[datensicherheit.de, 24.01.2025] Die irische Datenschutzbehörde bleibt mit 3,5 Milliarden Euro an verhängten DSGVO-Bußgeldern weiterhin der größte Durchsetzer in Europa – dies ist eine Erkenntnis aus der siebten Ausgabe des „GDPR Fines and Data Breach Survey“ der Wirtschaftskanzlei DLA Piper, welche ein weiteres „bedeutsames Jahr in der Durchsetzung des Datenschutzes“ beleuchtet habe. Mit europaweit verhängten Bußgeldern in Höhe von 1,2 Milliarden Euro im Jahr 2024 summierten sich die seit Inkrafttreten der DSGVO im Mai 2018 verhängten Strafen auf insgesamt 5,88 Milliarden Euro. Irland bleibe eben mit großem Abstand weiterhin der führende Durchsetzer mit Geldbußen – das höchste jemals nach der DSGVO verhängte Bußgeld sei weiterhin die Rekordahndung mit über 1,2 Milliarden Euro gegen Meta Platforms Ireland Limited im Jahr 2023.

Große Technologiekonzerne und Social-Media-Giganten Hauptziele für DSGVO-Rekordbußgelder

Die vorliegende Studie von DLA Piper weist demnach für den Zeitraum seit dem 28. Januar 2024 einen Rückgang von 33 Prozent gegenüber den DSGVO-Bußgeldern des Vorjahres aus: Der über sieben Jahre anhaltende Trend zunehmender Durchsetzung sei damit erstmals gebrochen worden. Gleichwohl bleibe die Tendenz über die Jahre steigend, denn der Rückgang 2024 sei fast ausschließlich auf die Rekordforderung von 1,2 Milliarden Euro gegenüber Meta im Jahr 2023 zurückzuführen gewesen – im Jahr 2024 habe es keine vergleichbare Rekordstrafe gegeben.

Große Technologiekonzerne und Social-Media-Giganten blieben die Hauptziele für Rekordbußgelder: Fast alle der zehn höchsten seit 2018 verhängten Geldbußen beträfen die sogenannte Tech-Branche, darunter in 2024 die von der irischen Datenschutzbehörde verhängten Bußgelder in Höhe von 310 Millionen Euro gegen LinkedIn und 251 Millionen Euro gegen Meta.

DSGVO-Durchsetzung hat sich 2024 auch auf weitere Branchen erstreckt

2024 habe sich die DSGVO-Durchsetzung auch auf weitere Branchen erstreckt, darunter Finanzdienstleistungen und Energie. „So verhängte die spanische Datenschutzbehörde zwei Bußgelder in Höhe von insgesamt 6,2 Millionen Euro gegen eine große Bank wegen unzureichender Sicherheitsmaßnahmen. Die italienische Datenschutzbehörde sprach ein Bußgeld über fünf Millionen Euro gegen einen Energieversorger für die Nutzung veralteter Kundendaten aus.“

Deutschland bleibe ebenfalls ein wichtiger Akteur bei der Durchsetzung europäischen Datenschutzrechts: Seit Inkrafttreten der DSGVO seien hierzulande Bußgelder im Gesamtvolumen von 89,1 Millionen Euro verhängt worden. Ein Fokus der deutschen Datenschutzbehörden liege dabei auf Verstößen gegen die Integrität und Vertraulichkeit sowie die Sicherheit der Datenverarbeitung.

DSGVO bleibt starkes Instrument – insbesondere auch in Deutschland

Dr. Jan Geert Meents, Partner der deutschen Praxisgruppe „Intellectual Property & Technology“ (IPT) bei DLA Piper, kommentiert die aktuelle Studie so: „Die diesjährigen Ergebnisse zeigen, dass die Datenschutzbehörden in Europa weiterhin eine klare Linie verfolgen. Der Rückgang des Gesamtvolumens der Bußgelder ist auf außergewöhnliche Ereignisse im Vorjahr zurückzuführen und bedeutet keine Abschwächung der regulatorischen Aktivitäten.“ Die DSGVO bleibe ein starkes Instrument, um den Datenschutz zu gewährleisten und die Einhaltung zu fördern. Dies gelte insbesondere auch für Deutschland.

Der verstärkte Fokus auf „Governance“ und Aufsicht habe zu mehreren Entscheidungen geführt, in denen Versäumnisse bei der Unternehmensleitung festgestellt worden seien. So habe die niederländische Datenschutzbehörde angekündigt, zu überprüfen, „ob die Geschäftsführer von Clearview AI persönlich für zahlreiche DSGVO-Verstöße haftbar gemacht werden können, nachdem ein Bußgeld in Höhe von 30,5 Millionen Euro gegen das Unternehmen verhängt wurde“. Diese Untersuchung könnte einen möglichen Wandel im Fokus der Regulierungsbehörden hin zu einer persönlichen Haftung und mehr individueller Verantwortlichkeit signalisieren.

Persönliche Haftung von Führungskräften markiert neue Phase in der DSGVO-Durchsetzung

„Die zunehmende Fokussierung auf die persönliche Haftung von Führungskräften markiert eine neue Phase in der DSGVO-Durchsetzung“, betont Verena Grentzenberg, Partnerin der Praxisgruppe IPT von DLA Piper in Deutschland mit Fokus auf Datenschutz. Dies setze ein klares Signal an Unternehmen, dass Verstöße gegen den Datenschutz nicht ohne Konsequenzen blieben – „auch nicht auf der Ebene der handelnden Personen!“.

Die durchschnittliche Anzahl der gemeldeten Datenschutzverletzungen pro Tag sei 2024 nur leicht auf 363 von 335 Meldungen im Vorjahr gestiegen. Dies entspreche dem Trend der Vorjahre und sei mutmaßlich darauf zurückzuführen, dass Unternehmen vorsichtiger geworden seien und angesichts des Risikos von behördlichen Ermittlungen, Geldbußen und möglichen Schadenersatzforderungen Datenschutzverletzungen eher meldeten.

DSGVO dient zunehmend auch als Leitplanke für neue Bereiche wie KI-Regulierung

Hinsichtlich der Gesamtzahl der gemeldeten Datenschutzverletzungen habe es seit Inkrafttreten der DSGVO und auch im jüngsten Berichtszeitraum kaum Veränderungen an der Spitze der Rangliste gegeben: Die Niederlande (33.471 Meldungen), Deutschland (27.829) und Polen (14.286) blieben die Länder mit den höchsten Zahlen gemeldeter Datenschutzverletzungen.

Jan Pohle, ebenfalls IPT-Partner mit Spezialisierung im Bereich Datenschutz, unterstreicht in seinem abschließenden Kommentar: „Auch wenn die diesjährige Umfrage keine neuen Rekorde zeigt, bedeutet das keineswegs, dass das Interesse oder die Aktivität der europäischen Datenschutzbehörden nachgelassen haben.“ Im Gegenteil: Die Durchsetzung habe sich weiterentwickelt, mit wachsender Regulierung in Sektoren außerhalb von „Big Tech“ und Sozialen Medien. „Die DSGVO dient zudem zunehmend als Leitplanke für neue Bereiche wie die KI-Regulierung und Grundlage für die Durchsetzung von Datenschutz im Zusammenhang mit KI“, so Pohle.

Weitere Informationen zum Thema:

DLA PIPER, Ross McKean & John Magee & Rachel de Souza
DLA Piper GDPR Fines and Data Breach Survey: January 2025

[datensicherheit.de, 09.02.2019] LogRhythm kommentiert die aktuelle Meldung über fast 60.000 Datenverstöße seit Inkrafttreten der DSGVO. Die Rechtsanwaltskanzlei DLA Piper hat Anfang Februar 2019 ihre „GDPR Data Breach“-Studie veröffentlicht, welche Details zu den gemeldeten Datenverstößen in der EU seit Inkrafttreten der DSGVO im Mai 2018 aufführt – Deutschland liegt demnach bei etwa 12.600 Verstößen.

Nichts mehr unter den Teppich zu kehren…

„Dieser Bericht zeigt das Ausmaß der heutigen Bedrohungslandschaft auf. Tatsache ist, dass fast 60.000 Datenverstöße in acht Monaten extrem hoch klingen, das ist aber nicht unbedingt überraschend. Das, was die DSGVO bewirkt hat, ist, alle Datenschutzverletzungen an die Oberfläche zu bringen“, so Ross Brewer, „Vice President“ und „Managing Director EMEA“ bei LogRhythm.
Unternehmen könnten sie „nicht mehr unter den Teppich kehren“, in der Hoffnung, dass niemand davon erfahren wird – die Drohung einer Geldstrafe von 20 Millionen Euro oder vier Prozent des Jahresumsatzes sei „mehr als genug“ für Unternehmen, um aufmerksam zu werden.

Gemeldete Verstöße: Aufsichtsbehörden holen Rückstand auf

Brewer: „Worauf Unternehmen sich nicht zu sehr konzentrieren sollten, ist die Anzahl der verhängten Geldstrafen. Dem Bericht zufolge wurden nämlich seit der Umsetzung der Vorschriften weniger als 100 Strafen verhängt. Es zeigt sich jedoch auch, dass die Aufsichtsbehörden den Rückstand an gemeldeten Verstößen aufholen.“
Die Anzahl möge zwar niedrig erscheinen, sei aber „wahrscheinlich keine reelle Darstellung derjenigen Unternehmen, die noch gemaßregelt werden“. Da das „DSGVO-Jubiläum“ immer näher rückt, bestehe „eine hohe Wahrscheinlichkeit, dass die Aufsichtsbehörden ihre volle Kraft entfalten werden, wenn sie bestehende und zukünftige Verstöße gesichtet haben“.

Warnung an Unternehmen vor Selbstgefälligkeit

„Wichtig ist, dass Unternehmen nicht selbstgefällig werden. Die Bestimmungen der DSGVO wurden zur Verbesserung des Datenschutzes durchgesetzt, und die Regulierungsbehörden kennen keine Skrupel, diejenigen zu sanktionieren, die sich nicht daran halten“, warnt Brewer.
Hacker wendeten immer raffiniertere Taktiken an und würden von Tag zu Tag hartnäckiger. Unternehmen müssten, wenn sie es nicht bereits tun, sicherstellen, dass sie vollständig vorbereitet sind. Nur durch die „Verwendung der richtigen Anbieter und die Investition in die richtige Technologie“, die effektiv mit der Bedrohungslandschaft Schritt halten kann, würden Unternehmen in der Lage sein, Bedrohungen so schnell wie möglich zu erkennen und abzumildern und den Ärger mit den Aufsichtsbehörden zu vermeiden.

Weitere Informationen zum Thema:

DLA PIPER, 05.02.2019
Over 59,000 personal data breaches reported across Europe since introduction of GDPR, according to DLA Piper survey

DLA PIPER, Februar 2019
Download the full DLA Piper GDPR data breach survey: February 2019

datensicherheit.de, 27.01.2019
13. Europäischer Datenschutztag: DSGVO gilt es besser zu machen

datensicherheit.de, 24.01.2019
Rekordstrafe für Google nach DSGVO-Verstoß: Warnung für andere Unternehmen

[datensicherheit.de, 27.01.2017] DLA Piper hat einen Report veröffentlicht, der nach eigenen Angaben zeigt, dass viele Unternehmen die Anforderungen globaler Datenschutzgrundsätze noch nicht in vollem Umfang umgesetzt haben. Insbesondere scheine es, dass einige Unternehmen die Voraussetzungen der Datenschutzbestimmungen nach der Allgemeinen Datenschutzverordnung (DS-GVO) bisher nicht erfüllten.

Datenschutz: Umsetzungsgrad zu gering

Bei den mehr als 250 Unternehmen, die 2016 an der „Data Privacy Scorebox Online-Studie“ von DLA Piper teilgenommen hätten, habe die durchschnittliche Umsetzungsquote in Bezug auf die wesentlichen internationalen Datenschutzgrundsätze 38,3 Prozent betragen – größere Unternehmen berichteten von einem durchschnittlich höheren Datenschutzniveau als kleinere Unternehmen (39 gegenüber 33,5 Prozent).
Obwohl sich Unternehmen der zukünftigen Datenschutzanforderungen zumeist bewusst seien, sei der Umsetzungsgrad im Hinblick auf die neuen Standards bisher noch zu gering. Unternehmen, die den Anforderungen der DS-GVO nach dem 25. Mai 2018 nicht entsprechen, könnten mit Geldstrafen von bis zu vier Prozent ihres jährlichen Gesamtumsatzes belegt werden.

„Data Privacy Scorebox Online-Studie“ im Januar 2016 gestartet

Der Report, im Vorfeld des Internationalen Datenschutztages am 28. Januar veröffentlicht, basiere auf den mehr als 250 Antworten auf die „Data Privacy Scorebox Online-Studie“ von DLA Piper, die im Januar 2016 gestartet worden sei.
DLA Piper habe die „Scorebox“ in Betrieb genommen, um Unternehmen weltweit dabei zu unterstützen, den Stand ihres aktuellen Datenschutzniveaus im Vergleich zu anderen Unternehmen der eigenen Branche einzuschätzen.
Den Umfrageteilnehmern würden hierzu mehrere Fragen zur Speicherung von Daten, der Nutzung von Daten und zu Rechten der Kunden gestellt, und sie erhielten einen Bericht auf Grundlage eines prozentualen Bewertungssystems sowie Empfehlungen.

Viele Unternehmen mit Nachholbedarf beim Datenschutz

„Die Antworten zeigen, dass viele Unternehmen noch Nachholbedarf in punkto Datenschutz-Maßnahmen haben. Alle in Europa tätigen Unternehmen werden deutliche Verbesserungen ihres Ergebnisses bis Mai 2018 erreichen müssen, wenn sie potenzielle hohe Geldbußen gemäß der DS-GVO vermeiden wollen, geschweige denn erhebliche Rufschädigung, da die Menschen sich zunehmend ihrer Rechte in diesem Bereich bewusst werden“, erläutert Verena Grentzenberg, „Counsel“ in der deutschen Datenschutz-Praxis von DLA Piper.
Da bei immer mehr Unternehmen Daten eine zentrale Rolle einnähmen, werde Datenschutz zu einem immer wichtigeren Thema. Es sei unerlässlich, dass Unternehmen jetzt in Strategien und Verfahren investierten, die sie benötigen, um ihren Verpflichtungen nachzukommen.

Weitere Informationen zum Thema:

DLA PIPER
DATA PRIVACY SCOREBOX

datensicherheit.de, 05.12.2012
facebook und Grundsatzfragen zum Datenschutz: Reden ist Silber, aber Schweigen gefällt mir

datensicherheit.de, 08.11.2011
Globaler Datenschutz – Stiefkind der Regierungen