Tools / Neuigkeiten / Spanien: 950.000 € DSGVO-Strafe gegen Yoti
Presse

Spanien: 950.000 € DSGVO-Strafe gegen Yoti

· VaultTools

Spaniens AEPD verhängte am 10. März 2026 eine DSGVO-Strafe von 950.000 € gegen das Unternehmen Yoti für unzulässige biometrische Verarbeitung, vorangekreuzte Zustimmungsfelder und unverhältnismäßig lange Speicherung von Gesichtsvorlagen und Standortdaten.

VaultTools · 11. März 2026

Eine digitale Oberfläche, die ein Datenschutz- und Identitätskonzept zeigt und die Durchsetzung von Datenschutzgesetzen gegen biometrische Verarbeitungstools repräsentiert. Foto auf Unsplash

Inhaltsverzeichnis


Was Die AEPD Festgestellt Hat

Am 10. März 2026 veröffentlichte die spanische Datenschutzbehörde, die Agencia Española de Protección de Datos (AEPD), ihren Beschluss, der das britische Digitalidentitätsunternehmen Yoti Ltd mit 950.000 € für drei separate DSGVO-Verstöße belegt. Die Untersuchung war im Dezember 2023 eingeleitet worden.

Yoti betreibt eine Digitale-ID-App, die zur Altersverifizierung auf mehr als 60 % der DSGVO-konformen Websites in den USA und auf mehreren europäischen Märkten eingesetzt wird. Die App fordert Nutzer auf, ein staatliches Ausweisdokument zu fotografieren und ein Selfie aufzunehmen. Das System von Yoti verarbeitet diese Daten, um eine biometrische Gesichtsvorlage zu erstellen, eine wiederverwendbare digitale Aufzeichnung der Gesichtsgeometrie, die auf den Servern des Unternehmens für künftige Authentifizierungen gespeichert wird.

Die AEPD untersuchte, was Yoti mit diesen Daten nach Abschluss der Verifizierung tat.

Drei Verstöße, Eine Strafe

Die Strafe von 950.000 € verteilt sich auf drei DSGVO-Bestimmungen:

  • 500.000 € nach Artikel 9 für unzulässige Verarbeitung biometrischer besonderer Kategorien. Yoti argumentierte, dass seine Gesichtsvorlagen nur der Authentifizierung dienen und keine biometrische Verarbeitung im Sinne der DSGVO darstellen. Die AEPD wies dies zurück und stellte fest, dass gespeicherte Vorlagen, die eine 1:1-Zuordnung bei Kontooperationen ermöglichen, alle drei Kriterien für den Sonderkategoriestatus erfüllen. Es lag keine gültige Rechtsgrundlage für die Verarbeitung vor.
  • 200.000 € nach Artikel 7 für ungültige Einwilligung. Yoti hatte Nutzer standardmäßig darin eingewilligt, ihre biometrischen Daten, einschließlich Gesichtsbilder, Videoaufnahmen und aus der Fitzpatrick-Skala abgeleiteter Ethnizitätsschätzungen, für interne Forschung und Algorithmusverbesserungen zu verwenden. Nutzer mussten aktiv ein Kontrollkästchen deaktivieren, um sich abzumelden. Die DSGVO verlangt eine ausdrückliche Zustimmung für besondere Kategorien; ein vorangekreuztes Kästchen erfüllt diesen Standard nicht.
  • 250.000 € nach Artikel 5 Abs. 1 Buchst. e für die Speicherung personenbezogener Daten über den für die angegebenen Zwecke erforderlichen Zeitraum hinaus. Yoti bewahrte Standortdaten fünf Jahre lang auf, obwohl diese nur bei der Kontoerstellung benötigt wurden. Gefälschte Ausweisdokumente wurden zwei Jahre lang für Softwaretraining gespeichert. Liveness-Detection-Videoaufnahmen wurden 30 Tage lang aufbewahrt. Die Behörde stellte fest, dass keine dieser Aufbewahrungsfristen durch den ursprünglichen Verarbeitungszweck gerechtfertigt war.

Die AEPD ordnete an, dass Yoti innerhalb von sechs Monaten nachweisen muss, biometrische Daten auf einer gültigen Rechtsgrundlage zu verarbeiten, DSGVO-konforme Einwilligung einzuholen und Daten nur so lange wie unbedingt erforderlich aufzubewahren.

Yoti erklärte, die Entscheidung „mit Nachdruck zurückzuweisen”, und legt Berufung beim spanischen Obersten Gerichtshof ein.

Einwilligung Per Standard Ist Keine Einwilligung

Der Einwilligungsverstoß ist technisch unkompliziert, in der Praxis jedoch weit verbreitet. Die App von Yoti erlaubte Nutzern, die Datenschutzrichtlinie zu akzeptieren, indem sie einfach über den Bildschirm weitertippten, ohne sie zu lesen, und hatte ein vorangekreuztes Kästchen für die Zustimmung zur Nutzung biometrischer Daten für Forschung und Entwicklung.

Gemäß DSGVO Artikel 7 muss die Einwilligung freiwillig, spezifisch, informiert und unmissverständlich sein. Für besondere Kategorien fügt Artikel 9 die Anforderung der ausdrücklichen Einwilligung hinzu, was bedeutet, dass sie nicht aus Untätigkeit oder im Rahmen einer allgemeineren Vereinbarung abgeleitet werden kann. Vorangekreuzte Kästchen wurden von europäischen Behörden seit dem EuGH-Urteil Planet49 aus dem Jahr 2019 konsequent abgelehnt. Die AEPD berief sich auf die EDPB-Leitlinien 05/2020, die festlegen, dass eine durch vorangekreuzte Einstellungen eingeholte Einwilligung keine echte Wahl darstellt.

Wie Lange Ist Zu Lange, Um Daten Aufzubewahren

DSGVO Artikel 5 Abs. 1 Buchst. e verlangt, dass Daten „in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist”. Die Aufbewahrungspraktiken von Yoti scheiterten an diesem Test in mehrfacher Hinsicht.

Standortdaten, die erhoben werden, um festzustellen, welche Altersbeschränkungsregeln für einen Nutzer gelten, sind zum Zeitpunkt der Verifizierung relevant. Sie fünf Jahre lang aufzubewahren, hat keinen verhältnismäßigen Zweck. Ebenso stellt das Training eines KI-Modells anhand gefälschter Ausweisdokumente ein gesondertes Ziel dar, das von der ursprünglichen Altersverifizierung abweicht. Diese Dokumente zwei Jahre lang für diesen Zweck zu speichern, stellt eine neue Verarbeitungsaktivität dar, die von der ursprünglichen Erhebung nicht abgedeckt wird.

Der Fall spiegelt ein Muster wider, das Behörden quer durch Europa wiederholt beanstandet haben: Organisationen erheben Daten für einen engen Zweck und nutzen sie dann für Training, Analysen oder Produktverbesserungen, ohne eine neue Rechtsgrundlage zu schaffen.

Was Das Für Tools Bedeutet, Die Persönliche Dateien Verarbeiten

Die Verstöße von Yoti sind strukturell identisch mit Risiken, die für jedes Online-Tool gelten, das personenbezogene Daten verarbeitet. Ein Tool, das eine Datei mit personenbezogenen Informationen empfängt, ob ein Personalausweis, ein Vertrag, eine Krankenakte oder ein beliebiges Dokument mit Name und Bild, kann unter die gleichen DSGVO-Kategorien fallen.

Das Aufbewahren hochgeladener Dateien über die Sitzung hinaus, ihre Verwendung für Modelltraining ohne ausdrückliche Einwilligung und die standardmäßige Opt-in-Einstellung für sekundäre Datennutzung sind allesamt Praktiken, für die es nun dokumentierte Durchsetzungspräzedenzfälle gibt, die je nach Verstoß mit 250.000 bis 500.000 € bepreist sind.

Tools, die Dateien vollständig im Browser mit WebAssembly verarbeiten, sind strukturell von diesen Risiken ausgenommen. Keine Datei gelangt auf einen Server. Es gibt keine hochgeladenen Daten, die aufbewahrt werden könnten, keine Vorlage, die gespeichert werden müsste, keine Trainingspipeline, die in einer Datenschutzerklärung offengelegt werden müsste, und keinen Einwilligungsmechanismus, den man falsch handhaben könnte. Die Yoti-Strafe zeigt die regulatorischen Kosten, wenn man diese Anforderungen falsch macht. Lokale Verarbeitung eliminiert die Frage vollständig.


Quellen