HmbBfDI-Zwischenbilanz 2025: Bislang Bußgelder von insgesamt 775.000 Euro verhängt

Der HmbBfDI meldet in diesem Zusammenhang, dass von einem Unternehmen der Finanzwirtschaft ein Bußgeld in Höhe von 492.00 Euro gefordert wurde

[datensicherheit.de, 01.10.2025] Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) hat eine Zwischenbilanz Ende September 2025 gezogen und meldet in diesem Zusammenhang, dass er gegen ein Unternehmen aus der Finanzwirtschaft ein Bußgeld in Höhe von 492.00 Euro wegen Verstößen gegen die Rechte betroffener Kunden bei automatisierten Entscheidungen in Einzelfällen verhängt hat.

Foto: Bildwerkstatt Nienstedten

Thomas Fuchs: Entscheidet eine Software über Menschen, muss die verarbeitende Stelle die tragenden Gründe verständlich erklären können!

HmbBfDI monierte, dass das Unternehmen seine gesetzlich vorgegebenen Informations- und Auskunftspflichten nicht ausreichend erfüllte

Trotz guter Bonität seien die Kreditkartenanträge mehrerer Kunden mittels automatisierter Entscheidungen abgelehnt worden – „dabei handelt es sich um Entscheidungen, die auf der Grundlage von Algorithmen und ohne menschliches Eingreifen maschinell getroffen werden“.

• Als daraufhin die betroffenen Kunden eine Begründung für die abgelehnten Anträge verlangt hätten, habe das Unternehmen seine gesetzlich vorgegebenen Informations- und Auskunftspflichten nicht ausreichend erfüllt.

Automatisierte Entscheidungen, welche auf der Grundlage von Algorithmen und ohne menschliches Eingreifen maschinell getroffen werden, sind offensichtlich mit besonderen Risiken für die Rechte und Freiheiten der betroffenen Personen verbunden. Somit ist ein Einsatz solcher Verfahren nach den Vorschriften der Datenschutzgrundverordnung (DSGVO) demnach nur unter engen Voraussetzungen erlaubt.

Unternehmen hat HmbBfDI-Bußgeldbescheid akzeptiert

Neben diesen höheren Anforderungen an die Rechtmäßigkeit hätten die Verantwortlichen zusätzliche Informationspflichten, während betroffenen Personen weitergehende Auskunftsrechte zustünden.

• Stellten etwa betroffene Personen bei den Verantwortlichen einen Auskunftsantrag, so seien Verantwortliche verpflichtet, Antragstellern aussagekräftige Informationen über die involvierte Logik der automatisierten Entscheidung zu erteilen.

Sowohl im Verwaltungs- als auch im Bußgeldverfahren habe das betroffene Unternehmen erhebliche Anstrengungen unternommen, um seinen Prozess zur Erfüllung von Rechten der betroffenen Personen bei einer automatisierten Entscheidungsfindung zu verbessern und umfassend mit dem HmbBfDI zusammengearbeitet. Dieser Umstand sei bei der Bußgeldzumessung erheblich mildernd berücksichtigt worden – das Unternehmen habe den Bußgeldbescheid akzeptiert.

Auch gegen Beschäftigte der Polizei und anderer Hamburgischer Behörden Bußgeld-Forderungen des HmbBfDI

Das oben genannte Bußgeld eingerechnet, habe der HmbBfDI im Jahr 2025 bisher Bußgelder von rund 775.000 Euro wegen Verstößen gegen die DSGVO verhängt. „Insgesamt 15 Ordnungswidrigkeitenverfahren wurden bis September 2025 rechtskräftig abgeschlossen. Ahndungsschwerpunkte waren rechtswidrige Werbemaßnahmen sowie individuelle Verstöße von Mitarbeitenden.“

• In drei Fällen hätten Unternehmen Kunden Werbung per E-Mail zugesandt, ohne dass die Empfänger darin eingewilligt hätten. Gegen diese Unternehmen seien Bußgelder im unteren fünfstelligen Bereich festgesetzt worden.

Gegen Beschäftigte der Polizei und anderer Hamburgischer Behörden seien insgesamt sechs Bußgelder verhängt worden, weil sie ohne dienstliche Veranlassung Abfragen über Privatpersonen in behördlichen Datenbanken durchgeführt hätten. „Ein Beschäftigter eines Krankenhauses musste ein Bußgeld entrichten, weil er die Patientenakte eines Kollegen eingesehen hatte, obwohl er nicht an der Behandlung beteiligt war.“

HmbBfDI unterstreicht Rolle der Auskunfts- und Informationsansprüche

Zudem habe der HmbBfDI gegen ein Handelsunternehmen ein Bußgeld in Höhe von 195.000 Euro verhängt. Dieses Unternehmen habe Dienstleister mit dem Versand postalischer Werbung beauftragt – die nach Erhalt des Werbeschreibens von den Empfängern geltend gemachten Betroffenenrechte habe es in mehreren Fällen und über einen längeren Zeitraum nicht fristgerecht erfüllt.

• Der HmbBfDI, Thomas Fuchs, kommentiert: „Wenn Unternehmen auf Auskunfts- und Informationsansprüche systematisch nicht oder nur unzureichend reagieren, ist eine spürbare Sanktion geboten!“

Dies gelte insbesondere bei für die Betroffenen undurchsichtigen Strukturen, wie z.B. Adresshandel oder komplexe Entscheidungsalgorithmen – und immer mehr auch für den Einsatz Künstlicher Intelligenz (KI). „Entscheidet eine Software über Menschen, muss die verarbeitende Stelle die tragenden Gründe verständlich erklären können!“, stellt Fuchs abschließend klar.

Weitere Informationen zum Thema:

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit
Unsere Dienststelle

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit
Thomas Fuchs

datensicherheit.de, 14.03.2025
Untersuchung von Cyberattacken und DSGVO-Bußgeldern / USA in beiden Analysen auf Platz 1, Deutschland folgt bei Attacken auf Rang 2

datensicherheit.de, 24.01.2025
Laut Studie von DLA Piper wurden 2024 europaweit 1,2 Milliarden Euro DSGVO-Bußgelder verhängt / Erstmals seit Inkrafttreten der DSGVO im Mai 2018 ist der Trend kontinuierlich steigender Bußgelder unterbrochen worden

datensicherheit.de, 26.08.2024
HmbBfDI-Zwischenbilanz 2024: Bisher Bußgelder in Höhe von 130.000 Euro verhängt / HmbBfDI ahndete vielfältige Verstöße gegen die Datenschutzgrundverordnung (DSGVO)

datensicherheit.de, 08.06.2023
Bußgelder: Europäischer Datenschutzausschuss hat endgültige Leitlinien angenommen / Die Bußgeldpraxis der Datenschutzaufsichtsbehörden in Europa soll nun nach einheitlichen Maßstäben erfolgen

datensicherheit.de, 31.05.2023
300.000 Euro Bußgeld gegen Bank: Computer sagte nein zu Kreditkartenantrag / Berliner Beauftragte für Datenschutz und Informationsfreiheit ahndet mangelnde Transparenz einer Bank bei automatisierter Ablehnung