Auch im Februar 2025 hat die spanische Datenschutzbehörde Agencia española protección datos zahlreiche Bußgeldbescheide wegen Verstößen gegen die DSGVO ausgestellt. Die fünf höchsten DSGVO-Bußgelder wurden alle in Spanien verhängt. Im Februar dominierten insbesondere Bußgelder wegen fehlender oder unzureichender Sicherheitsmaßnahmen.
Orange España, 1.200.000 Euro (Spanien)
Die spanische Datenschutzbehörde Agencia española protección datos (AEPD) hat gegen das Mobilfunkunternehmen Orange España, S.A.U. ein Bußgeld in Höhe von insgesamt 1,2 Millionen Euro verhängt. Grund war eine rechtswidrige Datenverarbeitung im Zusammenhang mit der Ausstellung von SIM-Kartenduplikaten. Ein betrügerischer Mitarbeiter eines Franchise-Unternehmens hatte ohne Erlaubnis eines Kunden eine SIM-Karte erstellt. Dies ermöglichte die Begehung von Finanzbetrug durch so genannte SIM-Swapping-Angriffe. Von den Konten des Kunden wurden dadurch insgesamt 9.000 Euro entwendet. Die Behörde stellte Verstöße gegen Art. 6 und Art. 25 DSGVO fest.
Orange argumentierte, dass es sich um individuelles Fehlverhalten gehandelt habe. Die Behörde wies dies zurück, da das Unternehmen keine ausreichenden Schutzmaßnahmen getroffen hatte. Insbesondere wurde ein SIM-Karten-Duplikat an betrügerische Dritte ausgegeben, ohne deren Identität zu überprüfen. Orange wurde aufgefordert, innerhalb von sechs Monaten Maßnahmen zur Identitätsprüfung von SIM-Duplikaten zu ergreifen. Orange legte Berufung ein, da die Sanktion unverhältnismäßig sei. Die Behörde wies den Einspruch zurück und bestätigte die ursprüngliche Entscheidung.
Quelle: Bußgeldbescheid der AEPD gegen Orange España, S.A.U.
Caja Rural de Jaén, 400.000 Euro (Spanien)
Die spanische Datenschutzbehörde AEPD hat gegen die Genossenschaftsbank Caja Rural de Jaén, Barcelona y Madrid S.C.C. eine Geldbuße wegen einer massiven Datenschutzverletzung durch einen Cyberangriff auf das Online-Banking-System verhängt. Unzureichende Sicherheitsmaßnahmen führten zur unbefugten Offenlegung sensibler Kundendaten und damit Verstöße gegen Art. 5 Abs. 1 lit. f, Art. 32 Abs.1 und Art. 33 DSGVO.
Die Bank argumentierte, dass ihr IT-Dienstleister Rural Servicios Informáticos S.L. verantwortlich sei. Die Behörde wies diese Behauptung zurück, da die Bank als Verantwortliche für den Datenschutz angesehen wird. Das Bußgeld wurde auf 500.000 Euro festgesetzt und soll künftige Verstöße verhindern. Die Bank legte Berufung ein und beantragte eine Herabsetzung oder Aufhebung der Geldbuße. Die AEPD wies den Einspruch zurück und betonte die Pflicht zur Datensicherheit.
Nachdem die Bank ohne Schuldanerkenntnis gezahlt hatte, wurde das ursprüngliche Bußgeld von 500.000 Euro auf 400.000 Euro reduziert.
Quelle: Bußgeldbescheid der AEPD gegen Caja Rural de Jaén, Barcelona y Madrid S.C.C.
Línea Directa Aseguradora, 300.000 Euro (Spanien)
Die spanische Datenschutzbehörde AEPD hat ein Bußgeld gegen das Versicherungsunternehmen Línea Directa Aseguradora S.A. verhängt. Das Unternehmen hatte über seinen Versicherungsvermittler Majorel SP Solutions S.A. unrechtmäßig Kundendaten verarbeiten lassen. Ein Mitarbeiter von Majorel rief ohne ausdrückliche Einwilligung des Kunden dessen Punktestand bei der Verkehrsbehörde DGT ab. Dazu verwendete er personenbezogene Daten wie die Personalausweisnummer und das Ausstellungsdatum des Führerscheins. Außerdem gab er eine fremde E-Mail-Adresse an, um die Zugangsdaten für die Abfrage zu erhalten.
Das Unternehmen argumentierte, der Kunde habe konkludent in die Abfrage eingewilligt. Die Datenschutzbehörde widersprach und stellte Verstöße gegen Art. 6 und Art. 28 DSGVO fest. Daraufhin verhängte sie ein Bußgeld in Höhe von 300.000 Euro. Darüber hinaus wurde Línea Directa verpflichtet, Maßnahmen zur Einhaltung der Datenschutzvorschriften zu ergreifen.
Quelle: Bußgeldbescheid der AEPD gegen Línea Directa Aseguradora S.A.
Atrium Lex SFC S.L., 100.000 Euro (Spanien)
Die spanische Datenschutzbehörde AEPD hat gegen den IT-Dienstleister Atrium Lex SFC S.L. ein Bußgeld wegen Verletzung der Informationspflicht nach Art. 13 DSGVO und fehlender Sicherheitsmaßnahmen nach Artikel 32 Abs. 1 DSGVO verhängt. Ein Anleger hatte sich darüber beschwert, dass das Unternehmen eine Kopie seines Personalausweises verlangt hatte, ohne über die Datenverarbeitung zu informieren. Atrium Lex behauptete, dies sei für die Identitätsprüfung erforderlich.
Die AEPD stellte fest, dass keine ausreichenden Datenschutzmaßnahmen getroffen worden waren. Insbesondere wurde die Übermittlung der Ausweiskopie per E-Mail als unsicher angesehen. Die Behörde verhängte zwei Bußgelder in Höhe von jeweils 50.000 Euro gegen das Unternehmen. Die Sanktionen beruhen auf der unzureichenden Information der Betroffenen und den unzureichenden Sicherheitsmaßnahmen. Außerdem wurde Atrium Lex verpflichtet, innerhalb von sechs Monaten Datenschutzmaßnahmen zu ergreifen.
Quelle: Bußgeldbescheid der AEPD gegen Atrium Lex
Caja Rural de Extremadura, 88.000 Euro (Spanien)
Wegen einer Datenschutzverletzung aufgrund eines Cyberangriffs auf das Online-Banking-System hat die spanische Datenschutzbehörde AEPD ein Bußgeld gegen die Genossenschaftsbank Caja Rural de Extremadura S.C.C. ein verhängt. Die Sicherheitslücke ermöglichte den unbefugten Zugriff auf persönliche und finanzielle Daten der Kunden. Die AEPD stellte Verstöße gegen Art. 5 Abs. 1 lit. f und Artikel 32 DSGVO fest.
Gegen die Entscheidung legte die Caja Rural de Extremadura Einspruch ein. Ihr IT-Dienstleister Rural Servicios Informáticos S.L. sei für die Sicherheitsmaßnahmen verantwortlich. Die Behörde wies dies zurück, da die Bank als für die Datenverarbeitung Verantwortliche gilt. Zur Vermeidung künftiger Verstöße wurde eine Geldbuße in Höhe von 110.000 Euro verhängt. Daraufhin legte die Bank legte Berufung ein und beantragte eine Herabsetzung oder Aufhebung der Sanktion. Die Datenschutzbehörde wies den Einspruch zurück und betonte die Pflicht zur Datensicherheit.
Nachdem die Bank ohne Schuldanerkenntnis gezahlt hatte, wurde das ursprüngliche Bußgeld von 110.000 Euro auf 88.000 Euro reduziert.
Quelle: Bußgeldbescheid der AEPD gegen die Caja Rural de Extremadura S.C.C.
German 
English 
Italian 
French