Das Jahr 2026 beginnt so, wie das Datenschutzjahr 2025 geendet hat. Die europäischen Datenschutzbehörden greifen weiterhin konsequent durch und verhängten teils empfindliche Bußgelder. Wir stellen Ihnen drei exemplarische Bußgeldfälle vor und zeigen, welche Lehren Unternehmen daraus ziehen sollten.
Die wichtigsten Bußgeldfälle im Januar 2026
32.000 Euro Bußgeld gegen spanische Ferienanlage
Eine Person hatte sich beschwert, weil der neu eingestellte Sicherheitsdienst des Apartmenthauses Mappen mit verschiedenen Dokumenten, darunter auch Ausweiskopien der Besitzer, anlegte und diese unbeaufsichtigt herumliegen ließ.
Das ist ein Verstoß gegen Art. 5 Abs. 1 lit. f DSGVO – Integrität und Vertraulichkeit. Die personenbezogenen Daten wurden nicht angemessen vor unbefugter Verarbeitung und Verlust geschützt.
Zunächst verhängte die spanische Datenschutzbehörde eine Strafe von 40.000 Euro. Diese wurde nach freiwilliger Zahlung auf 32.000 Euro reduziert.
Das sollten Unternehmen daraus lernen:
Sensible Dokumente wie Ausweiskopien dürfen niemals unbeaufsichtigt zugänglich sein. Implementieren Sie klare Regelungen für den Umgang mit personenbezogenen Daten, besonders wenn Sie mit externen Dienstleistern wie Sicherheitsdiensten arbeiten. Eine ordnungsgemäße Einweisung und Schulung aller Beteiligten ist unverzichtbar.
10.000 Euro Bußgeld gegen griechisches regionales Hauptquartier der Feuerwehr
Die griechische Datenschutzbehörde erließ ein Bußgeld gegen ein regionales Hauptquartier der Feuerwehr. Dort wurden Gesundheitsdaten eines Mitarbeiters unter Angabe von Details in einem Tagesplan hinterlegt. Dabei handelte es sich um ein Planungsbuch mit Einträgen von Fehltagen und Disziplinarstrafen.
Damit verstieß die Feuerwehr gegen Art. 5 Abs. 1 lit. a DSGVO und Art. 5 Abs. 1 lit. c DSGVO. Das bedeutet die Daten wurden unrechtmäßig verarbeitet. Gleichzeitig verstieß die Datensammlung gegen das Gebot der Datenminimierung.
Das sollten Unternehmen daraus lernen:
Gesundheitsdaten sind besonders sensibel und unterliegen strengen Schutzanforderungen. In Personalplänen dürfen nur die absolut notwendigen Informationen erfasst werden. Detaillierte Gesundheitsangaben haben dort nichts zu suchen. Prüfen Sie, welche Daten Sie wirklich benötigen und beschränken Sie sich auf das Notwendige.
3.000 Euro Bußgeld gegen einen rumänischen Finanzdienstleister
Die rumänische Datenschutzbehörde verhängte gegen einen Finanzdienstleister ein Bußgeld von umgerechnet rund 3.000 Euro. Der Fall begann mit der Beschwerde einer Person, die trotz mehrfacher Widersprüche weiterhin Marketing-E-Mails erhielt und auf ihre Löschanfragen keine Reaktion bekam.
Die Behörde stellte fest, dass das Unternehmen gegen das rumänische E-Privacy-Gesetz sowie gegen Art. 12 bis 14 DSGVO verstoßen hatte. Das Unternehmen bot keine einfache Widerspruchsmöglichkeit, informierte die Betroffenen nicht vollständig über die Datenverarbeitung und ignorierte Löschanfragen.
Auf diesen Fall könnten zukünftig viele weitere folgen, denn die Informations- und Transparenzpflichten stehen 2026 im Fokus der Aufsichtsbehörden.
Das sollten Unternehmen daraus lernen:
Widersprüche gegen Marketing-E-Mails müssen sofort umgesetzt werden. Jede kommerzielle E-Mail sollte eine einfache Abmeldemöglichkeit enthalten. Auch auf andere Betroffenenanfragen müssen Sie zwingend reagieren, um ein Bußgeld zu vermeiden.
So können Sie das Risiko für Bußgelder erheblich reduzieren
Die meisten der genannten Verstöße sind vermeidbar. In der Zusammenarbeit mit unseren Mandanten setzen wir von HUBIT Datenschutz auf präventive Maßnahmen. Dazu gehören regelmäßige Datenschutz-Audits. Außerdem erstellen wir verständliche Datenschutzerklärungen und strukturierte Löschkonzepte.
Weitere zentrale Elemente unserer Arbeit sind die Etablierung von Prozessen für die Erfüllung von Betroffenenrechten und jährliche Mitarbeiterschulungen.
Möchten Sie Ihre Datenschutzprozesse auf den Prüfstand stellen? Vereinbaren Sie einen Termin und machen Sie unsere Erfahrung und unser Knowhow zu Ihrem Unternehmensvorteil.