E-Auto-Besitzer zahlen einige hundert Euro pro Jahr mehr Bild: E-Auto-Besitzer zahlen einige hundert Euro pro Jahr mehr
EXPORT today online - 10/2025
Kommende Woche werden Wirtschaftskammerwahlen geschlagen Bild: Kommende Woche werden Wirtschaftskammerwahlen geschlagen
Sonderabgabe für Stromerzeuger kommt doch nicht Bild: Sonderabgabe für Stromerzeuger kommt doch nicht
APG-Chef: Energiewende muss besser geplant werden Bild: APG-Chef: Energiewende muss besser geplant werden
NEW BUSINESS Guides - IT- & DIGITALISIERUNGS-GUIDE 2025
Trump ordnet Reserve von Digitalwährungen an Bild: Trump ordnet Reserve von Digitalwährungen an
Österreichische Post legte 2024 kräftig zu Bild: Österreichische Post legte 2024 kräftig zu
USA setzen Zölle gegen Mexiko und Kanada vorerst aus Bild: USA setzen Zölle gegen Mexiko und Kanada vorerst aus
NEW BUSINESS Export - NB EXPORT 2/2024
Signa-Manager sollen Schadenersatz in Millionenhöhe zahlen Bild: Signa-Manager sollen Schadenersatz in Millionenhöhe zahlen
Energiepreise: Haushalte zahlen deutlich mehr für Strom Bild: Energiepreise: Haushalte zahlen deutlich mehr für Strom
Sie befinden sich hier:  Home  |  NEW BUSINESS  |  NR. 3, MÄRZ 2025  |  DSGVO-Geldstrafen in Europa erstmals rückläufig.

DSGVO-Geldstrafen in Europa erstmals rückläufig.

NEW BUSINESS - NR. 3, MÄRZ 2025
Die höchste Strafe, die jemals im Rahmen der DSGVO verhängt wurde, ist die von der irischen Datenschutzbehörde gegen Meta Platforms Ireland Limited im Jahr 2023. Sie lag bei 1,2 Milliarden Euro. © Rafapress/Freepik

»Erstmals seit 2018 sinken die DSGVO-Geldstrafen in Europa. Trotz des Rückgangs bleibt Irland führend bei verhängten Strafen, während Österreich im Mittelfeld rangiert.

Seit 2018 ist die Datenschutzgrundverordnung in der EU in Kraft. Wer gegen sie verstößt, wird zur Kasse gebeten. 2024 wurden in den 27 Mitgliedsstaaten der Europäischen Union sowie im Vereinigten Königreich, in Norwegen, Island und Liechtenstein 1,2 Milliarden Euro an Geldstrafen verhängt. Das zeigt die siebente Ausgabe der jährlich erscheinenden „DLA Piper GDPR Fines and Data Breach Survey“.

Irland, Standort zahlreicher europäischer Zentralen großer Tech-Unternehmen, bleibt mit Geldstrafen in Höhe von 3,5 Milliarden Euro weiterhin das Land, das seit 2018 die höchsten Strafen verhängt hat. Mehr als viermal so viel wie die zweitplatzierte Luxemburger Datenschutzbehörde, die im selben Zeitraum Strafen in Höhe von 746,4 Millionen Euro verhängt hat. Insgesamt wurden seit 2018 insgesamt 5,9 Milliarden Euro an Geldstrafen verhängt. Die höchste jemals im Rahmen der DSGVO auferlegte Strafe ist nach wie vor die von der irischen Datenschutzbehörde im Jahr 2023 gegen Meta Platforms Ireland Limited verhängte Strafe über 1,2 Milliarden Euro.

Trends und Einblicke
Rekordgeldbußen treffen nach wie vor große Tech-Unternehmen und Social-Media-Giganten. Fast alle der seit 2018 verhängten zehn höchsten Geldbußen sind über Unternehmen dieses Sektors verfügt worden. 2024 setzte die irische Datenschutzbehörde Strafen von 310 Millionen Euro gegen LinkedIn und 251 Millionen Euro gegen Meta fest. Die niederländische Datenschutzbehörde verhängte eine Geldstrafe in Höhe von 290 Millionen Euro über eine bekannte Ride-Hailing-App im Zusammenhang mit der Übermittlung personenbezogener Daten in ein Drittland. 

2024 wurde die Verhängung von Strafen auch in anderen Sektoren, darunter Finanzdienstleistungen und Energie, deutlich ausgeweitet. So verhängte die spanische Datenschutzbehörde zwei Geldstrafen in Höhe von insgesamt 6,2 Millionen Euro gegen eine große Bank wegen unzureichender Sicherheitsmaßnahmen, und die italienische Datenschutzbehörde verhängte eine Geldstrafe von fünf Millionen Euro gegen einen Energieversorger aufgrund der Verwendung veralteter Kundendaten. Das Vereinigte Königreich galt im Jahr 2024 als Ausreißer und verzeichnete nur sehr wenige Geldbußen. 

Die Anfänge der persönlichen Haftung
Der Schwerpunkt auf Governance und Aufsicht deckt immer wieder Versäumnisse, insbesondere der Unternehmensleitung, auf. So hat die niederländische Datenschutzbehörde eine Prüfung angekündigt, ob die Geschäftsführer von Clearview AI persönlich für zahlreiche Verstöße gegen die DSGVO haftbar gemacht werden können, nachdem das Unternehmen zu 30,5 Millionen Euro verurteilt wurde. Die Möglichkeit, die Geschäftsleitung von Clearview AI persönlich für fortgesetzte Versäumnisse des Unternehmens haftbar zu machen, signalisiert einen Wandel der Regulierungsbehörden hin zur Fokussierung auf die persönliche Haftung von Führungskräften, um die Einhaltung der Datenschutzbestimmungen zu stärken.

Meldungen von Verletzungen des Schutzes personenbezogener Daten
Die durchschnittliche Anzahl der Unter­nehmensmeldungen von Verletzungen des Schutzes personenbezogener Daten pro Tag ist von 335 im letzten Jahr auf 363 leicht angestiegen; der leichte Aufwärtstrend der vergangenen Jahre setzte sich somit fort. Dies deutet darauf hin, dass Unternehmen angesichts des Risikos behördlicher Ermittlungen und der damit verbundenen Durchsetzung von Schadenersatzansprüchen vorsichtiger geworden sind.

2024 gab es hinsichtlich der Gesamtzahl der gemeldeten Verletzungen des Schutzes personenbezogener Daten seit Inkrafttreten der DSGVO im Jahr 2018 an der Spitze der Rangliste kaum Veränderungen: Die Niederlande (33.471 Meldungen), Deutschland (27.829) und Polen (14.286) bleiben die Länder mit den höchsten Zahlen gemeldeter Verletzungen des Schutzes personenbezogener Daten.

Österreich verzeichnete 1.282 Meldungen. Sabine Fehringer, Partnerin und Head of IPT bei DLA Piper in Österreich, kommentiert das Ergebnis der Studie: „Auch wenn im jüngsten Berichtszeitraum keine Rekorde gebrochen wurden, sind das Engagement und die Aktivität der europäischen Datenschutzbehörden ungebrochen. Vielmehr hat sich die Durchsetzung weiter diversifiziert – mit zunehmendem Fokus auf Sektoren abseits von Big Tech und Social Media. Die DSGVO bleibt ein dynamisches Feld und entwickelt sich weitgehend zur Richtschnur für die Regulierung von künstlicher Intelligenz. Zudem weist die Möglichkeit, künftig auch Führungskräfte bei Datenschutzverletzungen persönlich haftbar zu machen, auf eine neue Ära in der DSGVO-Durchsetzung hin.“ (BS)