DLA Piper Studie: Europaweit 1,2 Milliarden Euro DSGVO-Bußgelder in 2024 verhängt

2024 wurden europaweit Bußgelder in Höhe von insgesamt 1,2 Milliarden Euro verhängt. + Dies entspricht einem Rückgang von 33 % gegenüber 2023 – erstmals seit Inkrafttreten der DSGVO im Mai 2018 ist damit der Trend kontinuierlich steigender Bußgelder unterbrochen. + Die irische Datenschutzbehörde bleibt mit 3,5 Milliarden Euro an verhängten Bußgeldern weiterhin der größte Durchsetzer in Europa.

Die siebte Ausgabe des GDPR Fines and Data Breach Survey der Wirtschaftskanzlei DLA Piper beleuchtet ein weiteres bedeutsames Jahr in der Durchsetzung des Datenschutzes. Mit europaweit verhängten Bußgeldern in Höhe von 1,2 Milliarden Euro im Jahr 2024 summieren sich die seit Inkrafttreten der DSGVO im Mai 2018 verhängten Strafen auf insgesamt 5,88 Milliarden Euro.

Irland bleibt mit großem Abstand weiterhin der führende Durchsetzer mit Geldbußen in Höhe von 3,5 Milliarden Euro seit Mai 2018. Das höchste jemals nach der DSGVO verhängte Bußgeld ist weiterhin die Rekordstrafe über 1,2 Milliarden Euro gegen Meta Platforms Ireland Limited im Jahr 2023.

Trends und Einblicke

Die DLA Piper Studie weist für den Zeitraum seit dem 28. Januar 2024 einen Rückgang von 33 % gegenüber den Bußgeldern des Vorjahres aus; der über sieben Jahre anhaltende Trend zunehmender Durchsetzung ist damit erstmals gebrochen. Gleichwohl bleibt die Tendenz über die Jahre steigend, denn der Rückgang 2024 ist fast ausschließlich auf die Rekordstrafe von 1,2 Milliarden Euro gegen Meta im Jahr 2023 zurückzuführen. Im Jahr 2024 gab es keine vergleichbare Rekordstrafe.

Große Technologiekonzerne und Social-Media-Giganten bleiben die Hauptziele für Rekordbußgelder. Fast alle der zehn höchsten seit 2018 verhängten Geldbußen betreffen die Tech-Branche, darunter in 2024 die von der irischen Datenschutzbehörde verhängten Bußgelder in Höhe von 310 Millionen Euro gegen LinkedIn und 251 Millionen Euro gegen Meta.

2024 hat sich die DSGVO-Durchsetzung auch auf weitere Branchen erstreckt, darunter Finanzdienstleistungen und Energie. So verhängte die spanische Datenschutzbehörde zwei Bußgelder in Höhe von insgesamt 6,2 Millionen Euro gegen eine große Bank wegen unzureichender Sicherheitsmaßnahmen. Die italienische Datenschutzbehörde sprach ein Bußgeld über 5 Millionen Euro gegen einen Energieversorger für die Nutzung veralteter Kundendaten aus.

Deutschland bleibt ebenfalls ein wichtiger Akteur bei der Durchsetzung europäischen Datenschutzrechts: Seit Inkrafttreten der DSGVO wurden hierzulande Bußgelder im Gesamtvolumen von 89,1 Millionen Euro verhängt. Ein Fokus der deutschen Datenschutzbehörden liegt dabei auf Verstößen gegen die Integrität und Vertraulichkeit sowie die Sicherheit der Datenverarbeitung.

Dr. Jan Geert Meents, Partner der deutschen Praxisgruppe Intellectual Property & Technology (IPT) bei DLA Piper, kommentiert die aktuelle Studie: „Die diesjährigen Ergebnisse zeigen, dass die Datenschutzbehörden in Europa weiterhin eine klare Linie verfolgen. Der Rückgang des Gesamtvolumens der Bußgelder ist auf außergewöhnliche Ereignisse im Vorjahr zurückzuführen und bedeutet keine Abschwächung der regulatorischen Aktivitäten. Die DSGVO bleibt ein starkes Instrument, um den Datenschutz zu gewährleisten und die Einhaltung zu fördern. Dies gilt insbesondere auch für Deutschland.“

Persönliche Haftung im Fokus

Der verstärkte Fokus auf Governance und Aufsicht führte zu mehreren Entscheidungen, in denen Versäumnisse bei der Unternehmensleitung festgestellt wurden. So kündigte die niederländische Datenschutzbehörde an, zu überprüfen, ob die Geschäftsführer von Clearview AI persönlich für zahlreiche DSGVO-Verstöße haftbar gemacht werden können, nachdem ein Bußgeld in Höhe von 30,5 Millionen Euro gegen das Unternehmen verhängt wurde. Diese Untersuchung könnte einen möglichen Wandel im Fokus der Regulierungsbehörden hin zu einer persönlichen Haftung und mehr individueller Verantwortlichkeit signalisieren.

Verena Grentzenberg, Partnerin der Praxisgruppe IPT von DLA Piper in Deutschland mit Fokus auf Datenschutz, ergänzt: „Die zunehmende Fokussierung auf die persönliche Haftung von Führungskräften markiert eine neue Phase in der DSGVO-Durchsetzung. Dies setzt ein klares Signal an Unternehmen, dass Verstöße gegen den Datenschutz nicht ohne Konsequenzen bleiben – auch nicht auf der Ebene der handelnden Personen.“

Benachrichtigungen über Datenschutzverletzungen

Die durchschnittliche Anzahl der gemeldeten Datenschutzverletzungen pro Tag stieg 2024 nur leicht auf 363 von 335 Meldungen im Vorjahr. Das entspricht dem Trend der Vorjahre und ist mutmaßlich darauf zurückzuführen, dass Unternehmen vorsichtiger geworden sind und angesichts des Risikos von behördlichen Ermittlungen, Geldbußen und möglichen Schadenersatzforderungen Datenschutzverletzungen eher melden.

Hinsichtlich der Gesamtzahl der gemeldeten Datenschutzverletzungen gab es seit Inkrafttreten der DSGVO und auch im jüngsten Berichtszeitraum kaum Veränderungen an der Spitze der Rangliste: Die Niederlande (33.471 Meldungen), Deutschland (27.829) und Polen (14.286) bleiben die Länder mit den höchsten Zahlen gemeldeter Datenschutzverletzungen.

Jan Pohle, ebenfalls IPT-Partner mit Spezialisierung im Bereich Datenschutz, kommentiert abschließend: „Auch wenn die diesjährige Umfrage keine neuen Rekorde zeigt, bedeutet das keineswegs, dass das Interesse oder die Aktivität der europäischen Datenschutzbehörden nachgelassen haben. Im Gegenteil: Die Durchsetzung hat sich weiterentwickelt, mit wachsender Regulierung in Sektoren außerhalb von Big Tech und sozialen Medien. Die DSGVO dient zudem zunehmend als Leitplanke für neue Bereiche wie die KI-Regulierung und Grundlage für die Durchsetzung von Datenschutz im Zusammenhang mit KI.“

Report hier.

---

Bild/Quelle: https://depositphotos.com/de/home.html