DSGVO 2025: Bußgelder sinken unter Milliardenmarke – TikTok, Google und Vodafone im Fokus

Das Jahr 2025 markiert eine Zäsur in der europäischen Datenschutzdurchsetzung: Erstmals seit 2021 blieb die Gesamtsumme verhängter DSGVO-Bußgelder unter der Milliardengrenze. Dennoch verhängten die Behörden einige der höchsten Einzelstrafen seit Jahren – und mehrere EuGH-Entscheidungen dürften die Praxis der Datenschutzbehörden in den kommenden Jahren prägen.

Gesamtbilanz: Rückgang auf rund 690 Millionen Euro

Die in der Datenbank erfassten DSGVO-Bußgelder summierten sich 2025 auf rund 689,98 Mio. EUR – nach 1,22 Mrd. EUR im Vorjahr ein Minus von mehr als 530 Mio. EUR. Damit wurde die Milliarden-Schwelle, die seit 2022 durchgängig überschritten worden war, im abgelaufenen Jahr nicht mehr erreicht. Als Erhebungszeitraum gilt der 1. Januar bis 31. Dezember 2025; erfasst wurden ausschließlich Bußgelder mit bekanntem Bescheiddatum.

Der Rückgang bedeutet allerdings nicht, dass es an substanziellen Sanktionen gefehlt hätte. Die größten Einzelstrafen des Jahres entfielen auf wenige Verfahren mit erheblichem Gewicht.

Die größten Einzelstrafen des Jahres

TikTok – 530 Mio. EUR (Irland) Das höchste Bußgeld sprach die irische Datenschutzbehörde DPC gegen TikTok Technology Limited aus. Grundlage war die Übermittlung von Nutzerdaten in die Volksrepublik China, über die Betroffene nach Einschätzung der Behörde nicht hinreichend informiert worden waren. Anzumerken ist, dass die DPC nach eigenen Angaben nur einen geringen Anteil der von ihr verhängten Strafen tatsächlich einzieht, da sich ein Großteil der betreffenden Verfahren noch in der Berufungsphase befindet.

Google – 325 Mio. EUR (Frankreich) Die französische CNIL belegte die europäische Niederlassung von Google mit einer Geldstrafe, weil der Konzern in Gmail-Postfächern Werbeanzeigen eingeblendet hatte, die eingegangenen E-Mails zum Verwechseln ähnlich sahen – ohne die Einwilligung der Nutzer eingeholt zu haben.

Shein – 150 Mio. EUR (Frankreich) Ebenfalls die CNIL ahndete das Cookie-Verhalten des Fast-Fashion-Anbieters Shein. Beim Besuch der Unternehmenswebsite wurden Cookies ohne Zustimmung der Nutzenden gesetzt; ein nachträglicher Widerspruch verhinderte weder das weitere Auslesen noch das Speichern neuer Cookies.

Vodafone – 45 Mio. EUR (Deutschland) Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) verhängte zwei separate Bußgelder gegen Vodafone. Eine Strafe von 15 Mio. EUR folgte auf mangelhafte Überprüfungen von Auftragsverarbeitern, deren Mitarbeitende infolgedessen gefälschte Verträge ausstellen konnten. Weitere 30 Mio. EUR entfielen auf unzureichende Authentifizierungsprozesse im Unternehmen.

Deutsche Behörden: Weniger Verfahren, höhere Summen

Die deutschen Aufsichtsbehörden meldeten für 2025 insgesamt 249 Bußgelder mit einer Gesamthöhe von rund 46,9 Mio. EUR. Gegenüber dem Vorjahr sank zwar die Anzahl der Verfahren, die Gesamtsumme stieg jedoch deutlich – maßgeblich durch die Vodafone-Bescheide der BfDI.

Spitzenreiter bei der Anzahl der Bußgelder war erneut Bremen mit 101 Sanktionen, gefolgt von Hessen (47), das diesen Wert gegenüber 2024 konstant hielt. Das zweithöchste deutsche Bußgeld verhängte der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit: 492.000 EUR gegen ein Finanzunternehmen, das auf Auskunftsersuchen von Betroffenen nicht reagiert hatte, nachdem es deren Kreditanträge trotz nachgewiesener Bonität abgelehnt hatte.

Die Bundesnetzagentur (BNetzA), die keine DSGVO-Bußgelder verhängt, aber datenschutzrelevante Verstöße ahndet, sprach 2025 insgesamt 13 Bußgelder in Höhe von knapp 901.000 EUR aus. Im Fokus standen vor allem unerlaubte Telefonwerbung sowie Verstöße gegen das Verbot der Rufnummernunterdrückung. Erstmalig wurden zudem Pflichtverletzungen bei der Dokumentation von Werbeeinwilligungen sanktioniert.

Europäischer Vergleich: Frankreich zieht deutlich davon

Frankreich verzeichnete 2025 mit 486,8 Mio. EUR (83 Sanktionen) einen markanten Anstieg gegenüber rund 55,2 Mio. EUR im Vorjahr – nahezu vollständig getrieben durch die Strafen gegen Google und Shein.

Spanien steigerte sowohl Bußgeldsumme (54,48 Mio. EUR nach 38,6 Mio. EUR) als auch Anzahl der Verfahren (342 nach 289). Aufsehen erregte das 10-Mio.-EUR-Bußgeld der AEPD gegen den Flughafenbetreiber Aena, der Gesichtserkennungssoftware ohne vorherige Datenschutz-Folgenabschätzung eingesetzt hatte.

Italien verzeichnete nach erfassten Daten einen starken Rückgang: von 122 Mio. EUR (2024) auf bisher knapp 12,6 Mio. EUR, bei leicht gesunkener Verfahrenszahl (140 nach 146). Zu berücksichtigen ist, dass die GPDP Bußgelder regelmäßig noch weit ins Folgejahr hinein veröffentlicht.

Im Gesamtvergleich lagen die deutschen Behörden weniger als 10 Mio. EUR unter der spanischen Gesamtsumme und rund 34 Mio. EUR über den bisher gemeldeten italienischen Zahlen.

Datenpannen: Anstieg auf über 10.000 Meldungen

Den deutschen Aufsichtsbehörden wurden 2025 insgesamt 10.259 Datenpannen gemeldet – nach 8.623 im Vorjahr, aber weiterhin deutlich unter dem Wert von 24.749 aus dem Jahr 2023. Auch diese Zahl gilt als Untergrenze, da zum Redaktionsschluss noch nicht alle Länderbehörden ihre Statistiken übermittelt hatten. Die meisten Meldungen entfielen auf Hessen (2.730), Bayern (1.500) und Berlin (1.460). Als häufigste Ursachen wurden Fehlversand von Dokumenten sowie Cyberangriffe genannt.

Sicherheitsvorfälle mit europaweiter Relevanz

Mehrere Vorfälle prägten das Sicherheitsgeschehen 2025:

Die Gruppe „CL0P“ nutzte im August eine Schwachstelle in Oracles E-Business-Suite aus und verschaffte sich Zugang zu Systemen verschiedener Einrichtungen – darunter Universitäten und der Peripheriegerätehersteller Logitech. Oracle lieferte den entsprechenden Patch erst rund zwei Monate nach Bekanntwerden der Lücke aus.

Im Oktober führte ein fehlerhaftes DNS-Update in einem Rechenzentrum zu einem mehrstündigen weltweiten Ausfall von Amazon Web Services (AWS). Innerhalb von zwei Stunden gingen über 4 Mio. Störungsmeldungen ein; die betroffenen Systeme selbst protokollierten 17 Mio. Ausfälle in 60 Ländern. Nach etwa drei Stunden war ein Großteil der Dienste wiederhergestellt.

Die Gruppierung „Scattered Lapsus$ Hunters“ hatte sich bereits im März Zugang zum GitHub-Repository der Salesloft-Drift-Anwendung gesichert. Im August nutzten die Angreifer diesen Zugriff, um aus der AWS-Umgebung der Plattform OAuth-Tokens zu entwenden. Mit diesen drangen sie in Salesforce-Instanzen bekannter Unternehmen ein, entwendeten Daten und versuchten, die Betroffenen zu erpressen.

Der Dienstleister 5CA, der für Discord Altersverifizierungsaufgaben im Rahmen neuer Gesetzgebung in Großbritannien und Australien übernahm, wurde im Oktober Opfer eines Angriffs. Die Täter erbeuteten Fotos von Personen sowie deren Ausweisdokumente. Betroffen waren 8,4 Mio. Support-Fälle von 5,5 Mio. Nutzenden – darunter 70.000 Verifizierungsdokumente, die Discord eigenen Ankündigungen zufolge nach abgeschlossener Prüfung hätten gelöscht werden sollen.

EuGH: Drei beachtenswerte Urteile

Im März stellte der Europäische Gerichtshof klar, dass nationale Behörden fehlerhafte Einträge zur Geschlechtsidentität nach Art. 5 Abs. 1 lit. d DSGVO zu berichtigen haben. Betroffene können hierfür Nachweise vorlegen; eine geschlechtsangleichende Operation darf nicht als Voraussetzung verlangt werden.

Im September präzisierte der EuGH den Status pseudonymisierter Daten: Diese sind nicht automatisch als personenbezogen einzustufen. Maßgeblich ist, ob eine Re-Identifizierung anhand der verfügbaren Informationen möglich ist. Im konkreten Fall galten die Daten für den übermittelnden Verantwortlichen weiterhin als personenbezogen, da er über die erforderlichen Zusatzinformationen verfügte – für den Empfänger hingegen war eine Identifizierung nicht mehr möglich, weshalb der EuGH diese nicht als personenbezogen einstufte.

Im Dezember entschied der Gerichtshof zur Verantwortung von Online-Marktplatzbetreibern. Im zugrundeliegenden Fall hatte ein Nutzer auf einem von Russmedia betriebenen Marktplatz eine rechtswidrige Anzeige im Namen einer anderen Person veröffentlicht. Russmedia löschte den Beitrag zügig, doch er verbreitete sich auf weiteren Plattformen. Der EuGH sah den Betreiber in Teilverantwortung: Marktplatzbetreiber sind verpflichtet zu prüfen, ob Inserent und angeblich werbende Person identisch sind. Gelingt dieser Nachweis nicht, müssen sie sicherstellen, dass eine Einwilligung der betroffenen Person vorliegt – andernfalls ist die Veröffentlichung zu verweigern.

Ausblick: KI, DSGVO-Reform und Altersverifizierung

Wegweisende Entscheidungen im Bereich Künstliche Intelligenz blieben 2025 aus. Einzelne Strafen – etwa gegen Luka Inc. und Menarini Silicon Biosystems in Italien – wurden verhängt, ohne dass sich eine klare Linie abzeichnete. Die im Februar 2026 angekündigte Untersuchung der irischen DPC bezüglich des KI-Chatbots „Grok“ auf der Plattform X (ehemals Twitter) könnte hier jedoch Bewegung bringen.

Aufmerksamkeit verdient auch die für 2026 geplante EU-weite Überprüfung zur Umsetzung von Informationspflichten durch die Datenschutzbehörden – mit potenziellen Bußgeldfolgen für Unternehmen mit Mängeln in diesem Bereich.

Die Debatte um den sogenannten „Digitalen Omnibus“ – ein Reformvorhaben der Europäischen Kommission zur Überarbeitung der DSGVO – setzt sich fort. Der Europäische Datenschutzausschuss hat im Februar 2026 eine ablehnende Stellungnahme zu den Kommissionsplänen veröffentlicht.

Im Bereich Altersverifizierung zeichnen sich neue Spannungsfelder ab: Discord plant, nach den gesetzlichen Anforderungen in Großbritannien und Australien entsprechende Maßnahmen auch für Nutzende aus anderen Ländern einzuführen – obwohl dort keine gesetzliche Verpflichtung besteht.

Entdecke mehr

 

---