Aena: 10 Millionen Euro Strafe wegen Gesichtserkennung

Die spanische Datenschutzbehörde AEPD schlägt zu – und wie: Mit einer Rekordstrafe von 10 Millionen Euro gegen den Flughafenbetreiber Aena wird klar, dass die Zeiten lockerer DSGVO-Auslegungen endgültig vorbei sind. Der Grund: fehlende Datenschutz-Folgenabschätzung vor dem Einsatz biometrischer Systeme. Was bedeutet das für deutsche Unternehmen und Website-Betreiber?

Der Fall hat es in sich. Aena nutzte an Flughäfen in Madrid und Barcelona Gesichtserkennungstechnologie für den Boarding-Prozess – eigentlich eine freiwillige Serviceleistung für Passagiere. Doch die Behörde sah das anders: Vor der Einführung hätte das Unternehmen zwingend eine Datenschutz-Folgenabschätzung (DSFA) durchführen müssen. Genau das fehlte.

Das Pikante daran: Aena argumentierte, das System basiere auf der Einwilligung der Nutzer. Doch die AEPD machte unmissverständlich deutlich, dass eine Einwilligung keineswegs von der Pflicht zur Risikoanalyse befreit. Im Gegenteil – die Bewertung muss vor der Implementierung erfolgen, nicht nachträglich als Rechtfertigung.

Passend zum Thema Datenschutz: Droht Ihrem Unternehmen ein Bußgeld wegen fehlender Datenschutz-Folgenabschätzung? Die Aena-Entscheidung zeigt, dass Aufsichtsbehörden jetzt prozedurale Versäumnisse konsequent ahnden – und dass eine strukturierte DSFA nicht nur Formalität, sondern rechtlicher Schutz ist. Unser kostenloses E-Book bietet fertige Word- und Excel-Vorlagen, Checklisten und eine Schritt-für-Schritt-Anleitung, mit der Sie eine prüfungssichere DSFA erstellen können. Jetzt DSFA-Muster & Checklisten herunterladen

Was diese Entscheidung so bemerkenswert macht: Hier ging es nicht um einen Datenleak oder gehackte Server. Die Strafe trifft eine rein prozedurale Unterlassung. Ein Paradigmenwechsel, den Datenschutzexperten seit Monaten kommen sahen.

„Die Aufsichtsbehörden warten nicht mehr darauf, dass etwas schiefgeht”, erklärt ein Berliner Datenschutzberater. „Sie prüfen die Governance-Strukturen. Wer seine Hausaufgaben nicht gemacht hat – konkret: DSFA und Sicherheitsbewertungen – haftet auch ohne Datenpanne.”

Die AEPD bemängelte zudem, dass Aena biometrische Daten bis zu zwei Jahre lang speicherte. Ein klarer Verstoß gegen das Prinzip der Datensparsamkeit. Das freiwillige Programm wurde damit zum Compliance-Albtraum mit achtstelligem Preisschild.

Die Falle für Website-Betreiber

Der Fall Aena mag nach Flughäfen und Großinfrastruktur klingen – doch die rechtlichen Prinzipien treffen jeden Website-Betreiber, der mit KI-gestützten Verifizierungssystemen oder biometrischen Authentifizierungstools arbeitet.

Die Definition von „Hochrisiko-Verarbeitung” hat sich 2025 massiv ausgeweitet. Wer auf seiner Website automatisierte Entscheidungssysteme, Profiling oder Drittanbieter-Plugins zur Gesichtserkennung einsetzt – etwa für Altersverifikation oder Identitätsprüfung – fällt unter Artikel 35 der DSGVO.

Die Aena-Entscheidung stellt klar:

1. Einwilligung schützt nicht vor DSFA: Auch wer ordentliche Consent-Banner und Checkboxen implementiert, muss vorher eine Folgenabschätzung durchführen.

2. Vorausschauend handeln, nicht rechtfertigen: Die Bewertung muss abgeschlossen sein, bevor die Technologie live geht. Aenas nachträgliche Begründungen wurden kategorisch abgelehnt.

3. Datenminimierung ernst nehmen: Zweijährige Speicherfristen für biometrische Daten? Indiskutabel.

Für digitale Geschäftsmodelle bedeutet das: Jede „innovative” Funktion mit Personendaten muss rigoros geprüft werden. Die 10-Millionen-Marke ist nicht nur symbolisch – sie signalisiert, dass aus Warnbriefen handfeste Strafzahlungen geworden sind.

Auch Finnland greift durch

Aena war nicht der einzige Fall im November. Die finnische Datenschutzbehörde verhängte eine Geldbuße gegen die Aktia Bank wegen Mängeln in der Datensicherheit ihrer elektronischen Authentifizierungsdienste.

Zwar fiel die Strafe deutlich geringer aus als die spanische, doch die Botschaft bleibt dieselbe: Das Grundprinzip „Integrität und Vertraulichkeit” (Artikel 5 Absatz 1 Buchstabe f DSGVO) erfordert kontinuierliche Sicherheitswartung. Für Website-Betreiber heißt das: Regelmäßige Security-Audits sind Pflicht, keine Kür.

Die finnische Behörde betonte, dass technische und organisatorische Maßnahmen dem Risiko angemessen sein müssen. Im Bedrohungsumfeld 2025 bedeutet das konkret: Authentifizierungs-Tokens, Session-Daten und Nutzer-Logs müssen gegen unbefugten Zugriff geschützt sein – und das gilt für den Onlineshop genauso wie für Banken.

Der neue Compliance-Realismus

Die Enforcement-Trends Ende November 2025 markieren einen strategischen Schwenk der Aufsichtsbehörden. Früher lösten meist katastrophale Datenpannen oder unrechtmäßige Datentransfers (wie bei Meta) Millionenstrafen aus. Jetzt werden vermeidbare Verfahrensfehler sanktioniert.

Branchenkenner sprechen von einer „Reifung des DSGVO-Durchsetzungsregimes”. Die Regulierer prüfen nicht mehr nur im Nachgang, sie auditieren präventiv die Governance-Strukturen. Wer keine solide DSFA vorweisen kann, wird haftbar – selbst wenn die Daten sicher bleiben.

Diese Strategie passt zur strategischen Ausrichtung des Europäischen Datenschutzausschusses (EDSA) für 2025, der die korrekte Umsetzung der „Rechenschaftspflicht” priorisiert. Die Marktbotschaft: Compliance-Dokumentation ist kein Papierkram, sondern der rechtliche Schutzschild gegen achtstellige Strafen.

Ausblick 2026: Biometrie und KI im Fokus

Mit Blick auf das kommende Jahr dürfte sich die Regulierungslandschaft weiter verschärfen – insbesondere bei Biometrie und Künstlicher Intelligenz.

Die EU-KI-Verordnung beeinflusst zunehmend die DSGVO-Auslegung. Die Überschneidung zwischen „Hochrisiko-KI-Systemen” und „Hochrisiko-Datenverarbeitung” wird zum primären Prüfpunkt. Website-Betreiber sollten sich auf folgendes einstellen:

Mehr Prüfungen bei Pilotprojekten: Aenas Verteidigung, es handle sich um einen „Testlauf”, scheiterte kläglich. Auch Experimente unterliegen 2026 den vollen Compliance-Anforderungen.

Strengere DSFA-Standards: Der EDSA arbeitet an verfeinerten Leitlinien für berechtigte Interessen und DSFA-Methoden. Die Messlatte für „gültige” Bewertungen steigt.

Effizientere grenzüberschreitende Zusammenarbeit: Die schnelle Berichterstattung über Strafen deutet darauf hin, dass der „One-Stop-Shop”-Mechanismus besser funktioniert. Die Zeit zwischen Verstoß und Strafe verkürzt sich.

Die 10-Millionen-Strafe gegen Aena bleibt die definierende Compliance-Geschichte des Novembers 2025. Eine kostspielige Erinnerung: Im DSGVO-Universum ersetzen gute Absichten keine rigorose Folgenabschätzung. Wer jetzt nicht handelt, zahlt später – deutlich mehr.

PS: Sie möchten sofort eine rechtssichere DSFA erstellen? Holen Sie sich das kostenlose E-Book mit praxisnahen Vorlagen, Checklisten und Antworten auf die wichtigsten Fragen – entwickelt für Datenschutzbeauftragte und Verantwortliche. Mit den Vorlagen reduzieren Sie Dokumentationslücken, erfüllen Art. 35-Anforderungen und minimieren das Risiko teurer Sanktionen. Gratis DSFA-Vorlage downloaden