Über sieben Jahre nach Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) zeigt die Durchsetzungspraxis keine Schwäche: Die Gesamtsumme der verhängten Bußgelder überschritt 2025 die Marke von 5,6 Milliarden Euro. Die europäischen Datenschutzbehörden greifen konsequenter durch als je zuvor.
Bußgeld-Statistiken 2025
| Kennzahl | Wert |
| Gesamtsumme Bußgelder seit 2018 | Über 5,6 Mrd. EUR |
| Höchststrafe 2023 (Meta) | 1,2 Mrd. EUR |
| Höchststrafe 2025 (TikTok) | 530 Mio. EUR |
| Höchststrafe Deutschland 2025 (Vodafone) | 45 Mio. EUR |
| Land mit meisten Verfahren | Spanien (über 930 Fälle) |
| Gesetzlicher Sanktionsrahmen | Bis 20 Mio. EUR oder 4% Jahresumsatz |
Häufigste Verstoßarten
Die Analyse der Bußgelder zeigt wiederkehrende Problemfelder:
- Fehlende Rechtsgrundlage (Art. 6 DSGVO): Datenverarbeitung ohne gültige Einwilligung oder berechtigtes Interesse
- Unzureichende TOMs (Art. 32 DSGVO): Schwache Passwörter, fehlende Verschlüsselung, Sicherheitslücken
- Transparenzverletzungen (Art. 13/14 DSGVO): Unzureichende Datenschutzerklärungen
- Cookie-Verstöße: Tracking ohne Einwilligung, manipulative Cookie-Banner
- Videoüberwachung: Fehlende Beschilderung, Überwachung in Pausenräumen
- Drittlandtransfers: Datentransfer in unsichere Länder (z.B. TikTok/China)
DSGVO-Entwicklungen 2025 – Bußgelder und Trends
Prominente Fälle 2025
TikTok – 530 Mio. EUR
Die irische Datenschutzbehörde (DPC) verhängte diese Strafe wegen rechtswidriger Übermittlung personenbezogener Daten europäischer Nutzer nach China sowie mangelnder Transparenz. Besonders problematisch: der mögliche Zugriff chinesischer Behörden auf die Daten.
Vodafone Deutschland – 45 Mio. EUR
Die bisher höchste DSGVO-Strafe in Deutschland. Der Fall zeigt, dass auch deutsche Behörden die Zügel anziehen und bei schwerwiegenden Verstößen konsequent durchgreifen.
Weitere bedeutende Fälle
- Replika (Italien): 5 Mio. EUR – KI-Chatbot ohne ausreichenden Jugendschutz
- Experian Nederland: 2,7 Mio. EUR – Kreditbewertungen ohne Information der Betroffenen
- 23andMe (UK): Hohe Strafe wegen Datenpanne mit Zugriff auf Gesundheitsdaten
Präventive Maßnahmen
Die meisten Bußgelder wären vermeidbar gewesen. Empfohlene Maßnahmen:
- Rechtsgrundlagen prüfen: Für jede Verarbeitung dokumentieren
- Technische Sicherheit: MFA, Verschlüsselung, Netzwerksegmentierung
- Verzeichnis von Verarbeitungstätigkeiten aktuell halten
- Auftragsverarbeitungsverträge (AVV) prüfen
- Regelmäßige Mitarbeiterschulungen
- Datenschutz-Folgenabschätzungen durchführen
- Ransomware-sichere Backups implementieren
| Fazit
Die DSGVO bleibt ein starkes Instrument. Mit systematischem Datenschutz-Management lassen sich Verstöße proaktiv verhindern. Die ‘Cyberfestung Bayern’ des BayLDA bietet mit zehn Checkpoints eine praxisnahe Blaupause für organisationsweite Sicherheitskonzepte. |