Im Oktober 2025 wurden erneut mehrere Unternehmen mit hohen Bußgeldern belegt. Die folgenden Fälle verdeutlichen, wie schnell aus Nachlässigkeit ein teures Problem werden kann.
1. Automatisierte Kreditentscheidungen ohne Transparenz – 492.000 € Bußgeld
Ein Finanzunternehmen in Hamburg nutzte automatisierte Prozesse zur Ablehnung von Kreditkartenanträgen – auch bei Kunden mit guter Bonität. Die Betroffenen erhielten keine verständliche Erklärung zur Entscheidungslogik und wurden bei Auskunftsanfragen ignoriert. Die Datenschutzbehörde verhängte ein Bußgeld von 492.000 €, das milder ausfiel, weil das Unternehmen kooperierte und seine Prozesse überarbeitete.
Verstoß gegen:
➡️ Art. 22 DSGVO – Verbot automatisierter Entscheidungen ohne ausreichende Transparenz und Schutzmechanismen
➡️ Art. 15 DSGVO – Auskunftsrecht der betroffenen Person Software, die es ermöglicht, digitale Inhalte wie Texte, Bilder und Videos zu erstellen, zu verwalten und zu veröffentlichen.
2. IT-Dienstleister Capita – 16 Mio. € wegen mangelhafter Sicherheitsmaßnahmen
Das britische Unternehmen Capita wurde Opfer eines massiven Cyberangriffs, bei dem fast ein Terabyte sensibler Daten gestohlen wurde – darunter Rentenunterlagen und Personalakten. Ursache war eine heruntergeladene Schadsoftware, die erst nach 58 Stunden isoliert wurde. Die Behörde kritisierte fehlende Sicherheitsmaßnahmen wie abgestufte Admin-Rechte, unzureichende Reaktion auf Warnungen und mangelnde Penetrationstests.
Verstoß gegen:
➡️ Art. 32 DSGVO – Sicherheit der Verarbeitung
➡️ Art. 5 Abs. 1 lit. f DSGVO – Integrität und Vertraulichkeit
3. Experian Nederland – 2,7 Mio. € für rechtswidrige Datenverarbeitung
Experian Nederland erstellte Kreditbewertungen für Dritte (z. B. Vermieter, Händler), ohne die Betroffenen ausreichend zu informieren. Die Daten stammten aus öffentlichen und privaten Quellen, wurden aber ohne gültige Rechtsgrundlage verarbeitet. Viele Verbraucher erfuhren erst durch abgelehnte Anträge oder hohe Kautionen von der negativen Bewertung. Die niederländische Datenschutzbehörde verhängte ein Bußgeld. Experian stellte daraufhin seine Aktivitäten in den Niederlanden ein.
Verstoß gegen:
➡️ Art. 5 Abs. 1 a) und c), Art. 6 Abs. 1 DSGVO – Fehlende Rechtsgrundlage für die Verarbeitung
➡️ Art. 13, 14 DSGVO – Informationspflicht bei indirekter Datenerhebung
Wer hier schludert, riskiert nicht nur hohe Bußgelder, sondern auch Vertrauensverlust.