Die Datenschutzaufsichtsbehörden verhängen monatlich Bußgelder wegen Verstößen gegen die DSGVO. Aus diesen können Unternehmen einen Überblick über aktuelle Prüfungsschwerpunkte und die Sanktionspraxis der Behörden gewinnen. Hier finden Sie daher unsere Top 5 Bußgelder im Juni 2025.
Der Inhalt im Überblick
Schwerwiegende Mängel: Offenlegung von sensiblen Daten
Das britische Gen-Test-Unternehmen 23andme ist im Jahr 2023 Opfer einer Cyberattacke geworden. Die Angreifer hatten dadurch unbefugten Zugriff auf Daten von ca. 150.000 Personen. Neben Stammdaten wie Namen oder Wohnort waren auch sensible Informationen zur ethnischen Zugehörigkeit, Stammbäumen und Gesundheitsakten betroffen. Die britische Aufsichtsbehörde hatte umfassende Mängel festgestellt. So waren weder angemessene Authentifizierungs- und Verifizierungsmaßnahmen, wie beispielsweise Multi-Faktor-Authentifizierung, noch sichere Passwortprotokolle vorhanden. Außerdem hat das Unternehmen versäumt, angemessene Kontrollen für den Zugriff auf genetische Rohdaten einzurichten. Und es waren keine wirksamen Systeme zur Überwachung, Erkennung oder Abwehr von Cyberbedrohungen, um die sensiblen Daten zu schützen, implementiert worden.
Erschwerend kam hinzu, dass 23andme deutlich zu spät auf den Vorfall reagiert und diesen zunächst sogar als Falschmeldung abgetan hatte.
Behörde: Information Commissioner’s Office (ICO)
Branche: Biotechnologie
Verstoß: Art. 5 Abs. 1 lit. f UK GDPR, Art. 9 UK GDPR, Art. 32 Abs 1. UK GDPR, Art. 33 UK GDPR
Bußgeld: ca. 2,743 Mio. EUR (2,31 Mio. GBP)
Dieser Sachverhalt zeigt wieder einmal deutlich, wie wichtig geeignete technische und organisatorische Maßnahmen im Hinblick auf Bedrohungen von außen sind. Wichtig ist vor allem, rechtzeitig Vorkehrungen zu treffen. Dabei kann eine Cyber Security Governance helfen, also klare Richtlinien und Prozesse zum Vorgehen bei IT-Sicherheitsrisiken. Das gilt erst recht, wenn es um sensible Informationen wie beispielsweise Gesundheitsdaten geht. Nicht selten führen Verstöße gegen Art. 32 DSGVO in diesem Zusammenhang nicht nur zu Bußgeldern, sondern auch zu Schadensersatzansprüchen von Betroffenen.
Nichtmeldung einer Datenschutzverletzung
Einen ähnlichen Fall hatte die irische Aufsichtsbehörde zu entscheiden. Hier wurde ein Bußgeld gegen die Stadt Dublin verhängt, weil personenbezogene Daten von ca. 13.000 Personen unbefugt offengelegt worden sind, nachdem ein Server der Stadt mit Schadsoftware angegriffen worden war. Die betroffenen Personen waren Bewerber für Studienbeihilfen. Auch in diesem Fall waren neben deren Stammdaten auch Kontodaten und besondere Datenkategorien betroffen, insbesondere Angaben zur ethnischen Herkunft und Gesundheitsdaten. Problematisch war ebenfalls, dass die Stadt Dublin bereits vor ca. sechs Monaten wegen nicht ausreichender technischer und organisatorischer Maßnahmen negativ aufgefallen war.
Nach Ansicht der Aufsichtsbehörde fiel besonders ins Gewicht, dass die Stadt die Datenschutzverletzung nicht unverzüglich gemeldet hat. Zudem sind die betroffenen Personen nicht informiert worden, obwohl die Aufsichtsbehörde die Stadt Dublin hierzu ausdrücklich aufgefordert hat.
Behörde: Data Protection Commission (DPC)
Branche: Behörde
Verstoß: Art. 5 Abs. 1 lit. f DSGVO, Art. 9 DSGVO, Art. 32 Abs 1. DSGVO, Art. 33 DSGVO, Art. 34 DSGVO
Bußgeld: 125.000 EUR
Cyberattacken sind besonders tückisch, weil sie zunächst meistens „im Hintergrund“ ablaufen, nachdem der Mensch als Einfallstor genutzt wurde. Ein gutes Informationssicherheits-Managementsystem ist in der heutigen Zeit daher längst unentbehrlich. Erfahrungsgemäß liegt im Falle einer Cyberattacke auch fast immer eine Datenschutz-Verletzung vor. Ob diese gemeldet werden muss, hängt von verschiedenen Faktoren ab. Hierzu hatte der Europäische Datenschutzausschuss aktualisierte Leitlinien veröffentlicht. Bei Vorfällen mit einem hohen Risiko für die Betroffenen müssen diese zudem entsprechend informiert werden.
Weitergabe von Gesundheitsdaten an Meta und Google
Die finnische Aufsichtsbehörde hat ein Bußgeld gegen eine Online-Apotheke mit Sitz in Turku verhängt. Über den Online-Shop der Apotheke wurden mittels Cookies und anderen Tracking-Mechanismen Daten, welche im Zusammenhang mit dem Kauf von Medikamenten erhoben worden sind, direkt an Meta und Google übermittelt. Da Kunden teilweise auch verschreibungspflichtige Medikamente vorgelegt hatten, waren auch sehr sensible Informationen zu deren Gesundheitszustand betroffen. Der Sachverhalt kam ans Licht, nachdem ein Doktorand der Universität Turku im Rahmen seiner Doktorarbeit offenbar Unregelmäßigkeiten bei der Datenverarbeitung durch die Online-Apotheke festgestellt und sich anschließend an die Aufsichtsbehörde gewandt hatte.
Der Sachverhalt scheint kein Einzelfall zu sein. Die finnische Aufsichtsbehörde untersucht derzeit ähnliche Mängel bei anderen Apotheken.
Behörde: Tietosuojavaltuutetun toimisto
Branche: Gesundheitswesen
Verstoß: Art. 5 Abs. 1 lit. f DSGVO, Art. 32 Abs. 1 DSGVO, Art. 32 Abs. 2 DSGVO
Bußgeld: 1,1 Mio. EUR
Meta, Google oder Amazon stehen immer wieder im (Datenschutz-)Kreuzfeuer der Kritik. Dies ist sicherlich oft berechtigt, sind diese großen Anbieter bekanntlich nicht für ihre Datensparsamkeit bekannt. Dennoch gibt es Möglichkeiten, Tracking-Tools von Google zumindest einigermaßen datenschutzkonform einzusetzen. Der obige Fall zeigt aber deutlich, dass der Einsatz von Tools der bekannten Datenkraken weiterhin mit Vorsicht zu genießen ist. Erst kürzlich wurde Meta selbst Adressat eines hohen Millionen-Bußgelds. Hohe Anforderungen sind stets auch an die Einwilligung zu stellen, wenn es um Tracking geht. Auch das ist der betroffenen Apotheke auf die Füße gefallen.
Unzureichende Datenschutz-Folgenabschätzung bei Gesichtserkennung
Und noch einmal ist die irische Datenschutzaufsicht gegen eine andere Behörde aktiv geworden! Hier hat es das Ministerium für Sozialschutz erwischt. Um die sogenannte „Public Services Card“ nutzen zu können, müssen sich die irischen Bürgerinnen und Bürger beim Ministerium registrieren. Zur Authentifizierung wird eine Gesichtserkennungssoftware genutzt. Dieser Vorgang wurde bereits seit 2019 von der DPC untersucht. Über die Software werden in großem Umfang hochsensible personenbezogene Daten – darunter biometrische Daten in Form von Gesichtsvorlagen – erfasst, gespeichert und verarbeitet. Bereits 2021 waren ca. 70 Prozent der irischen Bevölkerung dort erfasst. Eine Datenschutz-Folgenabschätzung hatte das Ministerium vor dem Einsatz durchgeführt.
Diese war laut der DPC allerdings nicht vollständig, da das Ministerium die Rechtsgrundlagen für die Datenverarbeitung und deren mögliche Risiken nach Auffassung der DPC nicht ausreichend bewertet hatte. Die Datenschutzhinweise gegenüber den Betroffenen seien ebenfalls unzureichend gewesen.
Behörde: Data Protection Commission (DPC)
Branche: Behörde
Verstoß: Art. 5 Abs. 1 lit. a DSGVO, Art. 5 Abs. 1 lit. e DSGVO, Art. 6 Abs. 1 DSGVO, Art. 9 Abs. 1 DSGVO, Art. 13 Abs. 1 lit. c DSGVO, Art. 13 Abs. 2 lit. a DSGVO, Art. 35 Abs. 7 lit. b DSGVO, Art. 35 Abs. 7 lit. c DSGVO
Bußgeld: 550.000 EUR
Datenschutz-Folgenabschätzungen sind in der Praxis zwar nicht allzu häufig, dennoch zeigt der obige Fall deren Brisanz und Wichtigkeit auf. Im Rahmen einer DSFA müssen Unternehmen besondere Risiken für die Rechte und Freiheiten betroffener Personen identifizieren und effektive Gegenmaßnahmen ergreifen. Daher ist es nicht verwunderlich, dass vor allem im Gesundheitswesen oftmals DSFA durchgeführt werden müssen. Schließlich werden vor allem in Krankenhäusern oder in der medizinischen Forschung regelmäßig Gesundheitsdaten in einem großen Umfang verarbeitet. Aber auch in „klassischen“ Unternehmen kann eine DSFA notwendig sein, beispielsweise bei Einführung einer Videoüberwachung am Arbeitsplatz. Der obige Fall macht deutlich, dass offenbar auch eine unzureichende DSFA einen schwerwiegenden Verstoß darstellen kann.
Unzulässige Datenverarbeitung zu Werbezwecken
Natürlich darf die spanische Aufsichtsbehörde in unserer Auflistung nicht fehlen. Auch im Juni hat die AEPD wieder einmal mit Abstand die meisten Bußgelder veröffentlicht. In diesem Fall stand ein spanisches Telekommunikationsunternehmen im Fokus. Dem Verfahren lag die Beschwerde einer betroffenen Person zugrunde, welche mehrfach Werbeanrufe erhalten hatte, obwohl die Nummer in einer spanischen Robinsonliste gespeichert war. Das Unternehmen hatte hier versäumt, einen Abgleich der Daten mit der Robinsonliste durchzuführen. Eine wirksame Rechtsgrundlage zur Datenverarbeitung hatte zu keinem Zeitpunkt bestanden. Die Untersuchung hatte zudem ergeben, dass das Unternehmen generell keine Überprüfungen vorgenommen hat, so dass noch weitere Personen betroffen waren.
Das Unternehmen hatte gegen die Entscheidung der Behörde Berufung eingelegt. Diese wurde aber von der AEPD zurückgewiesen.
Behörde: Agencia española protección datos (AEPD)
Branche: Telekommunikationsdienstleister
Verstoß: Art. 5 Abs. 1 lit. d DSGVO, Art. 6 Abs. 1 DSGVO
Bußgeld: 70.000 EUR
Unzulässige Werbemaßnahmen ohne Einwilligung bzw. ohne andere Rechtsgrundlage nehmen mit Abstand den ersten Platz ein in unserer Bußgelder-Reihe. Aber nicht nur beim Online-Marketing lauern Gefahren. Selbst die Werbung per Post ist nicht unproblematisch. Ganz grundsätzlich ist hier immer das Zusammenspiel von Datenschutzrecht und Wettbewerbsrecht zu beachten. Im Regelfall ist sowohl nach Art. 7 DSGVO als auch nach § 7 UWG eine Einwilligung einzuholen. Das Thema Werbung scheint aber inzwischen auch bei den Big Playern wie z. B. Meta anzukommen. Insofern ist die konsequente Vorgehensweise der AEPD ausdrücklich zu begrüßen.
