Top 5 DSGVO-Bussgelder im Januar 2026
Dieser Text wurde mit ChatGPT erstellt
Stand: 2026-02-08
Im Januar 2026 haben mehrere Datenschutzaufsichtsbehoerden in Europa hohe Bussgelder nach der DSGVO verhaengt. Die folgenden fuenf Faelle zeigen, welche Themen derzeit besonders streng geprueft werden: IT-Sicherheit, transparente Information nach Datenpannen, wirksame Einwilligungen im Marketing, physische Vertraulichkeit auch bei Papierlisten sowie die konsequente Bearbeitung von Betroffenenanfragen.
Fall 1: Frankreich, 42 Millionen EUR gegen Free Mobile und Free
Die franzoesische Aufsicht CNIL hat am 13. Januar 2026 zwei Sanktionsentscheidungen gegen Free Mobile und Free erlassen und insgesamt 42 Millionen EUR verhaengt. Beanstandet wurden vor allem unzureichende Sicherheitsmassnahmen, unter anderem ein nicht robustes Authentifizierungsverfahren beim VPN, sowie Defizite bei der Information der Betroffenen nach einer Datenpanne. Free Mobile wurde mit 27 Millionen EUR und Free mit 15 Millionen EUR belegt.
Fall 2: Frankreich, 5 Millionen EUR gegen France Travail
Die CNIL hat am 22. Januar 2026 France Travail (vormals Pole Emploi) mit 5 Millionen EUR sanktioniert, weil die Sicherheit der Daten von Arbeitssuchenden nicht ausreichend gewaehrleistet war. Nach Darstellung der CNIL nutzten Angreifer Social Engineering und uebernahmen Konten, wodurch sie auf Daten von Personen zugreifen konnten, die aktuell registriert waren oder es in den vergangenen 20 Jahren gewesen sind. Die CNIL nennt als zentrale Schwachstellen eine nicht hinreichend robuste Authentifizierung, unzureichende Protokollierung zur Erkennung atypischer Zugriffe und zu weit gefasste Berechtigungen.
Fall 3: Frankreich, 3,5 Millionen EUR wegen Custom Audiences ohne gueltige Einwilligung
Die CNIL hat am 30. Dezember 2025 eine Geldbusse von 3,5 Millionen EUR gegen ein Unternehmen verhaengt, weil es seit 2018 E-Mail-Adressen und Telefonnummern von Mitgliedern eines Treueprogramms an ein soziales Netzwerk uebermittelt hat, um dort gezielte Werbung zu schalten. Die CNIL kam zu dem Ergebnis, dass das behauptete Einverstaendnis nicht wirksam war, weil die Betroffenen bei der Anmeldung und in den Hinweisen nicht klar ueber die Datenuebermittlung und den konkreten Werbezweck informiert wurden. In der veroeffentlichten Zusammenfassung werden zusaetzlich Verstoesse bei Informationspflichten, Sicherheitsmassnahmen, Datenschutz-Folgenabschaetzung und Cookie-Einwilligungen genannt. Die Entscheidung wurde nach Angaben der CNIL in Zusammenarbeit mit 16 weiteren europaeischen Aufsichtsbehoerden getroffen.
Fall 4: Spanien, 32.000 EUR gegen EXCEL HOTELS & RESORTS wegen offen einsehbarer Papierlisten
Die spanische Datenschutzbehoerde AEPD hat EXCEL HOTELS & RESORTS, S.A. sanktioniert, nachdem bei einer Zugangskontrolle in einer Ferienanlage Papierlisten mit personenbezogenen Daten fuer Dritte sichtbar waren und nach den Feststellungen auch fotografiert werden konnten. In der Entscheidung wird eine Busse von 40.000 EUR genannt, die sich durch fruehzeitige Zahlung um 20 Prozent auf 32.000 EUR reduzierte. Zusaetzlich ordnet die AEPD an, dass innerhalb einer Frist Nachweise ueber wirksame technische und organisatorische Massnahmen vorzulegen sind.
Fall 5: Norwegen, 250.000 NOK gegen Timegrip wegen verweigerter Auskunft
Die norwegische Datenschutzbehoerde Datatilsynet hat Timegrip AS ein Bussgeld von 250.000 norwegischen Kronen auferlegt, weil Beschaeftigte einer insolventen Ladenkette keinen Zugriff auf ihre eigenen Arbeitszeitdaten erhielten. Datatilsynet stellt darauf ab, dass es auch in Insolvenzsituationen immer einen Verantwortlichen geben muss und dass ein Dienstleister, der faktisch ueber Zwecke, Speicherdauer und Zugriff entscheidet, als Verantwortlicher gelten kann. Das Unternehmen hatte Auskunftsersuchen abgelehnt und die Herausgabe der Daten unter anderem von einer Zahlung abhaengig gemacht.
Was Unternehmen aus diesen Faellen ableiten koennen
Erstens werden Maengel in der IT-Sicherheit, insbesondere bei Fernzugriffen, Authentifizierung und Protokollierung, weiterhin konsequent sanktioniert. Zweitens muessen Benachrichtigungen nach Datenpannen vollstaendig und verstaendlich sein, damit Betroffene Risiken einschaetzen und Schutzmassnahmen ergreifen koennen. Drittens reichen pauschale Opt-ins im Marketing nicht aus, wenn eine Datenuebermittlung an soziale Netzwerke nicht klar, konkret und nachvollziehbar erklaert wird. Viertens zaehlt Datenschutz auch ausserhalb von IT-Systemen, etwa bei Papierlisten, Zutrittskontrollen und dem Umgang von Dienstleistern vor Ort. Fuenftens sind Betroffenenrechte wie das Auskunftsrecht organisatorisch so abzusichern, dass sie auch bei Ausnahmesituationen wie einer Insolvenz praktisch erfuellt werden koennen.
Quellen
Top 5 DSGVO-Bussgelder im Januar 2026 – Dr. Datenschutz – https://www.dr-datenschutz.de/top-5-dsgvo-bussgelder-im-januar-2026/ – 05.02.2026
Violation de donnees: sanction de 42 millions d euros a l encontre des societes FREE MOBILE et FREE – CNIL – https://www.cnil.fr/fr/sanction-free-2026 – 14.01.2026
Violation de donnees: sanction de 5 millions d euros a l encontre de FRANCE TRAVAIL – CNIL – https://www.cnil.fr/fr/violation-de-donnees-sanction-5millions-france-travail – 29.01.2026
Transmission de donnees a un reseau social a des fins publicitaires: la CNIL prononce une sanction de 3,5 millions d euros – CNIL – https://www.cnil.fr/fr/transmission-de-donnees-un-reseau-social-des-fins-publicitaires-sanction – 22.01.2026
Resolucion de procedimiento sancionador, Expediente EXP202309674 (EXCEL HOTELS & RESORTS, S.A.) – Agencia Espanola de Proteccion de Datos – https://www.aepd.es/documento/ps-00077-2024.pdf – 10.10.2025
Overtredelsesgebyr for manglende innsyn – Datatilsynet – https://www.datatilsynet.no/regelverk-og-verktoy/lover-og-regler/avgjorelser-fra-datatilsynet/2026/overtredelsesgebyr-for-manglende-innsyn/ – 20.01.2026