Executive Summary

In den sieben Jahren seit Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) hat auch ihr weiter Rahmen für die Verhängung von Bußgeldern dazu beigetragen, das Bewusstsein und die Einhaltung der Vorschriften im Hinblick auf den Datenschutz zu fördern, ganz im Sinne des europäischen Gesetzgebers. Gleichzeitig kann das Risiko der Verhängung von Bußgeldern in Höhe von bis zu EUR 20 Millionen oder 4 % des weltweiten Jahresumsatzes eines Unternehmens auch Besorgnis und Zurückhaltung oder gar Unkenntnis im Hinblick auf Compliance-Fragen hervorrufen.

Wir meinen, dass Fakten besser sind als Emotionen.

Ein wirksames Mittel gegen Unsicherheit bietet Ihnen unsere laufend aktualisierte Aufstellung öffentlich bekannter DSGVO-Bußgelder im GDPR Enforcement Tracker. Wie bei der Einführung vor sechs Jahren soll Ihnen die aktuelle Ausgabe unseres jährlichen ET Report tiefere Einblicke in die DSGVO-Bußgeld-Praxis verschaffen. Am Ende dieser Executive Summary finden Sie zudem einige Bemerkungen zur Methodik hinter dem ET Report.

Die sechste Ausgabe des ET Report deckt alle Bußgelder seit 2018 bis zum Redaktionsschluss am 1. März 2025 ab. Bis zu diesem Zeitpunkt umfasste der Enforcement Tracker 2.560 Bußgelder (2.245 Bußgelder, wenn man nur solche mit vollständigen Informationen zu Betrag, Datum und Verantwortlichem zählt).

Der ET Report enthält eine Gesamtübersicht der verhängten Bußgelder im Abschnitt "Zahlen und Fakten", gefolgt von "Bußgeldpraxis nach Sektoren", einschließlich der übergreifenden Kategorie "Beschäftigtendaten" und "Bußgeldpraxis nach Ländern", um Ihnen die spezifischen Hintergründe der Bußgeldpraktiken der einzelnen Länder näherzubringen.

• Bis März 2025 wurden insgesamt 2.245 Bußgelder (+159 im Vergleich zum ET Report 2024) verhängt und im Enforcement Tracker erfasst (die Datenbank enthält auch Fälle mit begrenzten Informationen/ohne Einzelheiten, was zu einer Gesamtzahl von 2.560 Fällen führt).
• Uns ist bewusst, dass die unterschiedlichen Herangehensweisen an die Veröffentlichung von Bußgeldern/Entscheidungen häufig in nationalem Recht begründet sind, da die (namentliche) Veröffentlichung in einigen Rechtsordnungen eine gesonderte Sanktion darstellt (siehe auch die "Bußgeldpraxis nach Ländern/Enforcement Insights by Country"). Die Europäischen Datenschutzbehörden haben sich jedoch offensichtlich darauf geeinigt, mindestens jährlich, z. B. in ihren Jahresberichten, aggregierte Fallzahlen zu veröffentlichen. Aus entsprechenden Stichproben wissen wir bereits, dass die tatsächliche Zahl der Bußgeldfälle erheblich höher ist als die Zahl der im Enforcement Tracker erfassten Fälle.
  Die Gesamtsumme der Bußgelder hat erstmals die Fünf-Milliarden-Grenze überschritten und beläuft sich auf rund EUR 5,65 Milliarden (+EUR 1,17 Milliarden im Vergleich zum ET Report 2024). Im gesamten Berichtszeitraum 2018 - 2024 lag die durchschnittliche Bußgeldhöhe länderübergreifend bei circa EUR 2,36 Millionen (+EUR 0,22 Millionen im Vergleich zum ET Report 2024).
• Das bisher höchste DSGVO-Bußgeld von EUR 1,2 Milliarden wurde von der Datenschutzbehörde in Irland im Mai 2023 wegen des Verstoßes gegen Vorschriften zur internationalen Datenübermittlung verhängt (ETid-1844). Dies ist bisher das erste Bußgeld in Milliardenhöhe. Es folgen das zweithöchste Bußgeld, verhängt von der Datenschutzbehörde in Luxemburg (EUR 746 Millionen, Juli 2021, ETid-778)), sieben weitere Bußgelder der irischen Datenschutzbehörde (EUR 405 Millionen, September 2022, ETid-1373; EUR 390 Millionen, Januar 2023, ETid-1543; EUR 345 Millionen, September 2023, ETid-2032; EUR 310 Millionen, Oktober 2024, ETid-2469; EUR 265 Millionen, November 2022, ETid-1502; EUR 251 Millionen, Dezember 2024, ETid-2484 und EUR 225 Millionen, September 2021, ETid-820) sowie ein Bußgeld aus den Niederlanden (EUR 290 Millionen, Juli 2024, ETid-2447). Daraus ergibt sich die Top-Ten-Liste der Bußgelder.
• Die meisten und durchschnittlich höchsten Bußgelder stammen aus den Kategorien "unzureichende Rechtsgrundlage für die Datenverarbeitung" (669 Bußgelder, durchschnittlich EUR 2,9 Millionen) und "Nichteinhaltung der allgemeinen Grundsätze für die Datenverarbeitung" (644 Bußgelder, durchschnittlich EUR 3,8 Millionen). Weiter folgt die Kategorie "unzureichende technische und organisatorische Maßnahmen zur Sicherstellung der Datensicherheit" (418 Geldbußen, durchschnittlich EUR 2,0 Millionen).
• Spanien führt – im sechsten Jahr in Folge – die Liste der Anzahl verhängter Bußgelder mit Abstand an, wiederum gefolgt von Italien und Rumänien. Irland, Luxemburg und die Niederlande führen die Liste der durchschnittlichen Bußgeldhöhe und der Gesamtbeträge der Bußgelder nach Ländern an. Dies spiegelt erneut die Auswirkungen der Rekordbußgelder wider, welche seit 2021 gegen Big-Tech-Unternehmen verhängt wurden.
• Die Verteilung der Bußgelder seit Mai 2018 zeigt mit dem ersten in Portugal verhängten Bußgeld (EUR 400.000 im Juli 2018 gegen ein öffentliches Krankenhaus, ETid-45) zunächst einen vorsichtigen Ansatz der Europäischen Aufsichtsbehörden im ersten Jahr der Geltung der DSGVO, gefolgt von einem relativ stetigen Anstieg der Bußgeldanzahl im Jahr 2018 und einem Hochschnellen zwischen 2019 und Mitte 2021.
• Sanktionen gegen Big-Tech-Unternehmen im Jahr 2022 und das erste Bußgeld in Milliardenhöhe im Jahr 2023 katapultierten die Gesamtsumme der Bußgelder auf über EUR 4 Milliarden. Während die Gesamtsumme der Bußgelder im aktuellen Berichtszeitraum die Fünf-Milliarden-Marke überschritten hat, scheinen die europäischen Behörden in eine Phase des "üblichen Geschäftsbetriebs" mit einer begrenzten Zahl richtungsweisender Fälle eingetreten zu sein.

Zusammenfassung einiger wesentlicher Erkenntnisse:

• Auch wenn wir diesen Aspekt schon seit mehreren Jahren betonen, gilt nach wie vor: Es gibt nur wenige Bereiche des europäischen Datenschutzrechts, die stärker von nationalen Vorschriften und behördlichen Praktiken beeinflusst werden als die DSGVO-Bußgelder. Das verwaltungs-/sanktionsrechtliche Umfeld sowie die Position, das Personal und die Instrumente einer Behörde und schließlich ihr Selbstbewusstsein und das Verständnis ihrer eigenen Rolle scheinen sich zwischen den europäischen Ländern erheblich zu unterscheiden – was zeigt, dass die Praktiken alles andere als vollständig harmonisiert sind. Wir haben hierzu einige weitere Einzelheiten im Abschnitt "Bußgeldpraxis nach Ländern/Enforcement Insights by Country" zusammengestellt.
   
• Unzureichende Rechtsgrundlagen für die Datenverarbeitung und die Nichteinhaltung der allgemeinen Grundsätze für die Datenverarbeitung sowie unzureichende technische und organisatorische Maßnahmen führen die Liste der "DSGVO-Bußgeldauslöser" an. Diese müssen Sie daher bei Ihrem organisatorischen Risikomanagement auf dem Radar haben. Die Regelung über allgemeine Grundsätze für die Datenverarbeitung in Artikel 5 DSGVO kann zwar schlecht greifbar sein, da die allgemeinen Grundsätze alle Compliance-Anforderungen umfassen, die in den übrigen, spezifischeren Bestimmungen der DSGVO näher erläutert werden. Als Grundlage für eine detailliertere Analyse in diesem Zusammenhang kann jedoch die steigende Anzahl von Bußgeldern auf der Grundlage von Artikel 5 DSGVO dienen.
   
• Es versteht sich von selbst, dass betroffene Personen im Datenschutzrecht eine wichtige Rolle spielen. Auch wenn die Verletzung von Rechten betroffener Personen nicht offiziell als vorrangig für die Einhaltung der DSGVO eingestuft wird, kann man durchaus behaupten, dass sie in vielen Fällen Bußgelder nach sich zieht.
   
• Die unzureichende Wahrung der Rechte betroffener Personen steht an vierter Stelle der Liste der Verstöße. In Anbetracht der Komplexität des Umgangs z. B. mit Auskunftsersuchen von betroffenen Personen und Transparenzpflichten und der Tragweite fehlender Compliance auf Kosten von betroffenen Personen sollte besonderes Augenmerk auf entsprechende interne Prozesse, Richtlinien und Schulungen gelegt werden. 
   
• Die Konzentration auf betroffene Personen ist – unabhängig von etwaigen datenschutzrechtlichen Verpflichtungen – ebenfalls bei den 'digitalen Aspekten' von ESG-Konzepten (Umwelt, Soziales und Unternehmensführung) ein relevantes Thema, insbesondere im Hinblick auf die Unternehmensverantwortung in der digitalen Gesellschaft (Corporate Digital Responsibility, CDR).
   
• Jüngste Urteile des Europäischen Gerichtshofs (EuGH) haben den Umfang des Auskunftsrechts der betroffenen Personen weiter präzisiert (z. B. C-154/21, C-487/21 und C-579/21). Diese Urteile bringen zwar dringend benötigte Klarheit, verschärfen aber auch die Datenschutzanforderungen für Unternehmen und schränken damit deren Spielraum ein, Art. 15 DSGVO datenschutzfreundlich auszulegen.
   
• Im vierten Jahr in Folge sind Medien, Telekommunikation und Broadcasting die am stärksten betroffenen Sektoren. Auch wenn sich die Fälle in den einzelnen Sektoren unterscheiden, haben wir guten Grund zu der Annahme, dass B2C-Unternehmen mit größerer Wahrscheinlichkeit von Untersuchungen der Datenschutzbehörden (und schließlich von Bußgeldern) betroffen sind: Eine größere "Nähe" zu den betroffenen Personen könnte dazu ebenso beitragen wie die Bereitschaft der betroffenen Personen, (vermeintliche) Rechtsverletzungen schneller einer Datenschutzbehörde zu melden. Dasselbe könnte auf díe Verarbeitung von Beschäftigtendaten zutreffen, die bei den sektorspezifischen Bußgeldern den zweiten Rang einnimmt.
   
• Ein weiterer möglicher Risikofaktor ist die Nutzung neuer Technologien, die durch den ständigen Innovationsdruck in diesen Branchen gefördert wird. Ein Beispiel hierfür ist die zunehmende Entwicklung von KI. Diese Systeme können eine umfangreiche und komplexe Verarbeitung von personenbezogenen Daten ermöglichen und erhöhen die Wahrscheinlichkeit einer "riskanten" Verarbeitung und möglicher Datenschutzverletzungen.
   
• Je riskanter eine innovative Technologie für die "Rechte und Freiheiten der betroffenen Personen" sein kann, desto wichtiger ist für ein angemessenes Risikomanagement die Auseinandersetzung mit den Details (und der entsprechenden Dokumentation). Für diese Zwecke ist es notwendig, vor der Entwicklung und Einführung einer neuen Technologie eine umfassende sachliche, rechtliche und technische Bewertung vorzunehmen.
   
• Der Europäische Datenschutzausschuss (EDSA) ist sich dessen sehr wohl bewusst und erklärt in seiner Strategie für 2024-2027, dass er sich weiterhin den Herausforderungen neuer Technologien wie der künstlichen Intelligenz stellen wird:
  
  "Wir werden weiterhin neue digitale Technologien überwachen und bewerten, um einen auf den Menschen ausgerichteten Ansatz zu fördern, einschließlich solcher, die unter anderem die künstliche Intelligenz und digitale Identitäten betreffen. Erforderlichenfalls werden wir Orientierungshilfen zu den Auswirkungen neuer Technologien auf den Datenschutz und zur korrekten Anwendung der DSGVO in der sich rasch entwickelnden digitalen Landschaft herausgeben. Diese werden unter anderem einen weiteren Schwerpunkt auf die Umsetzung von Datenschutzkonzepten und -grundsätzen im Zusammenhang mit neuen Technologien legen (…)."
   
• Die Einschränkung des Betriebs eines Anbieters von generativer KI durch die italienische Datenschutzbehörde hat jedoch gezeigt, dass das Datenschutzrecht bereits einen auf neue Technologien anwendbaren tatsächlichen Rechtsrahmen und entsprechende Durchsetzungsmöglichkeiten vorsieht.
   
• Sieben Jahre nach Inkrafttreten der Datenschutz-Grundverordnung ist die europäische Sanktionslandschaft den Kinderschuhen entwachsen. Dennoch bleiben viele Fragen unbeantwortet. Wichtige Fragen zur Auslegung der DSGVO-Bestimmungen, einschließlich derjenigen zu Bußgeldern, sind zunehmend Gegenstand von Gerichtsverfahren, die inzwischen auch den EuGH erreicht haben.
   
• Der EuGH war im Jahr 2023 besonders aktiv und fällte wegweisende Entscheidungen, wie in den Rechtssachen C-683/21 und C-807/21, in denen er über die Bedingungen entschied, unter denen nationale Datenschutzbehörden gemäß der Datenschutz-Grundverordnung Bußgelder gegen Unternehmen verhängen können.
   
• Die gerichtliche Überprüfung behördlicher Entscheidungen ist ein wesentlicher Pfeiler rechtsstaatlicher Grundsätze – und Entscheidungen von Datenschutzbehörden (einschließlich Vollstreckungsbescheide oder Bußgeldentscheidungen) bilden da keine Ausnahme. Je mehr auf dem Spiel steht, desto weniger sind Unternehmen geneigt, Entscheidungen von Datenschutzbehörden unmittelbar zu akzeptieren. Es ist davon auszugehen, dass gerichtliche Überprüfungen von Bußgeldern in dem Maße zunehmen werden, in dem die Anzahl der datenschutzrelevanten Fragen, die an den EuGH verwiesen und von diesem entschieden werden, steigt. Dieser Trend verspricht, die Rechtssicherheit bei der Auslegung der DSGVO zu erhöhen.
   
• Die wesentliche Rolle nationaler Aufsichtsbehörden und der bedeutende Einfluss nationaler Gesetzgebung auf Bußgelder und andere Sanktionsverfahren stellen eine Herausforderung dar: Die teilweise erheblichen Unterschiede in der Auslegung der DSGVO und der Bußgelderhebung zwischen Mitgliedstaaten macht die Orientierung für Unternehmen nicht leicht. Gleichzeitig beklagen Bürgerrechtsorganisationen genau aus diesem Grund die Defizite bei der Bußgeldverhängung (sie sprechen sogar von einer "Krise der DSGVO"), insbesondere in Bezug auf Big-Tech-Unternehmen.
   
• Ein Beispiel hierfür bildet die jüngste Praxis der irischen Datenschutzbehörde, die beträchtliche Bußgelder, wie z. B. die Rekordstrafe gegen Meta in Höhe von EUR 1,2 Milliarden, erst nach einer verbindlichen Entscheidung des Europäischen Datenschutzausschusses (EDSA) verhängt hat.
   
• Der EDSA scheint sich dieses Problems bewusst zu sein. Seine Strategie für 2024-2027 konzentriert sich auf die "Stärkung einer gemeinsamen Durchsetzungskultur und effektiven Zusammenarbeit" sowie auf die "Verbesserung der Harmonisierung und Förderung der Einhaltung der Vorschriften":
  
  "wird der EDSA seine Bemühungen um eine wirksame Durchsetzung durch die Mitglieder des EDSA und eine wirksame Zusammenarbeit zwischen ihnen weiter verstärken. Der EDSA wird weiterhin die Entwicklung von Kooperations- und Durchsetzungsinstrumenten sowie den Austausch von Fachwissen unterstützen, um die Robustheit unserer gemeinsamen Verfahren, Methoden und Entscheidungen zu erhöhen. (…)
  
  Im Einklang mit den bestehenden Orientierungshilfen des EDSA zu den Schlüsselkonzepten des EU-Datenschutzrechts werden wir unsere Bemühungen um eine einheitliche Anwendung und wirksame Durchsetzung der Rechtsvorschriften weiter verstärken."
   
• In der Zwischenzeit können Sie zum Abschnitt "Bußgeldpraxis nach Ländern/Enforcement Insights by Country" wechseln, um mehr über die verschiedenen Verfahrensdetails in den verschiedenen Rechtsordnungen erfahren – und sich an Ihren vertrauten Rechtsberater wenden, um Ihre Chancen einzuschätzen zu lassen, wenn der schlimmste Fall eines DSGVO-Bußgelds eingetreten sein sollte.
   
• Die vorübergehende Einschränkung einer generativen KI-Anwendung in Italien zeigt, dass andere Arten von Sanktionen in Zukunft ebenfalls an Bedeutung gewinnen könnten. Diese Art von Korrekturmaßnahmen kann in manchen Fällen sogar einen größeren Einfluss auf die Geschäftstätigkeit eines Unternehmens haben als ein Bußgeld.
   
• Gleichzeitig nehmen die Möglichkeiten zur Durchsetzung der individuellen Rechte betroffener Personen zu, z. B. durch Sammelklagen von Verbraucherschutzverbänden oder gesetzliche Möglichkeiten zur kollektiven Entschädigung. Dies wird durch ein Urteil des EuGH aus dem Jahr 2022 gestützt, in dem der EuGH feststellte, dass die DSGVO einer nationalen Gesetzgebung nicht entgegensteht, die es einem Verbraucherschutzverband ermöglicht, ohne Mandat und unabhängig von der Verletzung spezifischer Rechte der betroffenen Personen gegen den Verantwortlichen vorzugehen, der angeblich einen Verstoß gegen das Datenschutzrecht zu vertreten hat.
   
• Außerdem wird die Richtlinie über Verbandsklagen ((EU) 2020/1828) derzeit in der gesamten EU umgesetzt. Viele Mitgliedstaaten haben ihr nationales Verfahrensrecht angepasst, um qualifizierten Einrichtungen die Erhebung von Verbandsklagen zu ermöglichen, so dass wir in den kommenden Jahren eine weitere Zunahme erwarten.
  Unternehmen müssen daher damit rechnen, immer häufiger von Verbraucherverbänden wegen möglicher Datenschutzverstöße verklagt zu werden.

In jedem Fall wird die Durchsetzung der DSGVO die Datenschutzbeauftragten noch weitere sieben Jahre beschäftigen - und sehr wahrscheinlich auch noch darüber hinaus...

Finanzen, Versicherungen und Beratung

Der in den vergangenen Jahren beobachtete erhebliche Anstieg an Bußgeldern in diesem Sektor hält an. Zudem sind die Beträge der verhängten Bußgelder deutlich angestiegen: Es gab vier Bußgelder über EUR 1 Million im Referenzzeitraum des ET Report 2025 im Vergleich zu zwei Bußgeldern über EUR 1 Million im Referenzzeitraum des ET Report 2024. 

Die höchsten Bußgelder wurden ausschließlich deshalb verhängt, weil angemessene interne Compliance-Maßnahmen zur Sicherstellung einer ausreichenden Rechtsgrundlage für die Verarbeitung von Kundendaten fehlten. In jedem der Fälle hatten die Verantwortlichen es versäumt, eine wirksame Einwilligung für die Datenverarbeitung einzuholen. Unternehmen des Finanz-, Versicherungs- und Beratungssektors sollten umfassende Prozesse implementieren, um eine klare Rechtsgrundlage für jede Tätigkeit in Bezug auf Datenverarbeitung zu gewährleisten. Die Einrichtung von Mechanismen zur Einholung einer ggf. erforderlichen wirksamen Einwilligung seitens ihrer Kunden ist unentbehrlich. Es scheint, dass Datenschutzbehörden sich darauf konzentrieren, wie eine Einwilligung eingeholt wurde und ob die betroffenen Personen durch den Verantwortlichen vollständig informiert wurden.

Zudem führten unzureichende Datenschutzmaßnahmen zu beträchtlichen Bußgeldern und könnten auch einen erheblichen Reputationsschaden verursachen. Dementsprechend sollten Unternehmen im Finanz- und im Versicherungssektor sowie Beratungsunternehmen einen Schwerpunkt auf strenge Datensicherheitsmaßnahmen legen.

Mit zunehmender Digitalisierung im Finanz-, Versicherungs- und Beratungssektor und dem Angebot von immer mehr Dienstleistungen online oder per Apps, wird die Datensicherheit immer wichtiger. Dieser Sektor ist in der Regel stark reguliert. Die Unternehmen unterliegen einer strengen Prüfung in Bezug auf ihre Datensicherung und allgemeine IT-Sicherheit nicht nur durch die Datenschutzbehörden, sondern auch durch die Finanzaufsichtsbehörden.

Beherbergung und Gaststätten

Im Beherbergungs- und Gaststättengewerbe sind weiterhin Datenschutzverletzungen im Zusammenhang mit Videoüberwachung der überwiegende Grund für die Verhängung von Bußgeldern. Andere wichtige Themen sind Cybervorfälle, die zu Datenschutzverletzungen oder Betrugsfällen führen, sowie die unrechtmäßige Verarbeitung von Personalausweisdaten. Mit Ausnahme von Bußgeldern für große Hotelketten oder Online-Plattformen bleiben die Beträge in diesem Sektor jedoch relativ niedrig.

Life Sciences und Gesundheitswesen

Hier gab es im Vergleich zum Vorjahr nur eine moderate Steigerung der Anzahl der Bußgelder. Der häufigste Grund für eine Bußgeldverhängung im Gesundheitssektor ist nach wie vor das Fehlen ausreichender technischer und organisatorischer Maßnahmen (TOM). Dies stellt weiterhin ein allgemeines und übergreifendes Problem für viele Gesundheitseinrichtungen dar. Insbesondere ist das durchschnittliche Bußgeld für unzureichende TOM im Vergleich zum Vorjahr erheblich gestiegen, und es wurde ein Bußgeld in siebenstelliger Höhe verhängt.

Industrie und Handel

Insbesondere die Nichteinhaltung der allgemeinen Datenschutzgrundsätze und eine unzureichende Rechtsgrundlage für die Datenverarbeitung führten zu empfindlichen Bußgeldern für Unternehmen in Industrie und Handel. Auch Verstöße der Verantwortlichen gegen Informationspflichten gegenüber betroffenen Personen wurden von den Datenschutzbehörden genau untersucht. Insbesondere die spanischen, rumänischen und italienischen Datenschutzbehörden sind weiterhin sehr aktiv und gewillt, alle Arten von Verstößen gegen die DSGVO zu untersuchen. Auffällig ist ebenso, dass Tech-Unternehmen in diesem Sektor besonders regelmäßig mit Bußgeldern belegt wurden. Das höchste Bußgeld in diesem Sektor im Jahr 2024 wurde gegen Clearview AI verhängt. Dieses Unternehmen ist zum "Dauerbetroffenen" von DSGVO-Bußgeldern geworden. Zuvor hatten bereits die Datenschutzbehörden in Frankreich, Deutschland, Griechenland, Italien und dem Vereinigten Königreich das Unternehmen mit Bußgeldern von insgesamt mehr als EUR 100 Millionen belegt. Dieser beeindruckende Betrag wird nur noch von den beiden neun- bzw. achtstelligen Sanktionen gegen die Amazon-Gruppe aus den Vorjahren übertroffen, welche immer noch mehr als 80% des gesamten Bußgeldvolumens des ganzen Sektors (EUR 778 Millionen) ausmachen.

Immobilienwirtschaft

Im Immobiliensektor ist die Verarbeitung sensibler Daten erforderlich, da Mietinteressenten den Vermietern Informationen wie Ausweisdokumente und detaillierte Finanzinformationen zur Verfügung stellen. Vermieter wären jedoch gut beraten, im Rahmen des Mietantragsverfahrens nur Daten zu erheben, welche für die Vermietung unbedingt erforderlich sind, und die notwendigen Maßnahmen zur sicheren Verarbeitung personenbezogener Daten zu treffen. Außerdem erheben und verarbeiten Verantwortliche routinemäßig Daten bei der Nutzung von Videoüberwachungssystemen zum Schutz ihres Eigentums gegen Diebstahl, Vandalismus und andere störende Ereignisse. Um die Einhaltung der DSGVO zu gewährleisten, müssen angemessene technische und organisatorische Maßnahmen eingesetzt werden, welche ein besonderes Augenmerk auf allgemeine Verarbeitungsgrundsätze, wie z. B. Datenminimierung und Speicherbegrenzung, legen. Sollte eine Veröffentlichung erforderlich werden, ist entsprechende Vorsicht geboten, damit personenbezogene Daten, wie z. B. identifizierbare Personen auf Bildern in Werbeanzeigen, nicht unbeabsichtigt offengelegt werden.

Medien, Telekommunikation und Broadcasting

Der Medien-, Telekommunikations- und Broadcasting-Sektor ist einer der am häufigsten mit Bußgeldern belegten Sektoren. Er versammelt 70% der Bußgelder, die gegen Unternehmen im Rahmen der DSGVO verhängt werden, auf sich. Die Aufsichtsbehörden schöpfen weiterhin den gesamten Rahmen möglicher Bußgelder aus. Aufgrund der großen Akteure in diesem Sektor und der zunehmenden Bedeutung personenbezogener Daten für deren Geschäft wird dieser Sektor wahrscheinlich auch künftig von den Aufsichtsbehörden genau beobachtet werden.

Viele Nichtregierungsorganisationen (NGOs), die für einen ausreichenden Schutz der Privatsphäre kämpfen, haben das Thema Datenschutz aufgegriffen und geben den Behörden oft Hinweise, welche als Ausgangspunkt für Untersuchungen dienen. Dieser Trend könnte sich in den kommenden Jahren noch verstärken, da die NGOs jetzt die Früchte ihrer Arbeit ernten.

Transport und Energie

Während die Zahl der von den Datenschutzbehörden verhängten Bußgelder im Transport- und Energiesektor in diesem Jahr leicht zurückgegangen ist, ist deren Höhe gestiegen. Die von der italienischen sowie der spanischen Datenschutzbehörde verhängten Bußgelder lassen erkennen, dass diese ein Augenmerk auf missbräuchliche Marktpraktiken und das Versäumnis von Unternehmen, die notwendigen Schritte zur Unterbindung von unrechtmäßigen Aktivitäten vorzunehmen, legen. Teilweise wurden diese Untersuchungen durch Verbraucherbeschwerden gegenüber den Datenschutzbehörden ausgelöst und beeinflusst. Ist eine größere Anzahl von Verbrauchern betroffen, verhängen die spanischen und italienischen Datenschutzbehörden weiterhin Bußgelder in Millionenhöhe, während die Datenschutzbehörden anderer Länder, mit Ausnahme von Finnland und Griechenland, dem Transport- und Energiesektor solche Bußgelder im Jahr 2024 nicht (zumindest nicht öffentlich) auferlegt haben. 

Öffentlicher Sektor und Bildung

Behörden haben eine besondere Vertrauensstellung inne, die eine besonders strenge Einhaltung des Datenschutzrechts und ein äußerst hohes Maß an Datensicherheit erfordert, zumal sie häufig hochsensible Daten verarbeiten und daher attraktive Ziele für Cyberangriffe darstellen sowie für eine versehentliche Offenlegung anfällig sind. Dasselbe gilt für Schulen und andere Bildungseinrichtungen, insbesondere solche, die personenbezogene Daten von Minderjährigen verarbeiten. Seit Veröffentlichung des ET Report 2020 scheinen Datenschutzbehörden den öffentlichen sowie den Bildungssektor genauer zu überprüfen, insbesondere im Zusammenhang mit dem Einsatz von technologischen Mitteln (z. B. Online-Unterrichtstools an Schulen und Universitäten). Dieser Trend wird sich voraussichtlich in Zukunft fortsetzen. Zudem nimmt die Zahl der Bußgelder im öffentlichen Sektor für Verstöße gegen Datenschutzrecht in Bezug auf die Verarbeitung sensibler Daten allgemein sowie das Profiling und Nachverfolgen oder Überwachen von Personen zu. In diesem Zusammenhang ist es bemerkenswert, dass das höchste und das zweithöchste Bußgeld im öffentlichen und Bildungssektor auf die weitreichende und systematische Erhebung und Verarbeitung von personenbezogenen Daten (einschließlich sensibler Daten) von Bürgern, hauptsächlich zu statistischen Zwecken und zur Profilerstellung, zurückzuführen sind.

Privatpersonen und private Vereinigungen

Seit Veröffentlichung des ET Report 2024 sind die Anzahl und Gesamtbeträge der Bußgelder in diesem Sektor leicht gestiegen. Es wurden zahlreiche geringe Bußgelder gegen Privatpersonen verhängt. Über 60% aller Bußgelder in diesem Sektor (219 von 360 Fällen) verhängte die spanische Datenschutzbehörde. 

Die Datenschutzbehörden neigten dazu, größere gemeinnützige Organisationen (insbesondere Sportvereine) wie Unternehmen vergleichbarer Größe zu behandeln. Sie haben Bußgelder für verschiedene Verstöße verhängt, vom Fehlen technischer und organisatorischer Maßnahmen bis zu unzureichender Informationsübermittlung an betroffene Personen.

Bei Einzelunternehmern und Privatpersonen scheinen die Datenschutzbehörden sehr genau darauf geachtet zu haben, inwieweit der Verstoß für die Person vorhersehbar war und welche Motive hinter der Verarbeitung standen. Besonders wichtig waren die Anzahl der betroffenen Personen und die Absicht des Rechtsverletzers, durch die illegale Datenverarbeitung wirtschaftliche Interessen zu verfolgen.

Fast die Hälfte aller Bußgelder in diesem Sektor basierten auf illegaler Videoüberwachung. Das unterstreicht den allgemeinen Fokus der Datenschutzbehörden auf Videoüberwachung. Sie halten diese Art der Verarbeitung für so riskant, dass selbst Privatpersonen strikte Anforderungen erfüllen müssen.

Beschäftigtendaten

Wir haben einen erheblichen Anstieg der Gesamtbeträge der bisher verhängten Bußgelder festgestellt. Das ist vor allem auf das neue ’Rekordbußgeld im Beschäftigungssektor‛ in Höhe von EUR 290 Millionen zurückzuführen, welches die niederländische Datenschutzbehörde während des aktuellen Berichtszeitraums verhängt hat. Trotz der Tatsache, dass solche Bußgelder derzeit eher die Ausnahme als die Regel darstellen, gehen wir dennoch davon aus, dass der Schutz von Beschäftigtendaten angesichts der allgemeinen Bedeutung der Verarbeitung solcher Daten für Unternehmen jeder Größe und Branche ein zentrales Tätigkeitsfeld für die Datenschutzbehörden bleiben wird. Überdies stützen sich Arbeitgeber in arbeitsgerichtlichen Verfahren zunehmend auf Beweise, die auf der Verarbeitung personenbezogener Daten beruhen. In diesem Zusammenhang sind Arbeitgeber gut beraten, besondere Aufmerksamkeit walten zu lassen, wenn fortschrittliche technologische Mittel für Zwecke der Personalverwaltung eingesetzt werden: Eine automatisierte Entscheidungsfindung und/oder Verarbeitung biometrischer Daten mag zwar auf den ersten Blick verlockend erscheinen, bringt aber erweiterte datenschutzrechtliche Verpflichtungen, wie z. B. das Erfordernis einer Datenschutz-Folgenabschätzung, mit sich.

Außerdem ist es wahrscheinlicher, dass Beschäftigte Auskunft über ihre gespeicherten Daten verlangen und – im Falle von Konfliktsituationen (insbesondere in letztlich vor die Arbeitsgerichte gebrachten Fällen) – bei einer Datenschutzbehörde Beschwerde einlegen. Beschäftigte nutzen zunehmend Unsicherheiten von Arbeitgebern in Bezug auf den Datenschutz aus, um anderweitige Rechtspositionen gegen den Arbeitgeber geltend zu machen. Man darf nicht übersehen, dass Untersuchungen von Datenschutzbehörden häufig zusätzliche Erkenntnisse hervorbringen, die über den Umfang der ursprünglichen Beschwerde hinausgehen.

Nach unserer Erfahrung mussten Arbeitgeber ihre Einhaltung des Datenschutzes in den letzten Jahren nicht nur gegenüber den Datenschutzbehörden, sondern auch gegenüber Gewerkschaften und Betriebsräten rechtfertigen.

Gleichzeitig bleiben Fälle, in denen es um die Verarbeitung von Beschäftigtendaten geht, rechtlich komplex: Die Verarbeitung personenbezogener Daten im Beschäftigungskontext ist eng mit dem nationalen Rechtsrahmen zur Regelung des Arbeitsverhältnisses verknüpft. Die etablierte Auslegung dieser nationalen Arbeitsrechtsvorschriften beeinflusst in der Regel den zulässigen Umfang der Verarbeitung von Beschäftigtendaten.

Eine erste Analyse der Bußgelder im Zusammenhang mit Beschäftigtendaten deutet darauf hin, dass die beste Option des Arbeitgebers darin besteht, sich auf eine gesetzliche Grundlage (wie z. B. die Erfüllung eines Vertrags) für seine Datenverarbeitung zu stützen. Eine Einwilligung der Beschäftigten bleibt – aufgrund des angenommenen strukturellen Ungleichgewichts zwischen Arbeitgeber und Beschäftigten – auf einzelne, spezifische Fälle beschränkt, in denen Beschäftigte eine "echte Wahl" haben.

Abgesehen davon, dass unser Fokus notwendigerweise auf öffentlich zugänglichen Bußgelddaten liegt, stößt diese Auswertung auch anderweitig an ihre Grenzen. Das Kleingedruckte in diesem Zusammenhang finden Sie unter unseren ausführlichen Bemerkungen zur Methodik.

Der Enforcement Tracker Report und der Enforcement Tracker bilden ein lebendiges Projekt. Die siebte Ausgabe des ET Report wird vsl. im Mai 2026 veröffentlicht werden und wir freuen uns sehr über jede Art von Rückmeldungen und möchten uns bei allen bedanken, die sich bisher an uns gewandt haben, während sich die Datenschutzlandschaft auf globaler Ebene schnell weiterentwickelt und Schnittstellen zwischen nationalen/regionalen Konzepten entstehen, auch wenn kein globales Datenschutzrecht existiert.

Wir haben auch mit anderen Anwaltskanzleien, Datenschutzexperten mit fortgeschrittenem technischem Hintergrund und Forschern aus verschiedenen Disziplinen gesprochen.

Bitte zögern Sie nicht, uns weiterhin zu kontaktieren, wir freuen uns auf den Austausch!

 info@enforcementtracker.com