Zahlen und Fakten

Ein Rückblick auf die letzten Jahre lässt vermuten, dass die Behörden zunächst vor allem die Entwicklungen auf dem Markt beobachtet oder sich mit Altfällen befasst haben, welche damals noch nicht von der DSGVO erfasst waren. Mit Ausnahme eines Bußgelds in Höhe von EUR 400.000 gegen ein Krankenhaus im Jahr 2018 verlief diese erste Reflexionsphase sowohl im Hinblick auf die Höhe als auch die Anzahl von Bußgeldern eher moderat. Nach dieser anfänglichen "Orientierungsphase" haben die Datenschutzbehörden ihre Durchsetzungsbemühungen in den letzten Jahren intensiviert. Bereits im Jahr 2022 verhängten sie massive Bußgelder gegen "Big Tech-Unternehmen". Diese Bußgelder wurden im Jahr 2023 schließlich durch das erste Bußgeld in Milliardenhöhe übertroffen, so dass die Gesamtsumme der verhängten Bußgelder auf über EUR 4 Milliarden anstieg.

Aktuell verzeichnet die 6. Ausgabe des GDPR Enforcement Tracker Report zum Redaktionsstichtag 1. März 2025 eine Gesamtzahl von 2.245 Bußgeldern (+159 im Vergleich zum GDPR Enforcement Tracker Report 2024) in der Datenbank des CMS Enforcement Tracker (2.560, wenn Bußgelder mit begrenzten Informationen zu Höhe, Datum und Sektor ebenfalls gezählt werden), was einer Bußgeldsumme von rund EUR 5.65 Milliarden entspricht (+1,17 Milliarden im Vergleich zum GDPR Enforcement Tracker Report 2024). Im Berichtszeitraum 2018-2025 lag die durchschnittliche Bußgeldhöhe länderübergreifend bei EUR 2.360.409.

Ein Blick auf die Art des Verstoßes in den "Top Ten der Bußgelder" zeigt, dass die Nichteinhaltung der allgemeinen Grundsätze für die Datenverarbeitung am wahrscheinlichsten zu erheblichen Bußgeldern führt (5 von 10 Bußgeldern), im Gegensatz zum Vorjahr, als die Datenverarbeitung mit unzureichender Rechtsgrundlage die „Top 10 der Bußgelder” anführte.

Die Übersicht zeigt auf, dass das höchste Bußgeld in Höhe von EUR 1.2 Milliarden aus Irland gegen Meta Platforms Ireland Limited verhängt wurde. Dies ist das bisher erste Bußgeld in Milliardenhöhe. In diesem Jahr hat die irische Datenschutzbehörde zwei erhebliche Bußgelder gegen LinkedIn und erneut gegen Meta Platforms Ireland Limited verhängt. Damit ist sie die Aufsichtsbehörde, die bisher die höchsten Bußgelder verhängt hat (acht der zehn höchsten Bußgelder insgesamt).

Die Daten zeigen, dass bisher die durchschnittlich höchsten Bußgelder in den Sektoren "Medien, Telekommunikation und Rundfunk", "Beschäftigung" und "Industrie und Handel" verhängt wurden. Außerdem verzeichnen die Sektoren „Medien, Telekommunikation und Rundfunk“ sowie „Industrie und Handel“ bislang die höchste Anzahl an Bußgeldern. Dies könnte zwar als Hinweis darauf verstanden werden, dass diese Sektoren besonders geneigt sind, die Anforderungen der DSGVO zu missachten, doch ist dies nicht unbedingt der Fall. Dies kann auch auf eine vergleichsweise große Anzahl betroffener Unternehmen zurückzuführen sein, welche im besonderen Maße in der Öffentlichkeit stehen oder auch darauf, dass in diesen Sektoren einige sehr hohe Bußgelder (z. B. das Bußgeld in Höhe von  EUR 746 Millionen im Sektor „Industrie und Handel”) verhängt worden sind, oder auch ein erhöhter Tätigkeitsschwerpunkt der Behörden (z. B. in Spanien in Bezug auf den Sektor "Medien, Telekommunikation und Rundfunk" mit bereits über 90 Bußgeldern, die von der spanischen Behörde gegen einen bestimmten spanischen Telekommunikationsanbieter verhängt wurden).

Vergleichsweise wenige Bußgelder betrafen die Bereiche "Beherbergung und Gaststätten" sowie "Immobilienwirtschaft". Das gilt zwar auch für den Sektor "Transport und Energie", jedoch war dort der durchschnittliche Bußgeldbetrag hoch. Man könnte dies als Zeichen deuten, dass bußgeldpflichtige Verstöße in diesen Bereichen zwar selten, jedoch schwerwiegend sind und daher mit hohen Beträgen belegt wurden. Dieser Trend ließ sich auch schon im vergangenen Jahr beobachten.

In Bezug auf die Verhängung und Veröffentlichung von Bußgeldern weist die spanische Datenschutzbehörde mit insgesamt 932 Bußgeldern (+130 im Vergleich zum GDPR Enforcement Tracker Report 2024) die bislang höchste Aktivität auf. Ebenfalls sind die Behörden in Italien, Rumänien und Deutschland, welche zwischen 86 und 400 (veröffentlichten) Bußgelder verhängt haben, sehr aktiv. Dennoch haben diese drei Länder zusammen weniger Bußgelder veröffentlicht als Spanien allein.

Die Gründe dafür sind aus den Daten nicht ersichtlich. Der Unterschied könnte beispielsweise auf die unterschiedliche Veröffentlichungsweise von Bußgeldern zurückzuführen sein: Während einige Länder auch kleinere Bußgelder von einigen hundert Euro veröffentlichen, scheinen sich andere Länder auf die Veröffentlichung höherer Bußgelder zu beschränken. Ein weiterer Grund für die Unterschiede zwischen den Ländern könnte die mit der Bearbeitung der Fälle und Verhängung der Bußgelder befasste Anzahl von Mitarbeitenden sein. Einerseits haben Länder mit einer höheren Bußgeldanzahl ihren Behörden möglicherweise insgesamt mehr Personal zugewiesen, andererseits könnte das Personal innerhalb der Behörde stärker auf die Verfolgung von Verstößen konzentriert sein als in anderen Ländern.

Eine weitere mögliche Erklärung könnte in unterschiedlichen Schwerpunkten der Behörden liegen: Während einige Behörden vor der Verhängung von Bußgeldern mehr Wert auf Anhörungen legen, verhängen andere Behörden direkt Bußgelder.

Ein Blick auf die folgenden durchschnittlichen Bußgeldbeträge zeigt, dass diese in Spanien durchschnittlich viel niedriger liegen als in den meisten anderen Ländern.

Wir haben auch die Begründungen der Datenschutzbehörden für die Bußgelder analysiert. Jedes Bußgeld im GDPR Enforcement Tracker Report und auf der GDPR Enforcement Tracker Website wird einer der folgenden neun Kategorien zugeordnet:

• Unzureichende Rechtsgrundlage für die Datenverarbeitung
• Unzureichende technische und organisatorische Maßnahmen zur Gewährleistung der Datensicherheit
• Nichteinhaltung der allgemeinen Grundsätze für die Datenverarbeitung
• Unzureichende Wahrung der Rechte betroffener Personen
• Unzureichende Erfüllung von Informationspflichten
• Unzureichende Zusammenarbeit mit der Aufsichtsbehörde
• Unzureichende Erfüllung der Meldepflichten bei Verletzung des Datenschutzes
• Unzureichende Einbeziehung des Datenschutzbeauftragten
• Unzureichender Datenverarbeitungsvertrag

Innerhalb dieser Kategorien wurden die meisten Bußgelder für Verarbeitungstätigkeiten mit unzureichender Rechtsgrundlage verhängt. Der zweithäufigste Grund für Bußgelder waren Datenverarbeitungsaktivitäten, bei denen die allgemeinen Grundsätze für die Datenverarbeitung nicht eingehalten wurden, gefolgt von unzureichenden technischen und organisatorischen Maßnahmen zur Gewährleistung der Datensicherheit, der unzureichenden Erfüllung von Informationspflichten und der unzureichenden Wahrung der Rechte betroffener Personen.

Die Nichteinhaltung der allgemeinen Grundsätze für die Datenverarbeitung war nicht nur der zweithäufigste Grund für Bußgelder, sondern auch der Grund für die außerordentlich hohen Bußgelder gegen Meta und Amazon in diesem Berichtszeitraum, was dazu führte, dass Bußgelder bei dieser Art von Verstößen im Durchschnitt deutlich höher waren als bei jeder anderen Art von Verstößen.

Bisher wurden nur sehr wenige Bußgelder wegen mangelnder Zusammenarbeit mit der Aufsichtsbehörde, wegen Pflichtverletzungen im Zusammenhang mit Meldepflichten bei Verletzungen des Datenschutzes, wegen unzureichender Einbeziehung eines Datenschutzbeauftragten oder wegen unzureichender Datenverarbeitungsverträge verhängt. Dieser Trend ließ sich auch schon im vergangenen Jahr beobachten.

Datenschutzbehörden in ganz Europa scheinen sich ihrer Rolle nicht nur als Aufsichts- und Strafverfolgungsbehörden, sondern auch als Berater bewusst zu sein. Es hat den Anschein, dass die Behörden 2018 sowohl den Verantwortlichen als auch sich selbst eine anfängliche Phase gestatteten, um sich mit dem damals neuen Regelwerk der DSGVO vertraut zu machen. Während dieser Phase wurden relativ wenige Bußgelder verhängt, die zudem gering ausfielen. Diese Phase ist vorbei. Seit 2022 stehen insbesondere "Big Tech-Unternehmen" im Fokus der Regulierungsbehörden und 2023 wurde das erste Milliardenbußgeld nach der DSGVO verhängt - ein bedeutender Meilenstein in der Durchsetzung des Datenschutzes. Im Jahr 2024 wurden drei erhebliche Bußgelder im dreistelligen Millionenbereich verhängt, was die strenge Durchsetzung der Datenschutzbestimmungen weiter unterstreicht.

Der Datenschutz wird weiterhin unter strenger Aufsicht der Behörden stehen, und die Verantwortlichen sind gut beraten, ihre Prozesse und Sicherheitsmaßnahmen kontinuierlich zu überwachen und zu verbessern.