BULLETIN №076Stand · 17. Juni 2026
Bußgeld-Tracker.
Ein öffentliches Register regulatorischer Bußgelder, verhängt nach EU-Compliance-Richtlinien. Aktualisiert mit jeder Veröffentlichung durch nationale Aufsichtsbehörden.
129 Einträge
- Bußgelder gesamt
- 5,5 Mrd. €
- Entscheidungen
- 129
- Jurisdiktionen
- 26
- Behörden
- 50
- Ø monatlich
- 66,7 Mio. €
- Wachstum z. Vj.
- +57,1 %
| № | Verhängt am | Unternehmen | Land | Behörde | Typ | Betrag | ↗ |
|---|---|---|---|---|---|---|---|
| 001 | — | FC BarcelonaDie AEPD verhängte gegen FC Barcelona eine Geldbuße von 500.000 EUR wegen eines Verstoßes gegen die DSGVO. Der Fall betraf eine Verarbeitung personenbezogener Daten, die die gesetzlichen Anforderungen nicht erfüllte. | ES | AEPD | GDPR | 500.000 € | ↗ |
| 002 | — | Timegrip ASDatatilsynet verhängte gegen Timegrip AS eine Verwaltungsstrafe in Höhe von 250.000 NOK, weil Beschäftigten der Zugang zu ihren personenbezogenen Daten zur Zeiterfassung verweigert wurde. Die Behörde stellte fest, dass Timegrip faktisch als Verantwortlicher handelte und keinen gültigen Grund hatte, die Auskunftsersuchen abzulehnen. | NO | Datatilsynet | Access rights violation | 22.664 € | ↗ |
| 003 | — | Enel Energia SpAEnel Energia SpA wurde von der italienischen Datenschutzbehörde Garante mit 79,1 Mio. EUR belegt. Der Fall betraf den Missbrauch personenbezogener Daten und war eine bedeutende Durchsetzungsmaßnahme nach der DSGVO. | IT | Garante per la protezione dei dati personali | Misuse of personal data | 79.100.000 € | ↗ |
| 004 | — | DPD PolskaDer Präsident des Amtes für den Schutz personenbezogener Daten verhängte gegen DPD Polska eine Verwaltungsstrafe von über 11 Mio. PLN wegen DSGVO-Verstößen. Beanstandet wurden das Fehlen von Auftragsverarbeitungsverträgen mit externen Transportunternehmen sowie unzureichende organisatorische Maßnahmen zur Datensicherheit. | PL | Prezes Urzędu Ochrony Danych Osobowych | GDPR fine | 2.591.000 € | ↗ |
| 005 | — | Lensa.roLensa.ro, betrieben von Tensa Art Design, wurde von der rumänischen Datenschutzbehörde ANSPDCP mit 20.000 EUR belegt. Der Fall betraf Cookie-basiertes Tracking und verhaltensbezogene Werbung ohne klare Einwilligung sowie die Nichtbeantwortung offizieller Auskunftsersuchen der Behörde. | RO | Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal | GDPR consent and cooperation violation | 20.000 € | ↗ |
| 006 | 05. Dez. 2026 | XDie Europäische Kommission verhängte gegen X eine Geldbuße von 120 Mio. EUR wegen Verstößen gegen die Transparenzanforderungen des Digital Services Act. Die Sanktion betraf ein irreführendes Verifizierungssymbol, ein unzureichendes Anzeigenarchiv und eingeschränkten Zugang für Forschende. | EU | European Commission | Digital Services Act transparency violation | 120.000.000 € | ↗ |
| 007 | 29. Mai 2026 | BlikkDie ungarische Datenschutzbehörde NAIH verhängte gegen Blikk eine Geldbuße von 25 Mio. HUF, weil personenbezogene Daten und Informationen zum Geschlechtswechsel einer transgeschlechtlichen Frau ohne Rechtsgrundlage veröffentlicht wurden. Die Behörde stufte den Verstoß als vorsätzlich ein und stellte fest, dass auf Löschungsersuchen nicht reagiert wurde. | HU | Nemzeti Adatvédelmi és Információszabadság Hatóság | Unlawful disclosure of personal data | 71.295 € | ↗ |
| 008 | 21. Mai 2026 | The European House – Ambrosetti spaDie italienische Datenschutzbehörde verhängte gegen The European House – Ambrosetti spa eine Geldbuße von 85.000 EUR wegen Sicherheitsmängeln nach einer Datenpanne mit 61.670 Betroffenen. Das Unternehmen informierte die betroffenen Personen zu spät, erst nach Einschreiten der Behörde. | IT | Garante per la protezione dei dati personali | Data breach | 85.000 € | ↗ |
| 009 | 15. Mai 2026 | Unnamed Hungarian employerDie ungarische Datenschutzbehörde NAIH verhängte gegen einen nicht genannten Arbeitgeber eine Geldbuße von 7 Mio. HUF wegen DSGVO-Verstößen. Betroffen waren eine fortlaufende Kameraüberwachung in Pausen- und Essbereichen der Beschäftigten sowie Mängel bei Dokumentation und Datenschutzhinweisen. | HU | Nemzeti Adatvédelmi és Információszabadság Hatóság | Unlawful surveillance | 19.963 € | ↗ |
| 010 | 30. Apr. 2026 | Intesa SanpaoloDie italienische Datenschutzbehörde Garante verhängte gegen Intesa Sanpaolo eine Geldbuße von 31,8 Mio. EUR. Anlass waren schwerwiegende Mängel bei der Sicherheit und dem Zugriffsmanagement personenbezogener Daten. | IT | Garante per la protezione dei dati personali | Security and access control failure | 31.800.000 € | ↗ |
| 011 | 28. Apr. 2026 | vzwDie Entscheidung in der Sache Nr. 94/2026 vom 28. April 2026 wurde von der belgischen Gegevensbeschermingsautoriteit erlassen. Ein belgischer vzw wurde mit 1.000 EUR belegt, weil er auf eingeschriebene Schreiben nicht reagierte und zur Anhörung nicht erschien; dies wurde als Verstoß gegen die Mitwirkungspflicht nach der DSGVO gewertet. | BE | Gegevensbeschermingsautoriteit (GBA) | Failure to cooperate with authority | 1.000 € | ↗ |
| 012 | 16. Apr. 2026 | An unnamed energy companyDie ungarische Datenschutzbehörde NAIH verhängte im Verfahren NAIH-19-18/2024 eine Geldbuße von 75 Mio. HUF gegen ein ungenanntes Energieunternehmen. Betroffen war die Datenverarbeitung im Rahmen eines landesweiten LED-Austauschprogramms mit erheblichen Datenschutzmängeln. | HU | Nemzeti Adatvédelmi és Információszabadság Hatóság | GDPR fine | 213.000 € | ↗ |
| 013 | 30. März 2026 | Κέντρο Εκπαίδευσης και Αποκατάστασης Τυφλών (ΚΕΑΤ)Die griechische Datenschutzbehörde verhängte gegen ΚΕΑΤ eine Geldbuße von 5,000 EUR wegen einer verspäteten und fehlerhaften Antwort auf ein Auskunftsersuchen eines Mitarbeiters zu CCTV-Aufnahmen. Der Fall betraf bearbeitetes Videomaterial, fehlende Aufnahmen sowie unzureichende technische und organisatorische Maßnahmen zur Sicherstellung der Compliance. | GR | Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα | GDPR access rights violation | 5.000 € | ↗ |
| 014 | 25. März 2026 | RENAULT COMMERCIAL ROUMANIE S.R.L.Die rumänische Datenschutzbehörde ANSPDCP verhängte gegen RENAULT COMMERCIAL ROUMANIE S.R.L. eine Geldbuße nach einem Cyberangriff auf eine von einem Auftragsverarbeiter betreute Anwendung. Die Behörde stellte fest, dass personenbezogene Daten unbefugt abgerufen und offengelegt wurden und dass das Unternehmen keine angemessenen Sicherheitsmaßnahmen sowie ausreichende Garantien beim Auftragsverarbeiter gewährleistet hatte. | RO | ANSPDCP | Insufficient security measures | 125.000 € | ↗ |
| 015 | 16. März 2026 | Restaurant Partner PolskaDie polnische Datenschutzbehörde verhängte gegen Restaurant Partner Polska, den Betreiber von Glovo in Polen, eine Geldbuße in Höhe von 5.898.064 PLN. Die Behörde stellte fest, dass das Unternehmen Scans und Fotos von Ausweisdokumenten von Nutzern unrechtmäßig erhoben und verarbeitet und damit die DSGVO verletzt hat. | PL | Urząd Ochrony Danych Osobowych | Personal data protection violation | 1.389.000 € | ↗ |
| 016 | 13. März 2026 | CriteoDie französische CNIL verhängte gegen Criteo eine Geldbuße von 40 Mio. EUR wegen mehrerer DSGVO-Verstöße im Zusammenhang mit Online-Werbung und Tracking. Der Conseil d'Etat wies die Berufung von Criteo zurück und bestätigte die Geldbuße am 2026-03-13. | FR | CNIL | Administrative fine | 40.000.000 € | ↗ |
| 017 | 05. März 2026 | Poczta Polska S.A.Der Präsident der polnischen Datenschutzbehörde verhängte gegen Poczta Polska S.A. eine Geldbuße von 27.124.816 PLN wegen der Verarbeitung personenbezogener Daten im Zusammenhang mit den Vorbereitungen für die Präsidentschaftswahl auf Anordnung des Ministerpräsidenten. Das Verwaltungsgericht Warschau hob die Entscheidung am 2026-03-05 auf. | PL | Prezes Urzędu Ochrony Danych Osobowych | GDPR administrative fine | 6.390.000 € | ↗ |
| 018 | 24. Feb. 2026 | Reddit, Inc.Das ICO verhängte gegen Reddit, Inc. eine Geldbuße von 14,5 Mio. GBP wegen Verstößen gegen das UK GDPR im Zusammenhang mit Age-Gating und dem Schutz von Kinderdaten. Der Vorgang wurde zunächst fälschlich als Enforcement Notice erfasst und später als Monetary Penalty Notice neu eingereicht. | GB | Information Commissioner's Office | Children's data protection | 16.776.000 € | ↗ |
| 019 | 20. Feb. 2026 | VodafoneDie griechische Datenschutzbehörde verhängte gegen Vodafone eine Geldbuße von 30.000 EUR wegen DSGVO-Verstößen im Zusammenhang mit dem Auskunftsersuchen eines Teilnehmers zu aufgezeichneten Telefongesprächen. Die Behörde stellte Verstöße gegen die Transparenzpflichten nach Artikel 12 sowie gegen die Rechte auf Auskunft und Einschränkung der Verarbeitung nach den Artikeln 15 und 18 DSGVO fest. | GR | Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα | GDPR transparency and access rights violation | 30.000 € | ↗ |
| 020 | 19. Feb. 2026 | Hrvatska agencija za nekretnineAZOP verhängte gegen eine kroatische Immobilienagentur eine Geldbuße von 100,000 Euro wegen DSGVO-Verstößen. Die Behörde stellte die unrechtmäßige Speicherung personenbezogener Daten von 11,887 Kunden nach Wegfall des Verarbeitungszwecks, eine Verarbeitung ohne Rechtsgrundlage sowie unzureichende technische und organisatorische Maßnahmen fest. | HR | AZOP | GDPR data retention and unlawful processing | 100.000 € | ↗ |