Aktuelle DSGVO-Bußgelder im Januar 2025: Verstöße und Konsequenzen

Der erste Monat des Jahres brachte für mehrere ausländische Unternehmen empfindliche Strafen aufgrund von Datenschutzverstößen mit sich. Europäische Behörden ahndeten unter anderem mangelhafte Sicherheitsvorkehrungen, unzulässige Datenverarbeitung und Verstöße gegen grundlegende DSGVO-Prinzipien.

Ein Kreditvergleichsdienst wurde in Finnland zur Zahlung eines hohen Bußgelds verpflichtet, nachdem sich herausstellte, dass Unbefugte über unsichere Webadressen auf sensible Kundendaten zugreifen konnten. Einkommen, Lebenshaltungskosten und Familienstand waren durch eine Sicherheitslücke abrufbar. Die Behörde kritisierte insbesondere, dass keine ausreichenden Schutzmaßnahmen implementiert wurden, um diesen Zugriff zu verhindern.

Quelle: https://tietosuoja.fi/-/lainanvertailupalveluja-tarjoavalle-sambla-groupille-seuraamusmaksu-tietoturvallisuuden-laiminlyonnista-yrityksen-on-ilmoitettava-asiakkailleen

In Spanien wurde ein Telekommunikationsanbieter belangt, weil Mitarbeiter eine zusätzliche SIM-Karte für einen bestehenden Vertrag ausstellten – jedoch an eine nicht autorisierte Person. Dies ermöglichte Betrügern den Zugriff auf das Bankkonto eines Kunden, wodurch finanzieller Schaden entstand. Die Behörde sah in diesem Fall eine unrechtmäßige Datenverarbeitung.

Quelle: https://www.aepd.es/documento/ps-00083-2024.pdf

Ein spanisches Unternehmen erhielt eine Strafe, weil es sein Personal beim Einstempeln fotografierte. Ein ehemaliger Mitarbeiter forderte nach seinem Ausscheiden eine Auskunft über die gespeicherten Daten – erhielt diese jedoch nicht. Stattdessen wurde das Dokument ohne ersichtlichen Grund an eine fremde Adresse gefaxt.

Quelle: https://www.aepd.es/documento/ps-00361-2023.pdf

Ein Fußballverein führte an den Stadion-Eingängen biometrische Scanner zur Identifizierung von Besuchern ein. Obwohl diese Nutzung freiwillig war, bewertete die Datenschutzbehörde die Maßnahme als unverhältnismäßig und nicht mit dem Prinzip der Datenminimierung vereinbar.

Quelle: https://www.aepd.es/documento/ps-00482-2023.pdf

251 Millionen Euro Strafe für Meta wegen Facebook-Sicherheitslücke

Mit einer Rekordstrafe von 251 Millionen Euro wurde Meta für eine gravierende Datenschutzverletzung belangt. Eine Sicherheitslücke in der „View-As“-Funktion ermöglichte es unbefugten Dritten, auf Millionen Nutzerkonten zuzugreifen. Besonders brisant: Auch sensible Daten wie politische Ansichten oder religiöse Überzeugungen waren betroffen. Die irische Datenschutzbehörde stellte Verstöße gegen den Grundsatz „Datenschutz durch Technikgestaltung“ fest und ahndete zudem formale Fehler bei der Meldung des Vorfalls.

15 Millionen Euro Strafe für OpenAI wegen unzureichendem Datenschutz bei KI-Modellen

Das Technologieunternehmen OpenAI wurde mit einer Geldstrafe von 15 Millionen Euro belegt. Die italienische Datenschutzbehörde bemängelte, dass die Verarbeitung personenbezogener Daten nicht auf einer klaren Rechtsgrundlage beruhte und Betroffene unzureichend informiert wurden. Zudem wurde eine Datenschutzverletzung nicht fristgerecht gemeldet. Besonders problematisch war, dass auch Personen, die den Dienst nicht aktiv nutzten, ohne ihr Wissen erfasst wurden.

4,75 Millionen Euro Strafe für Netflix wegen mangelnder Transparenz

Ein bekannter Streaminganbieter musste 4,75 Millionen Euro zahlen, weil er seine Nutzer nicht ausreichend über die Verarbeitung ihrer Daten informierte. Die niederländische Aufsichtsbehörde kritisierte insbesondere, dass die Datenschutzerklärung zu vage war und die gesetzlich vorgeschriebenen Informationspflichten nicht vollständig erfüllt wurden. Auch Auskunftsanfragen von Nutzern wurden nicht ausreichend beantwortet.

Die jüngsten Millionenstrafen zeigen eindrucksvoll, dass Datenschutzverstöße für Unternehmen nicht nur ein rechtliches Risiko, sondern auch eine finanzielle Bedrohung darstellen. Behörden greifen konsequenter durch und die Toleranz für Nachlässigkeiten sinkt. Wer personenbezogene Daten verarbeitet, muss Datenschutz ernst nehmen, denn sonst drohen nicht nur Imageschäden, sondern auch existenzgefährdende Bußgelder. Die Frage ist nicht mehr, ob Datenschutzmaßnahmen umgesetzt werden sollten, sondern wie schnell und effektiv Unternehmen handeln, um solche Strafen zu vermeiden.