Zum Inhalt springen Zur Navigation springen
Top 5 DSGVO-Bußgelder im Oktober 2025

Top 5 DSGVO-Bußgelder im Oktober 2025

Artikel von Felix Rausch·3. November 2025

Die Datenschutzaufsichtsbehörden verhängen monatlich Bußgelder wegen Verstößen gegen die DSGVO. Diese Entscheidungen bieten Unternehmen wertvolle Einblicke in aktuelle Prüfungsschwerpunkte und die Sanktionspraxis der Behörden. Hier finden Sie unsere Top 5 Bußgelder im Oktober 2025.

Informationspflichten bei automatisierter Entscheidungsfindung

Diesen Monat starten wir einmal mit einem Bußgeld, das von einer deutschen Aufsichtsbehörde erlassen wurde. Und zwar hat der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) zum Ende des letzten Quartals ihre Zwischenbilanz für die im Jahr 2025 verhängten Bußgelder veröffentlicht.

Im Mittelpunkt des Berichts der Aufsichtsbehörde steht eine Strafe gegen ein Finanzunternehmen. Dieses hatte zahlreiche Kreditkartenanträge mittels automatisierter Entscheidungen abgelehnt, obwohl die Antragsteller eigentlich über eine gute Bonität verfügten. Zudem reagierte das Unternehmen unzureichend auf anschließende Auskunftsanfragen. Wegen der Verstöße gegen die Rechte betroffener Kunden bei automatisierten Entscheidungen kassierte das nicht näher bezeichnete „Unternehmen aus der Finanzwirtschaft“ ein Bußgeld in Höhe von 492.000 Euro.

Und das hätte auch noch höher ausfallen können. Aber im Zuge des Verwaltungs- und Bußgeldverfahrens zeigte sich das verantwortliche Unternehmen einsichtig und bemühte sich ernsthaft, seine Prozesse bei automatisierte Entscheidungsfindungen im Sinne der Betroffenen zu verbessern. Zudem arbeitete es eng und konstruktiv mit dem HmbBfDI zusammen – ein Engagement, das bei der Festsetzung des Bußgelds deutlich mildernd berücksichtigt wurde. Den Bescheid hat das Unternehmen akzeptiert.

Behörde: Datenschutz und Informationsfreiheit (HmbBfDI)
Branche: Finanzen
Verstoß: Art. 12, 15, 22 DSGVO
Bußgeld: 492.000 Euro

Automatisierte Entscheidungen, die ganz ohne menschliches Zutun auf Algorithmen beruhen, bergen besondere Risiken für die Rechte der Betroffenen. Entsprechend erlaubt Art. 22 DSGVO ihren Einsatz nur unter engen Voraussetzungen. Neben diesen höheren Anforderungen an die Rechtmäßigkeit haben die Verantwortlichen zusätzliche Informationspflichten, während betroffenen Personen weitergehende Auskunftsrechte zustehen; dies betrifft vor allem eine verständliche und aussagekräftige Information über die involvierte Logik der automatisierten Entscheidung.

Regelmäßige Kontrolle und Aktualisierung von TOM

Im zweiten Fall haben wir zwar keinen direkten DSGVO-Bezug, aber das Thema ist dennoch relevant und das Bußgeld entsprechend hoch.

Das britische Information Commissioner’s Office (ICO) hat den Dienstleister Capita mit einer Geldstrafe von 14 Millionen Pfund belegt. Der Grund: mangelnde Sicherheitsvorkehrungen, die im März 2023 zu einem massiven Hackerangriff führten. Dabei wurden sensible Rentenunterlagen, Personalakten und Kundendaten von Hunderten Organisationen entwendet. Capita, ein großer Anbieter von Outsourcing- und IT-Dienstleistungen, hatte laut der Behörde keine ausreichenden technischen und organisatorischen Maßnahmen (TOM) getroffen. Auslöser des Cyberangriffs war das versehentliche Herunterladen einer schädlichen Datei durch einen Mitarbeiter. Obwohl eine Sicherheitswarnung schnell einging, vergingen 58 Stunden, bis das betroffene Gerät isoliert wurde – genug Zeit für die Angreifer, Schadsoftware zu installieren, Administratorrechte zu erlangen und fast ein Terabyte an Daten zu stehlen.

Die Untersuchung ergab mehrere grundlegende Versäumnisse bei den Sicherheitsmaßnahmen und organisatorischen Kontrollen: Es fehlte ein abgestuftes Berechtigungsmodell für Administratorenkonten. Warnungen wurden nicht zeitnah bearbeitet, weil das Security Operations Center unterbesetzt war, und Penetrationstests wurden nicht regelmäßig durchgeführt oder unternehmensweit ausgewertet. 

Behörde: Information Commissioner’s Office (ICO)
Branche: Outsourcing- und IT-Dienstleistungen
Verstoß: Art. 5 Abs.1 f), Art. 32 Abs. 1, 2 UK GDPR
Bußgeld: ca. 16 Millionen Euro (14 Millionen Pfund)

Diese Entscheidung unterstreicht die Relevanz von angemessenen TOM sowie eines Notfallplans für IT-Sicherheitsvorfälle. Angesichts der vielen Cyberangriffe lautet die klare Botschaft des ICO: Keep Your TOM up to date!

Als Reaktion bot das Unternehmen den Betroffenen eine 12-monatige Kreditüberwachung durch Experian an und richtete ein Hotline-Zentrum für Fragen ein.

Ohne Rechtgrundlage, keine Datenverarbeitung

Pech gehabt! Oder wie man auf Niederländisch sagt: Leider Erdnussbutter! Die Experian Nederland wurde von der niederländische Datenschutzbehörde Autoriteit Persoonsgegevens (AP) mit einer Strafe von 2,7 Millionen Euro belegt. Das Unternehmen hatte bis Anfang 2025 ohne Betroffene ausreichend zu informieren Kreditbewertungen für Kunden wie Telekommunikationsanbieter, Onlinehändler oder Vermieter erstellt – und dafür unrechtmäßig umfangreiche persönliche Daten aus öffentlichen und privaten Quellengesammelt.

Der Fall kam ins Rollen, nachdem bei der AP offenbar zahlreiche Beschwerden von Verbrauchern eingegangen waren: Diese sahen sich völlig unerwartet von Ablehnungen oder höheren Kautionen betroffen – ohne zunächst zu wissen, dass im Hintergrund eine negative Kreditauskunft von Experian eine Rolle spielte.

Behörde: Autoriteit Persoonsgegevens (AP)
Branche: Wirtschaftsauskunftei
Verstoß: Art. 5 Abs. 1 a) und c), Art. 6 Abs. 1 DSGVO
Bußgeld: 2,7 Millionen Euro

Der Fall zeigt einmal mehr, wie sensibel der Umgang mit personenbezogenen Daten ist – besonders, wenn daraus automatisierte Entscheidungen entstehen, die direkten Einfluss auf das Leben von Menschen haben. Die DSGVO verpflichtet Unternehmen dazu, Daten nur aufgrund einer Rechtsgrundlage im erforderlichen Umfang zu verarbeiten und hierüber ausreichend zu informieren.

Ende der Geschichte: Experian akzeptierte die Strafe, stellte seine Geschäfte in den Niederlanden ein und will die gesammelten Datensätze löschen. Womit sich der Kreis zur Erdnussbutter schließt.

Unzureichende Informationen und unwirksame Einwilligungen bei Datenweitergabe

Ein langer Bußgeldstreit findet nun nach fast fünf Jahren ein Ende. Das Berufungsgericht Borgarting hat im Oktober entschieden, dass das bis dato höchste Bußgeld in ihrer Geschichte Norwegens in Höhe von 65 Millionen norwegischen Kronen bestehen bleibt. Eine Menge Holz für den Dating-App Anbieter Grindr, die sich an die LGBTQ-Community richtet und weltweit über 13 Millionen Nutzern hat.

Die Entscheidung markiert das Ende eines langjährigen Verfahrens, das 2020 begann. Wie bei Dr. Datenschutz 2021 schon berichtet, war damals die Dating-App ins Visier der norwegischen Datenschutzbehörde Datatilsynet geraten, weil Grindr sensible Nutzerdaten wie GPS-Standort und sexuelle Orientierung ohne rechtswirksame Einwilligung zu Werbezwecken an Dritte weitergegeben hatte. Denn, wer die App nutzen wollte, musste pauschal allen Datenschutzbedingungen zustimmen. Eine separate Einwilligung in die Datenweitergabe an Werbepartner war nicht möglich. Über die Datenübermittlung und die Empfänger wurden die Nutzer lediglich unzureichend informiert.

Behörde: Datatilsynet (Norwegen)
Branche: Dating-Plattform
Verstoß: Art. 6 Abs. 1 DSGVO, Art. 9 Abs. 1 DSGVO
Bußgeld: ca. 6,4 Mio. Euro (65 Millionen Kronen)

Gerade bei einer App, deren Nutzer auf Diskretion und Datenschutz angewiesen sind, wiegt ein solcher Vertrauensbruch besonders schwer. Verstöße gegen die Informationspflichten werden ohnehin von den Aufsichtsbehörden regelmäßig streng geahndet. Bei der Bereitstellung von Websites oder Apps ist insbesondere bei der Weitergabe personenbezogener Daten an Dritte – etwa zu Werbe- oder Analysezwecken – eine ausdrückliche Einwilligung erforderlich. Es unterliegen immer noch viele Webseiten-Betreiber dem Irrtum, dass einer Datenschutzerklärung zugestimmt muss. Hierbei werden aber Informationspflicht und die Einwilligung als Rechtsgrundlage miteinander vermengt.

Unverschlüsselte Versendung von Gesundheitsdaten

Und nun zum Abschluss noch ein paar kleine Bußgeld-Tapas der spanischen Aufsichtbehörde Agencia española protección datos (AEPD), welche gegen eine Apotheke in Katalonien verhängt wurden.

Die Apotheke hatte ohne Rechtsgrundlage auf Gesundheitsdaten von Pflegeheimbewohnern zugegriffen, diese auf unsicheren Wegen per unverschlüsselter E-Mail weitergegeben, unzureichende Sicherheitsmaßnahmen getroffen und die betroffenen Personen zuvor nicht über die Verarbeitung informiert. In den 18 veröffentlichten Bußgeldbescheiden hagelte es daher zahlreiche Bußgelder zwischen 6.600 und 21.000 Euro, welche zum Teil nach freiwilliger Zahlung und Haftungsanerkennung reduziert worden waren.

Behörde: Agencia española protección datos (AEPD)
Branche: Apotheken-Besitzer
Verstoß: Art. 6, 9, 14, 32 DSGVO
Bußgelder: zw. 6.600 und 21.000 Euro

Dieser Fall zeigt, wie wichtig die Einhaltung sicherer Übermittlungswege bei der Versendung von sensiblen Gesundheitsdaten sind. Gerade bei der E-Mail-Versendung muss dafür Sorge getragen werden, dass unbefugte Dritte keinen Zugriff auf diese Daten erhalten und die Übermittlung der E-Mails verschlüsselt geschieht. Da hier aber die Betroffenen noch nicht einmal über die Versendung informiert wurden und keine wirksame Rechtsgrundlage vorlag, wogen die Verstöße besonders schwer.

Mehr zum Thema
Informieren Sie sich über unsere praxisnahen Webinare
  • »DSGVO und Künstliche Intelligenz«
  • »Microsoft 365 sicher gestalten«
  • »Bewerber- und Beschäftigtendatenschutz«
  • »Auftragsverarbeitung in der Praxis«
  • »IT-Notfall Ransomware«
  • »DSGVO-konformes Löschen«
  • »ISMS: Informationssicherheit mit System«
Webinare entdecken
Mit dem Code „Webinar2025B“ erhalten Sie 10% Rabatt, gültig bis zum 31.12.2025.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.