Zwischen dem 28. Januar 2025 und dem 27. Januar 2026 verhängten europäische Aufsichtsbehörden DSGVO-Bußgelder von rund 1,2 Milliarden Euro (sämtliche DSGVO-Bußgelder, die seit Anwendung der DSGVO im Mai 2018 in sämtlichen EU-Mitgliedsstaaten verhängt wurden, belaufen sich aktuell liefen sich auf 7,1 Milliarden Euro) – der Abwärtstrend des letzten Jahres hat sich nicht fortgesetzt

Die irische Datenschutzaufsicht führt weiterhin die Rangliste an: seit Mai 2018 wurden vom Irish DPC Bußgelder in Höhe von insgesamt 4,04 Milliarden Euro verhängt

Die irische Datenschutzaufsicht verhängte auch die höchste Geldbuße des Jahres 2025, als sie im April 2025 einem Social-Media-Unternehmen wegen Verstoßes gegen die Beschränkungen für Datentransfers in Nicht-EWR-Länder eine Geldbuße in Höhe von 530 Millionen Euro auferlegte

Die 2023 gegen Meta verhängte Geldbuße in Höhe von 1,2 Milliarden Euro ist nach wie vor die höchste jemals im Rahmen der DSGVO verhängte Geldbuße

In Europa werden durchschnittlich 443 Datensicherheitsverletzungen pro Tag gemeldet – ein Anstieg von 22 % gegenüber dem Vorjahr

Die achte Ausgabe des GDPR Fines and Data Breach Survey der Wirtschaftskanzlei DLA Piper fasst die wichtigsten Erkenntnisse der aufsichtsbehördlichen Bußgeldpraxis zusammen. Die Gesamthöhe der Bußgelder in sämtlichen EU-Mitgliedsstaaten im Jahr 2025 entspricht mit rund 1,2 Milliarden Euro ungefähr dem Niveau des Vorjahres.

Irland führt weiterhin die Rangliste der Durchsetzungsmaßnahmen an. Seit Inkrafttreten der DSGVO im Mai 2018 summieren sich die von der irischen Datenschutzaufsicht verhängten Sanktionen auf 4,04 Milliarden Euro.

Trotz eines weiteren aktiven Jahres bleibt die höchste jemals im Rahmen der DSGVO verhängte Geldbuße die von der irischen Datenschutzaufsicht im Jahr 2023 gegen Meta Platforms Ireland Limited verhängte Geldbuße in Höhe von 1,2 Milliarden Euro.

Die Analyse der Daten der europäischen Datenschutzaufsichtsbehörden zeigt einen jährlichen Anstieg der gemeldeten Datensicherheitsverletzungen um 22% auf durchschnittlich 443 pro Tag. Der aktuelle Wert markiert die erste signifikante Steigerung der Meldungen seit mehreren Jahren und liegt erstmals seit 2018 wieder über der Schwelle von 400 Meldungen pro Tag.

Eine neue Ära der Cyber-Bedrohungen ist angebrochen

Zwischen dem 28. Januar 2025 und dem 27. Januar 2026 stieg die Anzahl der gemeldeten Datensicherheitsverletzungen auf durchschnittlich 443 pro Tag was einem deutlichen Anstieg von 22 % gegenüber der Zahl von 363 aus dem Vorjahr entspricht.

Der Zuwachs fällt in ein Jahr, das von geopolitischen Spannungen geprägt war. Mehrere groß angelegte Cybervorfälle führten zu erheblichen Betriebsausfällen globaler Organisationen.

Dr. Jan Geert Meents, Partner der deutschen Praxisgruppe Intellectual Property & Technology (IPT) bei DLA Piper, kommentiert die aktuelle Studie: „Auch wenn sich daraus keine unmittelbare Kausalität ableiten lässt, sehen wir keinen kurzfristigen Ausreißer, sondern eine strukturelle Verschärfung der Bedrohungslage. Cyberangriffe sind längst kein Randthema mehr, sondern ein zentrales Unternehmensrisiko – mit unmittelbaren regulatorischen und wirtschaftlichen Folgen. Unternehmen sollten ihre betriebliche Widerstandsfähigkeit priorisieren.“

Der Bericht stellt weiter fest, dass die Niederlande, Deutschland und Polen vom 28. Januar 2025 bis zum 27. Januar 2026 weiterhin die Spitzenpositionen mit der höchsten Anzahl gemeldeter Datenpannen einnehmen.

Bußgelder bleiben auf hohem Niveau

Für das am 28. Januar 2025 beginnende Jahr entsprachen die DSGVO-Bußgelder in ganz Europa mit insgesamt rund 1,2 Milliarden Euro in etwa dem Vorjahreswert. Dies bedeutet zwar keinen Anstieg gegenüber dem Vorjahr, deutet jedoch eher auf ein anhaltend hohes Durchsetzungsniveau als auf eine Verlangsamung hin. Das Ausmaß der Durchsetzung unterstreicht die anhaltende Bereitschaft der Datenschutzbehörden, trotz Kritik von außerhalb der EU erhebliche Geldstrafen zu verhängen.

Wie in den Vorjahren konzentrierten sich die Durchsetzungsmaßnahmen weiterhin stark auf große Technologie- und Social-Media-Unternehmen, wobei neun der zehn bisher höchsten DSGVO-Bußgelder gegen Unternehmen aus diesem Sektor verhängt wurden.

„Das gleichbleibend hohe Niveau der Bußgelder zeigt, dass die Aufsichtsbehörden weiterhin sehr aktiv sind, insbesondere in Bereichen wie Informationssicherheit, internationale Datenübermittlungen, Transparenz und dem komplexen Zusammenspiel zwischen KI-Innovationen und Datenschutzgesetzen“, sagt Jan Geert Meents.

Internationale Datentransfers und weitere Branchen im Fokus

Neben Technologiekonzernen geraten zunehmend auch Finanzdienstleister, Telekommunikationsunternehmen, Versorger und IT-Dienstleister in den Blick der Regulierungsbehörden. Verena Grentzenberg, Partnerin der Praxisgruppe IPT von DLA Piper in Deutschland mit Fokus auf Datenschutz & Cybersecurity, hierzu: „Wir beobachten eine inhaltliche Verschiebung der Durchsetzung. Neben großen Technologieunternehmen geraten zunehmend regulierte Branchen und kritische Infrastrukturen in den Fokus. Datenschutz-Compliance ist damit längst kein reines Tech-Thema mehr, sondern betrifft die gesamte Wirtschaft.“

Während der Datenaustausch mit den USA in den letzten Jahren ein wichtiger Treiber für Durchsetzungsmaßnahmen war, wurde in diesem Jahr erstmals eine Geldbuße wegen der Übermittlung personenbezogener Daten in ein Nicht-US-Drittland verhängt. Die irische Datenschutzaufsicht verhängte eine Geldbuße in Höhe von 530 Millionen Euro gegen ein Social-Media-Unternehmen, weil es bei der Übermittlung personenbezogener Daten nach China kein im Wesentlichen gleichwertiges Schutzniveau gewährleistet hatte. Die Geldbuße macht deutlich, dass zwar die Übermittlung personenbezogener Daten in die USA die Aufmerksamkeit der Regulierungsbehörden auf sich gezogen und zu Sanktionen geführt hat, die Beschränkungen der DSGVO für die Übermittlung personenbezogener Daten in Drittländer jedoch eine viel umfassendere globale Herausforderung darstellen. „Diese erstmalige Verhängung einer Geldbuße wegen einer Übermittlung in anderes Land als die USA zeigt, dass die Aufsichtsbehörden das globale Datenschutzniveau noch intensiver in den Blick nehmen. Unternehmen sollten internationale Datenflüsse deshalb genau absichern und dokumentieren“, ergänzt Verena Grentzenberg.

Die Behörden konzentrierten sich weiterhin auf die Einhaltung der Grundsätze der Rechtmäßigkeit, Fairness und Transparenz sowie auf die Sicherheit personenbezogener Daten und verhängten eine Reihe erheblicher Geldbußen wegen unzureichender technischer und organisatorischer Maßnahmen.