Europas Sanktionslandschaft


Rekordmarke geknackt: GDPR-Bußgelder überschreiten erstmals fünf Milliarden Euro
CMS veröffentlicht sechste Ausgabe des Enforcement Tracker Reports



Die Durchsetzung der europaweiten Datenschutz-Gesetzgebung hat einen neuen Höchststand erreicht: Erstmals überschreiten die öffentlich bekannten Bußgelder in Europa die Marke von fünf Milliarden Euro. Seit Inkrafttreten der General Data Protection Regulation (GDPR) im Mai 2018 wurden bis März 2025 insgesamt rund 5,65 Milliarden Euro an Strafen verhängt – ein Plus von 1,17 Milliarden Euro im Vergleich zum Vorjahr. Diese Rekordsumme spiegelt wider, wie stark sich die europäische Sanktionspraxis in den vergangenen Jahren entwickelt hat.

Im aktuellen Enforcement Tracker Report der international aufgestellten Wirtschaftskanzlei CMS zeigen sich dabei klare Trends: Die meisten Verstöße betreffen unzureichende Rechtsgrundlagen für die Datenverarbeitung (669 Fälle, Ø 2,9 Millionen Euro) sowie Verstöße gegen allgemeine Datenschutzgrundsätze (644 Fälle, Ø 3,8 Millionen Euro). Mängel bei den technischen und organisatorischen Maßnahmen zur Informationssicherheit (418 Fälle, Ø 2,0 Millionen Euro) rangieren ebenfalls weit oben. Verstärkt ins Visier geraten sind zudem Verletzungen der Betroffenenrechte, wie z.B. Auskunfts- und Transparenzpflichten, die nun Platz vier unter den Sanktionsgründen einnehmen.

B2C-Branchen, Beschäftigtendatenschutz und KI im Fokus
Besonders im Fokus der Aufsichtsbehörden stehen B2C-nahe Branchen wie Medien, Telekommunikation und Broadcasting, der seit vier Jahren der am häufigsten sanktionierte Sektor ist und rund 70 Prozent aller Unternehmensbußgelder ausmacht. Aufgrund der großen Akteure in diesem Sektor und der zunehmenden Bedeutung personenbezogener Daten für ihre Geschäftstätigkeit wird dieser mit großer Wahrscheinlichkeit weiterhin genau beobachtet werden. Auch der Beschäftigtendatenschutz bleibt auf Platz zwei der geahndeten Sektoren zentral: Die Bußgelder sind erheblich gestiegen, zuletzt mit einer Rekordstrafe von 290 Millionen Euro in den Niederlanden – ein Zeichen dafür, dass Mitarbeiterdaten für Behörden weiterhin ein sensibles Thema sind. Untersuchungen führen dabei häufig zu weiterer Aufdeckung von Verstößen, die über den Umfang der ursprünglichen Beschwerde hinausgehen. Verstärkt in den Blick rückt zudem der Einsatz neuer Technologien wie Künstlicher Intelligenz: Komplexe Datenverarbeitungen erhöhen das Risiko von Verstößen, weshalb die Aufsichtsbehörden hier verstärkt hinschauen. Die Europäische Datenschutzbehörde (EDPB) kündigte an, diesen Bereich bis 2027 besonders zu begleiten; auch nicht-monetäre Sanktionen wie Nutzungseinschränkungen könnten künftig an Bedeutung gewinnen, wie das Beispiel des temporären KI-Verbots in Italien zeigt.

Deutschland: Verarbeitung von Mitarbeiterdaten unter Beobachtung
Deutschland fällt im europäischen Vergleich durch eine dezentrale Aufsichtsstruktur mit 16 Landesbehörden auf. Prägend ist zudem die hohe Zahl angefochtener Bußgelder – vielfach erfolgreich. Inhaltlich stehen hierzulande vor allem Verstöße im Beschäftigtendatenschutz im Fokus. Gleichzeitig gewinnt die kollektive Rechtsdurchsetzung an Bedeutung: Mit der Musterfeststellungsklage, der Unterlassungsklage und der neuen Abhilfeklage sind Verbraucherorganisationen zunehmend in der Lage, Datenschutzverstöße gesammelt vor Gericht zu bringen.

Ein einzigartiger Überblick über Europas Sanktionslandschaft
Die sechste Ausgabe des Reports basiert auf der CMS-eigenen Online-Datenbank "GDPR Enforcement Tracker" (www.enforcementtracker.com), die aktuell 2.560 Bußgelder umfasst – die bislang einzige Plattform in der EU, die einen umfassenden Überblick über alle öffentlich bekannten GDPR-Bußgelder bietet. Der Report selbst liefert eine detaillierte Analyse nach Sektoren und Ländern sowie Einblicke in nationale Besonderheiten und aktuelle Rechtsprechung, etwa zu den strengeren Anforderungen an den Auskunftsanspruch von Betroffenen nach jüngsten EuGH-Urteilen.

"In den sieben Jahren seit Einführung der GDPR-Gesetzgebung hat dieses starke Regelwerk das Bewusstsein für den Schutz personenbezogener Daten geschärft und Compliance-Bemühungen angestoßen. Gleichzeitig haben die drastischen Sanktionsmöglichkeiten von bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes bei vielen Unternehmen auch Angst und Zurückhaltung erzeugt. Wir glauben: Fakten sind besser als Angst. Deshalb aktualisieren wir kontinuierlich die Liste der bekannten Bußgelder im GDPR Enforcement Tracker und haben mit dem Report ein jährliches Deep-Dive-Format etabliert, das tiefergehende Einblicke in die Welt der Sanktionen bietet", erläutert Dr. Alexander Schmid aus dem Enforcement-Tracker-Team von CMS Deutschland. (CMS Hasche Sigle Partnerschaft: ra)

eingetragen: 14.05.25

CMS Hasche Sigle: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Meldungen: Studien

  • Lösungsansätze gegen den GenAI-Gender Gap

    Frauen drohen bei Künstlicher Intelligenz (KI), die bis 2030 allein in Deutschland 3 Millionen Jobs verändern könnte, ins Hintertreffen zu geraten. So zeigen aktuelle Zahlen von Coursera, dass lediglich 27 Prozent der Lernenden in Generative-AI (GenAI)-Kursen in Deutschland (102.000 Einschreibungen) weiblich sind. Dies liegt noch unter dem weltweiten Durchschnitt von 32 Prozent und reicht im Ländervergleich gerade für einen Platz in den Top-Ten (Platz 9). Und das, obwohl sich allein auf Coursera im vergangenen Jahr weltweit alle 10 Sekunden jemand in einen GenAI-Kurs einschrieb.

  • Rote Linien für die zukünftige Nutzung von KI

    Laut einer aktuellen Studie von NTT Data droht eine Verantwortungslücke die durch KI möglich gewordenen Fortschritte zu untergraben. Mehr als 80 Prozent der Führungskräfte räumen ein, dass Führungsfähigkeiten, Governance und die Bereitschaft der Mitarbeitenden nicht mit den Fortschritten der KI mithalten können. Das gefährdet Investitionen, Sicherheit und das Vertrauen der Öffentlichkeit.

  • Europas Sanktionslandschaft

    Die Durchsetzung der europaweiten Datenschutz-Gesetzgebung hat einen neuen Höchststand erreicht: Erstmals überschreiten die öffentlich bekannten Bußgelder in Europa die Marke von fünf Milliarden Euro. Seit Inkrafttreten der General Data Protection Regulation (GDPR) im Mai 2018 wurden bis März 2025 insgesamt rund 5,65 Milliarden Euro an Strafen verhängt - ein Plus von 1,17 Milliarden Euro im Vergleich zum Vorjahr. Diese Rekordsumme spiegelt wider, wie stark sich die europäische Sanktionspraxis in den vergangenen Jahren entwickelt hat.

  • Absicherung unternehmerischer Entscheidungen

    Die zunehmende Regulierungsdichte mit immer neuen Vorschriften erschwert Vorständen und Aufsichtsräten die rechtliche Einschätzung unternehmerischer Entscheidungen und bremst unternehmerisches Handeln. Das Deutsche Aktieninstitut und die Anwaltskanzlei Gleiss Lutz haben die Studie "Absicherung unternehmerischer Entscheidungen - Entscheidungsfindung in unsicheren Zeiten" veröffentlicht.

  • Herausforderung: Datenschutz & geteilte Geräte

    Die Digitalisierung schreitet in der Transport- und Logistikbranche stetig voran und macht Prozesse innerhalb der Lieferkette immer transparenter und damit nachvollziehbarer. So kam die jüngste Studie "Digitale Innovationen: Was die Transport- und Logistikbranche jetzt braucht" von SOTI zu dem Ergebnis, dass sich 80 Prozent (weltweit 78 Prozent) der deutschen Arbeitnehmenden im T&L-Bereich durch die technische Nachverfolgbarkeit von Waren, für die sie im Rahmen ihrer Tätigkeit Verantwortung tragen, sicherer fühlen. Gleichzeitig empfinden jedoch 61 Prozent das Tracking dienstlicher Geräte als Eingriff in ihre Privatsphäre (weltweit 55 Prozent).

Rote Linien für die zukünftige Nutzung von KI Absicherung unternehmerischer Entscheidungen

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen