Datenschutztag: Nur 1,3 % der Fälle vor EU-Behörden führen zu Geldstrafe

Das Inkrafttreten der DSGVO im Jahr 2018 läutete eine neue Ära des Datenschutzes in der EU ein. Zumindest auf dem Papier. Verbraucher:innen erhielten die nötigen Mittel, um ihre Grundrechte einzufordern, während Behörden umfangreiche Ermittlungsbefugnisse erhielten. Eine davon: Die Verhängung hoher Geldstrafen. Fast sieben Jahre später ist die Realität leider deutlich ernüchternder. Anlässlich des diesjährigen Datenschutztages am 28. Januar, hat noyb aktuelle EDSA-Statistiken über die (Un-)Tätigkeit der nationalen Datenschutzbehörden analysiert. Die Daten zeigen, dass im Durchschnitt nur 1,3% aller Fälle vor den Datenschutzbehörden zu einer Geldstrafe führen. Laut Datenschutzexperten sind Geldstrafen jedoch das wirksamste Mittel, um Unternehmen zur Einhaltung der Gesetze zu bewegen.

Data Protection Day 2025

Strenge Durchsetzung der DSGVO nur auf dem Papier. Als die Datenschutz-Grundverordnung (DSGVO) im Mai 2018 in Kraft trat, versprach sie eine Wende hin zu einem ernsthaften Umgang mit Datenschutz. Von Datenschutzverletzungen betroffene Europäer:innen erhielten die notwendigen Instrumente, um sich bei ihren nationalen Datenschutzbehörden zu beschweren, diese wurden wiederum mit weitreichenden Befugnissen ausgestattet, um Verstöße zu untersuchen und Geldbußen zu verhängen. Leider haben die letzten 7 Jahre gezeigt, dass dies größtenteils Wunschdenken war. Eine noyb-Analyse von EDSA-Daten über die Tätigkeit der Behörden zwischen 2018 und 2023 belegt dies: Im Durchschnitt führen nur 1,3% der Fälle vor den Datenschutzbehörden tatsächlich zu einer Geldstrafe. Dies deckt sich mit unseren eigenen Erfahrungen: Die meisten unserer Fälle ziehen sich über mehrere Jahre hin, bevor sie mit einem Vergleich abgeschlossen oder ganz verworfen werden.

Max Schrems: "Die europäischen Datenschutzbehörden haben alle erforderlichen Mittel, um DSGVO-Verstöße angemessen zu ahnden und Bußgelder zu verhängen. Stattdessen ziehen sich die Verhandlungen oft über Jahre hinweg in die Länge und enden nur selten im Sinne der Betroffenen."

Kein wirklich positives Beispiel. Einige Datenschutzbehörden scheinen zwar weitaus höhere Strafen zu verhängen als andere, insgesamt liegen die Zahlen jedoch alle im einstelligen Prozentbereich oder sogar darunter. Mit Strafen in 6,84% aller Fälle (Beschwerden und selbst initiierte Verfahren) zwischen 2018 und 2023 führt die slowakische Datenschutzbehörde die Statistik an. Es folgen Bulgarien (4,19 %), Zypern (3,12 %), Griechenland (2,65 %) und Kroatien (2,54 %). Am anderen Ende des Spektrums hat die niederländische Behörde in 0,03 % (!) aller Fälle eine Strafe verhängt, dicht gefolgt von Frankreich (0,10 %), Polen (0,18 %), Finnland (0,21 %), Schweden (0,25 %) und natürlich Irland (0,26 %). Die übrigen Länder liegen irgendwo dazwischen.

Klicke hier für die interaktive Version der unten zu sehenden Europakarte.

Map showcasing DPA activity across Europe

Klicke hier für die interaktive Version der oben zu sehenden Europakarte.

Ein datenschutzspezifisches Phänomen. Dieser offensichtliche Mangel an ernsthaften Konsequenzen scheint ein spezifisches Phänomen des Datenschutzes zu sein. Nehmen wir Spanien als Beispiel: Im Jahr 2022 gingen bei der spanischen Datenschutzbehörde 15.128 Beschwerden ein, aber es wurden nur 378 Geldstrafen verhängt. Statistisch gesehen wurden also lediglich 2,5% aller Beschwerden mit einer Geldstrafe geahndet. Dies schließt offensichtliche Verstöße wie unbeantwortete Auskunftsersuchen oder unzulässige Cookie-Banner ein, die theoretisch schnell und standardisiert behandelt werden könnten. Zum Vergleich: 2022 wurden in Spanien 3,7 Millionen Strafzettel für Geschwindigkeitsübertretungen ausgestellt (exklusive Baskenland und Katalonien). Ein ähnlicher Vergleich lässt sich für praktisch alle anderen EU-Mitgliedstaaten anstellen.

Max Schrems: "Irgendwie fehlt nur Datenschutzbehörden die notwendige Motivation, das ihnen anvertraute Recht auch tatsächlich durchzusetzen. In allen anderen Bereichen führen Gesetzesverstöße regelmäßig zu Geldstrafen und ernsthaften Sanktionen. Derzeit scheinen die Datenschutzbehörden oft eher im Interesse der Unternehmen als der betroffenen Personen."

Die Daten zeigen: mehr Strafen = mehr Gesetzestreue. Diese Zahlen sind zwar wenig überraschend, aber dennoch alarmierend. Eine noyb-Umfrage unter Datenschutzexpert:innen zeigt, dass es gerade Geldbußen sind, die die Unternehmen zur Einhaltung der Gesetze motivieren. Auf die Frage nach den wirksamsten Durchsetzungsmaßnahmen gaben 67,4 % der Befragten an, dass Entscheidungen der Datenschutzbehörde, die ihr eigenes Unternehmen betreffen und eine Geldstrafe beinhalten zu mehr Compliance führen. Interessanterweise gaben 61,5 % der Befragten außerdem an, dass selbst Bußgelder gegen andere Organisationen Einfluss auf das eigene Unternehmen haben.

Klicke hier für die interaktive Version der unten zu sehenden Tabelle.

Graph showcasing the average number of fines and complaints/year

Klicke hier für die interaktive Version der oben zu sehenden Tabelle.

Die verhängten Geldstrafen sind eine Farce. Schaut man sich die Höhe der jährlich verhängten Geldstrafen genauer an, wird das Problem noch deutlicher. Irland (475.902.000 € durchschnittlicher Strafbetrag/Jahr) und Luxemburg (124.395.729 € durchschnittlicher Strafbetrag/Jahr) führen die Statistik zwischen 2018 und 2023 mit Abstand an. Auf den ersten Blick mag das nach viel Geld klingen, ist es aber nicht. Fast alle großen Tech-Unternehmen wie Apple, Google, Meta und Microsoft haben ihren Sitz in Irland. Das macht die irische DPC zur federführenden Behörde für einige der größten Beschwerden überhaupt. Luxemburg hingegen ist für Unternehmen wie Amazon zuständig. In Wirklichkeit muss die DPC zu ihrem eigenen Glück gezwungen werden. Die zwei größten noyb-Fälle gegen Meta mussten erst einen Umweg über den Europäischen Datenschutzausschuss (EDSA) nehmen, bevor die DPC schließlich eine Geldstrafe von insgesamt fast 1,6 Milliarden Euro verhängte. Zieht man diese Strafe von der Gesamtsumme ab, bleibt nicht mehr viel übrig.

Mehr Budget, mehr Entscheidungen? Einige Behörden argumentieren außerdem, dass sie nur mehr Budget und Ressourcen bräuchten, um mehr raschere und wirkungsvollere Entscheidungen treffen zu können. Ein Blick auf die EDSA-Statistiken zeigt, dass das Budget der Behörden zwischen 2020 und 2024 um bis zu 130% gestiegen ist. Die niederländische Behörde beispielsweise verzeichnete innerhalb von vier Jahren einen Haushaltsanstieg von 62 % - ohne dass die Zahl der verhängten Bußgelder wesentlich gestiegen wäre. Zur Veranschaulichung: Im Jahr 2023 verfügte die niederländische Datenschutzbehörde über ein Budget von fast 37 Millionen Euro, verhängte aber nur Geldbußen in Höhe von €1,98 Millionen. Dies entspricht einer Differenz von fast €35 Millionen., die eine große Lücke im Staatshaushalt hinterlassen. Dieser Betrag könnte leicht durch eine strengere Durchsetzung ausgeglichen werden. DSGVO-Strafen gehen immerhin an den Staat der federführenden Behörde.

Klicke hier für die interaktive Version der unten zu sehenden Tabelle.

Graph showing DPA budget in relation to fines in 2023

Klicke hier für die interaktive Version der oben zu sehenden Tabelle.

Fast 40 % aller Strafen dank noyb. Dieses Muster zieht sich durch die gesamte EU: Zwischen 2018 und 2023 verhängten alle EU-Datenschutzbehörden Strafgelder in Höhe von insgesamt 4,29 Milliarden Euro – von denen €1,69 Milliarden auf noyb-Verfahren basieren. Mit anderen Worten: Fast 40 % aller DSGVO-Strafen gehen auf noyb zurück. In Wirklichkeit scheint es also eher am politischen Willen als an den Handlungsmöglichkeiten zu mangeln, Tech-Giganten die Stirn zu bieten.