Top 5 DSGVO-Bußgelder im März 2026
Auch im März 2026 haben europäische Datenschutzaufsichtsbehörden wieder zahlreiche Verstöße gegen die Datenschutz-Grundverordnung (DSGVO) sanktioniert. Die folgenden Fälle zeigen aktuelle Prüfungsschwerpunkte und verdeutlichen, wo Unternehmen besonders aufmerksam sein sollten.
1. Unzulässige Verarbeitung biometrischer Daten
Die spanische Aufsichtsbehörde verhängte ein Bußgeld gegen ein Unternehmen für digitale Identitäts- und Altersverifikation. Dieses hatte biometrische Daten verarbeitet, ohne über eine wirksame Rechtsgrundlage zu verfügen.
Kritisch bewertet wurden insbesondere:
- fehlerhafte Einwilligungsmechanismen (z. B. voreingestellte Häkchen und unklare Informationen),
- die Kopplung der Einwilligung an die Nutzung der App,
- überlange Speicherfristen sensibler Daten wie biometrische Templates, Videos und Geodaten.
Zudem wurde berücksichtigt, dass sich das Angebot auch an Minderjährige richtete und Daten außerhalb der EU verarbeitet wurden.
Verstoß: Art. 7, 9 DSGVO
Bußgeld: 950.000 Euro
Praxis-Tipp: Bei biometrischen Daten gelten besonders strenge Anforderungen. Unternehmen sollten hier auf transparente Einwilligungsprozesse und ein konsequent umgesetztes Löschkonzept achten.
2. Plattformhaftung bei missbräuchlichen Kleinanzeigen
Eine italienische Aufsichtsbehörde sanktionierte den Betreiber einer Kleinanzeigenplattform, nachdem personenbezogene Daten einer Betroffenen in missbräuchlichen Anzeigen veröffentlicht wurden.
Die Behörde stellte klar:
- Plattformbetreiber können (mit-)verantwortlich sein,
- auch Inhalte Dritter fallen unter die DSGVO-Verantwortung,
- bei sensiblen Kontexten (z. B. sexualisierte Inhalte) gelten verschärfte Maßstäbe.
Bemängelt wurden insbesondere fehlende Rechtsgrundlagen sowie unzureichende technische Schutzmaßnahmen.
Verstoß: Art. 6, 9, 32 DSGVO
Bußgeld: 5.000 Euro
Praxis-Tipp: Plattformen müssen bereits vor Veröffentlichung geeignete Prüfmechanismen implementieren – ein reines „Notice-and-Take-Down“-Verfahren reicht nicht mehr aus.
3. Verwarnung wegen unzulässiger Datenlöschung nach Auskunftsersuchen
Ein Fall aus Deutschland zeigt, dass gut gemeinte Maßnahmen problematisch sein können: Eine Marketing-Agentur löschte personenbezogene Daten nach einem Auskunftsersuchen – jedoch bevor alle Fragen vollständig beantwortet waren.
Die zuständige Behörde bewertete dies als Verstoß gegen:
- die Auskunftspflichten,
- die Rechenschaftspflicht.
Das Gericht bestätigte: Daten dürfen nicht gelöscht werden, solange sie zur vollständigen Beantwortung eines Auskunftsersuchens erforderlich sind.
Verstoß: Art. 6, 12, 15 DSGVO
Maßnahme: Verwarnung
Praxis-Tipp: Auskunfts- und Löschprozesse müssen strikt getrennt werden. Daten sollten erst gelöscht werden, wenn alle gesetzlichen Pflichten erfüllt sind.
4. Bußgeld wegen unerlaubter Werbung
Ein Energieversorger kontaktierte Kunden trotz ausdrücklichen Widerspruchs weiterhin zu Werbezwecken. Zusätzlich fehlten ausreichende Kontrollmechanismen gegenüber eingesetzten Dienstleistern.
Die Aufsichtsbehörde sanktionierte:
- Missachtung von Werbewidersprüchen,
- unzureichende Kontrolle von Auftragsverarbeitern.
Verstoß: Art. 5, 6, 7, 24, 28 DSGVO
Bußgeld: 563.052 Euro
Praxis-Tipp: Werbewidersprüche müssen konsequent umgesetzt werden – auch bei externen Dienstleistern. Unternehmen tragen die Verantwortung für deren Einhaltung.
5. Cyberangriff auf Automobilunternehmen
Nach einem Cyberangriff wurden große Mengen personenbezogener Daten öffentlich zugänglich. Ursache waren unzureichende technische und organisatorische Maßnahmen sowie Defizite bei der Auswahl von Dienstleistern.
Verstoß: Art. 28, 32 DSGVO
Bußgeld: 125.000 Euro
Praxis-Tipp: IT-Sicherheit bleibt ein zentraler Risikofaktor. Neben eigenen Systemen müssen auch eingesetzte Dienstleister sorgfältig ausgewählt und regelmäßig überprüft werden.
Fazit
Die aktuellen Bußgelder zeigen deutlich:
- Einwilligungen müssen wirksam und transparent sein
- Plattformbetreiber stehen stärker in der Verantwortung
- Betroffenenrechte haben Vorrang vor vorschnellen Löschungen
- Werbewidersprüche sind strikt zu beachten
- IT-Sicherheit und Dienstleisterkontrolle sind essenziell
Unternehmen sollten ihre Datenschutzprozesse regelmäßig überprüfen und anpassen, um Risiken frühzeitig zu minimieren.
Bildrechte:
kostenloses Bild von pixabay: Euro Geld Währung - Kostenloses Bild auf Pixabay
Inhaltslizenz: Inhaltslizenz - Pixabay