Auch im Juni 2025 zeigten mehrere Entscheidungen der europäischen Datenschutzaufsichtsbehörden, wie ernst die Einhaltung der Datenschutz-Grundverordnung (DSGVO) genommen wird. Besonders im Fokus stand der Schutz sensibler und personenbezogener Daten vor externen Angriffen. So wurde etwa ein führendes britisches Biotechnologie-Unternehmen mit einem Bußgeld belegt, nachdem im Zuge einer Cyberattacke hochsensible genetische und Gesundheitsdaten von mehr als 100.000 Personen unzureichend gesichert und offengelegt wurden. Die Behörde stellte fest, dass wesentliche technische und organisatorische Schutzmaßnahmen – wie moderne Authentifizierungsverfahren und Zugriffskontrollen – fehlten. Zudem reagierte das Unternehmen nicht zeitnah auf die Datenschutzverletzung, was erheblich zum Strafmaß beitrug.
Fehlende Meldung von Datenschutzpannen: Öffentliche Verwaltungen im Blickpunkt
Ein weiteres Beispiel, wie wichtig ein funktionierendes Meldewesen im Fall von Datenschutzverletzungen ist, zeigte sich anhand einer Entscheidung einer irischen Aufsichtsbehörde gegen eine größere Stadtverwaltung. Dort waren personenbezogene Daten von mehreren Tausend Bürgerinnen und Bürgern nach einem Cybervorfall unbefugt veröffentlicht worden. Besonders schwer wog, dass die Verletzung nicht wie gesetzlich vorgeschrieben umgehend der zuständigen Behörde gemeldet wurde und die Betroffenen nicht rechtzeitig informiert wurden. Immer wieder mahnen die Behörden, wie zentral ein zuverlässiges Informationssicherheits-Managementsystem sowie innerbetriebliche Abläufe für die unverzügliche Reaktion auf Datenschutzpannen sind.
Unzulässige Weitergabe von Gesundheitsdaten: Risiken bei Tracking und Analyse-Tools
Die Anforderungen der DSGVO an den Schutz von Gesundheitsdaten gelten durchgängig in allen Branchen – das verdeutlicht ein Fall aus Finnland. Eine Online-Apotheke setzte Tracking-Technologien ein, durch die sensible Informationen über Arzneimittelbestellungen von Kundinnen und Kunden an große US-Technologieunternehmen weitergeleitet wurden. Die Nutzenden waren sich vielfach nicht bewusst, dass ihre Gesundheitsdaten durch Drittanbieter verarbeitet wurden. Die Aufsichtsbehörde ergriff Maßnahmen und verhängte ein Bußgeld, wobei insbesondere der mangelnde Datenschutz im Bereich der eingesetzten Analyse-Tools und die fehlende Einholung wirksamer Einwilligungen im Blickpunkt standen.
Datenschutz-Folgenabschätzungen bei biometrischen Daten: Anforderungen steigen
Der Umgang mit biometrischen Daten, wie beispielsweise bei Gesichtserkennungssystemen, verlangt nach besonderer Vorsicht. Dies musste ein Sozialministerium erfahren, das zur Authentifizierung von Bürgerinnen und Bürgern eine Gesichtserkennungssoftware implementiert hatte. Beanstandet wurden lückenhafte Vorabprüfungen der Datenschutz-Folgenabschätzung. Die Behörde kritisierte, dass die Rechtsgrundlagen der Verarbeitung und die Informationspflichten nicht ausreichend geprüft bzw. kommuniziert wurden. Die Entscheidung zeigt, dass gerade bei neuen Technologien und sensiblen Datenarten ein umfassendes Risikomanagement und transparente Information entscheidend sind.
Werbemaßnahmen ohne Einwilligung: Strikte Maßstäbe bei Direktmarketing
Zuletzt stand das Thema Direktwerbung erneut im Zentrum der behördlichen Datenschutzkontrolle. Ein international tätiger Telekommunikationsanbieter versäumte es, Werbeanrufe mit bestehenden Sperrlisten abzugleichen und die notwendige Einwilligung der Kundinnen und Kunden einzuholen. Die unzulässige Verarbeitung von Daten für Werbezwecke wurde mit einem empfindlichen Bußgeld sanktioniert. Damit wird einmal mehr betont, dass bei werblicher Ansprache – sei es per Telefon, E-Mail oder anderen Wegen – klare, nachweisbare Einwilligungen und regelmäßige Abgleiche mit Abmelde- und Robinsonlisten unerlässlich sind.
Die aktuellen Beispiele aus ganz Europa zeigen: Die DSGVO setzt einen verbindlichen Rahmen für den Umgang mit personenbezogenen Daten. Compliance und Präventionsmaßnahmen sind unerlässlich, um hohe Bußgelder und Imageschäden zu vermeiden. Unternehmen und Behörden profitieren von klaren Prozessen, technischer Vorsorge und einer gelebten Datenschutzkultur, um den gestiegenen Anforderungen auch künftig gerecht zu werden.
