Die Durchsetzung der Datenschutz-Grundverordnung (DSGVO) zeigt auch im siebten Jahr ihres Bestehens deutliche Wirkung – und wird für Unternehmen immer kostspieliger. Laut der aktuellen "GDPR Fines and Data Breach Survey" der Kanzlei DLA Piper summierten sich die in Europa verhängten Strafen im vergangenen Jahr 2024 auf insgesamt 1,2 Milliarden Euro. Besonders Irland bleibt mit 3,5 Milliarden Euro an Bußgeldern seit 2018 führend in der Durchsetzung der Verordnung, gefolgt von Luxemburg mit 746,4 Millionen Euro. Insgesamt belaufen sich die seit Einführung der DSGVO verhängten Geldstrafen auf beachtliche 5,9 Milliarden Euro. Die höchste Einzelstrafe wurde 2023 von der irischen Datenschutzbehörde gegen Meta Platforms Ireland Limited verhängt – satte 1,2 Milliarden Euro. Ein klares Zeichen dafür, dass Datenschutzverstöße in der EU nicht ohne Konsequenzen bleiben.
Aktuelle Trends und Entwicklungen
Im Jahr 2024 wurden Geldstrafen in Höhe von insgesamt 1,2 Milliarden Euro verhängt – ein Rückgang von 33 Prozent im Vergleich zu 2023. Damit wird erstmals seit über sieben Jahren der bisher anhaltende Anstieg der Strafzahlungen unterbrochen. Dennoch deutet der generelle Trend weiterhin nach oben, da der Rückgang fast ausschließlich auf die außergewöhnlich hohe 1,2-Milliarden-Euro-Strafe gegen Meta im Jahr 2023 zurückzuführen ist, die die Vorjahresstatistik erheblich beeinflusste. Im Gegensatz dazu blieb 2024 eine ähnlich hohe Einzelstrafe aus.
Besonders betroffen von hohen Bußgeldern waren erneut große Technologie- und Social-Media-Unternehmen. Seit Einführung der DSGVO entfielen die zehn höchsten Strafzahlungen fast ausschließlich auf diesen Sektor. Auch 2024 setzte sich dieses Muster fort: Die irische Datenschutzbehörde verhängte 310 Millionen Euro gegen LinkedIn und 251 Millionen Euro gegen Meta. Die niederländische Datenschutzbehörde belegte eine bekannte Ride-Hailing-Plattform mit einer Strafe von 290 Millionen Euro wegen der Übermittlung personenbezogener Daten in ein Drittland.
Gleichzeitig weiteten sich Geldstrafen auf andere Branchen aus. So wurden auch Unternehmen aus den Bereichen Finanzdienstleistungen und Energie ins Visier genommen: Eine große spanische Bank erhielt Bußgelder in Höhe von 6,2 Millionen Euro aufgrund mangelhafter Sicherheitsmaßnahmen, während ein italienischer Energieversorger mit einer Strafe von 5 Millionen Euro für die Nutzung veralteter Kundendaten belangt wurde.
Ein Ausreißer war das Vereinigte Königreich, das 2024 nur eine geringe Anzahl an Datenschutzstrafen verzeichnete.
Persönliche Haftung bei Datenschutzverstößen
Mit dem zunehmenden regulatorischen Fokus auf Governance und Unternehmensaufsicht treten immer häufiger Versäumnisse auf Führungsebene zutage. Ein Beispiel ist die niederländische Datenschutzbehörde, die derzeit prüft, ob die Geschäftsführer von Clearview AI persönlich für wiederholte Verstöße gegen die DSGVO haftbar gemacht werden können. Dies geschieht im Anschluss an eine Strafe von 30,5 Millionen Euro gegen das Unternehmen.
Die Möglichkeit, dass Führungskräfte direkt für Datenschutzverletzungen belangt werden, deutet auf eine veränderte Herangehensweise der Aufsichtsbehörden hin. Statt sich ausschließlich auf Unternehmensstrafen zu konzentrieren, wird nun verstärkt die persönliche Verantwortung von Entscheidungsträgern ins Visier genommen. Dieser Wandel könnte langfristig dazu beitragen, die Einhaltung von Datenschutzbestimmungen effektiver durchzusetzen.
Anstieg bei Datenschutzverletzungen bleibt bestehen
Die tägliche Anzahl an gemeldeten Datenschutzverletzungen durch Unternehmen ist von 335 im Jahr 2023 auf 363 im Jahr 2024 gestiegen. Damit setzt sich der seit Jahren beobachtete leichte Aufwärtstrend fort. Dies deutet darauf hin, dass Unternehmen verstärkt auf die potenziellen Konsequenzen behördlicher Untersuchungen und möglicher Schadensersatzforderungen reagieren und Datenschutzvorfälle konsequenter melden.
Die Rangliste der Länder mit den meisten gemeldeten Datenschutzverletzungen bleibt weitgehend unverändert. Seit Einführung der DSGVO im Jahr 2018 führen weiterhin die Niederlande mit 33.471 Meldungen, gefolgt von Deutschland (27.829) und Polen (14.286). In Österreich wurden 1.282 Vorfälle registriert.
"Auch wenn im jüngsten Berichtszeitraum keine Rekorde gebrochen wurden, sind das Engagement und die Aktivität der europäischen Datenschutzbehörden ungebrochen", kommentiert Sabine Fehringer, Partnerin und Head of IPT bei DLA Piper in Österreich, das Ergebnis der Studie. "Vielmehr hat sich die Durchsetzung weiter diversifiziert - mit zunehmendem Fokus auf Sektoren abseits von Big Tech und Social Media. Die DSGVO bleibt ein dynamisches Feld und entwickelt sich weitgehend zur Richtschnur für die Regulierung von Künstlicher Intelligenz. Zudem weist die Möglichkeit, künftig auch Führungskräfte bei Datenschutzverletzungen persönlich haftbar zu machen, auf eine neue Ära in der DSGVO-Durchsetzung hin."
www.dlapiper.com
Kommentar veröffentlichen