Der Schutz personenbezogener Daten bleibt ein sensibles Thema – und europäische Datenschutzbehörden zeigen weiterhin eine konsequente Linie bei Verstößen gegen die DSGVO. Im Januar 2025 wurden mehrere Unternehmen mit teils erheblichen Strafen belegt. Die Vorfälle reichen von mangelhafter IT-Sicherheit über unerlaubte Datenweitergabe bis hin zu unsachgemäßem Umgang mit biometrischen Daten.
4 Millionen Euro Strafe für Generali España
Besonders hart traf es die Generali España, Sociedad Anónima de Seguros y Reaseguros. Nach einem Cyberangriff, bei dem unter anderem Ausweiskopien und Bankdaten in fremde Hände gelangten, stellte die spanische Datenschutzbehörde Agencia Española de Protección de Datos (AEPD) erhebliche Mängel im Datenschutzmanagement fest. Fehlende Schutzmaßnahmen, eine unzureichende Risikobewertung und mangelnde Reaktion auf den Vorfall führten zu einer Strafe von insgesamt 4 Millionen Euro – aufgeteilt auf Verstöße gegen mehrere Artikel der DSGVO, insbesondere Art. 5, 25, 32 und 35.
Sicherheitslücken bei Sambla Group – 950.000 Euro Bußgeld
Ein Fall aus Finnland zeigt, dass Datenschutzverstöße nicht immer durch Hackerangriffe entstehen müssen. Die Sambla Group, ein Kreditvergleichsdienst, ließ sensible Kundendaten wie Einkommen und Lebenshaltungskosten durch fehlerhafte Webadressen öffentlich zugänglich. Jeder, der die spezifische URL kannte, konnte die Daten einsehen. Auch wenn das Unternehmen umgehend reagierte und die betroffenen Seiten sperrte, verhängte die finnische Datenschutzbehörde Tietosuojavaltuutetun toimisto eine Geldstrafe von 950.000 Euro.
Vodafone España: Betrüger erhalten SIM-Karten – 200.000 Euro Bußgeld
Ein weiteres Beispiel für unzureichende Identitätsprüfungen betrifft Vodafone España. Das Unternehmen stellte eine zusätzliche SIM-Karte aus – jedoch nicht für den eigentlichen Kunden, sondern für Betrüger. Diese konnten so auf das Bankkonto des Opfers zugreifen. Die AEPD sah in der fehlenden Verifizierung einen klaren Verstoß gegen Art. 6 Abs. 1 DSGVO und verhängte ein Bußgeld von 200.000 Euro.
Postdienstleister CI Postal: Tausende ungeöffnete und zerstörte Briefe
Ein besonders kurioser Fall betrifft die Correo Inteligente Postal (CI Postal). Tausende Briefe mit personenbezogenen Daten wurden nicht zugestellt und teilweise sogar zerstört. Manche landeten ungeschützt auf freiem Feld. Die spanische Datenschutzbehörde sah darin Verstöße gegen Art. 5 und 32 DSGVO und verhängte eine Strafe von 200.000 Euro.
Atlético Osasuna: Unverhältnismäßige Erfassung biometrischer Daten
Auch im Sportbereich sorgt Datenschutz für Diskussionen. Der Fußballclub Club Atlético Osasuna führte zur Zuschauererfassung am Stadion biometrische Scanner ein. Obwohl die Nutzung freiwillig war, stufte die AEPD das Verfahren als unverhältnismäßig ein und sah einen Verstoß gegen den Grundsatz der Datenminimierung (Art. 5 Abs. 1 lit. c DSGVO). Die Folge: ein Bußgeld von 200.000 Euro.
Fazit: Datenschutz bleibt ein Risikofaktor für Unternehmen
Diese Fälle zeigen, dass Datenschutzverstöße nicht nur große Konzerne, sondern auch Sportvereine und Dienstleister treffen können. Mangelhafte IT-Sicherheit, unzureichende Verifizierungsprozesse oder unnötige Datenerhebungen können schnell zu empfindlichen Geldstrafen führen. Unternehmen sollten daher regelmäßig ihre Datenschutzmaßnahmen überprüfen und anpassen, um nicht ins Visier der Behörden zu geraten.

Stefan Lutz, LL.M.
Rechtsanwalt und Fachanwalt für IT-Recht
externer Datenschutzbeauftragter
Lehrbeauftragter für IT-Recht an der RWU
Rechtsanwalt und Fachanwalt für IT-Recht Stefan Lutz, LL.M. berät Firmen und private Mandanten in den Rechtsgebieten des IT-Rechts, wozu unter anderem das Datenschutzrecht (BDSG, DSGVO, TDDDG...), Urheberrecht, Wettbewerbsrecht, Markenrecht, E-Commerce-Recht, Social Media Recht und das Recht der Künstlichen Intelligenz gehören.
Telefon: 0751 / 27 088 530