Warum steigen die DSGVO-Strafen immer weiter an?

Warum steigen die Bußgelder gemäß DSGVO immer weiter an?

Von Nicholas Fearn • 24 Februar 2026

Die Bußgelder nach der Datenschutz-Grundverordnung (DSGVO) steigen weiter an, da europäische Aufsichtsbehörden ihre Maßnahmen gegen Datenschutzvorfälle verschärfen. Laut GDPR Enforcement Tracker wurden Unternehmen im Jahr 2025 mit über 330 Bußgeldern belegt. Die Anwaltskanzlei DLA Piper beziffert deren Gesamtsumme auf 1.2 Milliarden Euro.

Das Social-Media-Unternehmen TikTok wurde mit der höchsten DSGVO-Strafe des Jahres 2025 belegt. Die in Irland verhängte Strafe in Höhe von 530 Millionen Euro betraf die Weitergabe europäischer Nutzerdaten an Mitarbeiter in China. Im vergangenen Jahr bestätigte die luxemburgische Datenschutzbehörde zudem eine DSGVO-Strafe von 746 Millionen Euro aus dem Jahr 2021 gegen Amazon, nachdem das Unternehmen Nutzerdaten ohne deren Einwilligung zu Werbezwecken erhoben hatte. Amazons Einspruch wurde abgewiesen, was darauf hindeutet, dass die europäischen Datenschutzbehörden die Durchsetzung der DSGVO ernst nehmen.

Die anhaltende Häufigkeit von DSGVO-Bußgeldern lässt sich auf einen Rekordanstieg bei den Meldungen von Datenschutzverletzungen zurückführen, die Unternehmen innerhalb von 72 Stunden nach einem Datenvorfall erstatten müssen. DLA Piper stellte fest, dass diese Meldungen im Jahr 2025 erstmals seit Inkrafttreten der DSGVO im Jahr 2018 die Marke von 400 pro Tag erreichten. Zwischen Januar 2024 und Januar 2026 stieg die Zahl auf über 443 – ein Anstieg um 22 % gegenüber 363. DLA Piper führt dies auf Hackerangriffe zurück, die durch globale geopolitische Instabilität, die verstärkte Berichterstattung über Cyberkriminalität und das Inkrafttreten von Gesetzen und Vorschriften zu Datenschutzverletzungen, die die Meldung von Vorfällen vorschreiben, begünstigt werden.

Offensichtlich sind Datenschutzbehörden nicht mehr bereit, Verstöße gegen die DSGVO zu ignorieren, da das Gesetz nun seit acht Jahren in Kraft ist. Doch da Daten das Lebenselixier moderner Organisationen sind und DSGVO-Strafen nicht nur ein finanzielles Risiko, sondern auch weitreichendere Schäden für Unternehmen darstellen, stellt sich die Frage: Was können Unternehmen tun, um die Vorschriften einzuhalten?

Die Regulierungsbehörden greifen ein.

Ein Hauptgrund für die jüngste Welle von DSGVO-Strafen ist laut Lucas von Stockhausen, Executive Director of Security Engineering beim Anwendungssicherheitsunternehmen Black Duck, dass die Aufsichtsbehörden der Ansicht sind, dass die Unternehmen mehr als genug Zeit hatten, das Gesetz zu verstehen und in die Praxis umzusetzen.

Er erklärte gegenüber IO, dass die Datenschutzbehörden die Ausreden nicht konformer Unternehmen nicht länger hinnehmen und sich nun darauf konzentrieren, diese zur Rechenschaft zu ziehen. Wer dies ignoriere, müsse mit „erheblichen Strafen“ rechnen. Die Aufsichtsbehörden könnten bei schwerwiegendsten Verstößen Bußgelder von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes verhängen.

Obwohl die Aufsichtsbehörden weiterhin hart gegen DSGVO-Verstöße vorgehen und Bußgelder verhängen, ignorieren viele Unternehmen dies. Jake Moore, globaler Cybersicherheitsberater beim Antivirensoftware-Hersteller ESET, meint, Datenschutz sei für viele Organisationen lediglich eine „Pflichtübung“ – dabei sollte er in Wirklichkeit in allen Bereichen eines modernen Unternehmens verankert sein.

Er sagt, dies führe zu „schwacher Zugriffskontrolle“ und dazu, dass der Speicherort sensibler Daten vergessen werde. Folglich könnten Daten leicht in die Hände Unbefugter gelangen, und wenn Unternehmen nicht sicher seien, wo sie bestimmte Daten gespeichert hätten, hätten sie Schwierigkeiten, Löschungsanfragen nachzukommen. Diese Probleme bergen für Unternehmen das Risiko von DSGVO-Strafen.

Die Nichteinhaltung der DSGVO birgt nicht nur das Risiko hoher Bußgelder für Unternehmen, sondern kann alle Bereiche des Geschäftsbetriebs beeinträchtigen. Laut Datenschutzexpertin Jo Brianti können Bereinigungsmaßnahmen zu „Betriebsunterbrechungen“ führen, wenn Führungskräfte ihre ohnehin schon knappen Kapazitäten dafür aufwenden müssen. Sie fügt hinzu, dass Führungskräfte sogar selbst für Bußgelder haftbar gemacht werden könnten, wenn sie von den DSGVO-Verstößen wussten und nicht eingegriffen haben.

Sie sagt, dass die Vernachlässigung der DSGVO auch den Ruf von Unternehmen schädigen, sie kostspieligen Klagen betroffener Kunden aussetzen, es Unternehmen erschweren kann, in verschiedenen Märkten tätig zu sein, indem sie „Plattformverpflichtungen und grenzüberschreitende Datenflüsse“ stört, und in Due-Diligence-Berichten auftauchen kann, was zu Umsatzeinbußen und dem Verlust anderer Geschäftsmöglichkeiten führt.

KI verändert das Spielfeld

Die zunehmende Nutzung von KI-Technologien in Unternehmen trägt auch zu steigenden DSGVO-Strafen bei. Da KI anhand großer Datensätze trainiert wird, um zu funktionieren und sich im Laufe der Zeit zu verbessern, ist das Risiko von Datenlecks und den daraus resultierenden behördlichen Maßnahmen erheblich.

Da viele Unternehmen KI-Systeme von Drittanbietern nutzen, haben sie nicht immer die Kontrolle darüber, wie die in diese Anwendungen eingegebenen Daten gespeichert und geschützt werden. Laut von Stockhausen von Black Duck birgt dies ein reales Risiko unbeabsichtigter Datenoffenlegung und der damit verbundenen Durchsetzung der DSGVO.

Er sagt gegenüber IO: „Die Effizienzgewinne können enorm sein, aber aus Sicht der DSGVO ist das zentrale Risiko klar: Organisationen müssen garantieren können, dass die Ergebnisse der KI keine personenbezogenen Daten offenlegen.“

Wenn es um die Absicherung von KI-Systemen und den dazugehörigen Daten geht, müssen Unternehmen nicht nur die DSGVO-Richtlinien einhalten. Es gibt auch eine wachsende Anzahl an Gesetzen, die sich speziell mit KI befassen. Unternehmen neigen dazu, DSGVO- und KI-Compliance als getrennte Angelegenheiten zu betrachten, was jedoch kontraproduktiv sein kann.

Moore von ESET erklärt, dass Unternehmen, da Datenschutz und KI-Governance identische Datensätze verwenden, besser beraten sind, diese als eine zusammenhängende Disziplin mit klarer Verantwortlichkeit zu behandeln. Dies kann zu vereinfachten Arbeitsabläufen und der Vermeidung von Doppelarbeit führen, wodurch die Wahrscheinlichkeit sinkt, dass Mitarbeiter Daten vernachlässigen. Laut Moore können Unternehmen dadurch weniger Bußgelder zahlen.

Brianti ist ebenfalls eine überzeugte Verfechterin eines integrierten Ansatzes für Daten- und IT-Governance und erklärt, dass Regulierungsbehörden die DSGVO nun mit einem umfassenderen digitalen Maßnahmenpaket verknüpfen. Sie nennt als Beispiele das EU-Gesetz über digitale Dienste und digitale Märkte sowie Aktualisierungen bestehender Gesetze im Bereich Datenschutz und KI.

Laut Brianti kann die Nichteinhaltung eines dieser Gesetze „Folgen in verschiedenen regulatorischen Rahmenbedingungen“ nach sich ziehen. Gegenüber IO erklärt sie: „Dadurch wird die DSGVO von einer isolierten Rechtsnorm zu einem strategischen Risiko, das sich auf Corporate Governance, Risikoprofile von Investoren, Due-Diligence-Prüfungen bei Unternehmensübernahmen und Reputationsmanagement auswirkt.“

Die Einhaltung der Vorschriften

Da die Regulierungsbehörden weiterhin die DSGVO durchsetzen, sagt von Stockhausen von Black Duck, dass ihre Haupterwartung darin besteht, dass Unternehmen eine „klare“ Datenschutzstrategie implementiert haben, die die Gründe für die Erhebung personenbezogener Daten, die Notwendigkeit der Daten sowie die Methoden zur Datenspeicherung und zum Datenschutz erläutert.

„Die Aufsichtsbehörden suchen nach Unternehmen, die personenbezogene Daten bewusst, verantwortungsvoll und mit einem klaren Verständnis der Risiken verarbeiten“, sagt er. „Diejenigen, die dies nicht tun, geraten zunehmend ins Visier der Behörden.“

Er betont jedoch, dass die wichtigste Maßnahme zur Einhaltung der DSGVO darin besteht, Datenschutz- und Sicherheitsrisiken stets im Blick zu behalten. Dazu müssten Unternehmen „nachweisbare Schutzmaßnahmen“ implementieren, die von neuen Technologien ausgehenden Bedrohungen kontinuierlich überwachen und ihre bestehenden Datenschutzstrategien entsprechend anpassen.

Unternehmen, die unsicher sind, wo sie anfangen sollen, empfiehlt Brianti, die in professionellen Standards und Rahmenwerken beschriebenen Best Practices in ihre täglichen Prozesse zu integrieren, um regulatorische Anforderungen wie die DSGVO zu erfüllen. Sie hält ISO 27001 für hervorragend geeignet für den Umgang mit Fragen der Informationssicherheit und ISO 27701 für den Datenschutz. Cyber Essentials und NIST 800-53 gehören ebenfalls zu ihren Top-Empfehlungen.

Weitere Empfehlungen von Brianti zur Gewährleistung der DSGVO-Konformität umfassen: Protokollierung des Speicherorts personenbezogener Daten und der Art ihrer Verarbeitung in einem Inventar; Anwendung von Privacy-by-Design-Prinzipien, um die Datensicherheit der Produkte stets zu gewährleisten; Definition von Rollen und Verantwortlichkeiten im Zusammenhang mit dem Datenschutz; Schulung der Mitarbeiter zur Bedeutung des Datenschutzes; Dokumentation aller Entscheidungen zum Datenschutz; Ermittlung von Datenrisiken durch Folgenabschätzungen; Speicherung dieser Abschätzungen und aller damit verbundenen Daten in einer einzigen Umgebung; und Sicherstellung der Abstimmung aller Maßnahmen zur Reaktion auf Sicherheitsvorfälle.

Man könnte meinen, die Nichteinhaltung der DSGVO bedeute lediglich, eine Geldstrafe zu zahlen und die Sache damit erledigt zu haben. Doch das ist Wunschdenken. Die Durchsetzung der DSGVO kann Geschäftsabläufe und Wachstum massiv beeinträchtigen. Daher sollte sie als strategische Priorität behandelt werden und nicht nur als formale Pflichterfüllung, um Behörden zufriedenzustellen. Wenn die DSGVO-Konformität mit anderen IT-bezogenen Governance-Aktivitäten abgestimmt ist, können Unternehmen sicher sein, die Aufsichtsbehörden zufriedenzustellen und sich vor den sich schnell verändernden Cyberbedrohungen zu schützen.

Nicholas Fearn

Nicholas Fearn ist ein freiberuflicher Journalist aus den Welsh Valleys. Er hat für große Medien wie die Financial Times, The Independent, The Telegraph, Evening Standard, iNews, HuffPost und Insider sowie für B2B-Publikationen wie Computer Weekly, Computing und IT Pro geschrieben. Wenn Nic nicht über die neuesten Gadgets und Technologietrends schreibt, hört er sich wahrscheinlich die gesamte Diskografie von Mariah Carey an.

Das Zeitalter der Compliance: Wie Regulierung, Technologie und Risiko die Geschäftsnormen neu schreiben

Wie aufsehenerregende Cybervorfälle die tatsächlichen Auswirkungen von Schwachstellen in der Lieferkette auf Unternehmen verdeutlichen

Datenschutzverletzung bei Qantas: Warum die Überwachung der Lieferanten eine Compliance-Priorität sein muss

Warum steigen die Bußgelder gemäß DSGVO immer weiter an?

Die Regulierungsbehörden greifen ein.

KI verändert das Spielfeld

Die Einhaltung der Vorschriften

Nicholas Fearn

Related articles

Britische Finanzdienstleistungsunternehmen versagen weiterhin bei den Grundlagen, warnt die Bank of England.

Lösegeld zahlen oder nicht? Überlegungen der Regierung zur Frage, wie man sich gegen Cyberkriminalität durch Zahlung wehrt.

EU-Digitalgesetz: Integrierte Compliance auf der Agenda

Lesen Sie mehr von Nicholas Fearn

Das Zeitalter der Compliance: Wie Regulierung, Technologie und Risiko die Geschäftsnormen neu schreiben

Wie aufsehenerregende Cybervorfälle die tatsächlichen Auswirkungen von Schwachstellen in der Lieferkette auf Unternehmen verdeutlichen

Datenschutzverletzung bei Qantas: Warum die Überwachung der Lieferanten eine Compliance-Priorität sein muss