Im April 2025 gab es wieder spanische Bußgeld-Wochen: Keine andere Aufsichtsbehörde in der EU hat so viele und so hohe Bußgelder verhängt wie die Agencia Española de Protección de Datos (AEPD). Die fünf höchsten Bußgeldbescheide im Monat April wurden alle in Spanien erlassen. Die Verstöße im Überblick:
Marina Salud, 500.000 Euro (Spanien)
Die spanische Datenschutzbehörde Agencia Española de Protección de Datos (AEPD) hat gegen das Unternehmen Marina Salud, S.A. ein Bußgeld in Höhe von 500.000 Euro verhängt. Anlass war eine Beschwerde der Conselleria de Sanidad der Generalitat Valenciana, die Marina Salud im Rahmen eines seit 2009 bestehenden Konzessionsvertrages mit der Verarbeitung besonders sensibler Gesundheitsdaten im Bereich des Departamento de Salud de Denia beauftragt hatte. Die Conselleria war dabei datenschutzrechtlich Verantwortliche, während Marina Salud als Auftragsverarbeiter fungierte.
Im Mittelpunkt der Untersuchung stand der Vorwurf, dass Marina Salud ohne die erforderliche vorherige Unterrichtung Subunternehmer mit der Verarbeitung personenbezogener Daten betraut hatte. Dies stellt einen Verstoß gegen Artikel 28 Absatz 2 DSGVO dar, wonach ein Auftragsverarbeiter die Zustimmung des für die Verarbeitung Verantwortlichen einholen muss, bevor er weitere Auftragsverarbeiter einsetzt. Trotz wiederholter Aufforderung durch die Conselleria und im Rahmen einer offiziellen Inspektion weigerte sich Marina Salud, die entsprechenden Verträge mit Drittanbietern von IT-Systemen, die für die medizinische Versorgung eingesetzt werden, offenzulegen. Dies wurde von der AEPD als Zeichen mangelnder Transparenz und Nichteinhaltung der gesetzlichen Vorschriften gewertet.
Die Untersuchung ergab, dass es sich bei den betroffenen Datenkategorien unter anderem um Gesundheitsdaten, genetische Daten und andere besonders schutzwürdige Informationen handelte. Da Marina Salud als Anbieter öffentlicher Gesundheitsdienste regelmäßig mit sensiblen Daten umgeht, sah die Datenschutzbehörde eine besonders hohe Relevanz und damit eine schwerwiegende Pflichtverletzung. Darüber hinaus stellte die Datenschutzbehörde klar, dass es sich um eine dauerhafte Pflichtverletzung handelte, da die Informationspflicht gegenüber dem Verantwortlichen auch während laufender Auftragsverarbeitungsverhältnisse fortbesteht.
Unter Abwägung der Umstände – insbesondere der Schwere der betroffenen Daten, der Dauer des Verstoßes sowie der unternehmerischen Bedeutung der Datenverarbeitung – wurde das Bußgeld auf 500.000 Euro festgesetzt. Dies liegt deutlich unter dem gesetzlich zulässigen Höchstbetrag von 2 % des Jahresumsatzes.
Quelle: Bußgeldbescheid der AEPD gegen Marina Salud (veröffentlicht am 7. April 2025)
Vodafone España S.A.U., 200.000 Euro (Spanien)
Die spanische Datenschutzbehörde AEPD hat gegen Vodafone España S.A.U. ein Bußgeld in Höhe von 200.000 Euro wegen Verstoßes gegen Artikel 6 Abs. 1 DSGVO verhängt. Hintergrund des Verfahrens war ein Fall von SIM-Swapping, bei dem ein Dritter unbefugt die SIM-Karte eines Kunden austauschte und sich so Zugang zu dessen Mobilfunkanschluss und anderen digitalen Diensten verschaffte.
Der Betroffene wurde durch eine Bestätigungs-SMS von Vodafone auf den SIM-Wechsel aufmerksam gemacht. Kurz darauf stellte sich heraus, dass im Zuge des SIM-Wechsels zwei unberechtigte Banküberweisungen über das Konto des Betroffenen getätigt worden waren. Die Analyse ergab, dass der Austausch von einem Vodafone-Agenten autorisiert worden war, obwohl der Anruf von einer internationalen Nummer kam – ein klarer Verstoß gegen die eigenen Sicherheitsrichtlinien von Vodafone. Nach diesen Richtlinien hätte in diesem Fall eine zusätzliche Verifizierung durch einen Rückruf erfolgen müssen. Eine Aufzeichnung des Vorgangs existierte nicht und auch die Herkunft der SIM-Karte konnte nicht vollständig nachvollzogen werden.
Vodafone räumte den Fehler ein, bezeichnete ihn als „einmaliges menschliches Versagen“ und verwies auf bereits eingeführte Sicherheitsmaßnahmen wie SMS-Benachrichtigungen, interne Schulungen sowie die Einschränkung der Berechtigung von Vertriebspartnern zur Ausgabe von SIM-Duplikaten. Vodafone argumentierte außerdem, dass der Missbrauch durch Dritte (z. B. durch Social Engineering) nicht vollständig unter ihrer Kontrolle stehe und daher nicht automatisch eine Verletzung der datenschutzrechtlichen Verpflichtungen darstelle.
Die AEPD sah dies jedoch anders: Die Behörde stellte fest, dass nicht die Sicherheitssysteme als solche, sondern deren unsachgemäße Anwendung durch die Vodafone-Mitarbeiter zu dem unrechtmäßigen Datenzugriff geführt habe. Die bloße Existenz von Sicherheitsrichtlinien reiche nicht aus, wenn diese im entscheidenden Moment nicht eingehalten würden. Die Datenschutzbehörde betonte, dass die Verarbeitung personenbezogener Daten nur unter eindeutigen gesetzlichen Bedingungen zulässig ist – insbesondere das Fehlen einer Identitätsprüfung stellt einen Verstoß gegen den Grundsatz der Datenverarbeitung auf rechtmäßiger Grundlage dar.
Die Datenschutzbehörde lehnte sowohl das Argument des fehlenden „Verschuldens“ als auch die Anwendung mildernder Umstände wie Kooperation oder Schadensbegrenzung ab. Sie stufte den Vorfall als schwerwiegende und schuldhafte Pflichtverletzung im Sinne von Artikel 83 Abs. 5 lit. a DSGVO ein und verhängte eine Geldbuße in Höhe von 200.000 Euro.
Quelle: Bußgeldbescheid der AEPD gegen die Vodafone España S.A.U. (veröffentlicht am 21. April 2025)
Orange Bank S.A., 200.000 Euro (Spanien)
Die spanische Datenschutzbehörde AEPD hat gegen Orange Bank, S.A. eine Geldbuße in Höhe von 200.000 Euro wegen Verstoßes gegen Artikel 5 Abs. 1 lit. f DSGVO (Grundsatz der Integrität und Vertraulichkeit) verhängt.
Hintergrund des Verfahrens war eine Sicherheitsverletzung bei einem Auftragsverarbeiter (Marktel), die durch einen Ransomware-Angriff ausgelöst wurde. Dadurch kam es zu einem unberechtigten Zugriff auf personenbezogene Daten, darunter u.a. IBANs, die teilweise nicht ausreichend verschlüsselt waren. Die betroffenen Daten stammten aus der Bearbeitung von Forderungsausfällen für mobile Geräte, bei denen Orange Espagne als Auftragsverarbeiter für Orange Bank tätig war.
Die AEPD stellte fest, dass, obwohl Marktel als Auftragsverarbeiter im Rahmen eines Vertrags mit Orange Espagne tätig war, Orange Bank als Verantwortlicher für die von der Sicherheitslücke betroffenen personenbezogenen Daten anzusehen ist. Der Zugriff Dritter auf nicht pseudonymisierte oder verschlüsselte Daten wurde als Verlust der Kontrolle über die personenbezogenen Daten und damit als Verstoß gegen den Grundsatz der Vertraulichkeit angesehen.
Neben der Geldbuße wurde der Orange Bank auferlegt, innerhalb von sechs Monaten nach Rechtskraft der Entscheidung nachzuweisen, dass alle erforderlichen Maßnahmen zur Gewährleistung der Vertraulichkeit der Daten getroffen wurden.
Quelle: Bußgeldbescheid der AEPD gegen Orange Bank S.A. (veröffentlicht am 11. April 2025)
Lese-Tipp: Die fünf höchsten Bußgelder im März 2025
Vodafone España, S.A.U., 200.000 Euro (Spanien)
Die spanische Datenschutzbehörde AEPD hat gegen Vodafone España, S.A.U. ein Bußgeld in Höhe von 200.000 Euro wegen Verstoßes gegen Artikel 6 Abs. 1 DSGVO verhängt. Anlass war ein Fall von SIM-Swapping, bei dem ein Dritter auf betrügerische Weise eine Kopie der SIM-Karte einer Kundin erhielt und so Zugang zu deren Bankkonto erlangte.
Die Betroffene hatte den Vorfall angezeigt und dokumentiert, dass sie am 25. Juli 2022 eine SMS von Vodafone über einen durchgeführten SIM-Kartenwechsel erhalten hatte, den sie jedoch nicht selbst veranlasst hatte. Kurz darauf wurde das Mobiltelefon deaktiviert und es kam zu einer unberechtigten Geldüberweisung in Höhe von 600 Euro über den Bezahldienst Bizum. Die Kundin wandte sich sofort an Vodafone und erstattete Anzeige bei der Polizei.
Die Ermittlungen der AEPD ergaben, dass der SIM-Kartenwechsel zunächst über den Online-Kanal eingeleitet und anschließend in einer Vodafone-Filiale abgeschlossen wurde. Vodafone konnte nicht nachweisen, dass bei dieser Aktion die eigenen Sicherheitsprotokolle ordnungsgemäß eingehalten wurden – insbesondere fehlte eine nachweisbare Identitätsprüfung des Antragstellers. Darüber hinaus wurde die relevante Telefonanfrage nicht aufgezeichnet, was gegen die Sorgfaltspflicht verstößt.
Vodafone verteidigte sich damit, dass es sich um einen komplexen, organisierten Betrug gehandelt habe, der nicht auf eine unzureichende Sicherheitsstrategie zurückzuführen sei. Das Unternehmen verwies auf seine ständig aktualisierten Sicherheitsrichtlinien und argumentierte, dass es nicht für kriminelle Machenschaften Dritter verantwortlich gemacht werden könne. Zudem sei ein direkter Zugriff auf Bankdaten durch den SIM-Austausch nicht möglich.
Die AEPD wies diese Argumentation zurück und betonte, dass der SIM-Kartentausch ein datenschutzrechtlich relevanter Vorgang sei, der eine besonders sorgfältige Identitätsprüfung erfordere. Die Behörde stellte fest, dass Vodafone die Verarbeitung personenbezogener Daten ohne gültige Rechtsgrundlage vorgenommen hatte, insbesondere weil die betroffene Kundin dem Vorgang nicht zugestimmt hatte. Die Nichteinhaltung interner Sicherheitsprotokolle und ähnliche Vorfälle in der Vergangenheit wurden als erschwerende Umstände gewertet.
Quelle: Bußgeldbescheid der AEPD gegen Vodafone España, S.A.U. (veröffentlicht am 5. April 2025)
Banco Bilbao Vizcaya Argentaria S.A., 120.000 Euro (Spanien)
Die spanische Datenschutzbehörde (AEPD) hat gegen die Banco Bilbao Vizcaya Argentaria, S.A. (BBVA) eine Geldbuße in Höhe von 200.000 Euro verhängt, die nach Anerkennung der Haftung und freiwilliger Zahlung auf 120.000 Euro reduziert wurde.
Anlass war die Beschwerde eines Kunden, der geltend gemacht hatte, dass die BBVA ohne seine Einwilligung und die seines Ehepartners Dokumente unterzeichnet habe, mit denen er der Verarbeitung seiner personenbezogenen Daten, auch zu Werbezwecken und zur Erstellung von Profilen, zugestimmt habe. Die Betroffenen bestritten, diese Dokumente unterzeichnet zu haben.
Die AEPD stellte fest, dass die Bank diese Dokumente, die personenbezogene Daten wie Name, Geburtsdatum, Anschrift und Einkommensdaten enthielten, ohne gültige Rechtsgrundlage verarbeitet hatte. Im Rahmen ihrer internen Untersuchung gab die BBVA zu, dass ein Mitarbeiter der Bank die festgelegten Unterschriftsverfahren nicht befolgt hatte. Obwohl die BBVA über interne Vorschriften, Videoschulungen und Kontrollmechanismen für die ordnungsgemäße Signatur von Dokumenten verfügt, räumte die Bank ein, dass es sich um ein individuelles Fehlverhalten handelte.
Da die betroffenen Daten ohne gültige Einwilligung verarbeitet wurden, stellte die AEPD einen Verstoß gegen Artikel 6 Absatz 1 DSGVO fest. Erschwerend kam hinzu, dass die BBVA bereits mehrfach wegen Datenschutzverstößen sanktioniert worden war. Auch die große Menge an personenbezogenen Daten, die im Rahmen des Bankgeschäfts verarbeitet werden, wurde als strafverschärfend berücksichtigt.
Die BBVA nutzte die Möglichkeit, durch Anerkennung der Verantwortlichkeit und frühzeitige Zahlung des Bußgeldes eine Reduzierung um insgesamt 40 % zu erwirken, womit das Verfahren formal abgeschlossen wurde.
Wir bei 2B Advice unterstützen Sie dabei, genau solche Risiken frühzeitig zu erkennen und zu beheben:
✔ Datenschutzberatung nach DSGVO
✔ Auftragsverarbeitung und Drittlandtransfers absichern
✔ Technisch-organisatorische Maßnahmen (TOMs) überprüfen
✔ Einwilligungs- und Informationsprozesse rechtssicher gestalten
✔ Awareness-Trainings und Mitarbeiterschulungen
👉 Vereinbaren Sie jetzt ein kostenloses Erstgespräch – bevor es die Aufsichtsbehörde tut.
German 
English 
Italian 
French