Wer biometrische Zugangssysteme einführt, sollte vorsichtig sein: In Spanien hat die Datenschutzbehörde AEPD dem spanischen Fußballverband LALIGA ein saftiges Bußgeld auferlegt, weil vor dem Einsatz von Fingerabdruckscannern keine Datenschutz-Folgenabschätzung durchgeführt wurde. In Polen hat ausgerechnet der Digitalminister den Vogel abgeschossen: Mit bedingtem Vorsatz hat er gegen Grundprinzipien der DSGVO verstoßen, rund 80 Prozent der polnischen Bevölkerung sind betroffen. Der Minister selbst kam glimpflich davon – im Gegensatz zur polnischen Psot. Erstmals hat es ein Bußgeldbescheid aus Südkorea unter die höchsten Bußgelder des Monats „geschafft“. Bei einem Hackerangriff auf einen Reiseveranstalter wurden nicht nur über 3 Millionen Kundendaten gestohlen. Bei der Überprüfung stellten die Datenschützer fest, dass rund drei Millionen Daten von Nichtkunden gespeichert waren, obwohl die Frist längst abgelaufen war. Entsprechend hoch fiel das Bußgeld aus.
Poczta Polska S.A.: 6,44 Millionen Euro (Polen)
Die polnische Datenschutzbehörde Urząd Ochrony Danych Osobowych (UODO) hat mit Entscheidung vom 18. März 2025 Bußgelder in Höhe von 27.124.816 PLN (ca. 6,44 Mio. Euro) gegen die Poczta Polska S.A. (die polnische Post) und in Höhe von 100.000 PLN gegen den Minister für Digitalisierung verhängt. Hintergrund ist die rechtswidrige Übermittlung und Verarbeitung personenbezogener Daten aus dem PESEL-Register im Rahmen der Vorbereitung der Präsidentschaftswahlen im Mai 2020.
Der Minister für Digitalisierung hatte der Poczta Polska S.A. auf deren Ersuchen Daten von etwa 30 Millionen volljährigen Bürgerinnen und Bürgern aus dem PESEL-Register übermittelt. Diese Daten wurden dann von der Post verarbeitet. Dies geschah ohne ausreichende Rechtsgrundlage und verstieß gegen die Grundprinzipien der DSGVO, insbesondere gegen Art. 5 Abs. 1 lit. a (Rechtmäßigkeit) und Art. 6 Abs. 1 (Rechtsgrundlage der Verarbeitung).
Die Datenverarbeitung betraf nahezu 80 Prozent der polnischen Bevölkerung. Sie wurde als besonders gravierend eingestuft, da sie grundlegende Rechte der Betroffenen verletzte und von zwei zentralen öffentlichen Stellen – einem Ministerium und einem staatlichen Unternehmen – begangen wurde.
Sowohl das Ministerium als auch die Poczta Polska handelten nach Ansicht der Behörde nicht nur rechtswidrig, sondern auch mit bedingtem Vorsatz. Die Beteiligten seien sich der rechtlichen Unsicherheit bewusst gewesen, hätten aber dennoch gehandelt. Es lagen bereits Gerichtsurteile vor, die die Rechtmäßigkeit der Maßnahmen infrage stellten.
Die UODO orientierte sich bei der Bußgeld-Bemessung an den EDSA-Leitlinien 04/2022. Für die Poczta Polska wurde ein “dynamisches Maximum” der Bußgeldhöhe ermittelt. Die tatsächliche Sanktion entspricht nur etwa 2,8 % der staatlichen Ausgleichszahlungen, die das Unternehmen im Jahr 2025 erhalten hatte – also kein übermäßig belastender Betrag im Verhältnis zur Finanzkraft.
Die Höhe des Bußgeldes gegen den Minister wurde auf den gesetzlich möglichen Höchstbetrag für öffentliche Stellen (100.000 PLN) festgesetzt. Damit soll trotz des begrenzten Sanktionsrahmens eine abschreckende Wirkung erzielt werden.
CaixaBank: 3,5 Millionen Euro (Spanien)
Die spanische Datenschutzbehörde Agencia Española de Protección de Datos (AEPD) hat gegen die CaixaBank S.A. ein Bußgeld in Höhe von insgesamt 3,5 Millionen Euro verhängt. Anlass war eine Beschwerde zweier Kunden, die ein Gemeinschaftskonto bei der Bank führten. Diese hatten gegenüber der Bank mehrfach und ausdrücklich erklärt, dass die Mutter der Beschwerdeführerin keinerlei Einsicht oder Zugang zu Informationen über dieses Konto erhalten dürfe. Der Zugang wurde gewährt, weil die Mutter der Beschwerdeführerin früher als Bevollmächtigte für ein Konto ihrer Tochter fungiert hatte. Obwohl diese Vollmacht später widerrufen und der Zugang ausdrücklich untersagt wurde, war der Zugang aufgrund unzureichend implementierter interner Kontrollmechanismen weiterhin möglich.
Die Bank unterließ es, geeignete technische oder organisatorische Maßnahmen zu treffen, um den Zugriff zu verhindern – auch nach mehrmaliger Beanstandung durch die Betroffenen. Dies stellt laut AEPD einen Verstoß gegen die Grundsätze der Datenverarbeitung gemäß Artikel 5 Absatz 1 Buchstabe f DSGVO dar. Danach müssen personenbezogene Daten in einer Weise verarbeitet werden, die eine angemessene Sicherheit – insbesondere Schutz vor unberechtigtem Zugriff – gewährleistet. Darüber hinaus stellte die Behörde einen Verstoß gegen Artikel 25 DSGVO fest, der Unternehmen dazu verpflichtet, Datenschutz durch Technikgestaltung („Privacy by Design“) und durch datenschutzfreundliche Voreinstellungen („Privacy by Default“) sicherzustellen.
Für den Verstoß gegen Artikel 5 Absatz 1 lit. f DSGVO verhängte die AEPD ein Bußgeld in Höhe von 500.000 Euro. Der Verstoß wurde als besonders schwerwiegend eingestuft. Für den Verstoß gegen Artikel 25 DSGVO wurde ein weiteres Bußgeld in Höhe von 3.000.000 Euro verhängt, wobei dieser Verstoß als schwerwiegend bewertet wurde.
Außerdem muss die CaixaBank innerhalb von drei Monaten geeignete Maßnahmen zur Sicherstellung der Vertraulichkeit der betroffenen Daten treffen. Innerhalb von neun Monaten soll die Bank zudem technische und organisatorische Maßnahmen einführen, die den Anforderungen an Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen gerecht werden.
Quelle: Bußgeldbescheid AEPD
Liga Nacional de Fútbol Profesional: 1 Million Euro (Spanien)
Die spanische Datenschutzbehörde AEPD hat gegen die Liga Nacional de Fútbol Profesional (LALIGA) ein Bußgeld in Höhe von 1.000.000 Euro verhängt. Grund war der Einsatz eines biometrischen Zugangssystems (Fingerabdruckerkennung) für den Zutritt zu bestimmten Stadionbereichen, den sogenannten „Gradas de animación“ (Fanzonen).
Die AEPD beanstandete, dass es sich bei Fingerabdrücken um biometrische Daten mit besonders hohem Schutzbedarf gemäß Artikel 9 DSGVO handelt. Für die Verarbeitung solcher Daten gelten strenge Voraussetzungen, insbesondere eine Datenschutz-Folgenabschätzung (DSFA), die LALIGA nicht korrekt im Sinne von Artikel 35 DSGVO durchgeführt hatte.
Darüber hinaus kritisierte die Behörde, dass LALIGA als zentraler Akteur innerhalb des Ligasystems eine koordinierende Rolle einnimmt und somit die Verantwortung für die Einführung und Nutzung des Systems trägt – auch wenn die technische Umsetzung durch die Vereine erfolgt. Die AEPD ordnete außerdem an, dass LALIGA den Einsatz des biometrischen Systems so lange aussetzen muss, bis eine korrekte und vollständige Datenschutz-Folgenabschätzung vorgelegt wird.
Schließlich stellte die Behörde fest, dass es weniger eingriffsintensive Alternativen zur Zugangskontrolle gegeben hätte, z. B. mit personalisierten Ausweisen oder Codes. Somit wurde der Grundsatz der Datensparsamkeit nach Art. 5 DSGVO nicht eingehalten.
Die Höhe des Bußgeldes wurde anhand verschiedener Faktoren festgelegt, darunter die wirtschaftliche Bedeutung von LALIGA sowie die potenzielle Anzahl der betroffenen Personen. Die Maßnahme muss gemäß Artikel 83 DSGVO abschreckend, verhältnismäßig und wirksam sein.
Quelle: Bußgeldbescheid der AEPD
Ibermutua: 600.000 Euro (Spanien)
Die spanische Datenschutzbehörde AEPD hat gegen Ibermutua, eine mit der Sozialversicherung zusammenarbeitende Mutua, wegen einer schweren Datenschutzverletzung eine Geldbuße in Höhe von 1.000.000 Euro verhängt. Am 15. Juli 2024 wurde ein Vorfall bekannt, bei dem durch einen Programmierfehler bei der E-Mail-Benachrichtigung über den Gesundheitszustand von Arbeitnehmern personenbezogene Daten von 3.395 Betroffenen versehentlich an 354 falsche Empfänger (Unternehmen und Beratungsfirmen) übermittelt wurden. Die übermittelten Informationen enthielten unter anderem Namen, NIF/NIE, Sozialversicherungsnummern, Gesundheitsdaten, Arbeitsunfalldaten, Arbeitgeberinformationen sowie Angaben zur Dauer und Art von Arbeitsausfällen – teils sensible Daten im Sinne des Art. 9 DSGVO.
Der Fehler wurde durch eine fehlerhafte Änderung im Quellcode der Versandplattform verursacht, die dazu führte, dass sich E-Mail-Anhänge ansammelten und wiederholt an verschiedene Empfänger versendet wurden. Ibermutua hat nach dem Vorfall technische und organisatorische Sofortmaßnahmen ergriffen, darunter die Behebung des Fehlers, die Einführung zusätzlicher Kontrollmechanismen und die Information der betroffenen Personen und Empfänger. Die AEPD stellte jedoch fest, dass die Sicherheitsmaßnahmen vor dem Vorfall unzureichend waren, insbesondere angesichts der hohen Sensibilität und der Menge der regelmäßig versandten Daten (durchschnittlich 250.000 E-Mails pro Monat).
Im Laufe des Verfahrens erkannte Ibermutua seine Verantwortung an, zahlte die Strafe freiwillig und verzichtete auf Rechtsmittel. Dadurch reduzierte sich die Geldbuße auf 600.000 Euro. Darüber hinaus wurde Ibermutua verpflichtet, innerhalb von drei Monaten nach Rechtskraft des Bescheids konkrete Maßnahmen zum besseren Schutz personenbezogener Daten bei der E-Mail-Kommunikation zu ergreifen und deren Umsetzung gegenüber der Datenschutzbehörde nachzuweisen.
Quelle: Bußgeldbescheid der AEPD
Modetour Network: Rund 479.000 Euro (752,2 Millionen Won, Korea)
Die südkoreanische Datenschutzbehörde Personal Information Protection Commission (PIPC) hat gegen den Reiseveranstalter Modetour Network Co., Ltd. ein Bußgeld in Höhe von insgesamt 757,2 Millionen Won verhängt (umgerechnet 479.000 Euro).
Im Juli 2024 meldete Modetour Network einen Datenschutzvorfall, woraufhin die PIPC eine Untersuchung einleitete. Dabei wurde festgestellt, dass ein unbekannter Hacker im Juni 2024 Schwachstellen in der Funktion zum Hochladen von Dateien auf der Website des Unternehmens ausgenutzt hatte, um mehrere Webshell-Dateien hochzuladen. Durch die Ausführung von Schadcode gelang es dem Angreifer, auf die Kundendatenbank zuzugreifen und personenbezogene Daten von rund 3,06 Millionen Kunden zu stehlen, darunter Namen, Geburtsdaten, Geschlecht und Mobiltelefonnummern.
Die Untersuchung ergab, dass Modetour Network keine angemessenen Sicherheitsmaßnahmen getroffen hatte, um solche Angriffe zu verhindern. Darüber hinaus informierte das Unternehmen die betroffenen Personen erst im September 2024 über den Vorfall, obwohl das Gesetz eine Benachrichtigung innerhalb von 72 Stunden nach Bekanntwerden des Vorfalls vorschreibt.
Zudem ergab die Untersuchung, dass personenbezogene Daten von rund 3,16 Millionen Nicht-Mitgliedern, die seit März 2013 gesammelt wurden, nicht ordnungsgemäß gelöscht wurden, obwohl die Aufbewahrungsfrist abgelaufen war.
Zusätzlich zu der Geldstrafe wurde das Unternehmen angewiesen, die Strafe öffentlich bekannt zu geben und seine internen Datenschutzmanagementsysteme zu verbessern, um künftige Verstöße zu verhindern.
Quelle: Bußgeldbescheid der PIPC
Vermeiden Sie Bußgelder, stellen Sie Ihr Unternehmen DSGVO-konform auf. Wir bieten maßgeschneiderte Lösungen für Ihre Organisation – nehmen Sie Kontakt zu uns auf.
German 
English 
Italian 
French