GDPR Enforcement Highlights

Auch im Jahr 2026 bleibt die Datenschutz-Grundverordnung ein zentraler Prüfstein für Unternehmen aller Branchen. Die aktuellen Entscheidungen europäischer Datenschutzbehörden zeigen deutlich, dass selbst große Organisationen weiterhin an grundlegenden Anforderungen scheitern. Die Behörden reagieren zunehmend konsequent, insbesondere wenn es um Cookie‑Einwilligungen, Cybersicherheit, Marketingkommunikation oder Videoüberwachung geht. Dieser Überblick fasst einige der jüngsten Fälle zusammen und zeigt, warum Datenschutz-Compliance für jedes Unternehmen unverzichtbar bleibt.

Ein wiederkehrendes Thema sind Verstöße im Bereich Cookies und Tracking-Technologien. Die französische Datenschutzbehörde CNIL veröffentlichte mehrere Bußgeldentscheidungen, die vor allem eines verdeutlichen: Die Anforderungen an informierte Einwilligungen werden sehr streng ausgelegt. In einem Fall aus dem Finanzsektor wurde ein Unternehmen mit einer Geldbuße von 1.500.000 Euro belegt, weil Cookies bereits vor der Zustimmung gesetzt wurden und die Auswahlentscheidungen der Nutzenden ignoriert wurden. Die CNIL stellte klar, dass alle nicht notwendigen Cookies erst nach einer aktiven und freiwilligen Einwilligung aktiviert werden dürfen. Ebenso muss die technische Umsetzung sicherstellen, dass Ablehnungen respektiert werden. Dieser Fall unterstreicht, wie wichtig es ist, dass Unternehmen ihre Cookie-Banner nicht nur optisch ansprechend gestalten, sondern technisch korrekt implementieren und regelmäßig überprüfen.

Ein weiterer Fall, ebenfalls durch die CNIL, betraf ein Medien- und Verlagshaus. Das Unternehmen hatte trotz ausdrücklicher Ablehnung weiterhin Cookies gesetzt und bestimmte Tracking-Technologien als angeblich essenziell gekennzeichnet, obwohl dies nicht der Wahrheit entsprach. Das führte zu einem Bußgeld in Höhe von 750.000 Euro. Die Entscheidung zeigt, dass Dark Patterns im Cookie-Bereich nicht nur zur schlechten Nutzererfahrung führen, sondern auch klare Compliance-Verstöße darstellen. Die Behörden analysieren Cookie-Banner inzwischen detailliert und reagieren insbesondere dann, wenn Ablehnungen bewusst umgangen werden. Zudem weist die Entscheidung darauf hin, dass Verstöße auch Jahre später noch geahndet werden können, wenn die Aufsichtsbehörden nachfassen und erneut prüfen.

Auch Cybersicherheit bleibt ein Schwerpunkt der europäischen Behörden. Die spanische Datenschutzbehörde AEPD verhängte jüngst ein Bußgeld in Höhe von 1.560.000 Euro gegen ein Handelsunternehmen, das Opfer eines Ransomware-Angriffs geworden war. Die Untersuchung ergab, dass die technischen und organisatorischen Maßnahmen nicht dem erforderlichen Schutzniveau entsprachen. Unter anderem wurde keine Multi-Faktor-Authentifizierung eingesetzt, und die Aktualisierung sicherheitsrelevanter Systeme war unzureichend. Darüber hinaus erfolgte die Meldung der Datenschutzverletzung verspätet, und betroffene Personen wurden nicht rechtzeitig informiert. Dieser Fall zeigt, dass Unternehmen trotz steigender Cyberbedrohungen häufig grundlegende Sicherheitsmaßnahmen vernachlässigen. Multi-Faktor-Authentifizierung, aktuelle Sicherheitspatches und robuste Notfallprozesse sind heute unverzichtbar, um regulatorische Risiken zu minimieren.

Ein weiteres Beispiel stammt aus Italien, wo die Aufsichtsbehörde GPDP ein Bußgeld von 6.000 Euro gegen ein Unternehmen aus der Hotelbranche verhängte. Der Fall betraf unerlaubte SMS-Werbung ohne vorherige Einwilligung. Zusätzlich hatte das Unternehmen Widersprüche gegen die Kontaktaufnahme ignoriert und keine klare rechtliche Grundlage für die Verarbeitung der Daten vorweisen können. Besonders betont wurde erneut, dass Direktmarketing nur mit gültiger Einwilligung oder in engen Ausnahmefällen zulässig ist. Zudem müssen Unternehmen sicherstellen, dass einmal ausgesprochene Widersprüche dauerhaft berücksichtigt und entsprechende Daten gelöscht werden.

Auch Videoüberwachung bleibt ein kritisches Thema, insbesondere wenn der Einsatz über das notwendige Maß hinausgeht. In Spanien verhängte die AEPD ein weiteres Bußgeld, diesmal in Höhe von 3.600 Euro, gegen ein Unternehmen aus der Automobil- und Lebensmittelbranche. Der Verstoß betraf Überwachungskameras, die nicht nur Videobilder, sondern auch Audioaufnahmen erstellten. Außerdem waren die Kameras in Arbeits- und Pausenbereichen installiert, und es fehlte an den gesetzlich vorgeschriebenen Hinweisschildern. Die spanische Behörde stellte klar, dass Audioaufnahmen im Rahmen der Videoüberwachung nahezu immer unzulässig sind. Unternehmen müssen zudem sicherstellen, dass die Überwachung nicht in Bereichen stattfindet, in denen Mitarbeitende oder Kundinnen und Kunden ein berechtigtes Maß an Privatsphäre erwarten dürfen.

Diese Beispiele zeigen, dass europäische Aufsichtsbehörden weiterhin streng vorgehen und selbst scheinbar kleine Verstöße konsequent ahnden. Die zentrale Erkenntnis lautet: Datenschutz-Compliance ist keine einmalige Aufgabe, sondern ein kontinuierlicher Prozess. Unternehmen müssen ihre Verfahren regelmäßig überprüfen, technische Maßnahmen aktuell halten und sicherstellen, dass Nutzende, Mitarbeitende und Kundinnen und Kunden transparent informiert werden.

Insbesondere im Bereich Cookies, Cybersicherheit, Direktmarketing und Videoüberwachung sollten Unternehmen ihre Prozesse fortlaufend evaluieren. Die Entscheidungen verdeutlichen, dass Aufsichtsbehörden auch langfristige Verstöße erkennen und kritisch hinterfragen. Technische Versäumnisse, verspätete Meldungen von Datenschutzverletzungen und mangelnde Transparenz können dabei erhebliche finanzielle und reputative Folgen haben.

Ein datenschutzkonformer Betrieb ist möglich, wenn klare Verantwortlichkeiten definiert, technische Standards eingehalten und Prozesse regelmäßig aktualisiert werden. Die Behörden zeigen mit ihren Entscheidungen, dass Compliance nicht nur rechtlich notwendig, sondern auch ein wesentlicher Bestandteil verantwortungsvoller Unternehmensführung ist.