Top 5 DSGVO-Bußgelder im Januar 2025

Die Datenschutzaufsichtsbehörden verhängen monatlich Bußgelder wegen Verstößen gegen die DSGVO. Aus diesen können Unternehmen einen Überblick über aktuelle Prüfungsschwerpunkte und die Sanktionspraxis der Behörden gewinnen. Hier finden Sie daher unsere Top 5 Bußgelder im Januar 2025.

Achtloser Umgang mit Cyber Attacke

Mit einem Paukenschlag hat die die spanische Datenschutzbehörde (AEPD) das neue Jahr eingeläutet und gegen Versicherungsgesellschaft Generali España eine Geldstrafe in Höhe von 4 Mio. Euro verhängt.

Der Vorfall trat in Verbindung mit einem Cyberangriff auf: Erst im November 2022 meldete die Generali España einen Anfang Oktober entdeckten, aber offenbar bereits seit dem 19.09.2022 bestehenden Angriff auf ihre Systeme. Hacker hatten während der Attacke Zugriff auf personenbezogene Daten ehemaliger Kunden. Betroffen waren deren Namen, Geburtsdaten, Ausweiskopien, Adressen, Handy- und Festnetznummern, E-Mail-Adressen, IBANs sowie Informationen zu Familienständen.

Die Hacker kompromittierten während der Attacke die Anmeldedaten eines Versicherungsmaklers bei einem Kundenportal (SMC-Software), führten automatisierte Angriffe durch und erhielten so Zugriff auf die Kundendaten. Am 06.10.2022 wurde der den Vorfall verursachende Benutzeraccount identifiziert und die Anmeldedaten geändert, wodurch der Angriff gestoppt wurde. Die Generali España meldete dies jedoch nicht sofort den Datenschutzbehörden, weil das Unternehmen zunächst annahm, dass nur 37 Personen betroffen seien und es aufgrund fehlender Protokolle keine klare Einschätzung über das tatsächliche Ausmaß des Vorfalls gab.

Erst am 11.11.2022 wurde bekannt, dass personenbezogene Daten schon über eine Telegram-Gruppe verkauft wurden. Insgesamt waren über 1,6 Mio. Kunden potenziell betroffen. Die AEPD stellte Verstöße gegen mehrere Artikel der DSGVO fest. Das Bußgeld setzt sich aus vier Strafen zusammen. Es fallen 1 Mio. Euro wegen eines Verstoßes gegen Art. 5 Abs. 1 f) DSGVO, 2 Mio. Euro wegen eines Verstoßes gegen Art. 25 DSGVO sowie je 1 Mio. Euro wegen des Verstoßes gegen Art. 32 DSGVO und Art. 35 DGSVO an.

Behörde: Agencia Española de Protección de Datos (AEPD)
Branche: Versicherungswesen
Verstoß: Art. 5 Abs.1 f), 25, 32 und 35 DSGVO
Bußgeld: 4 Mio. Euro

Dieser Fall zeigt die hohe Bedeutung einer angemessenen Cybersicherheit im Datenschutz. Unternehmen sind verpflichtet, sowohl präventive Schutzmaßnahmen als auch technische Überwachungsmechanismen zu implementieren sowie Protokolle zu führen, um unbefugte Zugriffe zu erkennen und zu verhindern.

Die AEPD betonte, dass Versicherungsunternehmen, bei denen eine große Anzahl besonders sensibler Kundendaten verarbeitet werden, die Pflicht zur Durchführung einer Datenschutz-Folgenabschätzung haben. Die Sanktion verdeutlicht zudem, dass Verstöße gegen die DSGVO nicht nur durch den Datenschutzvorfall selbst, sondern auch durch unzureichende Reaktionen hierauf geahndet werden können.

Verstoß gegen Kennzeichnungspflicht bei Videoüberwachung

Wir bleiben bei der spanischen Aufsichtsbehörde, welche gleich in zwei Fällen gegen Privatpersonen ein Bußgeld verhängte.

Im ersten Fall prüfte die AEPD die Beschwerde einer Privatperson, welche mit mehreren Verwandten auf demselben Grundstück lebt. Diese Verwandten, zu denen die betroffene Person keinen Kontakt mehr pflegt, hatten ein Kamerasystem am Haus installiert. Das System, bestehend aus acht Kameras, überwachte rund um die Uhr sowohl das gemeinsame Grundstück als auch den öffentlichen Raum, und erfasste dabei auch private Bereiche. Die Betroffene empfand dies als unangemessene Belästigung gegenüber sich selbst und ihrem Sohn. Eine letztlich verhängte Geldstrafe betrug insgesamt 2.500 Euro, weil die Überwachung ohne die erforderliche Kennzeichnung und Information durchgeführt wurde.

Auch im zweiten Fall betraf die Beschwerde wieder eine Privatperson und deren Nachbarin. Letztere hatte an der Fassade ihres Hauses ein Videoüberwachungssystem installiert, dessen Kameras durch ihre Ausrichtung auch Teile des Grundstücks der beschwerdeführenden Person aufzeichnete. Das Verfahren endete schließlich mit einem Bußgeld in Höhe von 300 Euro. Einen Antrag auf erneute Prüfung lehnte die AEPD ab.

Behörde: Agencia Española de Protección de Datos (AEPD)
Empfänger: Privatpersonen
Verstoß: Art. 5 Abs. 1 c) DSGVO
Bußgelder: 2.500 Euro und 300 Euro

Der Einsatz von Videoüberwachung ohne sichtbare Hinweise auf die Überwachung – wie hier – verstößt gegen grundlegende Prinzipien der DSGVO. Wer ohne Rücksicht auf die Rechte seiner Mitmenschen eine Überwachungskamera aufstellt, riskiert ein Bußgeld. Auch als Privatpersonen, wie diese Fälle deutlich zeigen.

Unsachgemäßer Umgang mit Löschungsanfragen

Das Telekommunikationsunternehmen Orange bekam es – mal wieder – mit einer Aufsichtsbehörde zu tun. Die rumänische Datenschutzbehörde nahm Orange Romania unter die Lupe, nachdem das Unternehmen auf Löschungsanfragen von abgelehnten potenziellen Kunden nicht korrekt reagiert hatte. Die Untersuchung zeigte, dass der Mobilfunkanbieter auf Löschanfragen nach erfolgloser Anmeldung für Mobilfunkdienste nicht korrekt reagierte. Statt einer ordnungsgemäßen Antwort forderte der Anbieter offenbar unnötige persönliche Daten an und gab unzureichende Antworten auf die Anfragen. Zusätzlich stellte sich heraus, dass Orange personenbezogene Daten, einschließlich gescannter Dokumente, speicherte, obwohl diese nicht mehr für den Abschluss eines Abonnements erforderlich waren. Das verhängte Bußgeld setzt sich aus zwei Strafen von je 99.510 RON (umgerechnet insgesamt knapp 40.000 Euro) wegen Verstoßes zusammen.

Behörden: Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal
Branche: Telekommunikation
Verstöße: Art. 5, 6, 7, 12 Abs. 3 und 4 DSGVO sowie Art. 82 LIL und Art. L.34-5 CPCE
Bußgeld: 39.995 Euro

Bereits im Dezember 2024 hat Orange FR ein sattes Bußgeld in Höhe von 50 Mio. Euro durch die französische Datenschutzbehörde (CNIL) kassiert. Das Unternehmen hatte in den Postfächern seines Messenger-Dienstes Werbeanzeigen geschaltet, die zwischen den E-Mails erschienen und diesen zunächst ähnlich sahen. Dies geschah ohne Einwilligung der Nutzenden. Die Untersuchung ergab zudem, dass Orange Cookies, für die zuvor eine Zustimmung erteilt wurde, auch nach dem Widerruf dieser Zustimmung weiterhin auslas, wenn diese bereits gesetzt waren. Neben einem Bußgeld in Höhe von 50 Mio. Euro erließ die CNIL daher eine einstweilige Verfügung: Falls Orange das Lesen der Cookies nach Widerruf der Einwilligung nicht innerhalb von drei Monaten nach der Entscheidung einstelle, werde pro Tag Verspätung eine zusätzliche Strafe in Höhe von 100.000 Euro fällig.

Beide Fälle zeigen gravierende Datenschutzverletzungen auf. Dabei sollte es sich eigentlich von selbst verstehen, dass unsachgemäße Werbung, die Weiterverarbeitung von Cookies nach Widerruf der Zustimmung bzw. die unzureichende Bearbeitung von Löschungsanfragen sowie Verstöße gegen die Speicherung von nicht mehr benötigten personenbezogenen Daten bestraft werden.

Unzureichende Sicherheitsmaßnahmen für Kreditantragsinformationen

Ein weiteres Beispiel dafür, dass schwerwiegende Sicherheitsmängel ernsthafte datenschutzrechtliche Konsequenzen nach sich ziehen, zeigt ein Beispiel aus Finnland. Hier hat die finnische Datenschutzbehörde nach einer Meldung eine Geldstrafe in Höhe von 950.000 Euro verhängt.

Nach genannter Meldung an den Datenschutzbeauftragten leitete die Behörde eine umfassende Untersuchung gegen einen Kreditvergleichsdienst (Sambla Group) ein. Dabei wurde festgestellt, dass Unbefugte durch manipulierte Webadressen Zugriff auf sensible Daten von Kreditantragstellern hatten, darunter Einkommen, Lebenshaltungskosten und Familienstand. Als Reaktion darauf deaktivierte die Sambla Group die betroffenen Webadressen und verbesserte ihre Sicherheitsmaßnahmen.

Die Behörde kritisierte, dass die Plattform nicht über ausreichende Schutzmechanismen verfügte, um den unbefugten Zugriff auf Kreditantragsinformationen zu verhindern. Jeder, der die spezifische Webadresse eines Kunden kannte und entsprechendes technisches Wissen hatte, hätte die Sicherheitslücken ausnutzen können.

Behörde: Tietosuojavaltuutetun toimisto
Branche: Finanzdienstleistungen (Kreditvergleich)
Verstöße: Art. 5 Abs. 1 f), Art. 25 und Art. 32 DSGVO
Bußgeld: 950.000 Euro

Der Fall zeigt erneut, dass mangelhafte IT-Sicherheitsmaßnahmen nicht nur Unternehmen selbst, sondern auch deren Kunden erheblich gefährden können. Besonders brisant ist, dass hier hochsensible finanzielle Informationen wie Einkommen und Ausgaben offengelegt wurden – Daten, die im falschen Kontext für Betrug oder Identitätsdiebstahl genutzt werden können.

Datenschutzbehörden setzen mit solchen Strafen ein klares Signal: Unternehmen müssen technische und organisatorische Maßnahmen laufend überprüfen und anpassen, um Datenschutzrisiken zu minimieren.

Datenpanne durch Flüchtigkeitsfehler

Zu Schluss rundet nochmal die spanische Aufsichtsbehörde das Bußgeld-Potpourri im Januar 2025 ab. Das Unternehmen Coyare SLU hatte eine werbliche E-Mail an 95 Empfänger gesendet. Doch statt die Empfängeradressen datenschutzkonform im BCC-Feld zu hinterlegen, wurde die E-Mail an alle Empfänger im CC verschickt. So konnten also alle Empfänger die E-Mail-Adressen der anderen Adressaten einsehen. Mit Folgen: Die Gesamtstrafe setzt sich aus zwei Bußgeldern von 2.000 Euro wegen des Verstoßes gegen Art 5 Abs. 1 f) DSGVO und 500 Euro wg. Verstoßes gegen Art. 32 DSGVO zusammen.

Behörde: Agencia Española de Protección de Datos (AEPD)
Branche: Rechtsberatung
Verstoß: Art. 5 Abs. 1 f) und Art. 32 DSGVO
Bußgeld: 2500 Euro

Ein kleiner Klick mit großer Wirkung: Wer das CC- statt das BCC-Feld nutzt, gibt eine ganze Liste von E-Mail-Adressen preis. Was wie ein harmloser Flüchtigkeitsfehler wirkt, kann schnell zum meldepflichtigen Datenschutzverstoß werden – die Folgen zeigt dieser Fall.