Geldbußen / Geldstrafen  ·  22. November 2025

Datenübermittlung in ein unsicheres Drittland durch einen Telekomanbieter in Kroatien führt zur Geldstrafe in Höhe von EUR 4.5 Mio

Behörde: Agencija za zaštitu osobnih podataka (AZOP)
Datum der Entscheidung: 14. November 2025

Rechtssatz (Kurzfassung):

Ein Telekommunikationsanbieter verarbeitet personenbezogene Daten in großem Umfang über eine Niederlassung in einem Drittstaat ohne gültige Übertragungsgrundlage und ohne transparente Information gegenüber den Betroffenen — dies stellt Verletzungen der Datenschutz-Grundverordnung (DSGVO) dar und kann eine empfindliche Geldbuße nach sich ziehen.

 

 

Sachverhalt

 

Ein Betreiber elektronischer Kommunikationsnetze und -dienste übermittelte personenbezogene Daten von Nutzern an eine Konzerngesellschaft in der Republik Serbien (Drittstaat) zur Software-Wartung. Zwischen dem 16. April 2020 und spätestens 27. Dezember 2022 erfolgte die Übermittlung zunächst auf Grundlage von Standardvertragsklauseln. Danach wurden jedoch keine Standardvertragsklauseln mehr abgeschlossen, sodass ab diesem Zeitpunkt die Datenübermittlung ohne geeignete Schutzmaßnahmen erfolgte. 


Der Dienstleister in Serbien hatte Administratorzugriff auf eine SAP-CRM-Datenbank mit insgesamt 847.862 Datensätzen von Nutzern des Controllers. 


Die übermittelten Daten umfassten u. a. Name, Vorname, persönliche Identifikationsnummer (OIB), Adresse, Nutzungs- und Rechnungsadresse, Telefonnummer, E-Mail, IBAN (für SEPA-Lastschriftkunden), MSISDN, ICCID und Vertragsdaten. 
Ferner wurde kein Transfer Risk Assessment (TRA) durchgeführt, obwohl dies bei Datenübermittlungen in einen Drittstaat erforderlich ist. 

 

Die Datenschutzerklärung informierte nicht klar und transparent darüber, dass eine Übermittlung in Drittstaaten stattfinden könne; statt „wird erfolgen“ wurden Formulierungen wie „kann erfolgen“ oder „in der Regel innerhalb der EU“ verwendet. 

 

Zusätzlich sammelte der Controller übermässig personenbezogene Daten seiner Mitarbeitenden: Es wurden Kopien von Ausweisen und Führungszeugnissen verlangt – dies ohne Rechtsgrundlage und entgegen dem Rat des Datenschutzbeauftragten. 


Schließlich beauftragte der Verantwortliche einen Auftragsverarbeiter für Telemarketing-Dienstleistungen, ohne zuvor die grundsätzlichen Sicherheit- und Datenschutzmaßnahmen dieses Verarbeiters zu prüfen – ein Verstoß gegen die Pflicht zur Vorab-Due-Diligence. 

 

 

 

 

 

Rechtliche Begründung

  • Zunächst war die Übermittlung personenbezogener Daten in einen Drittstaat (Republik Serbien) ohne Angemessenheitsbeschluss der Kommission zulässig nur, wenn geeignete Garantien vorhanden sind (z. B. Standardvertragsklauseln) gemäß Art. 44 ff. DSGVO. In dem vorliegenden Fall endete die Anwendung von Standardvertragsklauseln, sodass ab dem Zeitpunkt keine rechtlichen Garantien mehr bestanden. 

  • Ferner war gemäß Art. 46 DSGVO vorab ein Transfer-Risk-Assessment (TRA) durchzuführen, wenn Daten in einen Drittstaat übermittelt werden. Dies wurde nicht vorgenommen. 

  • Die Informationspflicht gegenüber Betroffenen gemäß Art. 13 Abs. 1 lit. f DSGVO verlangt klare Information, dass eine Übermittlung in Drittstaaten stattfindet. Die unscharfe Formulierung („kann geteilt werden“, „in der Regel innerhalb der EU“) genügte nicht den Transparenzanforderungen nach Art. 12 Abs. 1 DSGVO. 

  • Bezüglich Mitarbeitenden: Die Erhebung von Ausweiskopien und Führungszeugnissen erfolgte ohne Rechtsgrundlage (Art. 6 Abs. 1 DSGVO) und widersprach dem Grundsatz der Datenminimierung und Zweckbindung nach Art. 5 Abs. 1 lit. c und Abs. 2 DSGVO. 

  • Beim Dienstleister: Der Controller hatte als Verantwortlicher nach Art. 28 Abs. 1 DSGVO die Pflicht, vor der Auswahl eines Auftragsverarbeiters dessen technische und organisatorische Maßnahmen zu prüfen. Diese Prüfung fand nicht statt – ein zusätzlicher Verstoß. 
    Der Behörde erschien vorliegend eine Geldbuße mit Betrag von EUR 4.500.000 als gerechtfertigt. 

Fazit und Schlussfolgerung für Verantwortliche

Diese Entscheidung zeigt eindrücklich, dass die Übermittlung personenbezogener Daten in Drittstaaten ohne verbindliche Garantien oder ausreichende Transparenz erhebliche Risiken birgt – nicht nur für die betroffenen Personen, sondern auch für den Verantwortlichen. Zudem: Eine unbedachte oder standardlose Verarbeitung von Mitarbeiterdaten oder eine mangelhafte Auswahl von Auftragsverarbeitern kann zusätzlich zur Sanktionierung führen.

 

Für Verantwortliche in der Datenverarbeitung gilt:

 

  • Vor jeder Übermittlung personenbezogener Daten in einen Drittstaat unbedingt prüfen, ob ein Angemessenheitsbeschluss vorliegt oder eine geeignete Garantie (z. B. Standardvertragsklauseln) implementiert wurde (Art. 44 ff. DSGVO).

  • Ein Transfer-Risk-Assessment muss dokumentiert sein.

  • Datenschutzerklärungen müssen klar, transparent und aktuell sein – insbesondere hinsichtlich internationaler Datenübermittlungen (Art. 12, 13 DSGVO).

  • Bei der Erhebung von Mitarbeiterdaten auf Rechtsgrundlage, Zweckbindung und Datenminimierung achten (Art. 6, 5 DSGVO).

  • Bei Auswahl von Auftragsverarbeitern alle erforderlichen Prüfungen und Verträge abschließen (Art. 28 DSGVO).

Tags: Übermittlung in Drittstaaten; Drittlands­transfer; Standardvertragsklauseln; Transparenz; Informationspflicht; Datenminimierung; Mitarbeitendendaten; Auftragsve

Kommentar schreiben

Kommentare: 0