Im Juli 2025 verhängte die italienische Aufsichtsbehörde für Datenschutz (Garante per la protezione dei dati personali, GPDP) ein Bußgeld in Höhe von 100.000 Euro gegen die Banco Bilbao Vizcaya Argentaria SA (BBVA). Was war passiert? Ein Kunde der Bank, der dort ein Girokonto hatte, wurde Opfer eines Betrugs und verlangte Zugang zu Telefonaufzeichnungen seiner Gespräche […]
Bußgeld
Datenpannen-Revival: Zu absurd, um wahr zu sein?
Vor fast zehn Jahren berichteten wir über einen skurrilen Fall einer Datenschutzverletzung: die Patientenakte aus der Konfettikanone. Was war passiert? Eine Anwohnerin hatte nach einem Karnevalsumzug und beim Zusammenfegen von Konfetti herumliegende Papierschnipsel mit dem Namen ihrer Schwester darauf entdeckt. Die personenbezogenen Daten stammten von nicht fachgerecht zerkleinerten Patientenakten eines Krankenhauses in Thüringen, welchen eine […]
Bußgeld in Millionenhöhe: Rundumschlag der kroatischen Aufsichtsbehörde
Ein kroatisches Telekommunikationsunternehmen verstieß gleich in mehrfacher Hinsicht gegen die Vorgaben der DSGVO und musste dies am Ende teuer bezahlen. Nachdem im Rahmen des aufsichtsbehördlichen Verfahrens unterschiedliche Verstöße festgestellt wurden, wurde das Telekommunikationsunternehmen von der kroatischen Datenschutzbehörde (AZOP) mit einer Geldstrafe in Höhe von insgesamt 4,5 Millionen Euro belegt. Sachverhalt Der in Kroatien ansässige Telekommunikationsanbieter […]
Sensible Daten per WhatsApp-Gruppe geteilt: Bußgeld für Taxiunternehmen?
Die Landesbeauftragte für Datenschutz und Informationsfreiheit in Nordrhein-Westfalen (LDI NRW) informiert auf ihrer Website über einen Fall der unberechtigten Versendung personenbezogener Daten in WhatsApp-Gruppen. Was war geschehen? Ein Taxiunternehmen in Nordrhein-Westfalen hat über zwei WhatsApp-Gruppen („Taxi Newsletter“ und „Taxi Check Up Krankenbeförder…“) Daten von Kund*innen mit allen seinen Fahrer*innen geteilt – darunter Fotos der Personen […]
Nach der Datenpanne ist vor der Datenpanne?
Ein Bußgeld der griechischen Aufsichtsbehörde im September gegenüber Vodafone verdeutlicht die ungemeine Wichtigkeit, nach Datenpannen sehr sorgfältige Maßnahmen zur Behebung der Ursachen der Datenpanne zu ergreifen und den zu Grunde liegenden Sachverhalt vollständig zu ermitteln. Eine Kundin von D.S. PHONE E.E, einem Franchiseunternehmen und Auftragsverarbeiter von Vodafone Griechenland, geriet gleich zwei Mal in den Fokus […]
Referentenentwurf zum Data Act-Durchführungsgesetz im Kabinett beschlossen
Die „Verordnung über harmonisierte Vorschriften für einen fairen Datenzugang und eine faire Datennutzung“, der Data Act, gilt seit wenigen Wochen (wir berichteten), ist hierzulande allerdings noch ein „zahnloser Tiger“. Denn das deutsche Durchführungsgesetz zum Data Act wurde noch nicht final besprochen und verabschiedet. Bis vor Kurzem existierte gar nur ein Referentenentwurf von Anfang Februar 2025 […]
Sicher nicht happy: DSGVO-Bußgeld gegen Verantwortlichen und Auftragsverarbeiter
Im Juni 2025 wurde eine erwähnenswerte Entscheidung der polnischen Datenschutz-Aufsichtsbehörde veröffentlicht. Diese verhängte im Nachgang einer gemeldeten Datenschutzverletzung ein Bußgeld in Höhe von 4,02 Millionen Euro gegen das Unternehmen McDonald’s Polska sowie ein Bußgeld in Höhe von 43.680 Euro gegen den eingesetzten Auftragsverarbeiter 24/7 Communication. Was war geschehen? Der Fall nahm bereits im Jahr 2019 […]
Bußgeld wegen unzureichender Anonymisierung und Interessenkonflikten bei der DSFA
Ein Beschluss der italienischen Aufsichtsbehörde (Garante per la Protezione dei Dati Personali) vom April 2025 verdeutlicht zentrale Herausforderungen beim Einsatz von KI-gestützten Videoanalysesystemen im öffentlichen Raum. Der Fall betrifft ein Verkehrsüberwachungssystem in Mailand und zeigt exemplarisch auf, wo häufig Fallstricke bei der datenschutzkonformen Implementierung solcher Technologien liegen. Der Sachverhalt Die Mailänder Agentur AMAT (Agenzia Mobilità […]
CNIL verhängt neue Strafe gegen Google wegen Gmail-Werbung ohne Einwilligung
Die französische Datenschutzbehörde CNIL hat Google erneut ins Visier genommen. In einer am 1. September 2025 veröffentlichten Entscheidung wirft sie dem Konzern mehrere Verstöße gegen die Datenschutz- und die ePrivacy-Verordnung vor. Es geht um zwei Themen, die für viele Unternehmen Alltag sind – aber rechtlich oft unterschätzt werden: Werbe-E-Mails und Cookies. Was auf den ersten […]
Wann darf ein polizeiliches Führungszeugnis von externen Dienstleistern verlangt werden?
Polizeiliche Führungszeugnisse spielen eine zunehmend zentrale Rolle in sicherheitskritischen Bereichen – z. B. bei der Auswahl von IT-Personal mit Zugang zu Rechenzentren. Doch aus datenschutzrechtlicher Sicht ist der Umgang mit diesen Dokumenten heikel. Insbesondere, wenn externe Dienstleister verpflichtet werden sollen, polizeiliche Führungszeugnisse ihrer Beschäftigten zu prüfen oder vorzulegen, stellen sich grundlegende Fragen nach der rechtlichen […]
Unkontrollierte Datenvernichtung – Bußgeld gegen Wohltätigkeitsorganisation
Bußgelder aufgrund von Datenschutzverstößen, etwa wenn personenbezogene Daten nicht oder zu spät gelöscht bzw. vernichtet worden sind, sind keine Seltenheit (ein Beispiel, über das wir auf diesem Blog berichteten, finden Sie hier). Doch auch der umgekehrte Fall, also die Löschung bzw. Vernichtung personenbezogener Daten, kann einen Verstoß im Sinne des Datenschutzes darstellen. Dies zeigte kürzlich […]
Eintritt nur nach Fingerabdruck: Bußgeld gegen den Loro Parque
Der Loro Parque auf Teneriffa wird immer wieder für seine Tierhaltung kritisiert. Dass es auch beim Datenschutz Anlass für Beschwerden gab, wurde in den Medien vergleichsweise wenig thematisiert. Daher dürfte die Geldbuße in Höhe von 250.000 Euro, die von der spanischen Datenschutzaufsichtsbehörde Agencia Española de Protección de Datos (AEPD) gegen den Betreiber des Parks, die […]
Kein Anschluss unter dieser E-Mail-Adresse
Die Rechtslage ist eindeutig: Werden personenbezogene Daten unmittelbar oder mittelbar erhoben, sind die Kontaktdaten des Datenschutzbeauftragten mitzuteilen (Art. 13 Abs. 1 lit. b DSGVO bzw. Art. 14 Abs. 1 lit. b DSGVO). Zwar spricht Art. 13 DSGVO von „gegebenenfalls“, damit ist jedoch nur gemeint, dass eine Mitteilung nicht besteht, wenn es auch einen Datenschutzbeauftragten tatsächlich […]
BfDI: 45 Mio. Euro Geldbuße gegen Vodafone
Das höchste, bisher verhängte Bußgeld in Deutschland für Verstöße gegen die DSGVO betrug 35,3 Mio. Euro. Seit dem 03.06.2025 steht der Titel „höchstes Bußgeld“ der Vodafone GmbH (Vodafone) zu. Das Bußgeld in Höhe von 45 Mio. Euro, verhängt von der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI), setzt sich aus zwei Einzelbußgeldern zusammen. Diese […]
Kehrtwende bei der Bußgeldbemessung?
Nachdem der EuGH zuletzt den kartellrechtlichen Unternehmensbegriff für die Bemessung von Bußgeldern als Grundlage gewertet hat (wir berichteten), wendet er sich nun in seiner Entscheidung vom 13.02.2025 (C-383/23) von der starren Anwendung ab. Das Bußgeldkonzept des Europäischen Datenschutzausschusses (EDSA) wird durch diese Entscheidung in Teilen in Frage gestellt. Vorlagefragen Der zugrundeliegende Rechtsstreit betraf ein dänisches […]