2025: DSGVO-Strafen durchbrechen 5-Milliarden-Grenze

Das Jahr neigt sich dem Ende zu – und mit ihm eine Rekord-Ära der Datenschutz-Durchsetzung in Europa. Über 5,65 Milliarden Euro an DSGVO-Bußgeldern, verschärfte Plattform-Haftung und ein klares Signal: Die Schonzeit ist vorbei.

Während Tech-Giganten mit Mega-Strafen konfrontiert werden, zeigt eine neue Rechtsanalyse einen fundamentalen Wandel: Plattformen müssen künftig nicht nur gemeldete Inhalte löschen, sondern aktiv verhindern, dass sie erneut hochgeladen werden. Parallel dazu verhängten französische und spanische Behörden Ende November weitere Sanktionen – von Cookie-Verstößen bis zu Datenpannen bleibt nichts ungestraft.

Die irische Datenschutzbehörde setzte im Mai 2025 ein Ausrufezeichen: 530 Millionen Euro Strafe gegen TikTok. Der bislang größte Einzelfall des Jahres richtete sich gegen den Umgang mit Kinderdaten und mangelnde Transparenz bei Datentransfers nach China.

Laut dem CMS GDPR Enforcement Tracker Report erreichte die kumulative Summe aller DSGVO-Bußgelder bis März 2025 bereits 5,65 Milliarden Euro – verteilt auf über 2.245 Einzelfälle seit Inkrafttreten der Verordnung. Branchenexperten bewerten die TikTok-Entscheidung als Wendepunkt: Europäische Aufsichtsbehörden scheuen nicht länger vor Höchststrafen für systemische Verstöße zurück.

Warum 73% der deutschen Unternehmen auf Cyberangriffe nicht vorbereitet sind – und was das für Bußgelder und Datenpannen bedeutet. Das kostenlose E‑Book liefert praxisorientierte Schutzmaßnahmen, zeigt, welche technischen Kontrollen bei Aufsichtsbehörden besonders geprüft werden, und erklärt, wie Sie IT- und Compliance-Abläufe schnell verbessern. Mit Checklisten und Handlungsempfehlungen, die sich sofort umsetzen lassen. Jetzt kostenlosen Cyber-Security-Guide sichern

Die Strafe etablierte zudem neue Maßstäbe für Altersverifikation und grenzüberschreitende Datenflüsse – Standards, die weit über TikTok hinaus Wirkung entfalten dürften.

Von “Notice-and-Takedown” zu “Stay-Down”

Während Milliardenstrafen Schlagzeilen machen, vollzieht sich im Hintergrund eine rechtliche Verschiebung mit möglicherweise größerer Tragweite. Am 1. Dezember veröffentlichte die Kanzlei MLL Legal eine Analyse zur wachsenden “Stay-Down”-Verpflichtung digitaler Plattformen.

Bisher galt: Plattformen haften erst, wenn sie nach Meldung rechtswidrige Inhalte nicht entfernen. Doch Gerichte und Regulierer erwarten zunehmend mehr – nämlich proaktive Maßnahmen gegen erneutes Hochladen identischer oder ähnlicher Inhalte.

Was bedeutet das konkret? Hosting-Anbieter und soziale Netzwerke müssen fortschrittliche Content-Erkennungstechnologien implementieren. Wer nur auf Einzelmeldungen reagiert, könnte künftig trotzdem haften – selbst bei schneller Reaktion. Die Risikoprofile für nutzergenerierte Inhalte verändern sich fundamental.

Frankreich und Spanien verschärfen den Kurs

Condé Nast: 750.000 Euro für Cookie-Tricks

Die französische Datenschutzbehörde CNIL verhängte am 20. November eine Strafe von 750.000 Euro gegen Les Publications Condé Nast, den Herausgeber der französischen Vanity Fair. Die Beschwerde stammte von der Datenschutzorganisation noyb.

Der Vorwurf: Die Website setzte Cookies, bevor Nutzer ihre Zustimmung gaben. Zudem kritisierte die CNIL, dass der “Alles ablehnen”-Button deutlich schwerer zu finden war als die Akzeptieren-Option – ein klassisches “Dark Pattern”. Die Botschaft ist eindeutig: Consent muss einfach sein, oder es wird teuer.

Stratesys: Sicherheitslücke kostet 60.000 Euro

Zeitgleich demonstrierte die spanische AEPD ihre bekannte Aktivität. Die Technologieberatung Stratesys erhielt 60.000 Euro Strafe nach einer Datenpanne. Grund: unzureichende technische und organisatorische Maßnahmen zur Datensicherheit.

Auch wenn der Betrag verglichen mit Tech-Riesen moderat ausfällt – die Entscheidung unterstreicht: Die AEPD bleibt Europas aktivste Aufsicht nach Fallzahl. Unternehmensgröße schützt nicht vor Konsequenzen.

Die Zange schließt sich

Diese Entwicklungen ereignen sich vor dem Hintergrund hitziger Debatten über Metas “Pay or Consent”-Modell. Darf ein kostenpflichtiges, werbefreies Abo als Alternative zum Tracking gelten – oder hebelt das die Freiwilligkeit der Einwilligung aus?

Die CNIL-Entscheidung gegen Condé Nast liefert klare Antworten: Consent muss granular, leicht widerrufbar und vor jeder Datenverarbeitung eingeholt werden. Neue Geschäftsmodelle ändern nichts an den Grundprinzipien.

Rechtsexperten sprechen von einer “Zangenbewegung”: Unternehmen müssen einerseits proaktiver Inhalte überwachen, andererseits transparenter und zurückhaltender beim Nutzer-Tracking agieren. Der Spielraum für bequeme Lösungen schrumpft rapide.

Was 2026 bringt

Für das kommende Jahr steht die Umstellung auf das IAB Transparency and Consent Framework (TCF) v2.3 an – ein Versuch, identifizierte Compliance-Lücken zu schließen. Parallel dazu dürfte das Zusammenspiel zwischen DSGVO und Digital Services Act (DSA) Konturen annehmen und die “Stay-Down”-Pflichten europaweit vereinheitlichen.

Die Bilanz von 2025 ist unmissverständlich: Mit über fünf Milliarden Euro Bußgeldern und einer Haftung, die sich vom Reagieren zum Vorbeugen verschiebt, ist Datenschutz längst kein IT-Thema mehr. Es ist ein operatives Risiko, das kontinuierliche Aufmerksamkeit auf Vorstandsebene erfordert.

PS: Datenpannen und mangelnde IT-Sicherheit stehen oft am Anfang teurer DSGVO-Strafen. Unser Gratis-E-Book zeigt konkrete Sofortmaßnahmen — von Risikobewertung bis zum Incident-Response-Plan — und wie Sie Ihr Unternehmen ohne große Investitionen besser schützen. Für Datenschutzbeauftragte und Vorstände besonders nützlich. Gratis Cyber-Security-Leitfaden herunterladen