DSGVO-Rekordstrafen: Was die EU-Behörden entschieden

1,2 Milliarden Euro Bußgeld gegen Meta, 746 Millionen Euro gegen Amazon, 405 Millionen Euro gegen Instagram: Die EU-Datenschutzbehörden haben in den vergangenen Jahren Strafen in einer Größenordnung verhängt, die selbst Technologiekonzerne mit dreistelligen Milliardenumsätzen spüren. Doch erst jetzt beginnt ein Paradigmenwechsel — weg vom symbolischen Mahnschreiben, hin zu Strafen, die tatsächlich wehtun.

Was die DSGVO wirklich erlaubt — und wie lange es dauerte, das auszuschöpfen

Die Datenschutz-Grundverordnung gilt seit Mai 2018 in der gesamten Europäischen Union. Das Regelwerk vereinheitlicht, wie Unternehmen personenbezogene Daten erheben, speichern, verarbeiten und weitergeben dürfen. Personenbezogene Daten sind dabei alle Informationen, die sich auf eine identifizierbare natürliche Person beziehen — von Name und Adresse über IP-Adressen bis hin zu Standortdaten, Kaufverhalten oder dem digitalen Nutzungsverhalten auf Plattformen.

Der entscheidende Hebel der Verordnung ist der Bußgeldrahmen: Bis zu 20 Millionen Euro oder bis zu vier Prozent des weltweiten Jahresumsatzes — je nachdem, welcher Betrag höher ausfällt. In den ersten Jahren nach Inkrafttreten der DSGVO blieben die tatsächlich verhängten Strafen weit hinter diesem theoretischen Maximum zurück. Viele Datenschutzbehörden in den EU-Mitgliedstaaten waren personell unterbesetzt, juristische Verfahren zogen sich über Jahre, und Konzerne setzten auf Einsprüche und Verzögerungstaktiken.

Das hat sich geändert. Seit etwa Mitte der letzten Dekade ziehen die nationalen Aufsichtsbehörden spürbar an — und koordinieren sich stärker untereinander. Der Europäische Datenschutzausschuss (EDSA), ein Gremium, das alle nationalen Datenschutzbehörden zusammenbringt, kann bei grenzüberschreitenden Verfahren verbindliche Entscheidungen treffen. Genau dieser Mechanismus führte zur Rekordstrafe gegen Meta.

Das Meta-Urteil: Datentransfer als Knackpunkt

Im Mai 2023 verhängte die irische Datenschutzbehörde DPC gegen Meta Ireland eine Strafe von 1,2 Milliarden Euro — die bislang höchste Einzelstrafe in der Geschichte der DSGVO. Der Kern des Vorwurfs: Meta übertrug Nutzerdaten aus der EU systematisch in die USA, ohne dabei einen gültigen rechtlichen Mechanismus zu nutzen, der das europäische Datenschutzniveau auch auf amerikanischem Boden garantiert.

Das klingt technisch, ist aber für Verbraucher unmittelbar relevant. Wenn ein europäischer Facebook-Nutzer die Plattform besucht, erzeugt er Daten: Welche Seiten er besucht, wie lange er welche Inhalte betrachtet, mit wem er interagiert. Diese Daten landen auf Servern in den USA, wo US-Behörden nach dem Foreign Intelligence Surveillance Act (FISA) theoretisch Zugang zu diesen Daten fordern können — ohne dass der betroffene EU-Bürger davon erfährt oder sich dagegen wehren kann. Genau darin sah der Europäische Gerichtshof (EuGH) bereits in seinem sogenannten Schrems-II-Urteil aus dem Jahr 2020 ein strukturelles Problem.

Meta hatte nach dem Schrems-II-Urteil weiterhin Standardvertragsklauseln als Rechtsbasis für den Datentransfer verwendet. Der EDSA entschied, dass dies im konkreten Fall nicht ausreicht — und wies die irische DPC an, die Rekordstrafe zu verhängen. Inzwischen ist ein neues EU-US-Datenschutzabkommen, der sogenannte Data Privacy Framework, in Kraft, der die Situation vorläufig entschärft. Kritiker, darunter der österreichische Datenschutzaktivist Max Schrems, zweifeln jedoch bereits an der Beständigkeit des neuen Rahmens.

Amazon, TikTok, LinkedIn: Strafe als Branchensignal

Die Meta-Strafe ist kein Einzelfall, sondern Teil eines klaren Trends. Die luxemburgische Datenschutzbehörde CNPD verhängte gegen Amazon eine Strafe von 746 Millionen Euro — auch hier wegen mangelhafter Einwilligungsmechanismen beim Einsatz von Cookies und Tracking-Technologien. Cookies sind kleine Datendateien, die Websites auf dem Gerät eines Nutzers speichern, um sein Verhalten über Zeit und über verschiedene Seiten hinweg zu verfolgen. Amazon soll Nutzer nicht korrekt über diese Praktiken informiert und keine wirksame Einwilligung eingeholt haben.

Ähnlich gelagert ist der Fall TikTok: Die irische DPC verhängte gegen den chinesischen Kurzvideokonzern eine Strafe von 345 Millionen Euro, weil TikTok Kinderdaten nicht ausreichend geschützt hatte. Standardeinstellungen für Konten unter 18 Jahren waren öffentlich zugänglich, Eltern hatten keine hinreichenden Kontrollmöglichkeiten. Dieses Thema berührt unmittelbar auch Debatten in anderen Ländern — wie etwa in Großbritannien, wo Minderjährige zunehmend kreative Wege finden, um Altersverifizierungen auf digitalen Plattformen zu umgehen.

LinkedIn erhielt von der irischen DPC eine Strafe von 310 Millionen Euro, weil das berufliche Netzwerk für zielgruppenspezifische Werbung auf Basis von Nutzerdaten kein rechtlich belastbares Einverständnis eingeholt hatte. Das Unternehmen hatte sich auf sogenannte berechtigte Interessen als Rechtsgrundlage berufen — ein Konzept, das unter der DSGVO zulässig ist, aber nicht pauschal für Werbezwecke angewendet werden darf.

Warum die Strafen jetzt wirklich wehtun

Lange lautete die Kritik: DSGVO-Bußgelder sind für Technologiekonzerne nichts weiter als Betriebskosten — zu niedrig, um das Verhalten tatsächlich zu ändern. Diese Einschätzung wandelt sich. Nach Berechnungen des Analysedienstleisters Gartner hat sich das durchschnittliche Bußgeld je DSGVO-Verfahren seit 2020 mehr als verzehnfacht. Entscheidend dafür sind drei Faktoren: Die Behörden verfügen über mehr Personal und Expertise, der EDSA koordiniert grenzüberschreitende Verfahren effektiver, und die Gerichte bestätigen zunehmend die behördlichen Entscheidungen — auch in höheren Instanzen.

Hinzu kommt ein strukturelles Problem für die betroffenen Unternehmen: Ein verhängtes Bußgeld ist selten der einzige finanzielle Schaden. Reputationsschäden, erhöhter Compliance-Aufwand, notwendige technische Umrüstungen und der Verlust von Nutzervertrauen addieren sich. Laut IDC geben europäische Unternehmen mittlerweile durchschnittlich 1,3 Millionen Euro pro Jahr allein für DSGVO-Compliance auf, also für die Sicherstellung, dass ihre Datenprozesse den gesetzlichen Anforderungen entsprechen. Bei Großkonzernen liegt dieser Wert um ein Vielfaches höher.

Das betrifft nicht nur US-amerikanische Plattformgiganten. Auch europäische Unternehmen stehen zunehmend im Fokus. Die Deutsche Telekom, H&M, Vodafone und zahlreiche deutsche Krankenkassen haben bereits erhebliche Strafen erhalten. Gerade im Bereich der Telekommunikation wächst der regulatorische Druck — ein Umfeld, das sich auch auf strukturelle Entscheidungen der Branche auswirkt, wie die Konsolidierung zeigt: Vodafone übernimmt Three für 5 Milliarden Euro, unter anderem, um Ressourcen für Compliance- und Infrastrukturinvestitionen zu bündeln.

Die Rolle der nationalen Behörden — und ihre Grenzen

Ein strukturelles Problem der DSGVO-Durchsetzung liegt im sogenannten One-Stop-Shop-Prinzip. Unternehmen, die in mehreren EU-Ländern tätig sind, werden in der Regel von der Datenschutzbehörde des Landes beaufsichtigt, in dem sie ihren europäischen Hauptsitz haben. Für die meisten großen US-Technologiekonzerne ist das Irland — wegen niedriger Körperschaftssteuern und günstiger Rahmenbedingungen für Unternehmensansiedlungen.

Die irische DPC stand lange in der Kritik, zu zögerlich vorzugehen. Inzwischen hat die Behörde personell und strukturell aufgerüstet — auch unter dem Druck des EDSA und des Europäischen Parlaments. Der Paradigmenwechsel ist spürbar: Allein in den vergangenen zwei Jahren hat die DPC Strafen in einem Gesamtvolumen verhängt, das alle vorherigen Jahre zusammen übersteigt.

Andere Behörden, darunter die deutschen Länderbehörden, die französische CNIL und die niederländische AP, gehen eigene Wege und setzen eigene Schwerpunkte. Die CNIL etwa hat sich auf Cookie-Compliance spezialisiert und verhängte Bußgelder gegen Google, Facebook und Microsoft, weil deren Cookie-Banner die Ablehnung von Tracking absichtlich erschwerten — ein Prinzip, das Regulierer als Dark Pattern bezeichnen: eine Designstrategie, die Nutzer durch irreführende Gestaltung zu Entscheidungen verleitet, die sie bei klarer Information nicht treffen würden.

Diese Ermittlungen berühren auch Fragen der digitalen Sicherheit im weiteren Sinne. Wenn Unternehmen Nutzerdaten unkontrolliert sammeln und weitergeben, entstehen auch Angriffsflächen für Phishing und Identitätsdiebstahl — ein Problem, das sich quer durch digitale Dienste zieht. Behörden warnen in diesem Zusammenhang regelmäßig vor manipulierten E-Mails, die staatliche Stellen imitieren — wie etwa bei der Masche rund um Elster-Phishing-Mails, vor denen Steuerbehörden ausdrücklich warnen.

Technologie und Regulierung: Der Wettlauf geht weiter

Die DSGVO ist nicht das einzige Regelwerk, das Unternehmen derzeit unter Druck setzt. Der Digital Markets Act (DMA) und der Digital Services Act (DSA) kommen hinzu — sie regeln, wie marktbeherrschende Plattformen mit Daten, Wettbewerbern und Inhalten umgehen dürfen. Der EU AI Act, der Rechtsrahmen für Künstliche Intelligenz, wird Datenschutzfragen mit KI-spezifischen Anforderungen verknüpfen.

Bitkom, der deutsche Digitalverband, schätzt, dass über 80 Prozent der deutschen Unternehmen den steigenden Compliance-Aufwand als erhebliche Belastung empfinden. Gleichzeitig betonen Vertreter des Verbands, dass klare Regeln langfristig auch Wettbewerbsvorteile schaffen — wenn europäische Unternehmen Datenschutz als Qualitätsmerkmal vermarkten können. Wie weit diese Argumentation trägt, ist unter Ökonomen umstritten.

Was klar ist: Der technologische Wandel macht Regulierung komplexer. Quantencomputer könnten bestehende Verschlüsselungsstandards langfristig aushöhlen, was neue Anforderungen an den Datenschutz stellen wird. Auch deshalb investieren Unternehmen und staatliche Akteure in neue Rechentechnologien — ein Trend, dem sich auch Handelskonzerne nicht entziehen können, wie das Engagement der Schwarz-Gruppe zeigt, die in das Quantencomputer-Startup Eleqtron investiert.

Parallel dazu verändert der Infrastrukturwandel die Grundlagen digitaler Dienste. Die Abschaltung älterer Mobilfunkstandards — wie der schrittweise Rückbau von 2G-Netzen, den etwa A1 Telekom Austria beim 2G-Mobilfunkstandard vollzieht — zwingt Unternehmen und Verbraucher gleichermaßen, ihre digitale Infrastruktur zu modernisieren. Datenschutz und digitale Transformation laufen dabei nicht parallel, sondern sind strukturell miteinander verknüpft.

Was Verbraucher konkret tun können

DSGVO-Strafen mögen in der Wahrnehmung abstrakt wirken — Milliardensummen zwischen Behörden und Konzernen. Für Verbraucher hat das Regelwerk aber konkrete Rechte geschaffen, die aktiv genutzt werden können. Das Auskunftsrecht nach Artikel 15 DSGVO erlaubt es jeder Person, von jedem Unternehmen zu erfahren, welche Daten über sie gespeichert sind. Das Recht auf Löschung, auch als Recht auf Vergessenwerden bekannt, verpflichtet Unternehmen unter bestimmten Voraussetzungen zur Datenlöschung.

Beschwerden können direkt bei der zuständigen nationalen Datenschutzbehörde eingereicht werden — in Deutschland je nach Bundesland bei einer der sechzehn Landesbehörden oder beim Bundesbeauftragten für den Datenschutz und