Top 5 DSGVO-Bußgelder im Mai 2025: Irland mit TikTok-Bußgeld ganz vorne

An der Spitze der DSGVO-Bußgelder im Mai 2025 steht die irische Datenschutzbehörde DPC mit ihrer Strafe gegen die Video-App TikTok.
Kategorien:
,

Im Mai 2025 wurden Bußgeldbescheide in Millionenhöhe verteilt. Das höchste Bußgeld erließ die irische Datenschutzbehörde DPC gegen die Video-App TikTok: 530 Millionen Euro Strafe musste das Unternehmen zahlen, weil Daten ohne Wissen und Einwilligung der Betroffenen nach China gelangten. Die italienische Datenschutzbehörde GDPD verhängte ein Bußgeld in Höhe von 5 Millionen Euro gegen den Betreiber des Chatbots Replika, Luka Inc. Eine unzureichende Datenschutzerklärung und mangelhafte Maßnahmen zur Altersüberprüfung führten zu diesem hohen Bußgeld. In Frankreich und Spanien wurden ebenfalls hohe DSGVO-Bußgelder verhängt.

TikTok: 530 Millionen Euro (Irland)

Die irische Datenschutzbehörde Data Protection Commission (DPC) hat am 2. Mai 2025 gegen TikTok eine Geldbuße in Höhe von 530 Millionen Euro verhängt. Anlass war eine Untersuchung zur Rechtmäßigkeit der Übermittlung personenbezogener Daten von Nutzerinnen und Nutzern aus dem Europäischen Wirtschaftsraum (EWR) nach China. Die DPC stellte fest, dass TikTok es versäumt hatte, bei der Datenübermittlung ein mit dem EU-Recht vergleichbares Schutzniveau zu gewährleisten, wie es Artikel 46 DSGVO verlangt. Zudem war TikToks Datenschutzerklärung bis Ende 2022 nicht transparent genug. Sie benannte weder die Empfängerländer (wie China) noch beschrieb sie ausreichend die Art der Datenverarbeitung.

Die Sanktion setzt sich aus 485 Mio. € für den Verstoß gegen Art. 46 DSGVO und 45 Mio. € für mangelnde Transparenz gemäß Art. 13 Abs. 1 lit. f DSGVO zusammen. Zusätzlich ordnete die DPC an, dass TikTok die Datenverarbeitungsprozesse binnen sechs Monaten an die DSGVO anpassen muss. Sollte dies nicht erfolgen, droht ein Stopp der Datenübermittlungen nach China. Die Entscheidung wurde durch neue Erkenntnisse verstärkt: TikTok hatte der DPC zunächst fälschlicherweise mitgeteilt, keine EWR-Nutzerdaten auf Servern in China zu speichern, musste dies aber später korrigieren.

Lese-Tipp: TikTok muss 530 Millionen Euro Bußgeld zahlen – wegen Datenübermittlungen nach China

Quelle: Mitteilung der Irish Data Protection Commission zum Bußgeld gegen TikTok

Luka Inc.: 5 Millionen Euro (Italien)

Am 10. April 2025 verhängte die italienische Datenschutzaufsichtsbehörde Garante per la Protezione dei Dati Personali (GDPD) ein Bußgeld in Höhe von 5 Millionen Euro gegen das US-amerikanische Unternehmen Luka Inc., Betreiber des KI-Chatbots Replika. Die GDPD stellte fest, dass Luka gegen zentrale Bestimmungen der DSGVO verstoßen hat. Insbesondere gegen die Anforderungen an Transparenz, Rechtsgrundlagen für die Datenverarbeitung und den Schutz von Minderjährigen. So fehlten eine klare und vollständige Datenschutzerklärung, wirksame Mechanismen zur Altersverifikation sowie eine transparente Darstellung der Datenverarbeitungszwecke und -grundlagen. Trotz nachträglicher Anpassungen durch das Unternehmen blieben zum Zeitpunkt der Entscheidung wesentliche Mängel bestehen. Die GDPD ordnete zusätzlich zur Geldbuße auch die Veröffentlichung des Bescheids sowie die Nachbesserung der Datenschutzmaßnahmen an.

Lese-Tipp: Replika verstößt massiv gegen DSGVO – Luka Inc. muss in Italien Millionen-Bußgeld zahlen

Quelle: Bußgeldbescheid der Garante per la Protezione dei Dati Personal gegen Luka Inc.

ING Bank N.V.: 1,6 Millionen Euro (Spanien)

Die spanische Datenschutzbehörde Agencia Española de Protección de Datos (AEPD) hat gegen die ING Bank N.V., Sucursal en España, ein Bußgeld in Höhe von 2 Millionen Euro verhängt – reduziert auf 1,6 Millionen Euro durch freiwillige Zahlung –, weil sie gegen Art. 6 Abs. 1 DSGVO verstoßen hat. Konkret hatte ING im Rahmen der Online-Eröffnung von Bankkonten (etwa „Cuenta NoCuenta“) von Kundinnen verlangt, einer Klausel zuzustimmen, mit der sie ING ermächtigen, bei der spanischen Sozialversicherung (TGSS) Informationen über deren wirtschaftliche Tätigkeit einzuholen. Die AEPD stellte fest, dass diese Einwilligung nicht freiwillig im Sinne der DSGVO war, da sie zwingender Bestandteil des Vertragsabschlusses war und keine Alternative zur Verifikation angeboten wurde. Die Verarbeitung sei daher ohne gültige Rechtsgrundlage erfolgt. ING berief sich auf gesetzliche Pflichten zur Geldwäscheprävention, doch die Behörde urteilte, dass in solchen Fällen die Einwilligung der Kundinnen erforderlich bleibt. Zusätzlich zur Geldbuße wurde ING verpflichtet, das Verfahren innerhalb von sechs Monaten datenschutzkonform umzugestalten.

Quelle: Bußgeldbescheid der Agencia Española de Protección de Datos gegen die ING Bank N.V.

Tagadamedia: 900.000 Euro (Frankreich)

Die französische Datenschutzbehörde CNIL hat mit Beschluss vom 15. Mai 2025 gegen die Firma Tagadamedia ein Bußgeld in Höhe von 900.000 Euro verhängt. Das Unternehmen betreibt zahlreiche Online-Gewinnspiele und hat dabei personenbezogene Daten von Nutzerinnen und Nutzern zu Werbezwecken verarbeitet, ohne diese ausreichend transparent über die konkreten Verarbeitungszwecke und Empfänger zu informieren. Neben den Verstößen gegen Artikel 5 und 6 DSGVO stellte die CNIL zudem fest, dass keine wirksame Einwilligung im Sinne der DSGVO vorlag, da diese weder spezifisch noch ausreichend informiert war. Zudem war es für die Betroffenen nicht möglich, der Weitergabe ihrer Daten an zahlreiche Partnerunternehmen effektiv zu widersprechen. Die Verstöße betrafen eine große Zahl von Personen und betrafen zentrale Grundsätze wie Transparenz und Rechtmäßigkeit.

Quelle: Pressemeldung der CNIL zum Bußgeldbescheid gegen Tagadamedia

Credifimio: 120.000 Euro (Spanien)

Die spanische Datenschutzbehörde AEPD hat gegen die Unión de Crédito para la Financiación Mobiliaria e Immobiliaria, Credifimo, E.F.C., SAU ein Bußgeld in Höhe von 200.000 Euro verhängt. Der Fall betraf die unrechtmäßige Meldung eines Betroffenen an die Auskunftei ASNEF als zahlungssäumiger Bürge für ein Darlehen, obwohl der Betroffene nie ordnungsgemäß über die mögliche Datenübermittlung informiert worden war und es gerichtliche Hinweise darauf gab, dass die fragliche Schuld nicht bestand. Credifimo konnte keine wirksame Grundlage für die Datenverarbeitung nachweisen, insbesondere fehlten Nachweise über ein korrektes Mahnverfahren sowie über eine rechtmäßige Information gemäß Art. 20 LOPDGDD. Der Verstoß insbesondere gegen Art. 6 DSGVO wurde als schwerwiegend gewertet, da grundlegende Pflichten zur Rechtsmäßigkeit und Transparenz verletzt wurden. Aufgrund von Zahlung und Anerkennung der Verantwortung nutzte CREDIFIMO die gesetzlichen Abschlägsmöglichkeit, sodass das effektiv gezahlte Bußgeld 120.000 Euro betrug. Die Behörde ordnete zudem an, die unrechtmäßige Eintragung im ASNEF-Register zu löschen.

Quelle: Bußgeldbescheid der Agencia Española de Protección de Datos gegen Credifimo

Kontakt aufnehmen
Tags:
Share this post :

Beliebte Kategorien

Newsletter

Abonnieren Sie unseren Datenschutz-Newsletter, um die neuesten Updates, Tipps und Erkenntnisse direkt in Ihren Posteingang zu erhalten.
Subscribe

Letzte Beiträge