DSGVO-Bußgeldpraxis gewinnt an Fahrt – 6 Milliarden Euro überschritten
CMS veröffentlicht siebte Ausgabe des „Enforcement Tracker Report“
Berlin – Die Durchsetzung der DSGVO in ganz Europa ist in eine neue Phase eingetreten: Was mit wegweisenden Verfahren und Rekordstrafen begann, hat sich nun zu einer routinemäßigen, operativen Überprüfung der täglichen Datenschutzpraktiken von Unternehmen entwickelt. So lautet eine der wichtigsten Erkenntnisse aus dem jüngsten „GDPR Enforcement Tracker Report“, der von der internationalen Wirtschaftskanzlei CMS veröffentlicht wurde. Die Sechs-Milliarden-Euro-Marke wurde im März 2026 mit einem Gesamtbetrag der öffentlich bekannten Bußgelder von rund 6,11 Milliarden Euro erstmals überschritten. Auch die Zahl der registrierten Fälle steigt aufgrund der kontinuierlichen Durchsetzung in ganz Europa weiter an. Allerdings weisen die Daten auf eine deutliche Verlagerung des Schwerpunkts hin: Die Aufsichtsbehörden konzentrieren sich zunehmend auf praktische Compliance-Themen und weniger auf vereinzelte, öffentlichkeitswirksame Fälle.
Inzwischen ist die Durchsetzung von Bußgeldern zum festen Bestandteil der regelmäßigen Aufsichtstätigkeit der Datenschutzbehörden geworden. In der Praxis konzentrieren sich die Untersuchungen zunehmend auf betriebliche Themen wie Transparenzpflichten, Maßnahmen zur Cybersicherheit, Online-Tracking, Mitarbeiterdatenverarbeitung und den Einsatz KI-gestützter Technologien.
Transparenz und operative Compliance rücken in den Mittelpunkt
Der diesjährige Bericht stellt als eine wesentliche Entwicklung fest, dass die Bedeutung von Transparenzanforderungen bei der aufsichtsrechtlichen Überprüfung immer mehr in den Vordergrund rückt. Mängel in Datenschutzerklärungen, Cookie-Bannern, Mitarbeiterinformationen und anderen für Nutzer bestimmten Mitteilungen sind mittlerweile ebenso regelmäßig Gegenstand strenger Prüfungen wie unrechtmäßige Verarbeitungen und Sicherheitsdefizite.
Daneben sind unzureichende Rechtsgrundlagen für die Datenverarbeitung, die Nichteinhaltung allgemeiner Datenschutzgrundsätze sowie ungenügende technische und organisatorische Maßnahmen nach wie vor die häufigsten Auslöser für erhebliche Bußgelder. In der Praxis bilden Cybervorfälle und Verletzungen des Schutzes personenbezogener Daten zunehmend Ausgangspunkte für umfassendere Untersuchungen der allgemeinen Unternehmensstrukturen in Bezug auf Datenverwaltungs- und Rechenschaftspflichten. „Diese Verlagerung hin zur operativen Durchsetzung bedeutet, dass die Einhaltung der Datenschutzvorschriften nicht mehr als einmalige Maßnahme oder rein auf der Ebene der Richtlinien geregelt werden kann“, sagt Dr. Anna Lena Füllsack, Mitglied des Enforcement-Tracker-Teams bei CMS in Deutschland. „Die Aufsichtsbehörden prüfen nun viel genauer, wie Unternehmen die Datenschutzanforderungen in ihren täglichen Abläufen umsetzen.“
Bußgeldpraxis geht über Big-Tech-Unternehmen hinaus
Während große digitale Plattformen und datengesteuerte Geschäftsmodelle weiterhin im Mittelpunkt der Tätigkeit der Aufsichtsbehörden stehen, erstreckt sich diese zunehmend über die traditionellen Zielunternehmen hinaus. Behörden, gemeinnützige Organisationen, Sportvereine und sogar Privatpersonen werden nun häufiger einer Überprüfung auf Grundlage der DSGVO unterzogen, wenn große Mengen personenbezogener Daten verarbeitet werden. Branchenübergreifend zeichnen sich ähnliche Muster ab – von digitalen Plattformen und werbebasierten Geschäftsmodellen bis hin zu Finanzdienstleistungen, dem Gesundheitswesen und der beschäftigungsbezogenen Datenverarbeitung –, wobei die Aufsichtsbehörden den Schwerpunkt auf Transparenz, Datenverwaltung und Cybersicherheitsstandards legen. Auch Beschwerden von betroffenen Personen spielen weiterhin eine zentrale Rolle bei der Einleitung von Untersuchungen, wobei Streitigkeiten im Zusammenhang mit Auskunftsrechten, Direktwerbung und Transparenzpflichten regelmäßig zu Bußgeldmaßnahmen führen.
Unterdessen gewinnt die gerichtliche Überprüfung zunehmend an Bedeutung, da hohe Bußgelder immer häufiger vor nationalen Gerichten angefochten werden. Dieser Trend trägt zur weiteren Klärung zentraler rechtlicher Fragen bei und macht zugleich die nach wie vor bestehenden Unterschiede in der Durchsetzungspraxis der einzelnen EU-Mitgliedstaaten deutlich.
Deutschland: Fokus auf Mitarbeiterdaten und Entwicklungen vor Gericht
In Deutschland wird die Bußgeldpraxis weiterhin durch das dezentrale System der 16 Landesdatenschutzbehörden geprägt, das durch die Bundesdatenschutzbeauftragte ergänzt wird. Inhaltlich stehen Fälle im Zusammenhang mit unzureichenden Rechtsgrundlagen für die Verarbeitung und Mängeln bei der Informationssicherheit weiterhin besonders im Vordergrund. Die Mitarbeiterdatenverarbeitung bleibt ein immer wiederkehrendes Thema, einschließlich in Fällen mit sehr hohen Bußgeldern. Die in Deutschland verhängten Bußgelder betreffen ein breites Spektrum von Branchen, darunter das Gesundheitswesen, den Finanzsektor, die Versicherungs- sowie Beratungsbranche, ebenso wie Einzelpersonen, private Vereinigungen und die Mitarbeiterdatenverarbeitung. Die Anfechtung von Bußgeldern vor Gericht ist nach wie vor ein wesentlicher Bestandteil der deutschen Vollstreckungspraxis, wobei diese Verfahren weiterhin Einfluss darauf haben, wie sich Fälle in der Praxis entwickeln. Darüber hinaus gewinnen kollektive Rechtsschutzinstrumente und Sammelklagen zunehmend an Bedeutung, wodurch sich das Risiko für Unternehmen, mit datenschutzrechtlichen Ansprüchen und Rechtsstreitigkeiten konfrontiert zu werden, weiter erhöht.
Umfassender Überblick über die Bußgeldpraxis in Europa
Die siebte Ausgabe des Berichts stützt sich auf die von CMS gepflegte Online-Datenbank „GDPR Enforcement Tracker“, die Tausende von Fällen aus ganz Europa erfasst und einen einzigartigen, ständig aktualisierten Überblick über öffentlich bekannte Bußgelder verschafft. Auf der Grundlage dieser Datenbank bietet der Bericht eine detaillierte Analyse der Trends bei der DSGVO-Durchsetzung in verschiedenen Sektoren und Rechtsordnungen und hebt dabei sowohl gemeinsame Muster als auch nationale Besonderheiten hervor. „Die Durchsetzung der DSGVO ist den Kinderschuhen entwachsen und mittlerweile fester Bestandteil der regulären Rechtslandschaft in ganz Europa“, fügt Füllsack hinzu. „Dies wird auch in den kommenden Jahren ein zentrales strategisches Thema für Unternehmen bleiben.“
Pressekontakt
presse@cms-hs.com
