BULLETIN №075Stand · 10. Juni 2026
Bußgeld-Tracker.
Ein öffentliches Register regulatorischer Bußgelder, verhängt nach EU-Compliance-Richtlinien. Aktualisiert mit jeder Veröffentlichung durch nationale Aufsichtsbehörden.
35 Einträge
| № | Verhängt am | Unternehmen | Land | Behörde | Typ | Betrag | ↗ |
|---|---|---|---|---|---|---|---|
| 001 | — | Lensa.roLensa.ro, betrieben von Tensa Art Design, wurde von der rumänischen Datenschutzbehörde ANSPDCP mit 20.000 EUR belegt. Der Fall betraf Cookie-basiertes Tracking und verhaltensbezogene Werbung ohne klare Einwilligung sowie die Nichtbeantwortung offizieller Auskunftsersuchen der Behörde. | RO | Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal | GDPR consent and cooperation violation | 20.000 € | ↗ |
| 002 | — | Enel Energia SpAEnel Energia SpA wurde von der italienischen Datenschutzbehörde Garante mit 79,1 Mio. EUR belegt. Der Fall betraf den Missbrauch personenbezogener Daten und war eine bedeutende Durchsetzungsmaßnahme nach der DSGVO. | IT | Garante per la protezione dei dati personali | Misuse of personal data | 79.100.000 € | ↗ |
| 003 | — | DPD PolskaDer Präsident des Amtes für den Schutz personenbezogener Daten verhängte gegen DPD Polska eine Verwaltungsstrafe von über 11 Mio. PLN wegen DSGVO-Verstößen. Beanstandet wurden das Fehlen von Auftragsverarbeitungsverträgen mit externen Transportunternehmen sowie unzureichende organisatorische Maßnahmen zur Datensicherheit. | PL | Prezes Urzędu Ochrony Danych Osobowych | GDPR fine | 11.000.000 zł | ↗ |
| 004 | — | FC BarcelonaDie AEPD verhängte gegen FC Barcelona eine Geldbuße von 500.000 EUR wegen eines Verstoßes gegen die DSGVO. Der Fall betraf eine Verarbeitung personenbezogener Daten, die die gesetzlichen Anforderungen nicht erfüllte. | ES | AEPD | — | 500.000 € | ↗ |
| 005 | 05. Dez. 2026 | XDie Europäische Kommission verhängte gegen X eine Geldbuße von 120 Mio. EUR wegen Verstößen gegen die Transparenzanforderungen des Digital Services Act. Die Sanktion betraf ein irreführendes Verifizierungssymbol, ein unzureichendes Anzeigenarchiv und eingeschränkten Zugang für Forschende. | EU | European Commission | Digital Services Act transparency violation | 120.000.000 € | ↗ |
| 006 | 24. Feb. 2026 | Reddit, Inc.Das ICO verhängte gegen Reddit, Inc. eine Geldbuße von 14,5 Mio. GBP wegen Verstößen gegen das UK GDPR im Zusammenhang mit Age-Gating und dem Schutz von Kinderdaten. Der Vorgang wurde zunächst fälschlich als Enforcement Notice erfasst und später als Monetary Penalty Notice neu eingereicht. | GB | Information Commissioner's Office | Children's data protection | 14.500.000 £ | ↗ |
| 007 | 31. Jan. 2026 | SC Tensa Art Design SADie rumänische Datenschutzbehörde verhängte gegen SC Tensa Art Design SA, Betreiberin der Marke Lensa, eine Geldbuße von 20.000 EUR nach der DSGVO. Die Sanktion erfolgte, nachdem das Unternehmen nicht auf die Ermittlungsanfrage der Behörde zu Cookie-Tracking und verhaltensbasierter Werbung auf seiner Website reagiert hatte. | RO | Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal | GDPR investigation non-cooperation | 20.000 € | ↗ |
| 008 | 13. Jan. 2026 | Free Mobile and FreeDie französische CNIL verhängte gegen Free Mobile und Free eine Gesamtstrafe von 42 Mio. EUR wegen DSGVO-Verstößen im Zusammenhang mit einer Datenpanne aus dem Jahr 2024, von der mehr als 24 Millionen Nutzer betroffen waren. Die Behörde stellte unzureichende Sicherheitsmaßnahmen fest und erklärte, dass Free Mobile Daten ehemaliger Kunden unrechtmäßig aufbewahrt habe. | FR | Commission nationale de l’informatique et des libertés | Data protection | 42.000.000 € | ↗ |
| 009 | 01. Jan. 2026 | CloudflareAGCOM erließ gegen Cloudflare eine Ordinanza ingiunzione auf Grundlage des Digital Services Act. Die Geldbuße beträgt 100.000 EUR und betrifft einen Verstoß gegen DSA-Pflichten. | IT | AGCOM | DSA | 100.000 € | ↗ |
| 010 | 19. Dez. 2025 | HelsaMiDie norwegische Aufsichtsbehörde für digitale Barrierefreiheit stellte bei HelsaMi 119 Barrierefreiheitsfehler fest, von denen 64 nach Ablauf der ersten Frist weiterhin ungelöst waren. Der Betreiber wurde angewiesen, die Mängel bis zum 2025-12-19 zu beheben, andernfalls fällt eine tägliche Strafe von 50,000 NOK bis zur Einhaltung an. | NO | Tilsynet for universell utforming av IKT | Accessibility fine | 50.000 kr | ↗ |
| 011 | 19. Nov. 2025 | About YouDie ungarische Wettbewerbsbehörde (GVH) stellte fest, dass About You irreführende Rabattpreise verwendete und Verbraucher mit Countdown-Timern sowie Verknappungshinweisen unter Druck setzte. Das Unternehmen wurde verpflichtet, 505 Mio. HUF an den ungarischen Staatshaushalt zu zahlen und betroffenen ungarischen Kunden eine Entschädigung zu gewähren. | HU | Gazdasági Versenyhivatal | Misleading pricing | 505.000.000 Ft | ↗ |
| 012 | 01. Nov. 2025 | LastPass UK LtdIm November 2025 verhängte das Information Commissioner’s Office gegen LastPass UK Ltd eine Geldbuße von rund 1,2 Mio. GBP. Die Sanktion betraf Sicherheits- und Governance-Mängel, die trotz starker Verschlüsselung zu einem Vorfall mit etwa 1,6 Mio. betroffenen Nutzern in Großbritannien führten. | GB | Information Commissioner's Office | Inadequate security measures | 1.200.000 £ | ↗ |
| 013 | 22. Okt. 2025 | εκδοτικός οίκοςDie griechische Datenschutzbehörde verhängte gegen einen Verlag eine Geldbuße von 9.000 EUR, weil in einer E-Mail personenbezogene und besondere Kategorien von Daten eines Autors an 55 Empfänger offengelegt wurden. Zudem stellte die Behörde fest, dass Datenschutz durch Technikgestaltung nicht umgesetzt und weder die Behörde noch die betroffene Person über die Verletzung informiert wurden. | GR | Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα | GDPR data breach | 9.000 € | ↗ |
| 014 | 10. Okt. 2025 | Capita plc and Capita Pension Solutions LimitedDas Information Commissioner's Office verhängte gegen Capita plc und Capita Pension Solutions Limited eine Geldbuße von 14 Mio. GBP wegen Verstößen gegen die UK GDPR im Zusammenhang mit einem Cyberangriff im März 2023. Betroffen waren unzureichende technische und organisatorische Maßnahmen sowie eine verzögerte Reaktion auf Sicherheitswarnungen. | GB | Information Commissioner's Office | Data protection breach | 14.000.000 £ | ↗ |
| 015 | 01. Sept. 2025 | Osnovna škola XAZOP verhängte gegen Osnovna škola X eine Geldbuße von 2.000 EUR wegen eines Verstoßes gegen die DSGVO-Vorgaben zur Verarbeitung personenbezogener Daten. Der Fall betraf eine unrechtmäßige Verarbeitung personenbezogener Daten und weist auf einen Compliance-Verstoß im Datenschutz hin. | HR | AZOP | GDPR fine | 2.000 € | ↗ |
| 016 | 02. Juli 2025 | Hrvatski ured za osiguranjeAZOP verhängte gegen Hrvatski ured za osiguranje (HUO) eine Geldbuße von 101.000 Euro, nachdem festgestellt worden war, dass keine angemessenen technischen und organisatorischen Maßnahmen zum Schutz personenbezogener Daten umgesetzt wurden. Die Entscheidung folgte einer Untersuchung zu einem schweren Datenleck, von dem rund 1,2 Millionen Fahrzeughalter in Kroatien betroffen waren. | HR | AZOP | Personal data protection | 101.000 € | ↗ |
| 017 | 23. Juni 2025 | McDonald's Polska sp. z o.o.Der Präsident des Amtes für den Schutz personenbezogener Daten verhängte gegen McDonald's Polska sp. z o.o. eine Geldbuße von 16.932.657 PLN sowie eine separate Geldbuße gegen den Auftragsverarbeiter. Die Entscheidung vom 23.06.2025 betraf eine unzureichende Prüfung des Auftragsverarbeiters, eine mangelhafte Risikobewertung und fehlende angemessene DSGVO-Sicherheitsmaßnahmen. | PL | President of the Personal Data Protection Office | Data protection violation | 16.932.657 zł | ↗ |
| 018 | 03. Juni 2025 | Spotify ABAm 2025-06-03 entschied das Kammarrätten, dass Spotify AB eine Verwaltungsstrafe von 58 Mio. SEK zahlen muss. Der Fall betraf unzureichende Transparenz und unzureichende Informationen gegenüber betroffenen Personen nach einer Untersuchung durch die Integritetsskyddsmyndigheten im Rahmen der DSGVO. | SE | Integritetsskyddsmyndigheten (IMY) | GDPR transparency violation | 58.000.000 kr | ↗ |
| 019 | 03. Juni 2025 | Regione LombardiaDie italienische Datenschutzbehörde Garante per la protezione dei dati personali verhängte gegen Regione Lombardia eine Geldbuße in Höhe von 50.000 EUR. Der Fall betraf die unrechtmäßige Aufbewahrung von E-Mail-Metadaten von Beschäftigten, die übermäßige Speicherung von Web-Browsing-Logs und die zu lange Aufbewahrung von Helpdesk-Ticketdaten. | IT | Garante per la protezione dei dati personali | GDPR data retention violation | 50.000 € | ↗ |
| 020 | 01. Juni 2025 | CarrefourDie Agencia Española de Protección de Datos verhängte gegen Carrefour eine Geldbuße von 3,2 Mio. EUR. Die Sanktion folgte auf fünf Sicherheitsvorfälle zwischen Januar und April 2023, von denen die personenbezogenen Daten Tausender Kunden betroffen waren. | ES | Agencia Española de Protección de Datos | Data security breach | 3.200.000 € | ↗ |