Die Datenschutzaufsichtsbehörden verhängen monatlich Bußgelder wegen Verstößen gegen die DSGVO. Aus diesen können Unternehmen einen Überblick über aktuelle Prüfungsschwerpunkte und die Sanktionspraxis der Behörden gewinnen. Hier finden Sie daher unsere Top 5 Bußgelder im Februar 2026.
Der Inhalt im Überblick
Belastbare Altersverifikation ist zwingend
Die britische Datenschutzbehörde (Information Commissioner’s Office, ICO) hat MediaLab.AI, Inc. (MediaLab), Eigentümer der Bildfreigabe- und Hosting-Plattform Imgur, mit einem Bußgeld in Höhe von 247.590 GBP belegt. Eine umfassende Untersuchung des ICO zeigte, dass MediaLab es versäumt hatte, grundlegende Schutzmaßnahmen für minderjährige Nutzer zu implementieren: Die Plattform verfügte über keine wirksamen Systeme zur Überprüfung des Alters ihrer Nutzer. Dadurch konnten Kinder ohne Einschränkungen auf den Dienst zugreifen. Auch die gesetzlich erforderliche, nachprüfbare Zustimmung der Eltern wurde nicht eingeholt. Allein die Angabe in den Nutzungsbedingungen, dass die Plattform nur unter elterlicher Aufsicht genutzt werden dürfe, reichte der Behörde nicht aus. Eine Datenschutz-Folgenabschätzung (DSFA) hatte das Unternehmen nicht durchgeführt. Durch diese Versäumnisse waren Kinder unter 13 Jahren dem Risiko ausgesetzt, potenziell schädlichen Inhalten zu begegnen. Der Bußgeldbescheid listet Inhalte sexueller Natur, Darstellungen von Gewalt, Essstörungen sowie antisemitische und homophobe Inhalte auf.
Behörde: ico (Großbritannien)
Branche: Soziale Medien / Bilder-Sharing-Plattform
Verstoß: Art. 5(1)(a), 6 und 8 UK GDPR, Art. 35 UK GDPR
Bußgeld: 247.590 GBP (ca. 283 000 Euro)
Zentrales Versäumnis des Verantwortlichen war das Fehlen jeglicher Alterskontrolle. MediaLab hätte ein System zur Altersüberprüfung (sogenannte „Age Assurance“) einführen müssen. Ein passiver Ansatz, bei dem man die Anwesenheit von Kindern auf der eigenen Plattform ignoriert, ist nicht gesetzeskonform. MediaLab hätte eine „Privacy by Design“- und „Privacy by Default“-Strategie verfolgen müssen, bei der der Schutz von Kindern von Anfang an in die Gestaltung der Plattform integriert wird. Dies hätte z.B. durch den Einsatz von Verifikationsdienstleistern (eID-Systeme) geschehen können. Die Durchführung einer DSFA hätte das Risiko deutlich macht, das Bußgeld wäre vermeidbar gewesen.
Mangelnde Kooperation mit der Aufsichtsbehörde: In jedem Fall teuer
Die rumänische Datenschutzbehörde ANSPDCP (Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal) hat eine Untersuchung gegen den Online-Shop Tensa Art Design S.A. abgeschlossen und ein Bußgeld verhängt. Eine Nutzerin meldete, dass auf der Website des Unternehmens Tracking- und Marketing-Cookies ohne Rechtsgrundlage gesetzt würden. Im Rahmen der sich anschließenden behördlichen Untersuchung forderte die Datenschutzbehörde Informationen vom Unternehmen an, worauf das Unternehmen jedoch nicht reagierte.
Behörde: ANSPDCP (Rumänien)
Branche: Online-Handel
Verstoß: Art. 58 Abs. 1 lit. a, e DSGVO, Art. 83 Abs.5 lit.e DSGVO
Bußgeld: 101.794 Lei (20.000 Euro)
Das Bußgeld wurde nicht für den ursprünglichen Cookie-Verstoß verhängt, sondern ausschließlich für die mangelnde Kooperation mit der Aufsichtsbehörde. Zusätzlich zum Bußgeld wurde das Unternehmen angewiesen, die angeforderten Informationen nachträglich an die Behörde zu übermitteln. Fazit für verantwortliche Unternehmen: Kommunikation und Kooperation sind im Datenschutzrecht keine Tugenden, sondern Pflicht. Eine offene, ehrliche und vor allem fristgerechte Kommunikation mit den Aufsichtsbehörden ist entscheidend, um Bußgelder zu vermeiden oder zumindest deren Höhe erheblich zu reduzieren. Den Kopf in den Sand zu stecken, ist die teuerste aller Optionen.
Kooperation hilft Bußgelder zu vermeiden
In einem weiteren Fall mangelnder Kooperation verhängte die rumänische Datenschutzbehörde ANSPDCP ein Bußgeld in Höhe von 2.000 Euro gegen eine Zahnklinik. Der Fall begann damit, dass die Klinik selbst eine Datenpanne bei der Behörde meldete. Eine ehemalige Mitarbeiterin hatte die Kontaktdaten und medizinischen Unterlagen aller Patienten kopiert. Anschließend kontaktierte sie diese Patienten, um sie zu einer neuen Klinik abzuwerben. Daraufhin leitete die Behörde eine Untersuchung ein und forderte wiederholt Informationen von der Klinik an. Das Unternehmen beantwortete diese Anfragen jedoch nicht oder nicht vollständig. In einem ersten Schritt verhängte die Behörde daraufhin eine offizielle Verwarnung und erließ eine formelle Anordnung, der Behörde den geforderten Zugang zu den Daten und Informationen zu gewähren. Da die Zahnklinik dieser Anordnung innerhalb der gesetzten Frist immer noch nicht nachkam, wurde in einem zweiten Schritt das Bußgeld verhängt.
Behörde: ANSPDCP (Rumänien)
Branche: Gesundheitswesen
Verstoß: Art. 58 Abs. 1 lit. a, e DSGVO, Art. 83 Abs.5 lit.e DSGVO
Bußgeld: 10.190 Lei (2.000 Euro)
Wie im vorherigen rumänischen Fall wurde das Bußgeld ausschließlich wegen der mangelnden Kooperation verhängt. Der entscheidende Punkt hier ist die Eskalation: Die Strafe wurde erst fällig, nachdem das Unternehmen nicht nur die anfänglichen Anfragen, sondern auch eine darauf folgende, formelle Anordnung und Verwarnung ignoriert hatte. Unternehmen müssen klare Prozesse für Incident-Response, inklusive dedizierter Ansprechpartner und Schulungen implementieren, um Bußgelder zu vermeiden und Vertrauen zu wahren.
Bußgelder wegen illegaler Verarbeitung von Informationen über Angehörige einer Religionsgemeinschaft
Die niederländische Datenschutzaufsicht (AP) hat gegen zehn niederländische Gemeinden (darunter Delft, Eindhoven und Tilburg) Bußgelder in Höhe von insgesamt 250.000 Euro (jeweils 25.000 Euro) erlassen. Die Gemeinden hatte ein externes Untersuchungsbüro beauftragt, um heimlich Informationen über islamische Gemeinschaften und deren Mitglieder zu sammeln.
Diese Untersuchungen fand im Kontext der Sorge vor Extremismus und Terrorismus statt, oft auf Anraten der nationalen Anti-Terror-Behörde (NCTV). Das Büro erstellte detaillierte Berichte (sogenannte „Kraftfeldanalysen“ oder „Quick-Scans“), die den Gemeinden übergeben wurden. Diese Berichte enthielten besonders sensible Daten: Neben Informationen über die Religionszugehörigkeit (einschließlich der spezifischen Strömung innerhalb des Islam) und politischen Ansichten wurden Namen, Fotos, Informationen über Familienmitglieder und Details über interne Spannungen in Moscheen gesammelt. All diese Informationen wurden gesammelt, verarbeitet und teilweise an Polizei und Ministerien weitergegeben, ohne dass die betroffenen Personen davon wussten. Zusätzlich zu den Bußgeldern erließ die AP ein Verarbeitungsverbot: Die Rapporten dürfen nur für Betroffenenrechte oder Gerichtsverfahren genutzt werden, danach müssen sie gelöscht werden. Der Fall unterstreicht Risiken bei Anti-Radikalisierungsmaßnahmen im öffentlichen Sektor.
Behörde: Autoriteit Persoonsgegevens – AP (Niederlande)
Branche: Öffentliche Verwaltung
Verstoß: Art. 6, 9, 12-14 DSGVO
Bußgeld: Insgesamt 250.000 Euro (verteilt auf zehn Gemeinden)
Bevor Organisationen Daten gemäß Art.9 DSGVO verarbeiten, muss eine der wenigen, eng auszulegenden Ausnahmen zweifelsfrei festgestellt sein. „Öffentliches Interesse“ oder „gute Absichten“ allein reichen als Rechtfertigung nicht aus. Auch wenn das Ziel (Terrorismusbekämpfung) legitim ist, müssen die Mittel zur Erreichung dieses Ziels legal sein.
Immer wieder: Belastbare TOM sind unerlässlich
Ein Kunde beschwerte sich bei der spanischen Datenschutzbehörde (AEPD), nachdem er von einem Telekommunikationsunternehmen eine E-Mail bezüglich eines neuen Kundenportals erhalten hatte. Diese E-Mail enthielt seine vollständigen Zugangsdaten – Benutzername und ein vom Unternehmen neu vergebenes Passwort – im unverschlüsselten Klartext. Der Kunde war alarmiert, da dieses Passwort Zugang zu einem Portal verschaffte, in dem eine große Menge seiner persönlichen Daten gespeichert war, darunter Name, Adresse, Ausweisnummer (DNI), Telefonnummer, Vertragsdetails, Rechnungen und sogar Anruf- und Verbrauchsdaten. Er bemängelte zudem, dass das Portal keine Zwei-Faktor-Authentifizierung anbot, was das Risiko weiter erhöhte. Das Unternehmen verteidigte sich damit, dass es sich um einen einmaligen „menschlichen Fehler“ gehandelt habe, man habe sofort reagiert, das Passwort zurückgesetzt und den Kunden kontaktiert. Es sei kein unbefugter Zugriff oder Schaden entstanden. Die AEPD wies die Argumente des Unternehmens zurück und verhängte das Bußgeld wegen eines klaren Verstoßes gegen Artikel 32 DSGVO (Sicherheit der Verarbeitung).
Behörde: Agencia Española de Protección de Datos – AEPD (Spanien)
Branche: Telekomunikation
Verstoß: Art. 32 DSGVO
Bußgeld: 10.000 Euro
Verantwortlichen sollte klar sein, dass für einen Verstoß gegen Art. 32 DSGVO kein tatsächlicher Schaden oder Datenabfluss nachgewiesen werden muss. Das reine Schaffen eines hohen und vermeidbaren Risikos stellt bereits den Verstoß dar. Auch die Tatsache, dass ein Mitarbeitenden einen so gravierenden Fehler manuell machen kann, ist ein deutliches Indiz dafür, dass die technischen und organisatorischen Maßnahmen des Unternehmens nicht ausreichend waren. Die schnelle Reaktion des Unternehmens wurde zwar als mildernder Umstand bei der Bemessung der Bußgeldhöhe berücksichtigt, änderte aber nichts an der Tatsache, dass der Verstoß bereits stattgefunden hatte. Die Sicherheit muss vor dem Vorfall gewährleistet sein, nicht erst danach.
