Rückblick zum Jahresanfang 2026:
DSGVO-Bußgelder Herbst und Winter 2025 – Schwerpunkte, Länder und Lehren

Zum Jahresbeginn 2026 lohnt sich ein Blick auf die datenschutzrechtliche Bußgeldpraxis der letzten Monate. Die Entscheidungen aus dem Herbst und Winter 2025 zeigen sehr deutlich, worauf die europäischen Aufsichtsbehörden aktuell ihren Fokus legen. Auffällig ist dabei weniger eine neue Rechtslage als vielmehr die konsequente Sanktionierung seit Langem bekannter Pflichtverstöße.

Der folgende Rückblick stellt die zentralen Themen, Länder und Bußgelder dar und zeigt, welche Maßstäbe die Behörden anlegen.

1. Cookies, Tracking und Einwilligungen – alte Verstöße, hohe Bußgelder

Mehrere hohe Bußgelder im Dezember 2025 betrafen erneut den Einsatz von Cookies und Tracking-Technologien ohne wirksame Einwilligung.

Frankreich – Finanzdienstleister
Behörde: CNIL
Bußgeld: 1.500.000 €
Verstöße gegen:
Art. 6 Abs. 1 DSGVO
Art. 7 DSGVO

Frankreich – Medienunternehmen
Behörde: CNIL
Bußgeld: 750.000 €
Verstöße gegen:
Art. 6 Abs. 1 DSGVO
Art. 7 DSGVO

In beiden Fällen wurden Cookies bereits beim Aufruf der Webseite gesetzt, Ablehnungen ignoriert und Widerrufe technisch nicht umgesetzt. Teilweise wurden Cookies als „notwendig“ deklariert, ohne dies transparent zu begründen.

Fazit der Behörden
Cookie-Regelungen gelten als bekanntes Recht. Verstöße werden nicht mehr als „Anfängerfehler“ gewertet. Besonders kritisch sehen die Behörden das bewusste Übergehen von Nutzerentscheidungen sowie sogenannte Dark Patterns. Webseiten sind ein bevorzugtes Kontrollobjekt, da sie leicht überprüfbar sind und eine große Zahl potenziell Betroffener erreichen.

2. IT-Sicherheit und Datenschutzvorfälle – TOM im Fokus

Cyberangriffe und unzureichende Sicherheitsmaßnahmen führten ebenfalls zu erheblichen Bußgeldern.

Spanien – Einzelhandelsunternehmen
Behörde: AEPD
Bußgeld: 1.560.000 €
Verstöße gegen:
Art. 32 DSGVO
Art. 34 Abs. 1 DSGVO

Bei einem Ransomware-Angriff wurden Daten von über 6 Millionen Personen kompromittiert, darunter Finanz- und Gesundheitsdaten. Die Behörde beanstandete unzureichende technische und organisatorische Maßnahmen sowie die verspätete Information der Betroffenen.

Weitere Entscheidungen aus Estland und dem Vereinigten Königreich (UK GDPR) betrafen ähnliche Mängel wie fehlende Multi-Faktor-Authentifizierung, unklare Zuständigkeiten und unzureichendes Monitoring.

Fazit der Behörden
Technische und organisatorische Maßnahmen sind kein statisches Konzept. Unternehmen müssen ihre Sicherheitsmaßnahmen regelmäßig überprüfen und an den Stand der Technik anpassen. Besonders bei sensiblen Daten wird eine verspätete Information der Betroffenen als schwerwiegender Verstoß gewertet.

3. Direktwerbung, Löschpflichten und Widersprüche

Auch vergleichsweise niedrige Bußgelder zeigen klare Linien der Behörden.

Italien – Hotelgewerbe
Behörde: Garante per la protezione dei dati personali (GPDP)
Bußgeld: 6.000 €
Verstöße gegen:
Art. 5 Abs. 1 lit. e DSGVO
Art. 6 Abs. 1 DSGVO
Art. 17 DSGVO
Art. 24 DSGVO

Eine Hotelkette versandte Werbe-SMS an ehemalige Gäste, obwohl der Aufenthalt Jahre zurücklag und mehrfach Widerspruch eingelegt worden war. Zudem fehlte jede Dokumentation.

Fazit der Behörden
Auch kleinere Bußgelder verdeutlichen: Werbeverarbeitung ohne Einwilligung ist nur unter engen Voraussetzungen zulässig. Löschpflichten und funktionierende Widerspruchsprozesse sind zwingend erforderlich. Dokumentationsmängel verschärfen den Verstoß.

4. Videoüberwachung und Persönlichkeitsrechte am Arbeitsplatz

Videoüberwachung bleibt ein Dauerbrenner der Aufsichtsbehörden.

Spanien – Fahrzeugvermietung / Industrie
Behörde: AEPD
Bußgeld: 3.600 €
Verstöße gegen:
Art. 6 Abs. 1 lit. f DSGVO
Art. 13 DSGVO

Beanstandet wurde der Einsatz von Kameras mit Tonaufzeichnung sowie die Überwachung von Pausen- und Essbereichen. Hinweisschilder waren unvollständig oder fehlten ganz.

Ähnliche Entscheidungen gab es auch in Frankreich (verdeckte Videoüberwachung im Einzelhandel).

Fazit der Behörden
Videoüberwachung mit Ton ist nahezu immer unzulässig. In Pausenräumen überwiegen regelmäßig die Interessen der Beschäftigten. Transparente Information ist zwingend, verdeckte Überwachung nur in absoluten Ausnahmefällen denkbar.

5. Automatisierte Entscheidungen, Scoring und Auskunftsrechte

Mehrere Verfahren betrafen automatisierte Entscheidungsprozesse und den Umgang mit Betroffenenrechten.

Deutschland – Finanzbranche
Behörde: Hamburgischer Beauftragter für Datenschutz und Informationsfreiheit
Bußgeld: 492.000 €
Verstöße gegen:
Art. 12 DSGVO
Art. 15 DSGVO
Art. 22 DSGVO

Kreditentscheidungen wurden automatisiert getroffen, ohne ausreichende Information der Betroffenen. Auskunftsersuchen wurden unzureichend beantwortet.

Niederlande – Wirtschaftsauskunftei
Behörde: Autoriteit Persoonsgegevens
Bußgeld: 2.700.000 €
Verstöße gegen:
Art. 5 Abs. 1 lit. a, c DSGVO
Art. 6 Abs. 1 DSGVO

Fazit der Behörden
Automatisierte Entscheidungen stehen unter besonderer Beobachtung. Transparenz, Erklärbarkeit und funktionierende Auskunftsprozesse sind zwingend. Unklare oder versteckte Scoring-Mechanismen werden nicht akzeptiert.

6. Drittlandübermittlungen und internationale Datenflüsse

Ein besonders hohes Bußgeld betraf die Übermittlung personenbezogener Daten in Drittländer.

Kroatien – Telekommunikation
Behörde: Agencija za zaštitu osobnih podataka
Bußgeld: 4.500.000 €
Verstöße gegen:
Art. 44 ff. DSGVO
Art. 5 Abs. 1 lit. b, c DSGVO
Art. 13 DSGVO
Art. 28 DSGVO

Standardvertragsklauseln waren abgelaufen, Risikoanalysen fehlten und Datenschutzhinweise waren unvollständig. Die Übermittlung erfolgte konzernintern, was die Behörde ausdrücklich nicht als Rechtfertigung gelten ließ.

Fazit der Behörden
Die DSGVO kennt kein Konzernprivileg. Drittlandübermittlungen müssen dauerhaft rechtlich abgesichert, überprüft und transparent dokumentiert sein. Abgelaufene Transferinstrumente stellen einen schweren Verstoß dar.

Gesamtfazit zum Jahresbeginn 2026

Der Rückblick auf die Bußgelder der letzten Monate zeigt eine klare Linie der Aufsichtsbehörden: Sanktioniert werden vor allem bekannte Pflichtverstöße, bei denen Unternehmen ihre Prozesse nicht ernsthaft umgesetzt oder kontrolliert haben. Cookies, IT-Sicherheit, Drittlandübermittlungen, Videoüberwachung und automatisierte Entscheidungen bleiben zentrale Prüffelder.

Für Unternehmen bedeutet das: Datenschutz ist kein einmaliges Projekt, sondern ein fortlaufender Organisations- und Kontrollprozess. Wer Warnungen ignoriert oder bekannte Standards nicht umsetzt, muss auch 2026 mit empfindlichen Bußgeldern rechnen.