Zum Inhalt springen Zur Navigation springen
Top 5 DSGVO-Bußgelder im Juli 2025

Top 5 DSGVO-Bußgelder im Juli 2025

Artikel von Dr. Datenschutz·8. August 2025

Die Datenschutzaufsichtsbehörden verhängen monatlich Bußgelder wegen Verstößen gegen die DSGVO. Aus diesen können Unternehmen einen Überblick über aktuelle Prüfungsschwerpunkte und die Sanktionspraxis der Behörden gewinnen. Hier finden Sie daher unsere Top 5 Bußgelder im Juli 2025.

Wer zu viel im Bewerbungsprozess wissen will…

Die spanische Datenschutzbehörde (AEPD) untersuchte die Datenverarbeitung eines Logistikunternehmens bei der Erhebung von Informationen im Rahmen von Bewerbungen. Auslöser war die Beschwerde eines Bewerbers, von dem ein Führungszeugnis für die Teilnahme am Vorstellungsgespräch verlangt worden war. Zudem wurden Informationen zum Familienstand abgefragt. Die AEPD sah hierin einen Verstoß gegen den Grundsatz der Datenminimierung. Diese Informationen seien für die Abwicklung der Bewerbung nicht erforderlich gewesen.

Behörde: Agencia Española Protección Datos (AEPD)
Branche: Logistik
Verstoß: Art. 5 Abs. 1 lit. c) DSGVO
Bußgeld: 100.000 Euro

Der Fall zeigt, wie sensibel die Datenschutzaufsicht bei der Verarbeitung personenbezogener Daten über strafrechtliche Verurteilungen sein kann. Das heißt nicht, dass die Abfrage solcher Informationen per se unzulässig wäre. Was es aber nicht gibt, ist eine generelle Pflicht zur Vorlage von Führungszeugnissen bei Bewerbungen. Vielmehr muss der potenzielle Arbeitgeber begründen können, warum das etwaige strafrechtliche Vorleben des Beschäftigten für die zu besetzende Position erheblich ist. Kann er das nicht, ist die Anordnung der Vorlage des Führungszeugnisses rechtswidrig.

Befragung zum Gesundheitszustand von rückkehrenden Mitarbeitern

Die italienische Datenschutzbehörde untersuchte die Praxis eines Unternehmens, Beschäftigte nach längerer Krankheit über ihren Gesundheitszustand zu befragen. Das Unternehmen verlangte eine solche Befragung bei der Rückkehr der Mitarbeitenden an den Arbeitsplatz. In dem Gespräch wurde der mentale und körperliche Gesundheitszustand der Beschäftigten erfasst. Anschließend gab das Unternehmen die Daten unter anderem an den zuständigen Arzt weiter, um bei Bedarf Anpassungen am Arbeitsplatz vorzunehmen. Die Behörde stellte fest, dass das Unternehmen die Gesundheitsdaten ohne Rechtsgrundlage verarbeitete und die Beschäftigten nicht ausreichend über die Verarbeitung informierte. Die etwaige Einwilligung der Beschäftigten sei wegen der Machtasymmetrie zwischen Arbeitgeber und Beschäftigten nicht freiwillig.

Behörde: Garante per la protezione dei dati personali
Branche: IT
Verstoß: Art. 9 DSGVO, Art. 13 DSGVO
Bußgeld: 50.000 Euro

Die Situation ähnelt der des in Deutschland vorgeschriebenen BEM. Wenn der Arbeitgeber einen von länger Krankheit zurückkehrenden Beschäftigten ein BEM anbietet, muss er den Beschäftigten informieren, dass die Teilnahme freiwillig ist und wie er mit aus dem BEM resultierenden Daten umgeht. Die Anforderungen an die Einwilligung und die Aufklärung des Beschäftigten sind recht hoch. Es ist nicht unüblich, dass eine nachträglich krankheitsbedingte Kündigung an diesen Anforderungen scheitert. Das dann auch noch die Datenschutzaufsicht mitmischen kann, macht die Sache nicht besser.

Nichtbeantwortung einer Auskunftsanfrage trotz Anweisung – not so nice!

Die spanische Datenschutzbehörde reagierte auf die Beschwerde einer Privatperson. Diese hatte von ihrer Bank Auskunft über ihre personenbezogenen Daten verlangt, jedoch keine Antwort erhalten. Daraufhin setzte die AEPD dem Unternehmen eine Frist von zehn Tagen, um der Aufforderung nachzukommen. Trive Credit Spain reagierte jedoch nicht. Nach Zahlung des Bußgelds wurde dieses von ursprünglich 225.000 Euro auf 180.000 Euro reduziert.

Behörde: Agencia Española Protección Datos (AEPD)
Branche: Finanzwesen
Verstoß: Art. 5 Abs. 1 lit. c) DSGVO
Bußgeld: 180.000 Euro

Die AEPD hat bei ihren Bußgeldern manchmal einen Wums, wie man an der Höhe des Bußgelds sieht. Ob man bei einem im Raum stehenden Bußgeld mit der Datenschutzaufsicht kooperieren sollte, bleibt selbstredend stets eine Frage des Einzelfalls. Zumindest bei der Bemessung der Bußgeldhöhe kann sich das aber positiv auswirken. Was sich aber in beiden Fällen taktisch verbieten sollte, ist überhaupt nicht zu reagieren, sei es auf Betroffenen- oder auf Behördenanfragen.

Löschen ist Pflicht und keine Kür – auch für staatliche Register

Aufgrund eines anonymen Berichts über einen „Leak“ von personenbezogenen Daten von mehr als einer Million Fahrzeugbesitzern aus dem kroatischen Register der registrierten Fahrzeuge führte die Datenschutzaufsichtsbehörde eine Untersuchung bei mehreren Beteiligten durch. Zu diesen zählten unter anderen das kroatische Versicherungsbüro, das kroatische Fahrzeugzentrum und das kroatische Innenministerium. Im Zuge dieser Untersuchung wurde von der Aufsicht auch festgestellt, dass der kroatische Staat es versäumt habe, Höchstspeicherfristen für die in dem kroatischen Register enthaltenen Fahrzeugdaten vorzusehen.

Behörde: Agencija za zaštitu osobnih podataka
Branche: Verkehrswesen
Verstoß: Art. 5 Abs. 1 lit. e DSGVO, Art. 32 Abs. 2 und Abs. 4 DSGVO
Bußgeld: 101.000 Euro

Die Einhaltung von Löschfristen ist eine Kernaufgabe für Verantwortliche. Wie schief das gehen kann und wie schnell vielfach Datensätze bei einem fehlenden Löschkonzept betroffen sind, zeigt dieser Fall. Auch, wenn die DSGVO nicht vorschreibt, dass stets feste Fristen vorgeschrieben sein müssen, bedarf es eines zumindest abstrakten Löschkonzepts.

Fehlende Verschlüsselung und Passwortsicherung – keine gute Idee!

Die kroatische Datenschutzbehörde untersuchte in einem weiteren Fall die technischen und organisatorischen Maßnahmen eines Vergleichsportals für Energieanbieter. Dabei stellte sie fest, dass das Unternehmen die Login-Daten sämtlicher Nutzer, einschließlich der Passwörter, unverschlüsselt auf seinen Servern gespeichert hatte. Zusätzlich wurden Nutzern, die ihr Passwort vergessen hatten, ihre Passwörter als Klartext per E-Mail zugeschickt. Es mangelte daher aus Sicht der Aufsicht an technischen und organisatorischen Maßnahmen zum Schutz der verarbeiteten Daten.

Behörde: Agencija za zaštitu osobnih podataka
Branche: Vergleichsportal
Verstoß: Art. 31 DSGVO, Art. 32 DSGVO
Bußgeld: 320.000 Euro

Erstaunlicherweise werden Daten in der Praxis teilweise immer noch unverschlüsselt gespeichert oder übermittelt, wie der Fall zeigt, obwohl die DSGVO die Verschlüsselung als technische und organisatorische Maßnahme ausdrücklich nennt. Je nach Sensibilität der Daten kann die erforderliche Stärke der Verschlüsselung variieren. Die Speicherung oder Übermittlung von Daten ohne Verschlüsselung sollte jedoch die Ausnahme bleiben und die Gründe hierfür sollten dokumentiert werden. Fehlt es an einer tragfähigen Begründung, riskiert man schnell Bußgelder und Schadensersatzforderungen.

Mehr zum Thema
Informieren Sie sich über unsere praxisnahen Webinare
  • »DSGVO und Künstliche Intelligenz«
  • »Microsoft 365 sicher gestalten«
  • »Bewerber- und Beschäftigtendatenschutz«
  • »Auftragsverarbeitung in der Praxis«
  • »IT-Notfall Ransomware«
  • »DSGVO-konformes Löschen«
  • »ISMS: Informationssicherheit mit System«
Webinare entdecken
Mit dem Code „Webinar2025B“ erhalten Sie 10% Rabatt, gültig bis zum 31.12.2025.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.