Ein Blick auf die jüngsten Bußgelder im Datenschutzrecht zeigt einmal mehr, wie vielfältig die Risiken für Unternehmen aller Branchen sind. Die Datenschutz-Grundverordnung (DSGVO) wurde konsequent angewendet, um Verstöße unterschiedlichen Ausmaßes im Mai 2025 zu ahnden. Die Sanktionen reichen von Millionenbeträgen internationaler Konzerne bis hin zu empfindlichen Strafen für kleinere Akteure. Anhand der aktuell fünf höchsten Bußgelder werden zentrale Kernthemen deutlich, die für mittelständische Unternehmen von besonderer Relevanz sind.
1. Internationale Datentransfers: Eine teure Angelegenheit
Das höchste Bußgeld des Monats wurde gegen einen internationalen Social-Media-Anbieter verhängt, nachdem personenbezogene Daten europäischer Nutzerinnen und Nutzer unerlaubt außerhalb der EU verarbeitet und nicht ausreichend transparent informiert wurde. Mit 530 Millionen Euro verdeutlicht dieser Fall, welche Bedeutung rechtssichere Datenübermittlungen in Drittländer haben. Unternehmen, die mit Dienstleistern im außereuropäischen Ausland kooperieren oder Daten international transferieren, müssen besonders sorgfältig vorgehen. Die Prüfschwerpunkte der Aufsichtsbehörden liegen klar auf Transparenzpflichten und der Risikobewertung beim Datentransfer.
2. Gesundheitsdaten unter besonderem Schutz
Ein aktueller Vorfall im europäischen Gesundheitswesen unterstreicht den sensiblen Umgang mit personenbezogenen Gesundheitsdaten. Ein Apotheker hatte ohne rechtliche Grundlage Gesundheitsdaten von Bewohnern einer Pflegeeinrichtung verarbeitet und weitergegeben. Obwohl das Bußgeld von 6.600 Euro im Vergleich gering erschien, verweist der Fall auf die strenge Kontrolle bei besonders schützenswerten Datenarten. Unternehmen, die mit Gesundheitsdaten oder anderen sensiblen Informationen arbeiten, sollten ihre Prozesse zur Einholung von Einwilligungen und zum Schutz der Daten regelmäßig überprüfen.
3. Werbemaßnahmen ohne Einwilligung: Hohe Risiken im Marketing
Eine Marketingfirma wurde zu einem Bußgeld von 900.000 Euro verurteilt, nachdem sie E-Mail- und SMS-Massenwerbung ohne gültige Einwilligung betrieb und Daten für Werbezwecke an Dritte weitergab. Hier zeigte sich erneut, dass der Grundsatz der Datenminimierung und der Transparenz auch und gerade für Marketingaktivitäten gilt. Für Unternehmen gilt: Werbung und personalisierte Ansprache sind nur mit expliziter Zustimmung der Betroffenen möglich. Das Vertrauen auf pauschale Einwilligungen oder Aussagen von Datenlieferanten genügt nicht den rechtlichen Anforderungen.
4. Datenschutz im Alltag: Mehr als eine Frage für Großunternehmen
Auch kleinere Organisationen und Gemeinschaften sind nicht vor Sanktionen gefeit. Eine Eigentümergemeinschaft wurde mit einer Strafe belegt, nachdem ein Sitzungsprotokoll offen im Gebäude ausgehängt wurde und so persönliche Daten öffentlich einsehbar waren. Obwohl der Betrag von 1.000 Euro vergleichsweise gering ist, macht der Fall deutlich, dass Datenschutzverstöße in jeder Organisationsgröße relevant sind. Alle Beteiligten sind verpflichtet, personenbezogene Daten nur im erforderlichen Rahmen zugänglich zu machen und dafür angemessene technische sowie organisatorische Maßnahmen zu treffen.
5. Digitale Dienste & Kinder: Altersverifikation als Pflicht
Ein Anbieter eines digitalen Chatbot-Dienstes erhielt ein Bußgeld in Millionenhöhe, weil keine ausreichenden Schutzmechanismen für minderjährige Nutzer etabliert waren. Neben fehlenden Einwilligungen wurde insbesondere das Fehlen von Altersverifikationsverfahren beanstandet. Gerade bei Online-Diensten, sozialen Netzwerken oder KI-gestützten Anwendungen, die auch von Jugendlichen genutzt werden können, müssen wirksame Kontrollen für den Schutz Minderjähriger umgesetzt werden. Der besondere Schutz von Kindern und Jugendlichen ist ein zentraler Prüfpunkt der europäischen Datenschutzbehörden.
Die aktuellen Bußgelder im Mai 2025 belegen: Datenschutz ist keine Kür, sondern Pflicht für Unternehmen jeder Größe. Besonders im internationalen Kontext, bei sensiblen Daten und in der Kundenkommunikation ist höchste Sorgfalt geboten. Compliance-Verantwortliche in mittelständischen Betrieben sind gut beraten, ihre Datenverarbeitungsprozesse regelmäßig zu überprüfen, Risiken zeitnah zu erkennen und durch gezielte Maßnahmen zu minimieren – nicht zuletzt, um finanzielle und reputative Schäden durch Bußgelder zu vermeiden.
