Die Zwischenbilanz des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit (HmbBfDI) zeigt, dass Datenschutzverstöße in Unternehmen weiterhin erhebliche finanzielle und rufschädigende Risiken bergen. Laut einer Pressemitteilung des HmbBfDI vom 30.09.2025 hat dieser nämlich bislang in 2025 bereits 775.000 € Bußgelder verhängt. Die finanziellen Konsequenzen für Unternehmen werden am Beispiel eines Bußgeldes von fast einer halben Millionen Euro gegen ein Finanzunternehmen besonders deutlich. Dieses soll automatisierte Entscheidungen zur Kreditvergabe getroffen und dabei gegen zentrale Informationspflichten der Datenschutzgrundverordnung (DSGVO) verstoßen haben.
Bußgelder des HmbBfDI bis September
Die Gesamtsumme der vom HmbBfDI 2025 bisher verhängten Bußgelder belaufe sich auf rund 775.000 Euro. Insgesamt seien 15 Ordnungswidrigkeitenverfahren rechtskräftig beendet worden. Die Schwerpunkte der Ahndung hätte dabei auf unzulässiger Werbung und individuellen Datenschutzverstößen von Beschäftigten gelegen.
In drei Fällen sollen Kunden unzulässige Werbe-E-Mails erhalten haben, ohne zuvor eingewilligt zu haben. Die entsprechenden Bußgelder würden sich im unteren fünfstelligen Bereich bewegen.
Daneben richtete sich die Aufmerksamkeit der Aufsichtsbehörde auch auf den öffentlichen Bereich. Beschäftigte der Polizei und anderer Hamburger Behörden sollen ohne dienstlichen Anlass personenbezogene Abfragen in Datenbanken vorgenommen haben. Insgesamt seien sechs solcher Fälle mit Bußgeldern belegt worden. Ebenso müsse ein Krankenhausmitarbeiter ein Bußgeld zahlen, da er ohne Befugnis die Patientenakte eines Kollegen eingesehen habe.
Zuletzt schildert der HmbBfDI noch ein höheres Bußgeld von 195.000 Euro. Im zugrundeliegenden Fall soll ein großes Handelsunternehmen die Geltendmachung von Betroffenenrechten über längere Zeit ignoriert haben. Die Betroffenen sollen auf unerwünschte Werbeschreiben reagiert haben, doch ihre Auskunfts- und Löschbegehren seien weder fristgerecht noch vollständig beantwortet worden.
Automatisierte Entscheidungen als Risikofaktor
Der Ausgangspunkt der bisher höchsten Einzelbuße des Jahres war die automatisierte Ablehnung mehrerer Kreditkartenanträgedurch ein Finanzunternehmen. Obwohl die betroffenen Kunden eine einwandfreie Bonität aufgewiesen haben sollen, soll das Unternehmen die Anträge mittels algorithmischer Bewertungssysteme ohne menschliches Zutun abgelehnt haben. Als die Betroffenen Auskunft über die Entscheidungsgründe verlangten, sei das Unternehmen mangels hinreichender Erklärung seinen Auskunfts– und Informationspflichten nicht nachgekommen.
Genau hier liege das datenschutzrechtliche Problem. Nach Art. 22 DSGVO dürfen automatisierte Einzelentscheidungen nur unter engen Voraussetzungen erfolgen. Unternehmen müssen nicht nur eine rechtliche Grundlage nachweisen, sondern laut der Pressemitteilung des HmbBfDI den Betroffenen auf Anfrage auch „aussagekräftige Informationen über die involvierte Logik“ der Entscheidung bereitstellen.
Die HmbBfDI stellte in diesem Fall einen Verstoß gegen diese Verpflichtung fest. Das Bußgeld beläuft sich trotz der Berücksichtigung erheblicher mildernder Umstände, die sich aus der guten Zusammenarbeit zur Verbesserung der Unternehmensprozesse ergeben hätten, weiterhin auf 492.000 Euro. Dies verdeutlicht, dass fehlende Transparenz bei automatisierten Entscheidungen erheblichen wirtschaftlichen Schaden anrichten kann.
Fazit
Für Unternehmen zeigt die Hamburger Zwischenbilanz deutlich, dass Transparenz- und Auskunftspflichten keineswegs als bloße Formalie verstanden werden dürfen. Gerade in automatisierten Prozessen sind nachvollziehbare Entscheidungsstrukturen unerlässlich, nicht nur, um Bußgelder zu vermeiden, sondern auch um das Vertrauen von Kunden zu sichern.
Dass der HmbBfDI bereits 775.000 € Bußgelder in 2025 verhängt hat, unterstreicht, dass Datenschutzverstöße weiterhin konsequent sanktioniert werden. Das gilt insbesondere dort, wo automatisierte Prozesse die Rechte von Betroffenen berühren. Das hohe Bußgeld gegen das Finanzunternehmen veranschaulicht exemplarisch, dass intransparente Algorithmen und unzureichende Auskunftserteilungen nicht nur das Vertrauen der Kundschaft gefährden, sondern auch erhebliche rechtliche und wirtschaftliche Risiken bergen. Für Unternehmen empfiehlt sich insofern sich von Externen Datenschutzbeauftragten ein rechtssicheres und maßgeschneidertes Datenschutzkonzept erstellen zu lassen.
