzip der Datenminimierung beachten und jede Datenverarbeitung auf eine Rechtsgrundlage stützen müssen. Um das Selbstbewusstsein für den Datenschutz im Unternehmen zu erhöhen, empfiehlt es sich, die Mitarbeiter regelmäßig auf den Datenschutz zu sensibilisieren.

Unrechtmäßige Überwachung von Mitarbeitern

Ein französisches Immobilienunternehmen hatte Überwachungssoftware auf den dienstlichen Computern seiner Mitarbeiter installiert, um deren Aktivitäten im Homeoffice zu überwachen. Zusätzlich setzte es ein Videoüberwachungssystem auf dem Unternehmensgelände ein, um Diebstähle zu verhindern. Nachdem mehrere Beschwerden gegen das Unternehmen eingegangen waren, leitete die französische Aufsichtsbehörde CNIL ein Verfahren ein. Im Rahmen ihrer Untersuchungen stellte die CNIL fest, dass das Unternehmen mithilfe von zwei Kameras seine Mitarbeiter sowohl am Arbeitsplatz als auch während der Pausen kontinuierlich filmte, dabei Bild und Ton aufzeichnete und ihre Arbeitszeit sowie Leistung durch auf den Computern installierte Software streng überwachte und regelmäßig Screenshots machte.

Da für die Videoüberwachung keine außergewöhnlichen Rechtfertigungsgründe vorlagen, verstieß dies gegen das Prinzip der Datenminimierung gemäß Art. 5 Abs. 1 lit. c DSGVO. Auch die übermäßige Kontrolle der Arbeitsleistung und des Verhaltens der Mitarbeiter basierte auf keiner Rechtsgrundlage.

Das Unternehmen konnte zudem keine Nachweise über die Erfüllung der Informationspflichten gemäß Art. 12 und 13 DSGVO vorlegen, weshalb die CNIL auch hier einen Verstoß feststellte.

Ferner stellte die CNIL einen Verstoß gegen Art. 32 DSGVO fest, da das Unternehmen den gemeinsamen Zugriff auf ein Administratorkonto erlaubte, um Daten aus der Überwachungssoftware der Arbeitsstationen abzurufen. Außerdem hatte das Unternehmen vor dem Einsatz der Überwachungssoftware keine Datenschutz-Folgenabschätzung vorgenommen.

Behörde: Commission Nationale de l ’informatique et des Libertés (CNIL)
Branche: Immobilien
Verstoß: Art. 5 Abs. 1 lit. c DSGVO, Art. 6 DSGVO, Art. 12 DSGVO, Art. 13 DSGVO, Art. 32 DSGVO und Art. 35 DSGVO
Bußgeld: 40.000 Euro

Infolgedessen wurde ein Bußgeld in Höhe von 40.000 Euro gegen das Unternehmen verhängt. Die Höhe des Bußgeldes wurde unter Berücksichtigung der finanziellen Situation des Unternehmens und seiner geringen Größe festgelegt. Aus dem Sachverhalt geht hervor, dass das französische Immobilienunternehmen ein mangelndes Bewusstsein für Datenschutz hatte, da es gegen grundlegende Pflichten der DSGVO verstoßen hatte und kaum Rücksichtnahme auf die Privatsphäre der Arbeitnehmer nahm. Daher ist es ratsam, Datenschutzschulungen regelmäßig zu organisieren, um alle Mitarbeiter im Unternehmen für den Datenschutz zu sensibilisieren.

SMS-Werbung ohne Einwilligung

Die spanische Aufsichtsbehörde leitete ein Bußgeldverfahren gegen die Breogan Autolux, S.L. ein, nachdem eine Privatperson eine Beschwerde gegen das Unternehmen eingereicht hatte, weil sie Werbung per SMS erhalten hatte, ohne eine Einwilligung erteilt zu haben. Darüber hinaus besteht nicht die Möglichkeit, den Erhalt solcher Nachrichten zu deaktivieren. Dies stellt einen Verstoß gegen Art. 21 LSSI ( Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico), der ähnlich wie § 7 UWG besagt, dass elektronische Werbung ausschließlich zulässig ist, wenn die Betroffenen ihre Einwilligung ausdrücklich erteilt haben oder wenn eine Kundenbeziehung mit dem Empfänger besteht und weitere Voraussetzungen erfüllt sind.

Behörde: Agencia Española de Protección de Datos (AEPD)
Branche: Autohandel
Verstoß: Art. 21 Abs. 1 LSSI, Art. 21 Abs. 2 LSSI
Bußgeld: 6.000 Euro

Wegen der festgestellten Verstöße verhängte die AEPD ein Bußgeld in Höhe von 10.000 Euro, das aufgrund der freiwilligen Zahlung und des Schuldeingeständnisses auf 6.000 Euro reduziert wurde. Die Entscheidung verdeutlicht, dass der Datenschutz bei Werbemaßnahmen stets berücksichtigt werden muss – und dazu zählen natürlich auch SMS- oder E-Mail-Marketing. Unternehmen sind verpflichtet, sicherzustellen, dass die Verarbeitung personenbezogener Daten stets im Einklang mit den Normen der DSGVO erfolgt.

Mehr zum Thema
Informieren Sie sich über unsere praxisnahen Webinare
  • »DSGVO und Künstliche Intelligenz«
  • »Microsoft 365 sicher gestalten«
  • »Bewerber- und Beschäftigtendatenschutz«
  • »Auftragsverarbeitung in der Praxis«
  • »IT-Notfall Ransomware«
  • »DSGVO-konformes Löschen«
  • »ISMS: Informationssicherheit mit System«
Webinare entdecken
Mit dem Code „Webinar2025B“ erhalten Sie 10% Rabatt, gültig bis zum 30.06.2025.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.