DSGVO-Verstöße: 4,5 Millionen Euro Strafe wegen Datentransfer

Europas Datenschutzbehörden verschärfen den Ton – und die Strafen steigen dramatisch. Jüngstes Beispiel: Ein kroatischer Telekom-Anbieter muss 4,5 Millionen Euro zahlen, weil er personenbezogene Daten von 847.000 Nutzern illegal nach Serbien übermittelte. Gleichzeitig sorgt eine neue Microsoft Teams-Funktion zur Standorterfassung von Mitarbeitern für Unruhe. Die Botschaft ist klar: Wer beim Datenschutz schlampt, zahlt einen hohen Preis.

Die kroatische Datenschutzbehörde AZOP machte am 14. November ernst. Das betroffene Telekommunikationsunternehmen hatte nach 2022 sensible Kundendaten – darunter Kopien von Personalausweisen – ohne gültige Rechtsgrundlage an einen Dienstleister in Serbien weitergegeben. Standardvertragsklauseln? Fehlanzeige. Die Strafe fiel entsprechend drastisch aus.

Diese Entscheidung sendet ein unmissverständliches Signal an alle Unternehmen mit internationalen Geschäftsbeziehungen: Datentransfers in Drittländer erfordern wasserdichte rechtliche Absicherung. Wer seine Verträge mit Dienstleistern nicht regelmäßig auf Aktualität prüft, spielt mit dem Feuer.

Viele Unternehmen unterschätzen die Risiken bei der Auftragsdatenverarbeitung – ungesicherte Datentransfers oder fehlende Standardvertragsklauseln können hohe Bußgelder und Haftungsfolgen nach sich ziehen; Experten schätzen, dass solche Fehler Unternehmen im Schnitt rund 50.000 € kosten. Unser kostenloses E‑Book erklärt praxisnah, wie Sie Verträge mit Dienstleistern prüfen, wirksame Klauseln integrieren und Drittländer-Transfers rechtssicher gestalten. Inklusive editierbarer Vertragsvorlagen und Prüflisten für Audits – ideal für Geschäftsführer, Datenschutzbeauftragte und IT-Verantwortliche. Jetzt gratis E‑Book zur Auftragsverarbeitung herunterladen

Auch der Alltag birgt Millionenrisiken

Datenschutzverstöße lauern nicht nur bei großen Datenübermittlungen. In Spanien kostete eine WhatsApp-Gruppe LVMH Iberia, die Muttergesellschaft bekannter Luxusmarken, ursprünglich 70.000 Euro. Der Grund erscheint banal: Eine Mitarbeiterin wurde ohne ihre Einwilligung zu einer Arbeitsgruppe hinzugefügt – über ihr privates Mobiltelefon.

Nach einer frühzeitigen Zahlung und Anerkennung der Haftung reduzierte sich die Strafe auf 42.000 Euro. Der Fall zeigt: Selbst alltägliche Kommunikationspraktiken können teuer werden, wenn Grundprinzipien wie Einwilligung und Datentrennung ignoriert werden. Sind Ihre WhatsApp-Gruppen eigentlich DSGVO-konform?

Microsoft Teams: Neue Tracking-Funktion heizt Debatte an

Ab Dezember 2025 will Microsoft eine Funktion ausrollen, die automatisch erkennt, wann sich Mitarbeiter im Büro befinden. Sobald sich ein Gerät mit dem Firmen-WLAN verbindet, aktualisiert sich der Anwesenheitsstatus. Microsoft preist das Feature als Hilfe für hybrides Arbeiten an.

Datenschützer sehen das kritischer. Die automatische Standorterfassung erfordert eine klare Rechtsgrundlage – entweder eine informierte Einwilligung der Mitarbeiter oder eine Betriebsvereinbarung. Unternehmen müssen transparent kommunizieren, welche Daten zu welchem Zweck und wie lange gespeichert werden.

Besonders heikel: Eine Nutzung zur Leistungsbewertung ist unzulässig. Experten warnen bereits vor einem möglichen Compliance-Albtraum, falls Arbeitgeber die Funktion unsachgemäß implementieren. Betriebsräte dürften die Entwicklung mit Argusaugen verfolgen.

BGH schafft Klarheit bei Schadensersatz – mit Fallstricken

Neben behördlichen Bußgeldern wächst das Risiko von Klagen nach Artikel 82 DSGVO. Der Bundesgerichtshof hat 2025 wichtige Weichen gestellt: Nicht jeder formale Verstoß begründet automatisch Schmerzensgeld. Ein bloßer Ärger über eine unerwünschte Werbe-E-Mail reicht nicht aus.

Allerdings bestätigten die Richter auch, dass ein Kontrollverlust über die eigenen Daten einen ersatzfähigen Schaden darstellen kann. Diese Differenzierung erschwert die Risikobewertung für Unternehmen erheblich. Bei Datenpannen oder unrechtmäßiger Weitergabe drohen Klagen – besonders gefährlich bei einer großen Zahl Betroffener.

KI und Cloud: Die nächsten Brennpunkte

Die Aufsichtsbehörden haben ihre Schwerpunkte gesetzt: unzureichende Rechtsgrundlagen, mangelnde IT-Sicherheit und Verstöße gegen Grundprinzipien des Datenschutzes. Im kommenden Jahr rücken KI-Systeme, Cloud-Dienste und Mitarbeiter-Tracking-Tools noch stärker in den Fokus.

Proaktive Compliance wird zum Wettbewerbsfaktor. Dazu gehören regelmäßige Überprüfungen der Datenschutzrichtlinien, Folgenabschätzungen bei neuen Technologien und kontinuierliche Mitarbeiterschulungen. Vergleichbar mit DAX-Konzernen wie SAP oder der Telekom müssen auch mittelständische Unternehmen ihre Prozesse professionalisieren.

Die Botschaft der jüngsten Fälle ist eindeutig: Die Zeit des wohlwollenden Abwartens ist vorbei. Europas Datenschutzbehörden meinen es ernst – und die Strafen werden empfindlicher.

PS: Vermeiden Sie persönliche Haftungsrisiken und teure Nachzahlungen bei internationalen Datenübermittlungen. Unser Gratis-Paket liefert sofort einsetzbare Vertragsvorlagen, Checklisten zur Auftragsdatenverarbeitung und einen DSGVO-Schnellcheck für Ihre Dienstleister – so sichern Sie Mitarbeiterdaten und Geschäftsbeziehungen schnell ab. Praktisch: Alle Vorlagen sind editierbar und einsatzbereit, empfohlen für HR, Compliance und Rechtsabteilungen. Kostenlose Vertragsvorlagen & Checkliste sichern