Datenschutz. Wegen DSGVO-Verstößen setzte es 2024 europaweit Geldstrafen von 1,2 Milliarden Euro, so DLA Piper. Erstmals stehen CEOs persönlich im Visier der Behörden.
Wirtschaftskanzlei DLA Piper veröffentlichte die Ergebnisse ihrer jährlichen Studie zu Geldstrafen aufgrund von Verstößen gegen die Datenschutz-Grundverordnung (DSGVO): Diese führten demnach im Jahr 2024 europaweit zu Geldstrafen in Höhe von 1,2 Milliarden Euro. Dies entspricht einem Rückgang von 33 Prozent gegenüber 2023 – damit wurde der Trend kontinuierlich steigender Geldstrafen erstmals seit Inkrafttreten der DSGVO im Mai 2018 unterbrochen. Allerdings trügt der Schein, warnt die globale Anwaltskanzlei – dazu gleich mehr.
Die neuen Trends
Die siebente Ausgabe der jährlichen „DLA Piper GDPR Fines and Data Breach Survey“, die Geldstrafen aufgrund der DSGVO in allen 27 Mitgliedstaaten der Europäischen Union sowie im Vereinigten Königreich, in Norwegen, Island und Liechtenstein untersucht, verweist auf ein weiteres bedeutendes Jahr in der Durchsetzung des Datenschutzes hin, heißt es dazu.
- Irland, Standort zahlreicher europäischer Zentralen großer Tech-Unternehmen, bleibt mit Geldstrafen in Höhe von 3,5 Milliarden Euro weiterhin das Land, das seit 2018 die höchsten Strafen verhängt hat. Das ist viermal so viel wie die zweitplatzierte Behörde.
- Auf Platz 2 liegt die zweitplatzierte Luxemburger Datenschutzbehörde, die im selben Zeitraum Strafen in Höhe von 746,4 Millionen Euro verhängt hat.
- Die Gesamtsumme der seit Inkrafttreten der DSGVO im Jahr 2018 verhängten Geldstrafen beläuft sich auf insgesamt 5,9 Milliarden Euro.
- Die höchste jemals im Rahmen der DSGVO auferlegte Strafe ist nach wie vor die von der irischen Datenschutzbehörde im Jahr 2023 gegen Meta Platforms Ireland Limited verhängte Strafe über 1,2 Milliarden Euro.
2024 wurden Geldstrafen in Höhe von 1,2 Milliarden Euro verhängt. Dies ist ein Rückgang um 33 Prozent im Vergleich zum Vorjahr und unterbricht den seit über sieben Jahre ansteigenden Trend bei Geldstrafen. Die Tendenz bleibe dennoch weiterhin steigend, schließlich ist der Rückgang 2024 fast ausschließlich auf die rekordverdächtige Strafe von 1,2 Milliarden Euro gegen Meta im Jahr 2023 zurückzuführen, die die Zahlen für 2023 verzerrt, macht DLA Piper aufmerksam. Im Jahr 2024 gab es keine vergleichbare rekordverdächtige Geldstrafe.
Nicht mehr nur Suchmaschinen und Social Media
Rekordgeldbußen trafen nach wie vor große Tech-Unternehmen und Social-Media-Giganten. Fast alle der seit 2018 verhängten zehn höchsten Geldbußen sind über Unternehmen dieses Sektors verhängt worden. 2024 verhängte die irische Datenschutzbehörde Strafen von 310 Millionen Euro gegen Linked:in und 251 Millionen Euro gegen Meta. Die niederländische Datenschutzbehörde verhängte eine Geldstrafe in Höhe von 290 Millionen Euro über eine bekannte Ride-Hailing-App im Zusammenhang mit der Übermittlung personenbezogener Daten in ein Drittland.
2024 wurde jedoch die Verhängung von Strafen auch in anderen Sektoren, darunter Finanzdienstleistungen und Energie, deutlich ausgeweitet. So verhängte die spanische Datenschutzbehörde zwei Geldstrafen in Höhe von insgesamt 6,2 Millionen Euro gegen eine große Bank wegen unzureichender Sicherheitsmaßnahmen, und die italienische Datenschutzbehörde verhängte eine Geldstrafe von 5 Millionen Euro gegen einen Energieversorger aufgrund der Verwendung veralteter Kundendaten. Das Vereinigte Königreich galt im Jahr 2024 als Ausreißer und verzeichnete nur sehr wenige Geldbußen.
Die Anfänge der persönlichen Haftung
Der Schwerpunkt auf Governance und Aufsicht deckte immer wieder Versäumnisse auf, insbesondere Versäumnisse der Unternehmensleitung. Und das könnte in Zukunft Folgen haben: So hat die niederländische Datenschutzbehörde eine Prüfung angekündigt, ob die Geschäftsführer von Clearview AI persönlich für zahlreiche Verstöße gegen die DSGVO haftbar gemacht werden können, nachdem das Unternehmen zu 30,5 Millionen Euro verurteilt wurde.
Die Möglichkeit, die Geschäftsleitung von Clearview AI persönlich für fortgesetzte Versäumnisse des Unternehmens haftbar zu machen, signalisiere einen Wandel der Regulierungsbehörden hin zur Fokussierung auf die persönliche Haftung von Führungskräften, um die Einhaltung der Datenschutzbestimmungen zu stärken, analysiert DLA Piper.
Meldungen von Verletzungen des Schutzes personenbezogener Daten
Die durchschnittliche Anzahl der Unternehmensmeldungen von Verletzungen des Schutzes personenbezogener Daten pro Tag ist von 335 im letzten Jahr auf 363 leicht angestiegen; der leichte Aufwärtstrend der vergangenen Jahre setzte sich somit fort. Dies deutet laut DLA Piper darauf hin, dass Unternehmen angesichts des Risikos behördlicher Ermittlungen und der damit verbundenen Durchsetzung von Schadenersatzansprüchen, vorsichtiger geworden sind.
2024 gab es hinsichtlich der Gesamtzahl der gemeldeten Verletzungen des Schutzes personenbezogener Daten seit Inkrafttreten der DSGVO im Jahr 2018 an der Spitze der Rangliste kaum Veränderungen: Die Niederlande (33.471 Meldungen), Deutschland (27.829) und Polen (14.286) bleiben die Länder mit den höchsten Zahlen gemeldeter Verletzungen des Schutzes personenbezogener Daten. Österreich verzeichnete 1.282 Meldungen.
„Eine neue Ära der DSGVO-Durchsetzung“
Sabine Fehringer, Partnerin und Head of IPT bei DLA Piper in Österreich, kommentiert das Ergebnis der Studie: „Auch wenn im jüngsten Berichtszeitraum keine Rekorde gebrochen wurden, sind das Engagement und die Aktivität der europäischen Datenschutzbehörden ungebrochen. Vielmehr hat sich die Durchsetzung weiter diversifiziert – mit zunehmendem Fokus auf Sektoren abseits von Big Tech und Social Media. Die DSGVO bleibt ein dynamisches Feld und entwickelt sich weitgehend zur Richtschnur für die Regulierung von Künstlicher Intelligenz. Zudem weist die Möglichkeit, künftig auch Führungskräfte bei Datenschutzverletzungen persönlich haftbar zu machen, auf eine neue Ära in der DSGVO-Durchsetzung hin.“