Wie gewohnt schildern wir Ihnen einige ausgewählte Bußgeldfälle der europäischen Datenschutzbehörden, um Ihnen zu zeigen, welche Fehler Unternehmen in der Praxis immer wieder unterlaufen und wie sie sich vermeiden lassen. Hier sind drei Fälle aus April und Mai 2026.
Videoüberwachung ohne Berechtigungskonzept: 400.000 Euro Bußgeld
Die spanische Bank Unicaja Banco betrieb ein Videoüberwachungssystem, das von einem externen Sicherheitsdienst verwaltet wurde. Der Zugriff auf die Aufzeichnungen erfolgte nicht über individuelle Benutzerkonten, sondern über gemeinsam genutzte Passwörter. Da es kein nachvollziehbares Berechtigungskonzept gab, ließen sich Zugriffe im Nachhinein keiner bestimmten Person zuordnen. Die spanische Datenschutzbehörde AEPD sah darin einen Verstoß gegen Art. 32 DSGVO und verhängte ein Bußgeld in Höhe von 400.000 Euro.
Das können Unternehmen daraus lernen
Wer Videoüberwachung einsetzt, trägt rechtlich die Verantwortung für die datenschutzkonforme Durchführung. Diese Verantwortung lässt sich nicht auf einen Dienstleister übertragen. Wichtig ist, dass jeder Datenzugriff einer bestimmten Person zugeordnet werden kann. Das gilt auch für kleinere Unternehmen mit Überwachungskameras in Eingangsbereichen, Lagerräumen oder Kassenbereichen.
Datentransfer in ein Drittland ohne ausreichende Schutzmaßnahmen: 100 Millionen Euro Bußgeld
Anfang Mai 2026 verhängten die Datenschutzbehörden der Niederlande, Finnlands und Norwegens gemeinsam ein Bußgeld von 100 Millionen Euro gegen den Betreiber einer Taxi-App. Das Unternehmen hatte personenbezogene Daten von Fahrgästen und Fahrpersonal an Server in Russland übermittelt. Die Standardvertragsklauseln, die als Rechtsgrundlage für diesen Transfer herangezogen wurden, genügten den Anforderungen nicht, weil Russland keine unabhängige Datenschutzbehörde hat und die Daten nicht vor einem Zugriff durch die russische Regierung geschützt sind.
Das können Unternehmen daraus lernen
Wer externe Dienstleister wie Cloud-Dienste, CRM-Systeme oder andere Software-as-a-Service-Lösungen nutzt, muss wissen, wo die verarbeiteten Daten tatsächlich gespeichert werden. Befinden sich Server außerhalb der EU, reicht ein Auftragsverarbeitungsvertrag allein nicht aus. Für den Drittlandtransfer wird eine geeignete Rechtsgrundlage benötigt, wie zum Beispiel Standardvertragsklauseln. Diese müssen im Drittland allerdings auch tatsächlich durchsetzbar sein.
SMS-Werbung ohne Einwilligung: 35.000 Euro Bußgeld
Das Entertainmentunternehmen aus England versendete Werbe-SMS an Personen, die hierfür keine Einwilligung erteilt hatten. Die rumänische Datenschutzbehörde stellte fest, dass keine Rechtsgrundlage für die Verarbeitung der Mobilnummern zu Marketingzwecken vorlag und verhängte ein Bußgeld in Höhe von 35.000 Euro.
Das können Unternehmen daraus lernen
Für Werbung per SMS, E-Mail oder vergleichbare Kanäle ist eine ausdrückliche Einwilligung erforderlich. Dies erfolgt in der Regel über ein Double-Opt-In-Verfahren. Wichtig ist hier zu erwähnen, dass auch Unternehmen außerhalb der EU an die DSGVO gebunden sind, wenn sie personenbezogene Daten von Bürgerinnen und Bürgern aus der EU verarbeiten.
Fazit
Viele Unternehmen denken, dass sie von solchen Prüfungen nicht betroffen sind, da nur große Konzerne im Fokus der Behörden stehen. Damit liegen sie falsch. Unternehmen jeder Größe werden geprüft. Bei diesen drei Fällen handelt es sich um typische Verstöße, die immer wieder mit Bußgeldern geahndet werden. Mit einem durchdachten Datenschutzkonzept lassen sie sich vermeiden. Wir von HUBIT Datenschutz unterstützen unsere Mandanten dabei, vorhandene Schwachstellen im Datenschutz zu erkennen und diese zu beheben. Sprechen Sie uns gerne an.