RSS FeedsTwitterEnglish Version
Bußgeld
Gerichtsurteil

DSGVO-Briefing

DSGVO Briefing
Datum12. Mai 2025

Wir haben ein 530 Mio. EUR-Bußgeld gegen TikTok sowie Bußgelder von insgesamt 3,8 Mio. EUR gegen einen italienischen Energieversorger und von ihm engagierte Marketing-Unternehmen für Sie zusammengefasst. Außerdem beleuchten wir eine Entscheidung des Bundesarbeitsgerichts.

TikTok gibt Daten von EU-Usern unrechtmäßig an China weiter: 530 Mio. EUR Bußgeld aus Irland.

Die irische Datenschutzbehörde verhängte ein Bußgeld von 530.000.000 EUR gegen TikTok Technology Limited. Hintergrund war eine Untersuchung der Behörde, die die Datenübermittlung von EU-Nutzern an chinesische Server seitens TikTok betraf.

Zunächst behauptete das Unternehmen, keine Daten europäischer Benutzer auf seinen Servern in China abgelegt zu haben. Dies berichtigte TikTok jedoch im April 2025: Das Unternehmen entdeckte im Februar 2025 auf seinen Servern doch Daten von europäischen TikTok-Benutzern. Als Ursache wurde ein Fehler angegeben. Diese Daten waren nach Ansicht des DPC nicht nach den Standards geschützt, die die DSGVO verlangt.

Darüber hinaus stellte die irische Behörde fest, dass TikTok Technology Limited Nutzer nicht hinreichend transparent über geplante Datennutzungen informierte. Im Jahr 2021 nannte es keine Drittländer, in die Userdaten weitergegeben wurden, und gab nicht an, zu welchen Verarbeitungszwecken die Informationen ins EU-Ausland gingen.

Eine Änderung im Jahr 2022 sorgte schließlich zumindest dafür, dass die Länder, von denen aus auf die Daten zugegriffen werden, aufgelistet wurden.

Insgesamt 3,8 Mio. EUR Bußgelder für Energieversorger und Marketing-Unternehmen: Illegale Werbepraktiken, Weitergabe und Nutzung von Datenlisten, fehlende Überwachung von Auftragsverarbeitern.

Ein Redakteur bei einem Fernsehsender wandte sich an die italienische Datenschutzbehörde. Ein ehemaliger Angestellter eines Callcenters hatte den Sender wegen der Telemarketing-Praktiken von Acea Energia und von dem Unternehmen angestellter Marketing-Agenturen kontaktiert.

Die Marketing-Unternehmen kontaktierten Personen, die vor kurzen ihren Stromanbieter gewechselt hatten. Indem sie nicht tatsächlich existierende Fehler beim Wechsel zitierten, überredeten sie die Kunden zur Aktivierung eines neuen Angebots. Teils waren diese Unternehmen nicht von Acea selbst engagiert worden, sondern von einem vom Bußgeldempfänger beauftragten Drittanbieter. Hierfür verwendeten sie Datenlisten, die sie ohne Zustimmung der darin erfassten Personen untereinander weitergaben.

Die Untersuchungen bei Acea Energia ergaben, dass der Versorger zwar in regelmäßigem Kontakt zu dem von ihnen engagierten Marketing-Dienstleister stand, aber dennoch nichts davon wusste, was dieser und die anderen Agenturen im Netzwerk tatsächlich taten. Dies war auf unzureichende technische und organisatorische Maßnahmen zum Datenschutz zurückzuführen; Acea prüfte den Auftragsverarbeiter nicht regelmäßig und gründlich genug.

Nachdem die Tätigkeiten des Netzwerks ans Licht kamen, beendete der Bußgeldempfänger die Zusammenarbeit und verbesserte seine Schutzmaßnahmen.

Neben 3 Mio. EUR für Acea Energia erließ die GPDP fünf weitere Geldstrafen gegen die beteiligten Unternehmen:

  • 45.000 EUR gegen Stefanelli Federica und 200.000 EUR gegen MG Company wg. unrechtmäßiger Nutzung von Personendaten für Werbezwecke und mangelhafter Datenschutzmaßnahmen,
  • 500.000 EUR gegen Fer-Energy, 75.000 EUR gegen Fer-Energy Call und 30.000 EUR gegen Diemme Group di Di Vico Luigi wegen des Erwerbs und der Nutzung von Datenlisten ohne Überprüfung der Richtigkeit und Einwilligung der gelisteten Personen.

Daten dürfen im Rahmen von Betriebsvereinbarungen nur verarbeitet werden, wenn diese DSGVO-konform sind.

2017 plante ein Unternehmen die konzernweite Einführung der HR-Software "Workday" und wollte für Testzwecke Echtdaten verwenden. Eine Vereinbarung mit dem Betriebsrat erlaubte dafür die Verarbeitung bestimmter Daten wie Name, Eintrittsdatum und geschäftliche Kontaktdaten. Tatsächlich übermittelte das Unternehmen jedoch deutlich mehr Informationen, darunter sensible Daten wie Gehaltsangaben, Wohnanschriften und Steuer-IDs, an die Konzernmuttergesellschaft.

Ein betroffener Arbeitnehmer klagte daraufhin auf Schadenersatz gemäß Art. 82 DSGVO. Nachdem das Landesarbeitsgericht die Klage abgewiesen hatte, legte das BAG dem Europäischen Gerichtshof (EuGH) Fragen zur Auslegung der DSGVO vor. Der EuGH stellte klar: Betriebsvereinbarungen dürfen nur dann Grundlage für eine Datenverarbeitung sein, wenn sie selbst den Anforderungen der DSGVO – insbesondere den Grundsätzen der Zweckbindung und Speicherbegrenzung – genügen.

Das BAG schloss sich dieser Sicht an und sprach dem Arbeitnehmer Schadenersatz zu. Die Datenweitergabe sei nicht durch berechtigte Interessen im Sinne von Art. 6 Abs. 1 lit. f DSGVO gedeckt gewesen. Entscheidend war der entstandene Kontrollverlust über die eigenen Daten, der als immaterieller Schaden zu werten sei. Die Entscheidung unterstreicht, dass Betriebsvereinbarungen keine pauschale Legitimation für datenschutzwidrige Praktiken bieten und jederzeit an den Maßstäben der DSGVO zu messen sind.

Impressum / Datenschutz / Rechtliche Hinweise