Zum Inhalt springen Zur Navigation springen
Top 5 DSGVO-Bußgelder im November 2025

Top 5 DSGVO-Bußgelder im November 2025

Artikel von Dr. Datenschutz·1. Dezember 2025

Die Datenschutzaufsichtsbehörden verhängen monatlich Bußgelder wegen Verstößen gegen die DSGVO. Aus diesen können Unternehmen einen Überblick über aktuelle Prüfungsschwerpunkte und die Sanktionspraxis der Behörden gewinnen. Hier finden Sie daher unsere Top 5 Bußgelder im November 2025.

Datenübermittlung in ein Drittland

Der unangefochtene Spitzenreiter in Sachen Bußgeld im November ist ein kroatisches Telekommunikationsunternehmen. Dass eine Datenübermittlung in ein Land außerhalb des EWR nicht ohne weiteres möglich ist, sollte, über sieben Jahre nach Inkrafttreten der Bußgeldregelungen der DSGVO, eigentlich kein Geheimnis mehr sein. Nichtsdestotrotz hatte das besagte Unternehmen die im Jahr 2022 ausgelaufene Standardvertragsklauseln nicht erneuert, welche es mit einem Auftragsverarbeiter in Serbien abgeschlossen hatte. Der Auftragsverarbeiter (ein Mitglied der Unternehmensgruppe) sollte diverse Software-Verwaltungsaufgaben übernehmen und erhielt im Zuge dessen neben Personenstammdaten auch Personalausweiskopien und Führungszeugnisse. Seit dem Jahr 2022 griff der Auftragsverarbeiter weiter auf Daten von über 800.000 Betroffenen zu, ohne dass ein taugliches Übermittlungsinstrument gem. Art. 44 ff. DSGVO bzw. überhaupt ein Auftragsverarbeitungsvertrag bestand.

Des Weiteren hatte es das Unternehmen versäumt, vor Durchführung der Datenübermittlung, eine Risiko-Abschätzung durchzuführen und die Datenverarbeitung wurde von der Behörde als übermäßig gewertet. Eine Stellungnahme des Datenschutzbeauftragten wurde diesbezüglich ignoriert. Auch die Datenschutzhinweise sah die Behörde bzgl. der Drittlandsübermittlung als unzureichend an.

Behörde: Agencija za zaštitu osobnih podataka (Kroatien)
Branche: Telekommunikation
Verstoß: Art. 44 ff., Art. 5 Abs. 1 lit. b, c DSGVO, Art. 13 DSGVO, Art. 28 DSGVO
Bußgeld: 4.500.000 €

Der Fall zeigt einmal mehr eindrücklich, dass bei der Übermittlung personenbezogener Daten in Drittländer besondere Sorgfalt geboten ist. Es ist unerlässlich, stets aktuelle und gültige Transferinstrumente zu verwenden und vor jeder geplanten Übermittlung sorgfältig zu prüfen. Das gilt auch, wenn das Empfängerunternehmen zu dem gleichen Konzern gehört, denn ein Konzernprivileg kennt die DSGVO nicht. Die Empfehlungen des Datenschutzbeauftragten dürfen nicht ignoriert werden. Zudem müssen die Datenschutzhinweise transparent und vollständig über die Drittlandsübermittlung informieren.

KI und Gesichtserkennung zur Betrugsprävention

Eine spanische Universität plante zur Betrugserkennung bei Prüfungen ein Tool einzusetzen, das mit einer KI und Gesichtserkennungsfunktionen arbeitet. Dabei sollten die Daten zur eindeutigen Identifizierung der Studierenden während der gesamten Dauer der Prüfung erfasst werden und mittels Videoüberwachung über die Webcam ein Abgleich mit gespeicherten biometrischen Daten der Studenten stattfinden. Die KI sollte dazu dienen „verdächtige“ Verhaltensweisen zu erkennen, die auf einen Betrugsversuch hindeuten. Darüber wurden die Studierenden informiert und es formierte sich, völlig überraschend, Widerstand gegen diese leicht dystopisch anmutende Art der Prüfungsüberwachung. Widersprüche der Studierenden gegen die Verarbeitung biometrischer Daten wurden allerdings von der Universität zurückgewiesen. Eine alternative Lösung, die ohne die Verarbeitung biometrischer Daten auskommt, wurde nicht angeboten.

Die Behörde war der Ansicht, dass weniger invasive Möglichkeiten bestehen, welche die Identität der Studenten feststellen und akademischen Betrug verhindern könnten. Sie verweist darauf, dass Überwachungstechnologien, die auf Gesichtserkennung basieren eine massive Sammlung und Verarbeitung besonders sensibler Daten beinhalten. Die Einwilligung gem. Art. 9 Abs. 2 lit. a DSGVO, welche die Universität unter anderem als Rechtsgrundlage anführte, ließ die Behörde nicht gelten. Auf Grund des Machtungleichgewichts zwischen Bildungseinrichtung und Studenten sowie der fehlenden Alternative (erteilte man die Einwilligung nicht, konnte die Prüfung nicht durchgeführt werden) war keine Freiwilligkeit der Einwilligung gewährleistet.

Behörde: Agencia española protección datos (Spanien)
Branche: Bildungsbranche
Verstoß: Art. 5 Abs. 1 c DSGVO, Art. 9 DSGVO
Bußgeld: 750.000 €

Der Einsatz von KI-gestützter Gesichtserkennung und die Verarbeitung biometrischer Daten ist besonders sensibel und rechtlich anspruchsvoll. Gesichtserkennungssoftware verarbeitet grundsätzlich biometrische Daten und muss sich daher stets an den engen Voraussetzungen des Art. 9 DSGVO messen lassen. Da die Verarbeitung dieser Daten grundsätzlich verboten ist, muss jede Ausnahme von diesem Verbot restriktiv ausgelegt werden. Dies geht aus den Erwägungsgründen 51 und 52 der DSGVO hervor. Insbesondere an die Erforderlichkeit sind in der Regel hohe Hürden geknüpft und es muss daher gründlich geprüft werden, ob nicht weniger datenschutzinvasive Methoden zur Erreichung des Zwecks genutzt werden können.

Auf dem Postweg verloren gegangen

Ein Betroffener wollte sich als Mitinhaber für das Bankkonto seines Partners registrieren. Im Rahmen dessen verschickte er einige Dokumente über einen durch die Bank bestellten Kurierdienst. Die Dokumente enthielten ein Formular zur Registrierung eines neuen Mitinhabers eines Bankkontos sowie eine Kopie seines Personalausweises. Die Sendung erreichte den Empfänger jedoch nie und es stellte sich heraus, dass der Kurierdienst sie verloren hatte. Im Zuge der Sachverhaltsaufklärung wurde außerdem festgestellt, dass der Kurierdienst mit seinem in diesem Fall beauftragten Unterauftragsverarbeiter keinen gültigen Auftragsverarbeitungsvertrag abgeschlossen und damit gegen Pflichten gem. Art. 28 DSGVO verstoßen hat. Daher ging die Behörde auch unmittelbar gegen den Dienstleister vor (und nicht gegen den eigentlichen Verantwortlichen, die Bank).

Bei der Bemessung des Bußgelds wurde gewertet, dass das aus den Verstößen resultierende Risiko zwar bisher nur bei einer einzigen betroffenen Person eingetreten ist, die Verstöße jedoch auch potenziell alle Kunden der Bank, die eine Abholung oder Übermittlung von Unterlagen an dieses Bankinstitut vorgesehen hatten, betreffen könnten.

Behörde: Agencia española protección datos (Spanien)
Branche: Kurierdienst, Finanzbranche
Verstoß: Art. 28 Abs. 2, 4 DSGVO
Bußgeld: 80.000 €

Auch wenn vorliegend der Dienstleister selbst durch die Behörde in Anspruch genommen wurde, zeigt der Vorfall, dass gerade sensible Unterlagen nur sorgfältig geprüften Dienstleistern überantwortet werden sollten, da auch ohne datenschutzrechtliche Bußgelder zumindest Reputationsschäden zu befürchten sind. Als Auftragsverarbeiter muss zudem darauf geachtet werden, mit etwaigen Unterauftragsverarbeitern entsprechende Auftragsverarbeitungsverträge gem. Art. 28 DSGVO abzuschließen. Darüber hinaus zeigt sich, dass Behörden bei der Bewertung datenschutzrechtlicher Verstöße auch das potenzielle Risiko für eine größere Personengruppe einbeziehen können. Selbst wenn ein Verstoß zunächst nur wenige oder einzelne Personen betrifft, kann die Möglichkeit, dass zahlreiche weitere Personen betroffen sein könnten, die Schwere des Verstoßes und damit die Höhe des Bußgelds beeinflussen.

Kopf in den Sand, Bußgeldbescheid in die Hand

Es verschlägt uns in diesem Monat zum dritten Mal auf die iberische Halbinsel. Ein Betroffener reichte dort bei der Behörde eine Beschwerde ein, da ein Telekommunikationsunternehmen nicht auf sein Auskunftsersuchen reagiert hatte. Die Behörde wandte sich daraufhin an das Unternehmen und forderte es auf, das Ersuchen des Betroffenen zu bearbeiten. Eine Reaktion blieb jedoch aus. Daraufhin erließ die Behörde ein Bußgeld.

Behörde: Agencia española protección datos (Spanien)
Branche: Telekommunikation
Verstoß: Art. 31 DSGVO, Art. 58 Abs. 2 DSGVO
Bußgeld: 100.000 €

Bleibt ein Unternehmen trotz der gesetzlich normierten Pflicht zur Zusammenarbeit mit den Behörden untätig, darf der Tresor mit den Rücklagen in aller Regel schon einmal aus dem Keller geholt werden. Eine solche „Kopf-in-den-Sand“-Taktik führt meist zu einer eher empfindlichen Reaktion der Behörden. Die einfache Beantwortung des Auskunftsersuchens dürfte hier die günstigere Variante gewesen sein zumal es dem Betroffenen möglich wäre zusätzlich noch Schadenersatzforderungen geltend zu machen.

Patientenakten als Snacktüten

Für gewöhnlich bewegen wir uns in unserem Blog naturgemäß innerhalb Europas. Wir sind jedoch bei unseren Recherchen über eine besonders kuriose Geschichte gestoßen, die wir unseren Lesern nicht vorenthalten möchten. Obwohl sie eigentlich vernichtet werden sollten, tauchten Patientenakten eines thailändischen Privatkrankenhauses in unerwarteter neuer Funktion wieder auf. Sie wurden als Snacktüten für eine lokale Spezialität („khanom Tokyo“, eine Art knuspriger Crêpes) verwendet. Das Krankenhaus hatte die Entsorgung der Akten an ein kleines Unternehmen delegiert. Der Inhaber dieses Unternehmens gab an, dass die Akten nach Lagerung in seiner Wohnung „verloren“ gegangen seien.

Die Ermittlungen der Behörde ergaben, dass auf diese Weise über 1000 Patientenakten zweckentfremdet wurden und anstelle ihrer Entsorgung ein zweites Leben im kulinarischen Sektor führen durften. Sie verhängte daraufhin ein Bußgeld in Höhe von 1,21 Millionen Baht gegen das Krankenhaus und ein wesentlich geringeres Bußgeld (16,940 Baht) gegen den Inhaber des Entsorgungsunternehmens.

Behörde: Personal Data Protection Committee (Thailand)
Branche: Gesundheitsbranche, Datenvernichtung
Verstoß: Art. 5 DSGVO, Art. 32 Abs. 1 DSGVO
Bußgeld: ca. 32.000 €

Nach europäischem Recht wäre hier wohl vorrangig der Dienstleister in die Pflicht genommen worden, einmal vorausgesetzt, dass ein Auftragsverarbeitungsvertrag gem. Art. 28 DSGVO abgeschlossen wurde und das Krankenhaus eine angemessene Prüfung des Dienstleisters nachweisen kann. Da in diesem Fall wohl weisungswidrig gehandelt wurde, dürfte Art. 28 Abs. 10 DSGVO Anwendung finden und das Krankenhaus wäre wohl aus dem Schneider. Der nicht näher erklärbare Verlust der Unterlagen spricht zudem dafür, dass nicht alle gemäß Art. 32 DSGVO erforderlichen Maßnahmen ergriffen worden sind, was einen Verstoß gegen den Auftragsverarbeitungsvertrag darstellt.

Gerade bei Unterlagen mit so hochsensiblen Inhalten wie Gesundheitsdaten sollte sich daher gerade auch bezüglich der Entsorgung an vertrauenswürdige und sorgfältig geprüfte Dienstleister gehalten werden. Zu einer eventuell einmal erforderlichen Exkulpation sollte die Prüfung unbedingt dokumentiert werden.

Mehr zum Thema
Informieren Sie sich über unsere praxisnahen Webinare
  • »DSGVO und Künstliche Intelligenz«
  • »Microsoft 365 sicher gestalten«
  • »Bewerber- und Beschäftigtendatenschutz«
  • »Auftragsverarbeitung in der Praxis«
  • »IT-Notfall Ransomware«
  • »DSGVO-konformes Löschen«
  • »ISMS: Informationssicherheit mit System«
Webinare entdecken
Mit dem Code „Webinar2025B“ erhalten Sie 10% Rabatt, gültig bis zum 31.12.2025.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.