Die siebte Ausgabe des GDPR Fines and Data Breach Survey der Wirtschaftskanzlei DLA Piper beleuchtet ein weiteres bedeutsames Jahr in der Durchsetzung des Datenschutzes. Mit europaweit verhängten Bußgeldern in Höhe von 1,2 Milliarden Euro im Jahr 2024 summieren sich die seit Inkrafttreten der DSGVO im Mai 2018 verhängten Strafen auf insgesamt 5,88 Milliarden Euro. 

Irland bleibt mit großem Abstand weiterhin der führende Durchsetzer mit Geldbußen in Höhe von 3,5 Milliarden Euro seit Mai 2018. Das höchste jemals nach der DSGVO verhängte Bußgeld ist weiterhin die Rekordstrafe über 1,2 Milliarden Euro gegen Meta Platforms Ireland Limited im Jahr 2023.

Trends und Einblicke 

Die DLA Piper Studie weist für den Zeitraum seit dem 28. Januar 2024 einen Rückgang von 33 % gegenüber den Bußgeldern des Vorjahres aus; der über sieben Jahre anhaltende Trend zunehmender Durchsetzung ist damit erstmals gebrochen. Gleichwohl bleibt die Tendenz über die Jahre steigend, denn der Rückgang 2024 ist fast ausschließlich auf die Rekordstrafe von 1,2 Milliarden Euro gegen Meta im Jahr 2023 zurückzuführen. Im Jahr 2024 gab es keine vergleichbare Rekordstrafe.

Große Technologiekonzerne und Social-Media-Giganten bleiben die Hauptziele für Rekordbußgelder. Fast alle der zehn höchsten seit 2018 verhängten Geldbußen betreffen die Tech-Branche, darunter in 2024 die von der irischen Datenschutzbehörde verhängten Bußgelder in Höhe von 310 Millionen Euro gegen LinkedIn und 251 Millionen Euro gegen Meta. 

2024 hat sich die DSGVO-Durchsetzung auch auf weitere Branchen erstreckt, darunter Finanzdienstleistungen und Energie. So verhängte die spanische Datenschutzbehörde zwei Bußgelder in Höhe von insgesamt 6,2 Millionen Euro gegen eine große Bank wegen unzureichender Sicherheitsmaßnahmen. Die italienische Datenschutzbehörde sprach ein Bußgeld über 5 Millionen Euro gegen einen Energieversorger für die Nutzung veralteter Kundendaten aus.

Deutschland bleibt ebenfalls ein wichtiger Akteur bei der Durchsetzung europäischen Datenschutzrechts: Seit Inkrafttreten der DSGVO wurden hierzulande Bußgelder im Gesamtvolumen von 89,1 Millionen Euro verhängt. Ein Fokus der deutschen Datenschutzbehörden liegt dabei auf Verstößen gegen die Integrität und Vertraulichkeit sowie die Sicherheit der Datenverarbeitung.

Dr. Jan Geert Meents, Partner der deutschen Praxisgruppe Intellectual Property & Technology (IPT) bei DLA Piper, kommentiert die aktuelle Studie: „Die diesjährigen Ergebnisse zeigen, dass die Datenschutzbehörden in Europa weiterhin eine klare Linie verfolgen. Der Rückgang des Gesamtvolumens der Bußgelder ist auf außergewöhnliche Ereignisse im Vorjahr zurückzuführen und bedeutet keine Abschwächung der regulatorischen Aktivitäten. Die DSGVO bleibt ein starkes Instrument, um den Datenschutz zu gewährleisten und die Einhaltung zu fördern. Dies gilt insbesondere auch für Deutschland.“

Persönliche Haftung im Fokus

Der verstärkte Fokus auf Governance und Aufsicht führte zu mehreren Entscheidungen, in denen Versäumnisse bei der Unternehmensleitung festgestellt wurden. So kündigte die niederländische Datenschutzbehörde an, zu überprüfen, ob die Geschäftsführer von Clearview AI persönlich für zahlreiche DSGVO-Verstöße haftbar gemacht werden können, nachdem ein Bußgeld in Höhe von 30,5 Millionen Euro gegen das Unternehmen verhängt wurde. Diese Untersuchung könnte einen möglichen Wandel im Fokus der Regulierungsbehörden hin zu einer persönlichen Haftung und mehr individueller Verantwortlichkeit signalisieren.

Verena Grentzenberg, Partnerin der Praxisgruppe IPT von DLA Piper in Deutschland mit Fokus auf Datenschutz, ergänzt: „Die zunehmende Fokussierung auf die persönliche Haftung von Führungskräften markiert eine neue Phase in der DSGVO-Durchsetzung. Dies setzt ein klares Signal an Unternehmen, dass Verstöße gegen den Datenschutz nicht ohne Konsequenzen bleiben – auch nicht auf der Ebene der handelnden Personen.“

Benachrichtigungen über Datenschutzverletzungen

Die durchschnittliche Anzahl der gemeldeten Datenschutzverletzungen pro Tag stieg 2024 nur leicht auf 363 von 335 Meldungen im Vorjahr. Das entspricht dem Trend der Vorjahre und ist mutmaßlich darauf zurückzuführen, dass Unternehmen vorsichtiger geworden sind und angesichts des Risikos von behördlichen Ermittlungen, Geldbußen und möglichen Schadenersatzforderungen Datenschutzverletzungen eher melden. 

Hinsichtlich der Gesamtzahl der gemeldeten Datenschutzverletzungen gab es seit Inkrafttreten der DSGVO und auch im jüngsten Berichtszeitraum kaum Veränderungen an der Spitze der Rangliste: Die Niederlande (33.471 Meldungen), Deutschland (27.829) und Polen (14.286) bleiben die Länder mit den höchsten Zahlen gemeldeter Datenschutzverletzungen.

Jan Pohle, ebenfalls IPT-Partner mit Spezialisierung im Bereich Datenschutz, kommentiert abschließend: „Auch wenn die diesjährige Umfrage keine neuen Rekorde zeigt, bedeutet das keineswegs, dass das Interesse oder die Aktivität der europäischen Datenschutzbehörden nachgelassen haben. Im Gegenteil: Die Durchsetzung hat sich weiterentwickelt, mit wachsender Regulierung in Sektoren außerhalb von Big Tech und sozialen Medien. Die DSGVO dient zudem zunehmend als Leitplanke für neue Bereiche wie die KI-Regulierung und Grundlage für die Durchsetzung von Datenschutz im Zusammenhang mit KI.“

Den vollständigen Report können Sie hier herunterladen. 

Über den Report

Die siebte Ausgabe des GDPR Fines and Data Breach Survey beleuchtet wichtige DSGVO-Kennzahlen im Europäischen Wirtschaftsraum („EWR“) und im Vereinigten Königreich seit Inkrafttreten der DSGVO sowie für das laufende Jahr bis zum 27. Januar 2025. Der EWR umfasst alle 27 Mitgliedstaaten der Europäischen Union, Norwegen, Island und Liechtenstein. Alle in dieser Pressemitteilung und im DLA Piper GDPR Fines and Data Breach Survey genannten Verstöße gegen die DSGVO und verhängten Bußgelder basieren auf den Feststellungen der zuständigen Datenschutzaufsichtsbehörden. In einigen Fällen wurden diese Feststellungen von den betroffenen Parteien angefochten, und die verhängten Bußgelder befinden sich noch im Berufungsverfahren. DLA Piper übernimmt keine Gewähr für die Richtigkeit oder Validität der von den Aufsichtsbehörden getroffenen Feststellungen.

DLA Piper, 22.01.2025