Rekordmarke geknackt: GDPR-Bußgelder überschreiten erstmals fünf Milliarden Euro – CMS veröffentlicht sechste Ausgabe des Enforcement Tracker Reports

Berlin – Die Durchsetzung der europaweiten Datenschutz-Gesetzgebung hat einen neuen Höchststand erreicht: Erstmals überschreiten die öffentlich bekannten Bußgelder in Europa die Marke von fünf Milliarden Euro. Seit Inkrafttreten der General Data Protection Regulation (GDPR) im Mai 2018 wurden bis März 2025 insgesamt rund 5,65 Milliarden Euro an Strafen verhängt – ein Plus von 1,17 Milliarden Euro im Vergleich zum Vorjahr. Diese Rekordsumme spiegelt wider, wie stark sich die europäische Sanktionspraxis in den vergangenen Jahren entwickelt hat.

Im aktuellen Enforcement Tracker Report der international aufgestellten Wirtschaftskanzlei CMS zeigen sich dabei klare Trends: Die meisten Verstöße betreffen unzureichende Rechtsgrundlagen für die Datenverarbeitung (669 Fälle, Ø 2,9 Millionen Euro) sowie Verstöße gegen allgemeine Datenschutzgrundsätze (644 Fälle, Ø 3,8 Millionen Euro). Mängel bei den technischen und organisatorischen Maßnahmen zur Informationssicherheit (418 Fälle, Ø 2,0 Millionen Euro) rangieren ebenfalls weit oben. Verstärkt ins Visier geraten sind zudem Verletzungen der Betroffenenrechte, wie z.B. Auskunfts- und Transparenzpflichten, die nun Platz vier unter den Sanktionsgründen einnehmen.

B2C-Branchen, Beschäftigtendatenschutz und KI im Fokus

Besonders im Fokus der Aufsichtsbehörden stehen B2C-nahe Branchen wie Medien, Telekommunikation und Broadcasting, der seit vier Jahren der am häufigsten sanktionierte Sektor ist und rund 70 Prozent aller Unternehmensbußgelder ausmacht. Aufgrund der großen Akteure in diesem Sektor und der zunehmenden Bedeutung personenbezogener Daten für ihre Geschäftstätigkeit wird dieser mit großer Wahrscheinlichkeit weiterhin genau beobachtet werden. Auch der Beschäftigtendatenschutz bleibt auf Platz zwei der geahndeten Sektoren zentral: Die Bußgelder sind erheblich gestiegen, zuletzt mit einer Rekordstrafe von 290 Millionen Euro in den Niederlanden – ein Zeichen dafür, dass Mitarbeiterdaten für Behörden weiterhin ein sensibles Thema sind. Untersuchungen führen dabei häufig zu weiterer Aufdeckung von Verstößen, die über den Umfang der ursprünglichen Beschwerde hinausgehen. Verstärkt in den Blick rückt zudem der Einsatz neuer Technologien wie Künstlicher Intelligenz: Komplexe Datenverarbeitungen erhöhen das Risiko von Verstößen, weshalb die Aufsichtsbehörden hier verstärkt hinschauen. Die Europäische Datenschutzbehörde (EDPB) kündigte an, diesen Bereich bis 2027 besonders zu begleiten; auch nicht-monetäre Sanktionen wie Nutzungseinschränkungen könnten künftig an Bedeutung gewinnen, wie das Beispiel des temporären KI-Verbots in Italien zeigt.

Deutschland: Verarbeitung von Mitarbeiterdaten unter Beobachtung

Deutschland fällt im europäischen Vergleich durch eine dezentrale Aufsichtsstruktur mit 16 Landesbehörden auf. Prägend ist zudem die hohe Zahl angefochtener Bußgelder – vielfach erfolgreich. Inhaltlich stehen hierzulande vor allem Verstöße im Beschäftigtendatenschutz im Fokus. Gleichzeitig gewinnt die kollektive Rechtsdurchsetzung an Bedeutung: Mit der Musterfeststellungsklage, der Unterlassungsklage und der neuen Abhilfeklage sind Verbraucherorganisationen zunehmend in der Lage, Datenschutzverstöße gesammelt vor Gericht zu bringen.

Ein einzigartiger Überblick über Europas Sanktionslandschaft

Die sechste Ausgabe des Reports basiert auf der CMS-eigenen Online-Datenbank „GDPR Enforcement Tracker“ (www.enforcementtracker.com), die aktuell 2.560 Bußgelder umfasst – die bislang einzige Plattform in der EU, die einen umfassenden Überblick über alle öffentlich bekannten GDPR-Bußgelder bietet. Der Report selbst liefert eine detaillierte Analyse nach Sektoren und Ländern sowie Einblicke in nationale Besonderheiten und aktuelle Rechtsprechung, etwa zu den strengeren Anforderungen an den Auskunftsanspruch von Betroffenen nach jüngsten EuGH-Urteilen.

„In den sieben Jahren seit Einführung der GDPR-Gesetzgebung hat dieses starke Regelwerk das Bewusstsein für den Schutz personenbezogener Daten geschärft und Compliance-Bemühungen angestoßen. Gleichzeitig haben die drastischen Sanktionsmöglichkeiten von bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes bei vielen Unternehmen auch Angst und Zurückhaltung erzeugt. Wir glauben: Fakten sind besser als Angst. Deshalb aktualisieren wir kontinuierlich die Liste der bekannten Bußgelder im GDPR Enforcement Tracker und haben mit dem Report ein jährliches Deep-Dive-Format etabliert, das tiefergehende Einblicke in die Welt der Sanktionen bietet“, erläutert Dr. Alexander Schmid aus dem Enforcement-Tracker-Team von CMS Deutschland.

Den vollständigen Report finden Sie hier; eine Zusammenfassung hier.

Ganz neu finden Sie unter www.cms-digitallaws.com auch eine zentrale Übersicht über alle Gesetzestexte zur DSGVO sowie zu DSA, DMA und P2B, zweisprachig und einfach durchsuchbar. Die von CMS entwickelte Plattform soll allen Interessierten die Arbeit im digitalen Geschäftsumfeld erleichtern.

Pressekontakt:
Martina Courth
Public & Media Relations Manager
E: martina.courth@cms-hs.com
T: +49 151 10171768

Herausgeber: CMS Hasche Sigle Partnerschaft von Rechtsanwälten und Steuerberatern mbB
Kranhaus 1 / Im Zollhafen 18 | 50678 Köln

Über CMS
CMS ist in Deutschland eine der führenden Anwaltssozietäten auf dem Gebiet des Wirtschaftsrechts. Mehr als 700 Rechtsanwält:innen, Steuerberater:innen und Notar:innen beraten Großunternehmen ebenso wie mittelständische Unternehmen und Start-ups in allen Fragen des nationalen und internationalen Wirtschaftsrechts. CMS verfügt in Deutschland über Büros an den acht großen Wirtschaftsstandorten Berlin, Düsseldorf, Frankfurt, Hamburg, Köln, Leipzig, München und Stuttgart. Weltweit ist CMS mit mehr als 6.000 Anwält:innen in über 40 Ländern vertreten.

Weitere Informationen finden Sie unter cms.law.