DSGVO Bußgelder im Februar 2026
Aufsichtsbehörden in der EU und im Vereinigten Königreich senden derzeit eine eindeutige Botschaft: Datenschutz durch Technikgestaltung, Kooperation mit den Behörden und wirksame Sicherheitsmaßnahmen sind Pflicht – nicht Kür. Wer diese Anforderungen ignoriert, riskiert empfindliche Bußgelder, selbst ohne großen Datenskandal.
Im Folgenden ein Überblick über aktuelle Fälle und die wichtigsten Lehren für Unternehmen.
UK (ICO): Hohe Geldbuße wegen fehlendem Jugendschutz
Die britische Aufsichtsbehörde ICO verhängte gegen den Imgur-Eigentümer MediaLab eine Geldbuße in Höhe von 247.590 Pfund. Der Vorwurf: Es gab weder eine Altersverifikation noch wirksame Prüfungen zur elterlichen Einwilligung. Zudem fehlte eine Datenschutz-Folgenabschätzung (DPIA), obwohl Kinder potenziell schädlichen Inhalten ausgesetzt waren.
Die Botschaft: Wer Dienste anbietet, die von Minderjährigen genutzt werden können, muss besondere Schutzmaßnahmen implementieren. Dazu gehören Alterskontrollen, klare Prozesse zur Einholung elterlicher Einwilligungen und eine sorgfältige DPIA.
Rumänien (ANSPDCP): 20.000 Euro Bußgeld wegen fehlender Kooperation
Ein Online-Händler in Rumänien erhielt eine Geldbuße von 20.000 Euro, weil er Anfragen der Datenschutzaufsicht ignorierte. Die Strafe wurde ausschließlich wegen der fehlenden Zusammenarbeit verhängt – nicht wegen eines konkreten Datenschutzverstoßes im Hintergrund.
Das zeigt: Schon die Verweigerung von Auskünften oder das Ignorieren von Schreiben der Behörde kann teuer werden. Unternehmen sind verpflichtet, mit den Aufsichtsbehörden zu kooperieren und angeforderte Informationen fristgerecht bereitzustellen.
Rumänien (ANSPDCP): 2.000 Euro für eine Zahnarztpraxis – nicht wegen des Vorfalls, sondern wegen des Verhaltens danach
In einem weiteren Fall meldete eine Zahnarztpraxis eine Datenschutzverletzung. Im anschließenden Verfahren ignorierte sie jedoch wiederholt Rückfragen der Behörde sowie eine formale Anordnung. Die Folge: eine Geldbuße von 2.000 Euro – ausgelöst durch die mangelnde Kooperation, nicht durch den ursprünglichen Vorfall.
Die Lehre: Wer eine Datenpanne meldet, muss mit der Behörde aktiv zusammenarbeiten, Fragen beantworten und angeordnete Maßnahmen umsetzen. Transparente Kommunikation und dokumentierte Schritte zur Schadensbegrenzung sind entscheidend.
Niederlande (AP): 250.000 Euro gegen zehn Kommunen wegen unzulässiger Datenerhebung
Die niederländische Aufsichtsbehörde verhängte insgesamt 250.000 Euro Bußgeld gegen zehn Gemeinden. Diese hatten sensible Daten über islamische Gemeinden erhoben – darunter Informationen zu Religion und politischen Ansichten – ohne ausreichende Transparenz und ohne tragfähige Rechtsgrundlage.
Hier wird deutlich: Besonders schützenswerte Daten (z. B. zu Religion, Gesundheit oder politischer Meinung) unterliegen strengen Anforderungen. Behörden wie Unternehmen müssen sehr genau prüfen, ob eine Rechtsgrundlage besteht, ob die Betroffenen informiert werden und ob der Zweck die Datenerhebung rechtfertigt.
Spanien (AEPD): 10.000 Euro wegen unsicherem Umgang mit Passwörtern
In Spanien wurde ein Telekommunikationsanbieter mit 10.000 Euro Bußgeld belegt, weil Zugangsdaten im Klartext versendet wurden und keine Zwei-Faktor-Authentifizierung (2FA) implementiert war. Die Aufsicht stellte klar: Schon ein potenzielles Risiko kann ausreichen, um einen Verstoß gegen Artikel 32 DSGVO (Sicherheit der Verarbeitung) zu begründen.
Das unterstreicht: Technische und organisatorische Maßnahmen (TOM) müssen dem Stand der Technik entsprechen. Dazu gehören unter anderem sichere Passwortverfahren, Verschlüsselung und – wo angemessen – Mehr-Faktor-Authentifizierung.
Zentrale Erkenntnisse für Unternehmen
Über alle Fälle hinweg lassen sich klare Muster erkennen:
- Proaktive Compliance statt Abwarten
Datenschutz muss von Anfang an in Prozesse, Produkte und Systeme integriert werden. Privacy by Design und by Default sind keine theoretischen Konzepte, sondern konkrete Anforderungen. - Kooperation mit Aufsichtsbehörden ist unverzichtbar
Wer Anfragen ignoriert oder Informationen zurückhält, riskiert Bußgelder – selbst ohne gravierenden Datenschutzvorfall. Schnelle, vollständige und dokumentierte Antworten sind Pflicht. - Robuste technische und organisatorische Maßnahmen
Unsichere Passwörter, fehlende Verschlüsselung oder das Fehlen von 2FA werden zunehmend sanktioniert. Unternehmen sollten ihre TOMs regelmäßig überprüfen und anpassen. - Besondere Vorsicht bei Kindern und sensiblen Daten
Dienste mit minderjährigen Nutzern und die Verarbeitung besonderer Kategorien personenbezogener Daten erfordern erhöhte Sorgfalt, klare Rechtsgrundlagen und zusätzliche Schutzmechanismen. - Gute Absichten reichen nicht
Auch wenn kein Schaden eingetreten ist oder die Ziele „gut gemeint“ sind: Entscheidend ist die Einhaltung der gesetzlichen Vorgaben. Formale Anforderungen wie DPIA, Informationspflichten und Dokumentation sind verbindlich.
Fazit
Die aktuellen Entscheidungen zeigen: Aufsichtsbehörden in Europa und im Vereinigten Königreich setzen die DSGVO konsequent durch. Wer Datenschutzanforderungen aufschiebt oder Behördenanfragen ignoriert, geht ein hohes finanzielles und reputatives Risiko ein.
Unternehmen sollten jetzt ihre Datenschutzorganisation, TOMs und DPIA-Prozesse kritisch prüfen und professionell aufstellen. Wenn Sie Unterstützung bei der Bewertung Ihrer DSGVO-Compliance, der Überarbeitung Ihrer technischen und organisatorischen Maßnahmen oder bei der Durchführung von Datenschutz-Folgenabschätzungen benötigen, steht Syngenity® GmbH Ihnen als Partner zur Seite.
