.jpg)
Top 5 DSGVO-Bußgelder im Juli 2025 – was wir daraus lernen können
Jeden Monat schauen wir uns bei klick-web – die Datenschutzexperten an, welche DSGVO-Bußgelder europaweit verhängt wurden. So lassen sich aktuelle Prüfungsschwerpunkte und Tendenzen der Aufsichtsbehörden erkennen. Hier sind meine Top 5 aus Juli 2025 – und meine Einschätzung, was Unternehmen daraus mitnehmen sollten.
1. Zu neugierig im Bewerbungsprozess – Spanien, 100.000 €
Die spanische Aufsichtsbehörde AEPD hat ein Logistikunternehmen sanktioniert, das von Bewerbern für ein Vorstellungsgespräch ein Führungszeugnis und Angaben zum Familienstand verlangte. Die Behörde sah darin einen Verstoß gegen den Grundsatz der Datenminimierung (Art. 5 Abs. 1 lit. c DSGVO).
Mein Praxis-Tipp:
Führungszeugnisse dürfen nur angefordert werden, wenn dies für die konkrete Position erforderlich ist – und diese Erforderlichkeit muss belegbar sein. Eine generelle Pflicht gibt es nicht. Wer hier zu weit geht, riskiert nicht nur Datenschutzprobleme, sondern auch arbeitsrechtliche Konflikte.
2. Gesundheitsdaten ohne Rechtsgrundlage – Italien, 50.000 €
In Italien befragte ein IT-Unternehmen Beschäftigte nach längerer Krankheit zu ihrem körperlichen und mentalen Zustand – und gab diese Informationen an den Betriebsarzt weiter. Die Garante stellte fest: keine wirksame Rechtsgrundlage, unzureichende Information der Betroffenen, keine freiwillige Einwilligung (Art. 9, Art. 13 DSGVO).
Mein Praxis-Tipp:
Das erinnert an das deutsche BEM (Betriebliches Eingliederungsmanagement). Auch hier gilt: Teilnahme freiwillig, klare Information zur Datenverarbeitung, strenge Anforderungen an Einwilligungen. Und: Die Machtasymmetrie im Arbeitsverhältnis ist ein Stolperstein – echte Freiwilligkeit muss nachweisbar sein.
3. Auskunftsanfrage ignoriert – Spanien, 180.000 €
Eine Privatperson wollte von ihrer Bank wissen, welche personenbezogenen Daten dort gespeichert sind. Die Bank antwortete weder auf die Anfrage noch auf eine behördliche Aufforderung. Die AEPD verhängte zunächst 225.000 €, reduzierte aber bei Zahlung auf 180.000 € (Art. 5 Abs. 1 lit. c DSGVO).
Mein Praxis-Tipp:
Betroffenenrechte ernst nehmen – und Fristen einhalten. Selbst wenn eine vollständige Antwort noch geprüft werden muss, sollte man reagieren. Totale Funkstille ist immer eine schlechte Strategie, sowohl gegenüber Betroffenen als auch gegenüber Behörden.
4. Löschfristen vergessen – Kroatien, 101.000 €
Nach einem Datenleck mit über einer Million Fahrzeughaltern prüfte die kroatische Aufsicht mehrere Beteiligte, darunter das Innenministerium. Ergebnis: Im zentralen Fahrzeugregister fehlten klare Höchstspeicherfristen (Art. 5 Abs. 1 lit. e, Art. 32 Abs. 2 und 4 DSGVO).
Mein Praxis-Tipp:
Auch staatliche Stellen müssen Löschkonzepte haben. Unternehmen sollten ihre Speicherfristen dokumentieren und umsetzen – nicht nur aus Datenschutzsicht, sondern auch zur Risikominimierung bei Pannen.
5. Passwörter im Klartext gespeichert – Kroatien, 320.000 €
Ein Energie-Vergleichsportal speicherte Passwörter unverschlüsselt und verschickte sie im Klartext per E-Mail. Die Aufsicht sah massive Mängel bei den technischen und organisatorischen Maßnahmen (Art. 31, Art. 32 DSGVO).
Mein Praxis-Tipp:
Passwörter gehören niemals unverschlüsselt gespeichert oder versendet. Selbst einfache Hash-Verfahren sind heute Standard. Je sensibler die Daten, desto stärker die Verschlüsselung. Wer hier spart, spart an der falschen Stelle – und lädt Aufsichtsbehörden geradezu ein.
Mein Fazit:
Die Bußgelder im Juli 2025 zeigen vor allem zwei Dinge: Erstens, dass Datenschutzverstöße in sehr unterschiedlichen Bereichen auftreten – vom Recruiting bis zur IT-Sicherheit. Zweitens, dass Aufsichtsbehörden in ganz Europa empfindliche Strafen verhängen, selbst bei vermeintlichen „Routineverstößen“.
Bei klick-web – die Datenschutzexperten helfen wir Unternehmen, genau solche Risiken frühzeitig zu erkennen und zu vermeiden – bevor die Aufsicht mit sechsstelligen Bußgeldern anklopft.
Bildrechte:
kostenloses Bild von Pixabay: Geld Geldscheine Euro - Kostenloses Foto auf Pixabay
Inhaltslizenz: Inhaltslizenz - Pixabay