Kroatien verhängt 4,5 Millionen Euro Strafe gegen Telekomkonzern
06.12.2025 - 03:52:12Ein europäischer Telekommunikationskonzern muss 4,5 Millionen Euro zahlen, weil er Daten von fast 850.000 Kunden ohne gültigen Rechtsrahmen in Serbien verarbeitete und interne Warnungen ignorierte.
Ein europäischer Telekommunikationsriese sieht sich mit einem empfindlichen Bußgeld konfrontiert: 4,5 Millionen Euro fordert die kroatische Datenschutzbehörde. Der Grund? Personendaten von knapp 850.000 Kunden landeten ohne ausreichende Sicherheitsvorkehrungen in Serbien. Ein Fall, der zeigt, wie teuer Nachlässigkeit beim Datenschutz werden kann – und dass die Aufsichtsbehörden es ernst meinen.
Die kroatische Datenschutzbehörde AZOP machte Ende November einen Fall öffentlich, der exemplarisch für die Schwachstellen vieler Großkonzerne steht. 847.862 Kundendaten wanderten zum serbischen Dienstleister – darunter Namen, Adressen, Steueridentifikationsnummern (OIB), Telefonverläufe, Vertragsdaten und sogar IBANs. Das Arsenal hochsensibler Informationen hätte eigentlich durch sogenannte Standardvertragsklauseln geschützt sein sollen. Doch genau diese rechtliche Absicherung war seit Dezember 2022 abgelaufen.
Was folgte? Das Telekommunikationsunternehmen transferierte munter weiter personenbezogene Daten außerhalb der EU – ohne gültigen Rechtsrahmen, ohne zusätzliche Schutzmaßnahmen. Eine Million EU-Bürger hingen praktisch im datenschutzrechtlichen Niemandsland. Kein Wunder also, dass die kroatische Aufsicht hart durchgriff.
Passend zum Thema Auftragsverarbeitung: Viele Unternehmen unterschätzen die rechtlichen Anforderungen an Verträge mit Drittanbietern – Fehler kosten Zeit, Reputation und können zu empfindlichen Bußgeldern führen. Dieses kostenlose E-Book erklärt praxisnah, welche Klauseln ein Auftragsverarbeitungsvertrag (AVV) enthalten muss, liefert Checklisten zur Risikobewertung von Dienstleistern und fertige Vorlagen zur sofortigen Umsetzung. Ideal für Datenschutzbeauftragte, Rechtsabteilungen und IT-Verantwortliche. Gratis-E-Book: Auftragsverarbeitung jetzt prüfen
Wenn der eigene Datenschutzbeauftragte gegen die Wand redet
Doch damit nicht genug: Die Ermittlungen förderten ein ganzes System von Compliance-Verstößen zutage. Pflichtbewertungen zur Übermittlung von Daten (Transfer Risk Assessment) hatte das Unternehmen schlichtweg nicht durchgeführt, bevor es mit dem Drittanbieter zusammenarbeitete. Eine Basisanforderung, die offenbar unter den Tisch fiel.
Besonders pikant wird es bei den eigenen Mitarbeitern: Der Konzern sammelte systematisch Kopien von Personalausweisen und polizeilichen Führungszeugnissen – ohne rechtliche Grundlage. Der eigene Datenschutzbeauftragte warnte wiederholt, dass diese Praxis unverhältnismäßig und illegal sei. Das Management ignorierte die Hinweise konsequent.
„Die Missachtung interner Datenschutzexperten ist ein Aggravationsfaktor ersten Ranges”, analysierten Compliance-Experten am 3. Dezember. „Wer seine eigenen Kontrollinstanzen übergeht, signalisiert bewusste Gleichgültigkeit – und wird entsprechend härter bestraft.”
Teil einer europäischen Regulierungswelle
Der kroatische Fall reiht sich in eine bemerkenswerte Serie von Strafmaßnahmen ein, die den Dezember 2025 prägen:
X kassiert 120 Millionen Euro: Erst gestern, am 5. Dezember, verhängte die EU-Kommission eine Rekordstrafe gegen die Social-Media-Plattform X (ehemals Twitter). Der Vorwurf: irreführende Design-Muster und Transparenzmängel gemäß Digital Services Act. Eine andere Rechtsgrundlage als die DSGVO, aber dieselbe Botschaft: Nachlässigkeit kostet.
Vodafone Deutschland mit 45 Millionen Euro belangt: Im Juni 2025 traf es Vodafone GmbH mit einem massiven Bußgeld durch den Bundesdatenschutzbeauftragten. Sicherheitslücken in Kundenportalen und unerlaubte SIM-Karten-Aktivierungen brachten dem Bonner Konzern die bis dato höchste deutsche DSGVO-Strafe ein.
Was bedeutet das konkret? Telekommunikationsanbieter stehen besonders im Fokus der Aufsichtsbehörden – verständlich, denn kaum eine Branche verwaltet derartige Mengen sensibler Daten. „Standardvertragsklauseln sind kein Freifahrtschein zum Abhaken”, erklärte ein Datenschutzanalyst am 4. Dezember. „Sie erfordern aktive Überwachung, regelmäßige Erneuerung und valide Risikoanalysen – besonders bei Drittländern ohne Angemessenheitsbeschluss.”
Was Unternehmen 2026 erwartet
Die regulatorische Landschaft verschärft sich weiter. Für das erste Quartal 2026 kündigen sich bereits konkrete Entwicklungen an:
Verpflichtende Lieferantenaudits: Telekommunikationsunternehmen müssen mit systematischen Überprüfungen ihrer Dienstleister-Netzwerke rechnen. Alle außereuropäischen Datenverarbeiter sollen auf aktuelle, gültige Rechtsgrundlagen geprüft werden.
Stärkung der Datenschutzbeauftragten: Die explizite Erwähnung ignorierter DPO-Warnungen im kroatischen Fall sendet ein Signal. Aufsichtsbehörden werden künftig genau hinschauen, wie unabhängig und durchsetzungsfähig interne Datenschutzverantwortliche wirklich sind.
Steigende Bußgelder: Die 4,5 Millionen Euro mögen substanziell klingen – gemessen am DSGVO-Maximum von vier Prozent des weltweiten Jahresumsatzes sind sie für große Konzerne allerdings noch moderat. Experten rechnen damit, dass künftige Strafen diese Grenze deutlich besser ausreizen werden, sollten Systemfehler nachgewiesen werden.
Die Botschaft aus Brüssel, Zagreb und Berlin ist eindeutig: Ob Social-Media-Gigant oder nationaler Telekomanbieter – die Ära nachsichtiger Aufsicht ist vorbei. Compliance-Frameworks müssen nicht nur auf dem Papier existieren, sondern in der Praxis greifen. Wer seine eigenen Datenschutzexperten ignoriert und grundlegende Sicherheitsmechanismen vernachlässigt, zahlt – im wahrsten Sinne des Wortes.
Können sich Unternehmen angesichts dieser Entwicklung noch leisten, Datenschutz als lästige Pflichtübung zu betrachten? Die kroatischen 4,5 Millionen Euro liefern eine deutliche Antwort.
PS: Vermeiden Sie teure Compliance-Lücken bei Datenübermittlungen in Drittländer. Unser Vorlagenpaket enthält fertig formulierte Auftragsverarbeitungsverträge, Prüfchecklisten für Dienstleister und eine Schritt-für-Schritt-Anleitung zur risikobasierten Kontrolle Ihrer Auftragsverarbeiter – schnell anwendbar und von Experten geprüft. Ideal, um Fälle wie den kroatischen Vorfall zu analysieren und rechtssichere Prozesse zu implementieren. Jetzt Gratis‑Vorlagen für Auftragsverarbeitung herunterladen
