Nur 1,3 % der Datenschutzvorfälle führen zu Bußgeldern

Zum diesjährigen Datenschutztag am 28.01.2025 hat die Datenschutzorganisation noyb Statistiken des Europäischen Datenschutzausschusses (EDSA) – insbesondere zu Geldbußen – ausgewertet. Besonders bemerkenswert: Nur 1,3 % der Datenschutzfälle, die EU-Aufsichtsbehörden untersuchten, sollen zu Bußgeldern führen. Das Ergebnis überrascht, vor allem vor dem Hintergrund, dass Geldstrafen eins der wirksamsten Mittel gegen Rechtsverstöße sein soll.

Erwartungen an die DSGVO und die Realität

Die Datenschutzgrundverordnung (DSGVO) wurde 2018 mit großen Erwartungen eingeführt. Sie sollte den Datenschutz in der EU grundlegend verbessern. Während Verbraucher mit entsprechenden Betroffenenrechten ausgestattet wurden, sollten Unternehmen durch hohe Geldbußen zur Einhaltung der Vorschriften bewegt werden. Dafür räumt die DSGVO den nationalen Datenschutzbehörden weitreichende Befugnisse ein.

Die Durchsetzung der DSGVO ist jedoch laut noyb schwach, Verfahren ziehen sich in die Länge und effektive Sanktionen bleiben oft aus. Insofern verfügten Aufsichtsbehörden zwar über effektive Mittel, setzten diese aber nicht wirksam ein, um zukünftige Verstöße zu verhindern. Manche nationalen Aufsichtsbehörden versuchen sogar, für Tech-Giganten den Rechtsrahmen auszudehnen. So musste beispielsweise bei den zwei größten Datenschutzklagen von noyb gegen Meta zunächst der EDSA eingeschaltet werden, bis die irische Datenschutzbehörde endlich ein Bußgeld verhängte. Das Europäische Gericht (EuG) entschied aber kürzlich wenigstens, dass der EDSA in entsprechenden Fällen Anweisungen erteilen darf.

Erschreckend niedrige Sanktionsquote

Laut den von noyb analysierten EDSA-Zahlen führen nur 1,3 % der Datenschutzfälle, die EU-Aufsichtsbehörden untersuchten, zu Bußgeldern. Entsprechendes stelle noyb auch im Praxisalltag selbst fest. Insgesamt liegen die Zahlen, die aus den Jahren 2018 bis 2023 stammen, laut der Pressemitteilung „alle im einstelligen Prozentbereich“ und darunter.

Dabei gäbe es jedoch wesentliche Unterschiede abhängig von der Behörde. Besonders deutlich sei das Problem in Ländern wie den Niederlanden (0,03 %), Frankreich (0,10 %), Polen (0,18 %), Finnland (0,21 %), Schweden (0,25 %) und, was noyb nicht überrascht, Irland (0,26 %). Selbst die “strengsten” Behörden, etwa in der Slowakei (6,84 %) oder Bulgarien (4,19 %), verhängen in einem vergleichsweise kleinen Anteil der Fälle eine Strafe. Deutschland liegt mit 1,26 % eher im Mittelfeld.

Hinzu komme, dass die Bußgelder erschreckend niedrig seien. Obwohl einige der größten Tech-Konzerne beispielsweise der irischen Datenschutzbehörde unterliegen würde, habe diese leidlich eine jährliche durchschnittliche Bußgeldsumme in den Jahren von 2018 bis 2023 von 475.902.000 Euro verhängt. Ziehe man die 1.6 Milliarden Euro ab, die mit Hilfe von noyb in diesen Jahren gegen Meta erlangt wurden, bleibe für Apple, Google und Microsoft nicht mehr viel übrig.

Zuletzt komme hinzu, dass gesehen auf die Bußgeldhöhe fast 40 % der von allen EU-Datenschutzaufsichtsbehörden verhängten Strafen, auf Aktivitäten von noyb beruhen. Ohne den Antrieb durch Bürgerrechtsorganisationen sähe die Lage also noch viel schlechter aus.

Bußgelder als effektives Mittel

Und dass obwohl laut einer noyb-Umfrage herausgekommen sei, dass 67,4 % der befragten Unternehmen selbst angegeben hätte, dass die effektivste Maßnahme zur Verbesserung der Rechtsbefolgung das Verhängen von Bußgeldern gegen ihr Unternehmen sei. Selbst Bußgelder gegen andere Unternehmen könnte die Entscheidungsprozesse enorm beeinflussen.

Unfähigkeit der Behörden

Max Schrems, Gründer von noyb, begreift gerade deshalb nicht, weshalb Datenschutzbehörden die Fälle nicht ordnungsgemäß sanktionieren würden. Dies sei regelmäßig – etwa bei der Missachtung von Auskunftsanfragen und ordnungswidrigen Cookie-Bannern – sogar mittels standardisierter Verfahren möglich. Bei der Strafzettelerteilung wegen Geschwindigkeitsüberschreitung gäbe es in EU-Mitgliedsstaaten auch keine vergleichbaren Missstände. Schrems wirft deshalb den Aufsichtsbehörden vor, „eher im Interesse der Unternehmen als im Interesse der betroffenen Menschen zu handeln“.

Zudem könne die Unfähigkeit der Datenschutzbehörden auch nicht zwangsläufig durch Ressourcenmangel wegerklärt werden, denn diese seien zwischen 2020 und 2024 um bis zu 130 % gestiegen. Beispielsweise habe es für die niederländische Aufsichtsbehörde eine Anhebung um 62 % gegeben, wobei die verhängten Bußgelder nicht maßgeblich gestiegen seien. In Deutschland gäbe es etwa ein Budget von über 120 Millionen Euro für den Datenschutz. Bußgelder seien jedoch nur in Höhe von etwas mehr als 6 Millionen Euro verhängt worden. Da lohnt es sich zumindest zu fragen, ob die restlichen 114 Millionen Euro tatsächlich gut investiert sind.

Fazit

Die DSGVO hat den rechtlichen Rahmen für einen starken Datenschutz geschaffen, aber die Umsetzung lässt zu wünschen übrig. Die von noyb analysierten niedrigen Sanktionsquoten sind alarmierend. Denn die Praxis bedeutet auch für Unternehmen Rechtsunsicherheit. Inkonsequente Praktiken von Datenschutzbehörden könnten nämlich auch eine Ungleichbehandlung von Konkurrenten bedeuten. Dann müssten Unternehmen, um im Wettbewerb mitzuhalten, rechtswidrige Datenschutzpraktiken verfolgen und darauf hoffen, dass ebenfalls eine Sanktionierung ausbleibt.