Marketing ohne Einwilligung und übermäßige Datenerhebung: Aufsichtsbehörde verhängt Geldbuße 

Eine europäische Datenschutzaufsichtsbehörde hat im April 2026 gegen ein Unternehmen eine Geldbuße verhängt, weil personenbezogene Daten für Marketingzwecke ohne gültige Einwilligung verarbeitet wurden. Zusätzlich wurden unnötige Identitätsdaten erhoben und gespeichert.

Der Fall zeigt erneut: Verstöße gegen grundlegende DSGVO-Prinzipien werden weiterhin konsequent sanktioniert – auch bei vermeintlich „alltäglichen“ Verarbeitungsvorgängen.

 

Hintergrund

Im Mittelpunkt der Entscheidung standen zwei zentrale Problemfelder:

  • Versand von SMS-Marketingnachrichten ohne nachweisbare, wirksame Einwilligung der betroffenen Person.
  • Erhebung und Speicherung von Identitätsdokumenten, unter anderem Ausweiskopie und zusätzliches Foto zur Identitätsprüfung, obwohl diese für den verfolgten Zweck nicht erforderlich waren.

Neben der Geldbuße wurden dem Unternehmen auch konkrete organisatorische Anpassungen auferlegt.

 

Zentrale Problemfelder

 

  • Einwilligung im Marketing bleibt Risikobereich

    Marketingmaßnahmen per SMS oder E-Mail erfordern eine belastbare Rechtsgrundlage. In der Praxis ist dies häufig eine wirksame Einwilligung; je nach Konstellation können jedoch auch andere gesetzliche Grundlagen – etwa im Rahmen bestehender Kundenbeziehungen – einschlägig sein.

    Fehlt eine tragfähige Rechtsgrundlage oder ist diese nicht ordnungsgemäß dokumentiert und nachweisbar, liegt regelmäßig ein Verstoß gegen Art. 6 DSGVO vor.

  • Übermäßige Datenerhebung

    Die zusätzliche Speicherung von Ausweisdokumenten und biometrischen Elementen wurde als unverhältnismäßig bewertet. Auch wenn eine Identitätsprüfung grundsätzlich zulässig sein kann, muss sie sich am Zweck und am Prinzip der Datenminimierung orientieren.

  • Fehlende Zweckbindung

    Daten dürfen nur in dem Umfang erhoben werden, wie es für den konkreten Verarbeitungszweck erforderlich ist. Eine „Vorsorgedatensammlung“ für eventuelle spätere Nutzung ist unzulässig.

     

Bedeutung für die Praxis

Auch wenn der Fall aus einem anderen EU-Mitgliedstaat stammt, ist er unmittelbar auf die DSGVO-Praxis in Deutschland übertragbar. Er zeigt deutlich, dass Marketingprozesse weiterhin ein Schwerpunkt behördlicher Prüfungen sind und dass insbesondere die Dokumentation von Einwilligungen sorgfältig erfolgen muss.

Ebenso wird klar, dass Identitätsprüfungen und digitale Onboarding-Verfahren strikt am Prinzip der Datenminimierung auszurichten sind. Unternehmen sollten daher regelmäßig überprüfen, ob tatsächlich nur die für den jeweiligen Zweck erforderlichen Daten erhoben und gespeichert werden.

Gerade bei digitalisierten Prozessen besteht das Risiko, mehr Informationen zu verarbeiten, als rechtlich zulässig ist.

 

Handlungsempfehlungen

Unternehmen sollten ihre Einwilligungsprozesse systematisch überprüfen und sicherstellen, dass Einwilligungen eindeutig, freiwillig und nachvollziehbar dokumentiert sind.

Zudem empfiehlt es sich, die Datenerhebung kritisch zu hinterfragen und zu prüfen, ob sämtliche erhobenen Informationen tatsächlich erforderlich sind oder ob weniger eingriffsintensive Alternativen bestehen.

Identitätsprüfungen sollten verhältnismäßig ausgestaltet werden, insbesondere wenn Ausweiskopien oder biometrische Elemente verarbeitet werden.

Schließlich ist darauf zu achten, dass klare Speicher- und Löschkonzepte implementiert sind, um eine übermäßige oder unnötig lange Speicherung personenbezogener Daten zu vermeiden.

 

Ausblick

Der Fall unterstreicht, dass Aufsichtsbehörden weiterhin besonders sensibel auf Verstöße gegen die Grundprinzipien der DSGVO reagieren. Auch kleinere oder vermeintlich standardisierte Prozesse können erhebliche Risiken bergen.

Mit zunehmender Digitalisierung von Marketing- und Onboarding-Prozessen dürfte die Frage der Verhältnismäßigkeit und Datensparsamkeit weiter in den Fokus rücken.

 

Kontakt

Sie möchten prüfen, ob Ihre Marketing-, Einwilligungs- oder Onboarding-Prozesse den Anforderungen der DSGVO entsprechen und datensparsam ausgestaltet sind?

Wir unterstützen Sie bei der rechtlichen Bewertung, der Überarbeitung Ihrer Einwilligungsmechanismen sowie bei der strukturierten Anpassung Ihrer Datenschutzorganisation.

Melden Sie sich gern unter datenschutz@bitkom-consult.de.

Share