Zum Inhalt springen Zur Navigation springen
Top 5 DSGVO-Bußgelder im September 2025

Top 5 DSGVO-Bußgelder im September 2025

Artikel von Dr. Datenschutz·9. Oktober 2025

Die Datenschutzaufsichtsbehörden verhängen monatlich Bußgelder wegen Verstößen gegen die DSGVO. Diese Entscheidungen bieten Unternehmen wertvolle Einblicke in aktuelle Prüfungsschwerpunkte und die Sanktionspraxis der Behörden. Hier finden Sie unsere Top 5 Bußgelder im September 2025.

Verdeckte Videoüberwachung im Einzelhandel

Die französische Datenschutzbehörde CNIL verhängte ein Bußgeld in Höhe von 100.000 Euro gegen das Einzelhandelsunternehmen Samaritaine. Anlass war die Installation eines verdeckten Videoüberwachungssystems mit als Rauchmelder getarnten Kameras, das als Reaktion auf wiederholte Diebstähle eingeführt wurde. Die Überwachung erfolgte flächendeckend und temporär, jedoch ohne die erforderliche Vorabinformation des Datenschutzbeauftragten und ohne Durchführung einer Datenschutz-Folgenabschätzung.

Besonders schwer wog, dass die Kameras nicht nur Video, sondern auch Ton aufzeichneten, wodurch Gespräche zwischen Angestellten erfasst wurden. Die CNIL stellte fest, dass dies gegen mehrere Artikel der DSGVO verstieß, darunter die Grundsätze der Rechtmäßigkeit, Transparenz und Datenminimierung.

Behörde: Commission Nationale de l’Informatique et des Libertés (CNIL, Frankreich)
Branche: Einzelhandel
Verstoß: Art. 5 Abs. 1 lit. a, Art. 5 Abs. 1 lit. c, Art. 5 Abs. 2, Art. 33, Art. 38 Abs. 1 DSGVO
Bußgeld: 100.000 Euro

Eine verdeckte Videoüberwachung am Arbeitsplatz ist aus datenschutzrechtlicher Sicht nur in äußerst seltenen Ausnahmefällen erlaubt. Da Arbeitnehmer an ihrem Arbeitsplatz überwacht werden, einem Ort, den sie zur Sicherung ihres Lebensunterhalts aufsuchen müssen, ist besondere Zurückhaltung geboten. Eine verdeckte Videoüberwachung darf daher nur dann eingesetzt werden, wenn sie das einzig verbleibende Mittel ist, um einen konkreten Verdacht auf eine Straftat aufzuklären. Das heimliche Aufzeichnen von Gesprächen kann in Deutschland zudem eine Straftat nach § 201 StGB darstellen.

Nicht fristgerechte Auskunftserteilung

Die italienische Datenschutzbehörde verhängte ein Bußgeld in Höhe von 10.000 Euro gegen die Cooperative Sociale Coopselios. Anlass war die Beschwerde eines Patienten, der Auskunft über seine personenbezogenen Daten verlangt hatte. Das Unternehmen reagierte jedoch nicht fristgerecht auf die Anfrage.

Behörde: Garante per la protezione dei dati personali (Italien)
Branche: Gesundheits- und Sozialwesen
Verstoß: Art. 12 DSGVO
Bußgeld: 10.000 Euro

Unternehmen müssen sicherstellen, dass sie Auskunfts- und andere Anfragen von betroffenen Personen innerhalb der gesetzlichen Fristen beantworten. Verzögerungen können nicht nur zu Bußgeldern, sondern auch zu einem Vertrauensverlust oder (überhöhten) Schadensersatzforderungen führen.

Gravierende Sicherheitsmängel

Die estnische Datenschutzbehörde verhängte ein Bußgeld in Höhe von 3.000.000 Euro gegen die Allium UPI, nachdem Daten von 750.000 Nutzer*innen des Apotheka-Treueprogramms kompromittiert wurden, darunter Daten von Kindern und anderen besonders schutzbedürftigen Personengruppen. Die geleakten Dateien enthielten personenbezogene Informationen wie Vor- und Nachnamen, persönliche Identifikationsnummern, Sprache, Geschlecht, E-Mail-Adressen, Telefonnummern, Privatadressen sowie die Kaufhistorie derjenigen, die zwischen 2014 und 2020 am Apotheka-Bonusprogramm teilgenommen haben. Diese Daten betreffen sowohl die Gesundheit als auch den besonders geschützten privaten Lebensbereich der Betroffenen.

Die Untersuchung ergab, dass gravierende Mängel bei den technischen und organisatorischen Maßnahmen zum Schutz der Daten vorlagen. Die Behörde stellte fest, dass ein solcher Angriff durch angemessene Sicherheitsvorkehrungen hätte verhindert werden können.

Behörde: Andmekaitse Inspektsioon (Estland)
Branche: Einzelhandel / Apotheken
Verstoß: Art. 32 DSGVO
Bußgeld: 3.000.000 Euro

Unternehmen müssen sicherstellen, dass sie robuste Sicherheitsmaßnahmen implementieren, um personenbezogene Daten zu schützen. Im Verlauf des Verfahrens zeigte sich, dass Allium UPI es versäumt hatte, mehrere grundlegende Sicherheitsvorkehrungen umzusetzen, die selbst für reguläre Nutzer als Standard gelten. So wurde beispielsweise keine Multi-Faktor-Authentifizierung eingerichtet, ein persönliches Administratorkonto mit identischem Benutzernamen und Passwort wurde von mehreren Personen gemeinsam genutzt, die Überwachung der Aktivitätsprotokolle war unzureichend und Datenbanksicherungen wurden nicht sicher aufbewahrt. Zudem waren die Zuständigkeiten und Verantwortungsbereiche nicht eindeutig festgelegt.

Unrechtmäßige Werbung und Tracker-Aktivierung

Die französische Datenschutzbehörde CNIL verhängte ein Rekordbußgeld in Höhe von 325.000.000 Euro gegen Google LLC und Google Ireland Limited. Anlass war die Platzierung von Werbung in den Postfächern des Google Mail-Dienstes, die von der Aufmachung her den tatsächlich erhaltenen E-Mails ähnelte. Dies geschah ohne die Zustimmung der Nutzenden. Darüber hinaus drängte Google seine Nutzer bei der Kontoeinrichtung dazu, Tracker zu aktivieren, ohne sie ausreichend über die geplante Nutzung zu informieren. Die CNIL bewertete die erteilten Einwilligungen daher als ungültig.

Behörde: Commission Nationale de l’Informatique et des Libertés (CNIL, Frankreich)
Branche: Technologie / Internetdienste
Verstoß: Art. 82 La loi Informatique et Libertés, Art. L. 34-5 CPCE
Bußgeld: 325.000.000 Euro

Unternehmen müssen sicherstellen, dass sie die Einwilligung der betroffenen Personen einholen, bevor sie Werbung schalten oder Tracker aktivieren. Transparenz und klare Informationen sind hierbei unerlässlich. Unzulässiges Tracking und manipulative Einwilligungsmechanismen sind ein erhebliches Bußgeldrisiko. Wer auf Dark Patterns setzt oder die Ablehnung erschwert, riskiert empfindliche Strafen

Unzulässiges Scannen von Ausweisen

Die polnische Datenschutzbehörde verhängte ein Bußgeld in Höhe von 4.322.286 Euro gegen die ING Bank Śląski. Anlass war das Scannen und Speichern von Ausweisdaten potentieller und tatsächlicher Kunden über mehrere Jahre hinweg. Die Untersuchung ergab, dass keine angemessene Datenschutz-Folgenabschätzung durchgeführt wurde und die Bank dabei über ihre rechtlichen Befugnisse hinausging.

Behörde: Urząd Ochrony Danych Osobowych (UODO, Polen)
Branche: Finanzdienstleistungen / Bankwesen
Verstoß: Art. 5 Abs. 1 lit. a, Art. 5 Abs. 1 lit. b, Art. 5 Abs. 1 lit. c, Art. 6 Abs. 1 DSGVO
Bußgeld: 4.322.286 Euro

In der Wirtschaft herrscht oft Unklarheit darüber, unter welchen Voraussetzungen das Kopieren von Personalausweisen und anderen ähnlichen Dokumenten zulässig oder untersagt ist und welche Informationen aus Ausweisdokumenten gespeichert werden dürfen. Das Anfertigen von Kopien von Personalausweisen ist zudem ein häufiger Grund für Beschwerden bei den Datenschutzaufsichtsbehörden. Unternehmen sollten vor dem Kopieren oder Speichern von Personalausweisen stets prüfen, ob eine rechtliche Grundlage besteht, und nur die unbedingt erforderlichen Daten erfassen.

Mehr zum Thema
Informieren Sie sich über unsere praxisnahen Webinare
  • »DSGVO und Künstliche Intelligenz«
  • »Microsoft 365 sicher gestalten«
  • »Bewerber- und Beschäftigtendatenschutz«
  • »Auftragsverarbeitung in der Praxis«
  • »IT-Notfall Ransomware«
  • »DSGVO-konformes Löschen«
  • »ISMS: Informationssicherheit mit System«
Webinare entdecken
Mit dem Code „Webinar2025B“ erhalten Sie 10% Rabatt, gültig bis zum 31.12.2025.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.