DSGVO-Rekordstrafen: Was die EU-Behörden entschieden
Warum die Bußgelder diesmal wirklich weh tun
Die Europäische Union zeigt Zähne. Was lange Zeit wie eine zahnlose Regulierung wirkte, entwickelt sich zu einer ernstzunehmenden Kostenfalle für Konzerne: Die Datenschutz-Grundverordnung (DSGVO) schlägt derzeit mit Rekordstrafen zu, die nicht mehr ignoriert werden können. Die jüngsten Bußgelder gegen globale Tech-Player und europäische Unternehmen summieren sich auf Milliardenbeträge – und die Behörden werden immer konkreter in ihrer Argumentation, warum diese Strafen berechtigt sind.
Kerndaten: Die verhängten DSGVO-Bußgelder in Europa beliefen sich seit Inkrafttreten der Verordnung im Mai 2018 bis Ende 2023 auf kumuliert über 4,5 Milliarden Euro – laut der unabhängigen Datenbank enforcementtracker.com, die Bescheide aller europäischen Aufsichtsbehörden systematisch erfasst. Allein im Jahr 2023 wurden nach Angaben des Datenschutzdienstleisters DLA Piper Strafen in Höhe von rund 1,8 Milliarden Euro verhängt. Die durchschnittliche Bußgeldhöhe pro Verfahren ist seit 2018 deutlich gestiegen. Irland, Luxemburg und Frankreich führen gemessen an der absoluten Strafhöhe die europäische Rangliste an – nicht Deutschland und Österreich. Deutschland zeichnet sich hingegen durch eine besonders hohe Verfahrensanzahl aus. (Quellen: DLA Piper GDPR Fines Report 2024; enforcementtracker.com)
DSGVO-Bußgelder: Die neue Härte der europäischen Datenschutzbehörden
Die Zeiten der sanften Ermahnungen sind vorbei. Was sich zunächst als bürokratische Belastung anfühlte – lästige Fragenkataloge, zeitaufwändige Audits, symbolische Verwarnungen – hat sich zu einem systematischen Sanktionssystem entwickelt, das Unternehmensvorstände ernst nehmen müssen. Die europäischen Datenschutzbehörden, allen voran die irische Data Protection Commission (DPC) und die französische Commission Nationale de l'Informatique et des Libertés (CNIL), handhaben ihre Befugnisse mittlerweile mit einer Präzision und Konsequenz, die den ursprünglichen Reformzielen der DSGVO endlich Nachdruck verleiht.
Besonders signifikant ist die Entwicklung bei der Strafzumessung. Die DSGVO erlaubt Bußgelder bis zu vier Prozent des weltweiten Jahresumsatzes eines Unternehmens – eine theoretische Obergrenze, die lange Zeit als unrealistisch galt. Das bislang höchste Bußgeld überhaupt verhängte die luxemburgische Datenschutzbehörde CNPD im Jahr 2021 gegen Amazon: 746 Millionen Euro wegen unzureichender Einwilligungsmechanismen beim Targeting-System. Die irische DPC folgte 2023 mit einer Strafe von 1,2 Milliarden Euro gegen Meta Platforms – dem bis dato höchsten DSGVO-Bußgeld in der Geschichte der Verordnung, ausgesprochen wegen unzulässiger Datenübermittlungen in die USA. Diese Dimensionen zeigen: Die theoretischen Obergrenzen sind längst praktische Realität geworden.
Eine Analyse der bisherigen Verfahren durch den europäischen Datenschutzrechtsexperten Noyb (None Of Your Business, gegründet von Max Schrems) zeigt ein klares Muster: Unternehmen, die vorsätzlich oder grob fahrlässig gegen grundlegende Bestimmungen der Verordnung verstoßen – etwa durch fehlende Datenschutz-Folgeabschätzungen, mangelhafte Einwilligungsmechanismen oder systematische Datenübermittlungen ohne rechtliche Grundlage – müssen mit Strafen im zweistelligen bis hohen dreistelligen Millionenbereich rechnen. Diese Praktiken sind nicht selten mit technologischen Systemen verflochten, die durch Automatisierung durch KI: Welche Berufe wirklich bedroht sind neue Risiken mit sich bringen. (Quellen: Noyb Jahresbericht 2023; DLA Piper GDPR Fines Report 2024)
Drei Muster: Wie DSGVO-Strafen heute begründet werden
Die aktuellen Bußgeldbescheide folgen erkennbaren Mustern. Wer diese kennt, kann Compliance-Risiken gezielt adressieren – und vermeidet die häufigsten und teuersten Fehler.
Muster 1: Cookie-Banner und Dark Patterns im Einwilligungsmanagement
Mehrere führende Tech-Unternehmen wurden zu erheblichen Zahlungen verurteilt, weil ihre digitalen Einwilligungsmechanismen technisch manipulativ gestaltet waren. Die CNIL verhängte 2022 gegen Google Bußgelder in Höhe von insgesamt 150 Millionen Euro und gegen Facebook 60 Millionen Euro – jeweils wegen Cookie-Bannern, bei denen das Ablehnen deutlich schwerer war als das Akzeptieren. Opt-out-Optionen waren versteckt oder über mehrere Klicks erreichbar, bestimmte Cookie-Kategorien fehlten gänzlich. Diese als „Dark Patterns" bezeichneten Praktiken sind aus Sicht der Regulierer besonders verwerflich, weil sie die informierte Zustimmung gezielt untergraben – also das fundamentale Vertrauensprinzip der DSGVO aushöhlen.
Die Konsequenz für Unternehmen ist eindeutig: Ein rechtskonformes Consent-Management-System muss technisch so gestaltet sein, dass Ablehnen genauso einfach ist wie Akzeptieren. Der Europäische Datenschutzausschuss (EDSA) hat dazu im Mai 2023 konkrete Empfehlungen veröffentlicht. Besonders relevant ist dieser Sachverhalt für Unternehmen, die auch KI-Autos und Unfälle: Wer haftet wenn der Autopilot versagt? entwickeln oder vertreiben, da auch dort Datenschutz und Haftungsfragen eng verwoben sind.
