IT & Sanktionen. Die neue DLA Piper-Studie zu Datenschutz-Verstößen zeigt einen deutlichen Anstieg bei den Vorfällen. Die Strafen erreichen erneut rund 1,2 Mrd. Euro.
Wirtschaftskanzlei DLA Piper hat ihre jährliche Studie zu Geldstrafen wegen Verstößen gegen die Datenschutz-Grundverordnung (DSGVO) veröffentlicht. Demnach verhängten die europäischen Aufsichtsbehörden im Jahr 2025 erneut rund 1,2 Milliarden Euro an Strafen – nahezu gleich zum Vorjahr.
Besonders auffallend ist laut Aussendung der global tätigen Anwaltskanzlei der Anstieg der täglich gemeldeten Datenschutzverletzungen um 22 Prozent auf mittlerweile durchschnittlich 443 Meldungen pro Tag. Österreich belegt demnach mit knapp 45 Millionen Euro an Strafen Rang 9 sowie mit 1.695 gemeldeten Datenschutzverletzungen Rang 13 im europäischen Vergleich.
„Konstant hohes Strafmaß“
Die 8. Ausgabe des „DLA Piper GDPR Fines and Data Breach Survey“ zeige, dass das Durchsetzungsniveau der europäischen Datenschutzbehörden auch 2025 unverändert hoch bleibt: Zwar gab es keinen Anstieg, doch das konstant hohe Strafmaß verdeutlicht, dass die Datenschutzbehörden trotz Kritik von außerhalb der EU weiterhin entschlossen sind, erhebliche Geldbußen zu verhängen, heißt es dazu. Die kumulierten Geldstrafen seit Inkrafttreten der DSGVO am 25. Mai 2018 belaufen sich auf 7,1 Milliarden Euro.
Irland führt erneut die Durchsetzungsstatistik an: Die irische Datenschutzkommission hat seit Mai 2018 insgesamt 4,04 Milliarden Euro an Bußgeldern verhängt. Zudem sprach sie im April 2025 die höchste Einzelstrafe des Jahres aus: 530 Millionen Euro gegen ein Social-Media-Unternehmen aufgrund von Verstößen gegen die DSGVO im Zusammenhang mit internationalen Datenübermittlungen.
Meta hält weiterhin den Rekord
Wie in den Vorjahren waren große Technologie- und Social-Media-Unternehmen am häufigsten betroffen: Neun der zehn höchsten DSGVO-Bußgelder wurden gegen Unternehmen dieser Branche verhängt. Die bislang höchste verhängte Strafe bleibt jene von 1,2 Milliarden Euro, die 2023 gegen Meta Platforms Ireland Limited (Facebook) ausgesprochen wurde.
Seit 28. Jänner 2025 stieg die durchschnittliche Zahl der täglich gemeldeten Datenschutzverletzungen um 22 Prozent – von 363 Verletzungen im Vorjahr auf 443. Damit wurde erstmals seit 2018 wieder die Marke von 400 überschritten. Zwar lassen die Daten keine eindeutigen Rückschlüsse auf die Ursachen zu, es liege jedoch nahe, dass steigende geopolitische Spannungen, neue Technologien, die Cyberangriffe begünstigen, sowie zahlreiche neue Gesetze einschließlich erweiterter Meldepflichten zu diesem signifikanten Anstieg beitragen, heißt es dazu.
Eine neue Ära an Cyberbedrohungen
Geopolitische Spannungen, immer weiter entwickelte KI-gestützte Angreifer und zahlreiche prominente Cybervorfälle führten laut Bericht zu einem nie dagewesenen Cyberbedrohungsniveau. Für Unternehmen bedeutet dies, Sicherheit und operative Resilienz stärker zu priorisieren. Bei den gemeldeten Datenschutzverletzungen führen erneut die Niederlande, Deutschland und Polen die Statistik an. Österreich belegt Platz 9 im europäischen Vergleich.
Erweiterter Fokus der Aufsichtsbehörden
Während Big Tech weiterhin die höchsten Geldstrafen erhält, geraten zunehmend weitere Branchen ins Visier – darunter Finanzdienstleistungsunternehmen, Telekommunikationsanbieter, Energieversorger und IT-Dienstleistungsunternehmen. Zudem wurde erstmals eine hohe Geldstrafe für einen Datentransfer in ein Nicht-US-Drittland verhängt: Die irische Datenschutzbehörde sanktionierte ein Social-Media-Unternehmen mit 530 Millionen Euro, da es keinen im Wesentlichen gleichwertigen Schutz beim Transfer personenbezogener Daten nach China gewährleisten konnte.
Dies zeige, dass sich die Behörden nicht nur auf die USA fokussieren, sondern Drittlandsübermittlungen global prüfen. Schwerpunkte der Behörden bleiben Rechtmäßigkeit, Fairness und Transparenz, Sicherheit personenbezogener Daten sowie technische und organisatorische Schutzmaßnahmen.
Sicherheit der Verarbeitung personenbezogener Daten
Angesichts des deutlichen Anstiegs der gemeldeten Datenschutzverletzungen und zahlreicher globaler Cyberangriffe verwundere es nicht, dass Geldstrafen aufgrund von Verstößen gegen das DSGVO-Integritäts- und Vertraulichkeitsprinzip (Sicherheitsprinzip) weiterhin in allen untersuchten Ländern eine zentrale Rolle spielen. Die Sicherheit in der Lieferkette rückt dabei zunehmend in den Fokus der Aufsichtsbehörden. Sie erwarten robuste Sicherheitsmaßnahmen – sowohl von Verantwortlichen als auch von Auftragsverarbeitern. Letztere wurden 2025 mehrfach direkt mit hohen Strafen belegt.
„Bedrohung in bislang unerreichtem Ausmaß“
Neben behördlichen Sanktionen steigt auch das Risiko zivilrechtlicher Schadenersatzforderungen. 2025 brachten mehrere EuGH- und europäische Gerichtsurteile wichtige Weichenstellungen, insbesondere für immaterielle Schäden. Sabine Fehringer, Partnerin und Head of IPT bei DLA Piper Österreich: „Unsere Studie zeigt, dass das Cyberbedrohungsniveau ein bislang unerreichtes Ausmaß erreicht hat. Der beachtliche Anstieg der Datenschutzverletzungen verdeutlicht die unmittelbaren Auswirkungen geopolitischer Spannungen und prominenter Cyberangriffe auf Unternehmen. Dieser Trend ist ein ernstes Warnsignal.“
Angesichts neuer Cybersicherheitsgesetze, die teils persönliche Haftung für Führungskräfte vorsehen, appelliert Fehringer an Unternehmen, „ihre Cyberabwehr und Resilienz dringend zu stärken. Die konstant hohen DSGVO-Strafen belegen, dass die Aufsichtsbehörden weiterhin sehr aktiv bleiben – insbesondere in den Bereichen Informationssicherheit, internationale Datentransfers, Transparenz und Künstliche Intelligenz.“
Zur Studie
Die Auswertung basiert laut DLA Piper auf den öffentlich verfügbaren Meldedaten europäischer Datenschutzbehörden. Da nicht alle Länder vollständige oder ganzjährige Zahlen bereitstellen, wurden fehlende Zeiträume mithilfe von täglichen Durchschnittswerten auf den gesamten Berichtszeitraum bis 27.1.2026 hochgerechnet.
In Fällen, in denen inzwischen vollständigere oder präzisere Daten vorliegen, wurden die Zahlen gegenüber früheren Ausgaben des Berichts aktualisiert. Unterschiede im Länderranking können zudem auf geänderte Meldeverfahren einzelner Aufsichtsbehörden zurückzuführen sein. Länder, die keine öffentlich zugänglichen Informationen bereitstellen, hat die Studie nicht berücksichtigt.
Eins fehlt noch: Der Newsletter von Extrajournal.Net
Einfach E-Mail eintragen und die weitere Entwicklung verfolgen.
Zu diesem Thema:
