Laut Studie von DLA Piper wurden 2024 europaweit 1,2 Milliarden Euro DSGVO-Bußgelder verhängt

Erstmals seit Inkrafttreten der DSGVO im Mai 2018 ist der Trend kontinuierlich steigender Bußgelder unterbrochen worden

[datensicherheit.de, 24.01.2025] Die irische Datenschutzbehörde bleibt mit 3,5 Milliarden Euro an verhängten DSGVO-Bußgeldern weiterhin der größte Durchsetzer in Europa – dies ist eine Erkenntnis aus der siebten Ausgabe des „GDPR Fines and Data Breach Survey“ der Wirtschaftskanzlei DLA Piper, welche ein weiteres „bedeutsames Jahr in der Durchsetzung des Datenschutzes“ beleuchtet habe. Mit europaweit verhängten Bußgeldern in Höhe von 1,2 Milliarden Euro im Jahr 2024 summierten sich die seit Inkrafttreten der DSGVO im Mai 2018 verhängten Strafen auf insgesamt 5,88 Milliarden Euro. Irland bleibe eben mit großem Abstand weiterhin der führende Durchsetzer mit Geldbußen – das höchste jemals nach der DSGVO verhängte Bußgeld sei weiterhin die Rekordahndung mit über 1,2 Milliarden Euro gegen Meta Platforms Ireland Limited im Jahr 2023.

Große Technologiekonzerne und Social-Media-Giganten Hauptziele für DSGVO-Rekordbußgelder

Die vorliegende Studie von DLA Piper weist demnach für den Zeitraum seit dem 28. Januar 2024 einen Rückgang von 33 Prozent gegenüber den DSGVO-Bußgeldern des Vorjahres aus: Der über sieben Jahre anhaltende Trend zunehmender Durchsetzung sei damit erstmals gebrochen worden. Gleichwohl bleibe die Tendenz über die Jahre steigend, denn der Rückgang 2024 sei fast ausschließlich auf die Rekordforderung von 1,2 Milliarden Euro gegenüber Meta im Jahr 2023 zurückzuführen gewesen – im Jahr 2024 habe es keine vergleichbare Rekordstrafe gegeben.

Große Technologiekonzerne und Social-Media-Giganten blieben die Hauptziele für Rekordbußgelder: Fast alle der zehn höchsten seit 2018 verhängten Geldbußen beträfen die sogenannte Tech-Branche, darunter in 2024 die von der irischen Datenschutzbehörde verhängten Bußgelder in Höhe von 310 Millionen Euro gegen LinkedIn und 251 Millionen Euro gegen Meta.

DSGVO-Durchsetzung hat sich 2024 auch auf weitere Branchen erstreckt

2024 habe sich die DSGVO-Durchsetzung auch auf weitere Branchen erstreckt, darunter Finanzdienstleistungen und Energie. „So verhängte die spanische Datenschutzbehörde zwei Bußgelder in Höhe von insgesamt 6,2 Millionen Euro gegen eine große Bank wegen unzureichender Sicherheitsmaßnahmen. Die italienische Datenschutzbehörde sprach ein Bußgeld über fünf Millionen Euro gegen einen Energieversorger für die Nutzung veralteter Kundendaten aus.“

Deutschland bleibe ebenfalls ein wichtiger Akteur bei der Durchsetzung europäischen Datenschutzrechts: Seit Inkrafttreten der DSGVO seien hierzulande Bußgelder im Gesamtvolumen von 89,1 Millionen Euro verhängt worden. Ein Fokus der deutschen Datenschutzbehörden liege dabei auf Verstößen gegen die Integrität und Vertraulichkeit sowie die Sicherheit der Datenverarbeitung.

DSGVO bleibt starkes Instrument – insbesondere auch in Deutschland

Dr. Jan Geert Meents, Partner der deutschen Praxisgruppe „Intellectual Property & Technology“ (IPT) bei DLA Piper, kommentiert die aktuelle Studie so: „Die diesjährigen Ergebnisse zeigen, dass die Datenschutzbehörden in Europa weiterhin eine klare Linie verfolgen. Der Rückgang des Gesamtvolumens der Bußgelder ist auf außergewöhnliche Ereignisse im Vorjahr zurückzuführen und bedeutet keine Abschwächung der regulatorischen Aktivitäten.“ Die DSGVO bleibe ein starkes Instrument, um den Datenschutz zu gewährleisten und die Einhaltung zu fördern. Dies gelte insbesondere auch für Deutschland.

Der verstärkte Fokus auf „Governance“ und Aufsicht habe zu mehreren Entscheidungen geführt, in denen Versäumnisse bei der Unternehmensleitung festgestellt worden seien. So habe die niederländische Datenschutzbehörde angekündigt, zu überprüfen, „ob die Geschäftsführer von Clearview AI persönlich für zahlreiche DSGVO-Verstöße haftbar gemacht werden können, nachdem ein Bußgeld in Höhe von 30,5 Millionen Euro gegen das Unternehmen verhängt wurde“. Diese Untersuchung könnte einen möglichen Wandel im Fokus der Regulierungsbehörden hin zu einer persönlichen Haftung und mehr individueller Verantwortlichkeit signalisieren.

Persönliche Haftung von Führungskräften markiert neue Phase in der DSGVO-Durchsetzung

„Die zunehmende Fokussierung auf die persönliche Haftung von Führungskräften markiert eine neue Phase in der DSGVO-Durchsetzung“, betont Verena Grentzenberg, Partnerin der Praxisgruppe IPT von DLA Piper in Deutschland mit Fokus auf Datenschutz. Dies setze ein klares Signal an Unternehmen, dass Verstöße gegen den Datenschutz nicht ohne Konsequenzen blieben – „auch nicht auf der Ebene der handelnden Personen!“.

Die durchschnittliche Anzahl der gemeldeten Datenschutzverletzungen pro Tag sei 2024 nur leicht auf 363 von 335 Meldungen im Vorjahr gestiegen. Dies entspreche dem Trend der Vorjahre und sei mutmaßlich darauf zurückzuführen, dass Unternehmen vorsichtiger geworden seien und angesichts des Risikos von behördlichen Ermittlungen, Geldbußen und möglichen Schadenersatzforderungen Datenschutzverletzungen eher meldeten.

DSGVO dient zunehmend auch als Leitplanke für neue Bereiche wie KI-Regulierung

Hinsichtlich der Gesamtzahl der gemeldeten Datenschutzverletzungen habe es seit Inkrafttreten der DSGVO und auch im jüngsten Berichtszeitraum kaum Veränderungen an der Spitze der Rangliste gegeben: Die Niederlande (33.471 Meldungen), Deutschland (27.829) und Polen (14.286) blieben die Länder mit den höchsten Zahlen gemeldeter Datenschutzverletzungen.

Jan Pohle, ebenfalls IPT-Partner mit Spezialisierung im Bereich Datenschutz, unterstreicht in seinem abschließenden Kommentar: „Auch wenn die diesjährige Umfrage keine neuen Rekorde zeigt, bedeutet das keineswegs, dass das Interesse oder die Aktivität der europäischen Datenschutzbehörden nachgelassen haben.“ Im Gegenteil: Die Durchsetzung habe sich weiterentwickelt, mit wachsender Regulierung in Sektoren außerhalb von „Big Tech“ und Sozialen Medien. „Die DSGVO dient zudem zunehmend als Leitplanke für neue Bereiche wie die KI-Regulierung und Grundlage für die Durchsetzung von Datenschutz im Zusammenhang mit KI“, so Pohle.

Weitere Informationen zum Thema:

DLA PIPER, Ross McKean & John Magee & Rachel de Souza
DLA Piper GDPR Fines and Data Breach Survey: January 2025