Zum Inhalt springen Zur Navigation springen
Top 5 DSGVO-Bußgelder im März 2026

Top 5 DSGVO-Bußgelder im März 2026

Artikel von Dr. Datenschutz·2. April 2026

Die Datenschutzaufsichtsbehörden verhängen monatlich Bußgelder wegen Verstößen gegen die DSGVO. Aus diesen können Unternehmen einen Überblick über aktuelle Prüfungsschwerpunkte und die Sanktionspraxis der Behörden gewinnen. Hier finden Sie daher unsere Top 5 Bußgelder im März 2026.

Verarbeitung biometrischer Daten ohne rechtmäßige Einwilligung

Die spanische Datenschutzaufsichtsbehörde Agencia Española de Protección de Datos (AEPD) verhängte ein Bußgeld gegen YOTI, ein Unternehmen für digitale Identitäts- und Altersverifikation. Dieses verarbeitete biometrische Daten, ohne dass eine wirksame Rechtsgrundlage vorlag. Besonders kritisch sah es die Aufsichtsbehörde, dass die Einwilligungsmechanismen fehlerhaft gestaltet waren. Als Grund wurde angeführt, dass die Einwilligung da u. a. über voreingestellte Häkchen, gebündelte Informationen und die Kopplung der App‑Nutzung eingeholt wurde. Die Nutzer konnten nicht ausreichend informiert entscheiden, ob sie der Verarbeitung zustimmen möchten. Weiter kritisiert die Behörde, dass YOTI Daten – insbesondere biometrische Templates, Geolokalisierungsdaten, Verifikationsvideos und als betrügerisch erkannte Ausweisdokumente – deutlich länger speichert als für die Verifizierungszwecke erforderlich und damit gegen den Grundsatz der Speicherbegrenzung (Art. 5 Abs. 1 e) DSGVO) verstoßen hat. Verschärfend berücksichtigte die AEPD, dass die angebotenen Dienste in besonderem Maße für Minderjährige gedacht sind und die Verarbeitung in Rechenzentren außerhalb der EU erfolgte, was die Risiken für die Betroffenen erhöhte.

Behörde: Agencia Española de Protección de Datos (AEPD)
Branche: Digitale Identitätsprüfung
Verstoß: Art. 9 DSGVO, Art. 7 DSGVO
Bußgeld: 950.000 Euro

Biometrische Daten sind besonders sensibel – hier gelten die strengsten Anforderungen der DSGVO. Unternehmen sollten sich bewusst sein, dass „einfach mal eine Einwilligung einholen“ gerade hier oft nicht ausreicht und dass ein Löschkonzept besteht, welches auch umgesetzt wird.

Haftung bei Datenmissbrauch über Kleinanzeigen

Die italienische Datenschutzbehörde Garante per la protezione dei dati personali (GPDP) sanktionierte den Betreiber der Kleinanzeigenplattform Bakeca. Auslöser waren zwei Anzeigen, die die Telefonnummer und den Arbeitsplatz einer Betroffenen enthielten und im (unzutreffenden) Kontext von Massagen, sexuellen Dienstleistungen und weiteren intimen Informationen durch einen Dritten geschaltet wurden. Der Plattformbetreiber wurde als (Mit-)Verantwortlicher eingestuft. Hintergrund ist u. a. die EuGH-Rechtsprechung (Az.: C-492/23 „Russmedia“), die die Verantwortung von Plattformen deutlich verschärft. Da die Telefonnummer der Betroffenen im Kontext sexualisierter Inhalte verwendet wurde, qualifiziert die GPDP die damit verbundenen Informationen als besondere Kategorien personenbezogener Daten. Die Aufsichtsbehörde sanktionierte die fehlende Rechtsgrundlage für die Verarbeitung besonderer Kategorien personenbezogener Daten sowie unzureichende technisch-organisatorische Maßnahmen zum Schutz vor Datenmissbrauch.

Behörde: Garante per la protezione dei dati personali (GPDP)
Branche: Online-Plattform / Kleinanzeigen
Verstoß: Art. 9 DSGVO, Art. 6 DSGVO, Art. 32 DSGVO
Bußgeld: 5.000 Euro

Die Entscheidung der GPDP sattelt konsequenterweise auf der jüngsten EuGH-Rechtsprechung auf. Anlass für diese Rechtsprechung war übrigens ein ähnlicher Fall aus Rumänien, bei dem eine Frau ohne ihr Wissen und ohne Einwilligung in einer Anzeige als Anbieterin sexueller Dienstleistungen dargestellt wurde. Online-Marktplätze sind für die personenbezogenen Daten in den Anzeigen Verantwortliche nach DSGVO – sie müssen daher schon vor der Veröffentlichung technische Prozesse haben, um heikle Inhalte zu erkennen, die Zuordnung zur richtigen Person zu prüfen und unzulässige Anzeigen zu blocken. Das ist ein deutlicher Bruch mit dem alten „Notice‑and‑Take‑Down“-Denken, bei dem Plattformen erst nach einem Hinweis aktiv werden sollten.

Verwarnung statt Bußgeld: Löschung nach Auskunftsersuchen unzulässig

Zur Abwechslung mal ein lebensnaher Fall aus Deutschland. Eine E-Mail-Marketing-Agentur löschte personenbezogene Daten. Klingt zunächst datenschutzfreundlich – war es aber nicht. Denn die Löschung erfolgte nach dem Auskunftsersuchen eines Betroffenen. Ein No-Go. Der Verantwortliche hatte zwar mit einer 15-seitigen Datenschutzauskunft geantwortet, aber vor der Löschung nicht alle Fragen des Betroffenen beantwortet. Die Aufsichtsbehörde, Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW), wertete das Vorgehen als Verstoß gegen Auskunfts- und Rechenschaftspflichten und erließ eine Verwarnung nach Art. 58 Abs. 2 lit. b DSGVO, gegen die die Agentur geklagt hatte. Das Verwaltungsgericht Düsseldorf stellte zunächst einen Verstoß gegen die DSGVO fest, weil die Löschung der personenbezogenen Daten nach Stellung des Auskunftsgesuchs eine Verarbeitung nach Art. 4 Nr. 2 DSGVO darstellt, für die es an einer Rechtsgrundlage i.S.v. Art. 6 Abs. 1 DSGVO fehlt. Eine Einwilligung zur Löschung lag nicht vor; ebenso wenig bestand eine Löschverpflichtung nach Art. 17 DSGVO, da der Betroffene weder ein Löschersuchen gestellt noch der Verarbeitung oder der Werbung widersprochen hatte. Die Daten waren weiterhin erforderlich, um den Auskunftsanspruch nach Art. 12, 15 DSGVO zu erfüllen und dem Betroffenen die Prüfung der Rechtmäßigkeit der Verarbeitung zu ermöglichen.

Behörde: LDI NRW / VG Düsseldorf
Branche: E-Mail-Marketing
Verstoß: Art. 6 Abs. 1 DSGVO, Art. 12, 15 DSGVO
Maßnahme: Verwarnung

Mit einer Verwarnung als mildestem Mittel ist die Agentur hier noch ganz gut davongekommen; ein Bußgeld wäre ebenfalls gerechtfertigt gewesen. Das Urteil verdeutlicht, dass Verantwortliche personenbezogene Daten nach Eingang eines Auskunftsersuchens nicht (vorschnell) löschen dürfen. Daten sind jedenfalls so lange zu speichern, wie sie zur vollständigen, fristgerechten Beantwortung des Auskunftsbegehrens und zur Erfüllung der Rechenschaftspflicht benötigt werden. Die Grundsätze der Datenminimierung und Speicherbegrenzung treten insoweit hinter den Betroffenenrechten zurück. Auskunfts- und Löschprozesse sind in jedem Fall organisatorisch voneinander zu trennen. Löschentscheidungen sollten zudem sauber auf Art. 17 DSGVO gestützt werden und jede „strategische“ Löschung nach Betroffenenanfragen vermieden werden, da diese Verwarnungen und Bußgelder nach sich ziehen können.

Bußgeld wegen unerlaubter Werbung

Die GPDP nahm nach dem Eingang diverser Beschwerden den italienischen Energieversorger Enel Energia ins Visier. Das Unternehmen kontaktierte Kunden wiederholt zu Werbezwecken – selbst dann, wenn diese der Werbung ausdrücklich widersprochen hatten. Hinzu kam, dass auch die eingesetzten Dienstleister sich nicht an die Vorgaben hielten. Es fehlte an wirksamen Kontrollmechanismen.

Behörde: Garante per la protezione dei dati personali (GPDP)
Branche: Energieversorgung
Verstoß: Art. 5, 6, 7 DSGVO; Art. 24, 28 DSGVO; Art. 130 codice della privacy
Bußgeld: 563.052 Euro

Werbewidersprüche sind zwingend umzusetzen. Das sollte mittlerweile klar sein. Wer dagegen so eklatant verstößt wie die Enel Energia wird bestraft. Und das nicht zu knapp.

Cyberangriff auf Renault-Tochter

Die rumänische Datenschutzbehörde (ANSPDCP) verhängte ein Bußgeld gegen Renault Commercial Roumanie, nachdem ein Cyberangriff dazu geführt hatte, dass große Mengen personenbezogener Daten öffentlich wurden. Ursache waren unzureichende Sicherheitsmaßnahmen sowie die Auswahl ungeeigneter Auftragsverarbeiter.

Behörde: Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)
Branche: Automobilbranche
Verstoß: Art. 32 DSGVO, Art. 28 DSGVO
Bußgeld: 125.000 Euro

IT-Sicherheit bleibt einer der größten Risikofaktoren. Wichtig ist aber, dass nicht jede unbefugte Offenlegung oder ein unbefugter Zugang zu personenbezogenen Daten an Dritte im Rahmen eines Cyberangriffs automatisch dazu führt, dass ein Verstoß gegen Art. 24, 32 DSGVO angenommen werden kann. Und die Verantwortung endet nicht beim eigenen System – auch eingesetzte Dienstleister müssen dahingehend sorgfältig ausgewählt und kontrolliert werden.

Mehr zum Thema
Informieren Sie sich über unsere praxisnahen Webinare
  • »DSGVO und Künstliche Intelligenz«
  • »Microsoft 365 sicher gestalten«
  • »Bewerber- und Beschäftigtendatenschutz«
  • »Auftragsverarbeitung in der Praxis«
  • »IT-Notfall Ransomware«
  • »DSGVO-konformes Löschen«
  • »ISMS: Informationssicherheit mit System«
Webinare entdecken
Mit dem Code „Webinar2026B“ erhalten Sie 10% Rabatt, gültig bis zum 30.06.2026.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.