Die Datenschutzaufsichtsbehörden verhängen monatlich Bußgelder wegen Verstößen gegen die DSGVO. Aus diesen können Unternehmen einen Überblick über aktuelle Prüfungsschwerpunkte und die Sanktionspraxis der Behörden gewinnen. Hier finden Sie daher unsere Top 5 Bußgelder im Januar 2026.
Der Inhalt im Überblick
- Schwaches VPN-System und unzureichende Betroffeneninformationen
- Mangelhafte TOMs öffnen Tür für Cyber-Attacke
- Datenübermittlung an Social Media zu Werbezwecken ohne hinreichende Einwilligung
- Herumliegenlassen von personenbezogenen Daten durch Sicherheitsdienst
- Verweigerung der Bearbeitung von Betroffenenanfragen
Schwaches VPN-System und unzureichende Betroffeneninformationen
Die CNIL verhängte am 13. Januar 2026 zwei Geldbußen in Höhe von insgesamt 42 Mio. Euro gegen die Telekommunikationsdienstleister Free Mobile und Free. Anlass waren insbesondere Mängel bei der Sicherheit des VPN-Systems . Dabei war das Authentifizierungsverfahren des VPNs des Unternehmens aus technischer Sicht nicht robust genug ausgestaltet. Zudem war die Kommunikation des Unternehmens hinsichtlich der Datenpannen mit den Betroffenen nicht ausreichend. Im zweigestuften Informationsverfahren enthielten die Benachrichtigungen an die Betroffenen nicht alle erforderlichen Informationen. Free Mobile wurde mit 27 Mio. Euro, Free mit 15 Mio. Euro sanktioniert.
Behörde: CNIL (Frankreich)
Branche: Telekommunikation
Verstoß: Art. 5 Abs. 1 lit. e DSGVO, Art. 32, 34 DSGVO
Bußgeld: 42.000.000 Euro
Hinreichende IT-Sicherheitsmaßnahmen sind nicht nur „nice-to-have“, sie sind geschäftskritisch. Technische Schwächen und organisatorische Defizite führen unmittelbar zu hohen Bußgeldern. Der Fokus sollte daher auf präventiven Sicherheitskonzepten und regelmäßigen Risikoanalysen liegen. Und wenn dann mal etwas passiert, sollte daruaf geachtet werden, dass die Informationsprozesse der Betroffenen inhaltlich ausreichend gestaltet sind.
Mangelhafte TOMs öffnen Tür für Cyber-Attacke
Im ersten Quartal 2024 drangen Angreifer mittels Social Engineering in das Informationssystem von France Travail ein, und übernahmen die Kontrolle über Konten von Beratern der Arbeitsagentur. So erlangten sie Zugriff auf Daten aller registrierten oder in den letzten 20 Jahren mal registrierten Personen sowie Nutzer des Kandidatenbereichs auf francetravail.fr. Betroffen waren u. a. Sozialversicherungsnummern, Kontakt- und Adressdaten; auf vollständige Dossiers mit Gesundheitsdaten konnten die Angreifer jedoch nicht zugreifen. Die CNIL stellte gravierende Defizite bei den technischen und organisatorischen Sicherheitsmaßnahmen fest, insbesondere schwache Authentifizierung, unzureichende Protokollierung zur Erkennung atypischer Zugriffe und zu weit gefasste Berechtigungen der Beraterkonten. Obwohl viele geeignete Maßnahmen bereits in Datenschutz-Folgenabschätzungen identifiziert waren, wurden sie nicht umgesetzt. Auf Grundlage von Art. 32 DSGVO verhängte die CNIL eine Geldbuße von 5 Mio. Euro und verpflichtete France Travail zu nachweisbaren Korrekturmaßnahmen, andernfalls drohen 5.000 Euro Zwangsgeld pro Verzugstag.
Behörde: CNIL (Frankreich)
Branche: Verwaltung
Verstoß: Art. 32 DSGVO
Bußgeld: 5.000.000 Euro
Auch Konten von einfachen Sachbearbeitern verfügen häufig über weitreichende Zugriffsrechte und stellen damit ein erhebliches Risiko dar, wenn sie durch Social Engineering kompromittiert werden. Der Vorfall zeigt, dass Sensibilisierung für Phishing und ähnliche Angriffe sowie eine sichere Authentifizierung und restriktive Berechtigungen zwingende Bestandteile der täglichen Arbeit eines jeden Mitarbeiters sind. Die CNIL unterstreicht damit die Relevanz der technischen und organisatorischen Maßnahmen gemäß Art. 32 DSGVO. Derartige TOMs müssen wirksam implementiert sein; bloße Einsatzplanungen oder Dokumentation genügt nicht. Besonders relevant ist, dass bereits geplante, aber nicht umgesetzte Maßnahmen als gravierendes Organisationsverschulden gewertet werden.
Datenübermittlung an Social Media zu Werbezwecken ohne hinreichende Einwilligung
Im Januar 2023 prüfte die CNIL ein Unternehmen, das seit 2018 E‑Mail-Adressen und Telefonnummern von Mitgliedern seines Treueprogramms an ein soziales Netzwerk übermittelte, um dort gezielte Werbung für eigene Produkte zu schalten. Die CNIL stellte mehrere Verstöße gegen die DSGVO und das französisches Datenschutzrecht fest und verhängte eine Geldbuße von 3,5 Mio. Euro. Dieses Vorgehen wurde mit 16 europäischen Aufsichtsbehörden koordiniert, da über 10,5 Mio. Personen betroffen waren. Die Verarbeitung stützte sich auf eine angebliche Einwilligung, jedoch wurden die Betroffenen weder im Anmeldeformular noch in den Datenschutzhinweisen klar über die Datenübermittlung und den Zweck der Werbung informiert, sodass keine wirksame Einwilligung vorlag. Zudem wurden die Informationspflichten verletzt, die eingesetzte Sicherheitsmaßnahmen waren unzureichend, eine erforderliche Datenschutz-Folgenabschätzung ist unterblieben und Cookies wurden ohne wirksame Einwilligung gesetzt und trotz Ablehnung nicht gelöscht.
Behörde: CNIL (Frankreich)
Branche: Unbekannt
Verstoß: Art. 6 DSGVO, Art. 12 DSGVO, Art. 13 DSGVO, Art. 32 DSGVO, Art. 35 DSGVO, Art. 82 La loi Informatique et Libertés
Bußgeld: 3.500.000 Euro
Der Fall verdeutlicht, wie riskant scheinbar etablierte Marketingpraktiken wie „Custom Audiences“ sind, wenn die Einwilligung und Transparenz nicht stringent umgesetzt werden. Unternehmen können sich nicht auf pauschale oder versteckte Opt-ins im Rahmen von Treueprogrammen stützen. Der Zweck solcher Verarbeitungen, insbesondere der Upload in sozialen Netzwerken zu Werbezwecken, die beteiligten Empfänger sowie die mögliche Profilbildung müssen klar und verständlich kommuniziert werden, sonst fehlt es an einer wirksamen Einwilligung. Ebenso zeigt die Entscheidung, dass unzureichende Datenschutzhinweise, veraltete Hashing-Verfahren und der Verzicht auf eine erforderliche Datenschutz-Folgenabschätzung nicht als Bagatellen behandelt werden, sondern in einem erheblichen Bußgeld resultieren können.
Herumliegenlassen von personenbezogenen Daten durch Sicherheitsdienst
Die spanische Datenschutzbehörde AEPD belegte den Hotelbetreiber EXCEL HOTELS & RESORTS, S.A. mit einem Bußgeld, weil im Rahmen einer Zugangskontrolle in einer Ferienanlage Papierlisten mit personenbezogenen Daten offen einsehbar herumlagen. Sicherheitskräfte, die als Auftragsverarbeiter für EXCEL HOTELS tätig waren, ließen Listen mit Namen, Apartmentnummern, Staatsangehörigkeit, Ausweis‑ und Passnummern sowie Angaben zum Aufenthaltsregime von Eigentümern und Hotelgästen sichtbar liegen. Dritte konnten diese einsehen und fotografieren. EXCEL HOTELS ist sowohl Hotelbetreiber als auch Verwalter der Eigentümergemeinschaft und damit Verantwortlicher. Die AEPD stellte fest, dass keine angemessenen technischen und organisatorischen Maßnahmen existierten, um die Vertraulichkeit dieser Daten zu gewährleisten, und wertete dies als Datenschutzverstoß. Es wurde eine Geldbuße von 40.000 Euro festgesetzt, die sich durch freiwillige vorzeitige Zahlung auf 32.000 Euro reduzierte. Zudem muss EXCEL HOTELS innerhalb von drei Monaten nachweisen, dass effektive Sicherheitsmaßnahmen umgesetzt wurden.
Behörde: AEPD (Spanien)
Branche: Hotelgewerbe
Verstoß: Art. 5 Abs. 1 lit. f DSGVO
Bußgeld: 32.000 Euro
Datenschutzverstöße entstehen nicht nur in komplexen IT-Systemen, sondern gerade auch in einfachen Papierprozessen. Werden Zutritts- oder Gästelisten mit sensiblen Daten offen ausgelegt, ist der Grundsatz der Vertraulichkeit aus Art. 5 Abs. 1 lit. f DSGVO schnell verletzt. Für Verantwortliche bedeutet das: Physische TOMs müssen ebenso ernst genommen werden wie IT-Sicherheit. Dazu gehört auch das Verhalten von Mitarbeiteren und Dienstleistern. Hier braucht es klare Vorgaben für den Umgang mit Listen, regelmäßige Schulungen und Kontrollen. Der Fall unterstreicht außerdem, dass der Verantwortliche auch für das Verhalten von Auftragsverarbeitern einstehen muss und Auftragsverarbeitungsverträge konkrete Sicherheitsanforderungen enthalten sollten.
Verweigerung der Bearbeitung von Betroffenenanfragen
Die norwegische Datenschutzbehörde hat den Softwareentwickler Timegrip AS zu 250.000 NOK Bußgeld verurteilt, weil Mitarbeitende einer insolventen Ladenkette keinen Einblick in ihre Arbeitszeitdaten bekamen. Timegrip verarbeitete im Auftrag der Ladenkette Daten über die Arbeitszeiten der Beschäftigten. Als die Ladenkette in Konkurs ging, musste der Betroffene seine Forderung auf ausstehenden Lohn gegenüber der Ladenkette dokumentieren. Er bat Timegrip daher um eine Kopie seiner Zeiterfassung für den Zeitraum, in dem er keinen Lohn erhalten hatte. Timegrip wollte die Daten weder der insolventen Ladenkette noch dem Beschwerdeführer herausgeben. Das Unternehmen war der Ansicht, dass es nach dem Konkurs der Ladenkette keinen Verantwortlichen mehr gebe. Deshalb wollte Timegrip keine personenbezogenen Daten zur Verfügung stellen – es sei denn, die Ladenkette bezahle Timegrip dafür. Die Behörde stellte aber fest: Timegrip entschied tatsächlich selbst, wozu die Daten genutzt werden, wie lange sie gespeichert werden und wer Zugriff hat – und war damit Verantwortlicher. Die Verweigerung gegenüber dem Betroffenen verletzte das Auskunftsrecht nach Art. 15 DSGVO.
Behörde: Datatilsynet (Norwegen)
Branche: Bankwesen
Verstoß: Art. 32 Abs. 1 DSGVO
Bußgeld: 250.000 NOK; 21.313 Euro
Das Auskunftsrechts nach Art. 15 DSGVO als grundlegendes Betroffenenrecht gilt auch in Insolvenzsituationen uneingeschränkt. Datenschutzrechtlich darf es zudem keinen Zustand ohne Verantwortlichen geben; maßgeblich ist, wer tatsächlich die Kontrolle über personenbezogene Daten ausübt. Übt ein Auftragsverarbeiter faktisch Entscheidungsgewalt über Zwecke, Zugriff und Speicherung aus, kann er selbst zum Verantwortlichen werden. Für Unternehmen zeigt der Fall, dass unklare Zuständigkeiten keine Rechtfertigung für die Verweigerung von Auskünften sind. Gerade in sensiblen Situationen müssen Betroffenenrechte gewahrt bleiben. Unternehmen sollten daher Verantwortlichkeiten für Insolvenzfälle frühzeitig vertraglich regeln, um Rechtsverstöße und Bußgelder zu vermeiden.
