FC Barcelona: 500.000 Euro Strafe für Biometrie-Verstöße

Die spanische Datenschutzbehörde hat den Fußballklub mit einer hohen Geldbuße belegt. Der Fall zeigt: Die Aufsicht wird schärfer und trifft immer mehr Branchen.

DSGVO-Bußgelder erreichen eine neue Eskalationsstufe. Nicht mehr nur Tech-Giganten, sondern auch traditionsreiche Unternehmen wie Sportvereine geraten ins Visier der Aufseher. Ein aktueller Fall aus Spanien dient als warnendes Beispiel für den gesamten europäischen Wirtschaftsraum.

Der aktuelle Fall zeigt deutlich, wie schnell fehlende Dokumentationen zu massiven Sanktionen führen können. Mit dieser kostenlosen Schritt-für-Schritt-Anleitung und der passenden Checkliste stellen Sie sicher, dass Ihr Unternehmen alle EU-Vorgaben lückenlos erfüllt. Jetzt kostenlosen DSGVO-Leitfaden sichern

Biometrie-Skandal beim Fußball-Riesen

Am 5. März 2026 verhängte die Agencia Española de Protección de Datos eine Strafe von 500.000 Euro gegen den FC Barcelona. Der Vorwurf: schwere Verstöße beim Umgang mit biometrischen Daten. Konkret ging es um eine digitale Mitgliederbefragung 2023, an der rund 143.000 Fans teilnahmen.

Für die Verifizierung mussten die Mitglieder Ausweisdokumente scannen, ein Selfie mit Live-Erkennung aufnehmen und optional eine Sprachprobe abgeben. Die Behörde monierte, der Verein habe keine ordnungsgemäße Datenschutz-Folgenabschätzung durchgeführt. Diese habe weder die Risiken klar benannt, noch weniger invasive Alternativen ernsthaft geprüft.

Auf Beschwerden von Mitgliedern hin, die von einem Zwang zur biometrischen Erfassung sprachen, musste der Klub das Verfahren aussetzen. Die Botschaft der Aufseher ist klar: Wer Hightech einsetzt, ohne den Datenschutz von Anfang an mitzudenken, zahlt einen hohen Preis.

Kinder im Netz: Plattformen in der Pflicht

Ein weiterer Schwerpunkt der Behörden ist der Schutz Minderjähriger. Ende Februar 2026 verhängte die britische Datenschutzbehörde ICO eine Strafe von umgerechnet rund 17 Millionen Euro gegen die Plattform Reddit. Der Grund: unzureichende Alterskontrollen, die Kindern unter 13 den Zugang ermöglichten.

Die Plattform hatte es versäumt, die Risiken für junge Nutzer vorab in einer Folgenabschätzung zu bewerten. Diese Sanktion unterstreicht den europaweiten Trend, soziale Netzwerke stärker in die Verantwortung zu nehmen. Sie reiht sich ein in eine Serie historischer Strafen, darunter die 1,2-Milliarden-Euro-Strafe gegen Meta (2023) und 530 Millionen Euro gegen TikTok.

Auch Mittelstand und Behörden betroffen

Die Entwicklung der Bußgelder zeigt: Die Aufsicht beschränkt sich längst nicht mehr auf globale Konzerne. Kleine und mittlere Unternehmen, aber auch öffentliche Einrichtungen geraten zunehmend unter Druck.

So musste die Universität Limerick in Irland am 2. März 2026 eine Strafe von 98.000 Euro zahlen. Grund waren eine Serie von Datenschutzverletzungen und unzureichende Sicherheitsvorkehrungen. In Frankreich stiegen die Kontrollen bei kleinen und mittleren Betrieben zwischen 2023 und 2024 um 300 Prozent.

Besonders bei komplexen Datenverarbeitungen fordern Behörden immer häufiger eine rechtssichere Datenschutz-Folgenabschätzung, um Bußgelder von bis zu 2 % des Jahresumsatzes zu vermeiden. Nutzen Sie diese kostenlosen Muster-Vorlagen und Experten-Checklisten, um Ihre DSFA in wenigen Schritten rechtssicher zu erstellen. Kostenloses E-Book zur Datenschutz-Folgenabschätzung herunterladen

Häufige Vergehen sind fehlende Widerspruchsmöglichkeiten in Marketing-Mails, zu lange Datenspeicherung über die übliche Dreijahresfrist hinaus und der Einsatz nicht konformer Kontaktlisten. Selbst scheinbar banale Verfahrensfehler können teuer werden.

Konsequenzen für die Unternehmensführung

Für Vorstände und Geschäftsführer wird das Thema Datenschutz-Compliance zum zentralen Risikofaktor. Die Bußgelder berechnen sich nach einem zweistivum System, das sowohl Verfahrensfehler als auch Verstöße gegen grundlegende Privatsphären-Rechte berücksichtigt. Die Obergrenze liegt bei 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes.

Die indirekten Kosten einer Ermittlung wiegen oft schwerer als die Geldstrafe selbst: langwierige Verfahren, hohe Anwaltskosten, behördliche Auflagen und Imageschäden. Immer mehr Geschäftskunden prüfen die Compliance ihrer Lieferanten genau. Eine datenschutzrechtliche Schwachstelle kann so direkt zum Verlust von Aufträgen führen.

Ausblick: KI und Biometrie im Fokus

Für das Jahr 2026 zeichnet sich eine weitere Verschärfung ab. Experten sehen die größten Risikotreiber in der Künstlichen Intelligenz, der Gestaltung von Einwilligungen und dem Management von Dienstleistern.

Unternehmen, die automatisierte Entscheidungsfindung oder biometrische Systeme nutzen, müssen zwingend umfassende Folgenabschätzungen durchführen. „Privacy by Design“ – also der integrierte Datenschutz – wird vom Lippenbekenntnis zur Überlebensfrage.

Die jüngsten Strafen gegen Sportvereine, Universitäten und Plattformen beweisen: Keine Branche ist sicher. Wer künftige Sanktionen vermeiden will, muss seine Datenverarbeitung proaktiv überprüfen, klare Löschfristen durchsetzen und im Dialog mit Nutzern und Aufsichtsbehörden transparent bleiben.