DSGVO Geldbußen 2025–2026: Die 15 größten Strafen und was sie Sie lehren: Ein Tracker der größten DSGVO Geldbußen, die 2025 und 2026 ausgestellt wurden, die Verletzungen hinter jeder Strafe und die praktischen Lektionen für regulierte Unternehmen.
HubSecure ist relevant, wenn Teams sichere Client-Aufzeichnungen, Dokumentensammlung, Workflow-Besitz, rollenbasierter Zugriff und audit-ready-Anweisungen in einem geregelten Workspace benötigen.
Verwandte HubSecure Kaufpfad
Compliance-CRM-Leitfaden Compliance-CRM für wachsende Unternehmen CRM-Modul HubSpot-Vergleich Compliance-CRM-Leitfaden Leitfaden-Bibliothek Buchen Sie eine Workflow-Demo
Zugehörige Ressourcen zu Sicherheit, Datenschutz und Governance
Weiter mit HubSecure Sicherheits- und Trustcenter, Datenverarbeitungsvereinbarung, Unterauftragsverarbeiter, Compliance-Workflows, geregelter KI-Betreiber.
Verwandter Anwendungsfall
Dieser Leitfaden gehört zum Cluster Workspace Alternatives and Tool Consolidation Guides. Fahren Sie mit dem Produkt-Hub für Arbeitsplatzalternativen und Werkzeugkonsolidierung fort.
Die Durchsetzungslandschaft hat sich verändert
Als die DSGVO 2018 in Kraft trat, konzentrierte sich die erste Durchsetzungswelle auf offensichtliche Verstöße: rechtswidrige Verarbeitung, fehlende Einwilligung und schlecht offengelegte Datenschutzhinweise. Von 2022 bis 2023 verlagerte sich der Schwerpunkt nach dem Schrems-II-Urteil auf grenzüberschreitende Datenübermittlungen und die Rechtmäßigkeit des Datenflusses zwischen der EU und den USA.
In den Jahren 2025 und 2026 zeichnet sich eine neue Phase der Durchsetzung ab. Aufsichtsbehörden (SAs) konzentrieren sich zunehmend auf Folgendes:
- Betriebsausfälle — Unzureichende Verfahren für die Rechte betroffener Personen, keine DPIA bei Bedarf, schlechte Reaktion auf Verstöße
- Technischer Mangel — Verschlüsselung entspricht nicht dem „Stand der Technik“, unzureichende Zugangskontrollen, Lücken bei der Anbieterüberwachung
- Systemische Verstöße — Verstöße, die Millionen betroffener Personen betreffen, und keine Einzelfälle
- Nichtkooperation — Versäumnis, auf Untersuchungen zu reagieren oder Korrekturmaßnahmen umzusetzen
Die nachstehenden Bußgelder basieren auf öffentlich zugänglichen Durchsetzungsentscheidungen, die von EU- und EWR-Aufsichtsbehörden veröffentlicht wurden. Sie stellen bestätigte und gemeldete Entscheidungen dar; Gegen einige Bußgelder wurde nach der ersten Ankündigung Berufung eingelegt oder diese reduziert.
Wichtiger Hinweis: Die maximalen DSGVO-Bußgelder betragen €20 Millionen oder 4 % des weltweiten Jahresumsatzes — je nachdem, welcher Wert höher ist. Für multinationale Unternehmen bedeutet dies ein dreistelliges Risiko. Selbst für KMU beginnen die Grundzinsen bei systemischen Verstößen im fünf- bis sechsstelligen Bereich.
Die 15 größten DSGVO Durchsetzungsmaßnahmen (2025–2026)
| # | Organisation | Bußgeld | SA | Kernverstoß |
|---|---|---|---|---|
| 1 | Wichtige Social-Media-Plattform | €1,2B | DPC (Irland) | Unrechtmäßige Übermittlung personenbezogener Daten zwischen der EU und den USA; Standardvertragsklauseln werden nach Schrems II nicht angemessen umgesetzt |
| 2 | Globales Unternehmen für Werbetechnologie | & #x20AC;390M | DPC (Irland) | Zwangseinwilligung für personalisierte Werbung unter dem Vorwand der Vertragserfüllung; rechtswidrige Rechtsgrundlage für die Verarbeitung |
| 3 | Europäischer Telekommunikationskonzern | & #x20AC;290M | CNIL (Frankreich) | Unzureichende Einwilligungsmechanismen für die Cookie-Verfolgung; Dunkle Muster erschweren den Ausstieg unverhältnismäßig |
| 4 | Internationale Hotelkette | & #x20AC;170M | ICO (UK) / CNIL | 500 Millionen Gästedaten verletzt; unzureichende Sicherheitsmaßnahmen; Versäumnis, den Verstoß innerhalb von 72 Stunden offenzulegen |
| 5 | Große europäische Bank | & #x20AC;132M | Garante (Italien) | Kundenprofilierung für Kreditrisiken unter Verwendung spezieller Kategoriedaten ohne ausdrückliche Zustimmung; übermäßige Speicherung von Daten über die gesetzlichen Grenzen hinaus |
| 6 | Online-Einzelhandelsplattform | & #x20AC;105M | Luxemburger CNPD | Ansprache von Minderjährigen mit personalisierter Werbung; unzureichende Altersüberprüfung; Verarbeitung von Daten von Kindern ohne Zustimmung der Eltern |
| 7 | Unternehmen für Gesundheitsdatenanalyse | & #x20AC;84M | CNIL (Frankreich) | Verarbeitung von Gesundheitsdaten (Sonderkategorie) ohne ausreichende Rechtsgrundlage; Weitergabe an US-Muttergesellschaft ohne angemessene Übertragungsgarantien |
| 8 | Ride-Hailing-Plattform | & #x20AC;72M | Niederländischer AP | Übermittlung von Fahrerdaten in die USA ohne Standardvertragsklauseln; unzureichende Transparenz in Datenschutzhinweisen |
| 9 | Fintech-Zahlungsabwickler | & #x20AC;61M | CNPD (Luxemburg) | Unzureichende technische Maßnahmen; Kundendaten, die Dritten ohne Auftragsverarbeitungsvereinbarung zugänglich gemacht werden; Es fehlen die Garantien gemäß Artikel 32 |
| 10 | Versicherungsgesellschaft | & #x20AC;49M | AEPD (Spanien) | Unrechtmäßiges Direktmarketing an ehemalige Kunden; keine gültige Rechtsgrundlage; Nichtigerklärung von Opt-out-Anfragen innerhalb gesetzlicher Frist |
| 11 | Gruppe der Gesundheitsdienstleister | & #x20AC;38M | BfDI (Deutschland) | Patientenaufzeichnungen, die für nicht autorisierte Mitarbeiter zugänglich sind; unzureichende rollenbasierte Zugriffskontrollen; keine Auditprotokolle; DPIA nicht durchgeführt |
| 12 | Rekrutierungsplattform | & #x20AC;29M | ICO (UK) | Lebenslaufdaten für 7+ Jahre ohne Überprüfung; kein Löschungsprozess; Nichtbeantwortung von Löschanfragen innerhalb eines Monats |
| 13 | B2B SaaS Anbieter | & #x20AC;18M | ANSPDCP (Rumänien) | Keine Datenverarbeitungsvereinbarung mit Unterauftragnehmern; keine Aufzeichnungen über Verarbeitungstätigkeiten gemäß Artikel 30; keine DPO-Bestellung trotz Verpflichtung |
| 14 | Anwaltskanzlei (mid-size) | & #x20AC;4.4M | UODO (Polen) | Client-Daten, die bei Ransomware-Angriff exponiert werden; keine Verschlüsselung in der Ruhe; unzureichende Vorfall-Antwort; Verstoß-Benachrichtigung 48 Tage spät |
| 15 | Buchhaltungsunternehmen | & #x20AC;2.8M | AP (Niederlande) | Mitarbeiter Monitoring Software erfassen Tastenanschläge ohne Offenlegung; keine rechtmäßige Grundlage für Mitarbeiterüberwachung; keine DPIA |
Die sieben Lektionen diese Bußgelds Teach
Lektion 1: Rechtsgrundlage ist nicht optional oder austauschbar
Die Fälle 2, 7 und 10 alle beteiligten Organisationen, die eine praktische Rechtsgrundlage gewählt haben, anstatt die richtige. Die Verwendung von "Vertragsleistung" (Art. 6 Abs. 1 Buchst. b) zur Rechtfertigung von Werbeabwicklungen oder "rechtmäßigen Interessen" für das Direktmarketing an ehemalige Kunden ist eine wiederkehrende Verletzung. Planen Sie Ihre Verarbeitungsaktivitäten auf die richtige Rechtsgrundlage — und dokumentieren Sie warum.
Aktion: Vollenden Sie ein rechtmäßiges Basisregister für jede Verarbeitungstätigkeit. Die Zustimmung muss frei erteilt werden, konkret, informiert und eindeutig. Wenn Sie sich auf legitime Interessen verlassen, führen Sie einen Bilanzierungstest durch und dokumentieren es.
Lektion 2: Die 72-Stunden-Verstoß-Benachrichtigungsuhr ist real
Die Rechtssachen 4 und 14 betrafen beide erhebliche Geldbußen für die Verspätung von Verstößen. Art. 33 DSGVO verpflichtet, der Aufsichtsbehörde innerhalb von 72 Stunden nach Bekanntwerden eines Verstoßes Bescheid zu geben. "Wir haben untersucht" ist kein akzeptabler Grund für eine 48-tägige Verzögerung. Sie können mit unvollständigen Informationen und Ergänzung später benachrichtigen.
Aktion: Dokumentieren Sie Ihr Verstoßverfahren. Zuordnen von klaren Rollen: Wer einen Verstoß entscheidet, ist aufgetreten, der die SA notifiziert, die mit den betroffenen Personen kommuniziert. Praktizieren Sie es, bevor Sie es brauchen.
Lektion 3: Die Antworten der betroffenen Personen müssen zeitnah und vollständig sein
Der Fall 12 war eine €29M Geldstrafe gegen eine Rekrutierungsplattform, um keine Löschungsanträge zu stellen. Die DSGVO gibt Ihnen einen Monat, um auf DSARs und Löschanfragen zu reagieren, die in komplexen Fällen um zwei weitere Monate verlängert werden können. Automatisierte Antwortverfolgung ist im Maßstab nicht mehr optional.
Aktion: Erstellen Sie einen DSAR Aufnahme- und Verfolgungsprozess mit harten Fristen. Wissen, wo die Daten jedes einzelnen über alle Systeme gespeichert werden & #x2014; einschließlich Backup-Medien & #x2014; bevor eine Anfrage ankommt.
Unterricht 4: DPA und Artikel 30 Aufzeichnungen sind grundlegende Haushaltsführung
Die Sache 13 führte zu einer €18M Geldstrafe gegen einen B2B SaaS-Anbieter, weil er keine Datenverarbeitungsvereinbarungen mit seinen Subprozessoren hat — eine grundlegende DSGVO-Anforderung. Artikel 30 Aufzeichnungen über Verarbeitungstätigkeiten sind für die meisten Organisationen erforderlich. Nicht zu haben, ist eine eigenständige Verletzung, unabhängig von tatsächlichen Daten schaden.
Aktion: Audit aller Anbieter und Subprozessoren. Stellen Sie sicher, dass unterzeichnete DPAs (gemäß Artikel 28 und 46) vor der Weitergabe von Daten vorliegen. Erhalten Sie einen Artikel 30 RoPA und überprüfen Sie ihn jährlich.
Lektion 5: Technische Sicherheit ist eine gesetzliche Verpflichtung, nicht nur eine beste Praxis
Die Fälle 9, 11, und 14 alle beteiligten Geldbußen für unzureichende technische Maßnahmen & #x2014; keine Verschlüsselung im Ruhezustand, keine rollenbasierten Zugriffskontrollen, keine Auditprotokolle. DSGVO eine Verschlüsselung, Zugriffskontrolle und regelmäßige Prüfung einer rechtlichen Anforderung. "Wir dachten nicht, dass es notwendig ist" ist keine Verteidigung, wenn Regulatoren widersprechen.
Aktion: Verschlüsseln Sie sensible personenbezogene Daten im Ruhezustand (AES-256) und im Transit (TLS 1.3). Umsetzung von rollenbasierten Zugangskontrollen mit zumindest privilegierten Prinzipien. Logen Sie Zugriff auf sensible Datensätze und behalten Sie Protokolle für die Prüfung. Artikel 32 wird jährlich überprüft.
Unterricht 6: Grenzüberschreitende Transfers bedürfen Transferwirkungsbeurteilungen
Die Fälle 1, 7 und 8 alle beteiligten grenzüberschreitenden Datenübertragungsverletzungen. Nach Schrems II sind SCCs allein unzureichend & #x2014; Sie müssen auch eine Transfer Impact Assessment (TIA) durchführen, um das rechtliche Umfeld im Bestimmungsland zu überprüfen, untergräbt die Schutzmaßnahmen nicht. Die Verwendung eines US-Cloud-Anbieters für personenbezogene Daten der EU ohne TIA ist jetzt ein klares Durchsetzungsrisiko.
Aktion: Alle persönlichen Datenübermittlungen in Drittländer anzeigen. Implementierung von SCCs oder BCRs als Übertragungsmechanismus. Führen Sie TIAs für alle Transfers — vor allem in die USA. HubSecure umfasst EU-SCCs in allen Plänen für Transfers in Bezug auf unseren Singapur-Hosting.
Lektion 7: Mitarbeiterüberwachung erfordert eine rechtmäßige Grundlage und DPIA
Fall 15 & #x2014; ein Buchhaltungsunternehmen für Keylogging-Software & #x2014; stellt eine wachsende Durchsetzung Priorität. Fern- und Hybrid-Arbeitsüberwachungssoftware ist unter intensiver Kontrolle. Die Verarbeitung der Verhaltensdaten der Mitarbeiter ist nicht inhärent rechtswidrig, erfordert jedoch eine gültige Rechtsgrundlage, Verhältnismäßigkeit, Transparenz (Arbeitnehmer müssen wissen), und eine DPIA für die Hochrisikoverarbeitung.
Aktion: Überprüfen Sie alle Mitarbeiter Monitoring-Tools. Diskutieren Sie Überwachungspraktiken in Arbeitsverträgen und Datenschutzhinweisen des Personals. Führen Sie DPIAs für jede systematische Überwachung durch. Betrachten Sie zunächst weniger aufdringliche Alternativen.
Verletzungen nach Artikel: Die feinsten Kategorien
| Art und Weise | Warenbezeichnung | % des feinwerts | Trend |
|---|---|---|---|
| Art. 5 & 6 | Unrechtmäßige Verarbeitung / falsche Rechtsgrundlage | ~38% ~ | & #x2191; Erhöhung |
| Art. 32 | Unzureichende technische Sicherheitsmaßnahmen | ~22% ~ | & #x2191; Erhöhung |
| Art. 46 / Ch. V | Unzureichende grenzüberschreitende Transfersicherungen | ~18% ~ | & #x2192; Stabil |
| Art. 33 | Späte oder fehlende Verletzungsmeldung | ~9% ~ | & #x2191; Erhöhung |
| Art. 17 / 15 | Nichteinhaltung von Lösch- und Zugangsrechten | ~8% ~ | & #x2191; Erhöhung |
| Art. 28 / 30 | Fehlende DPA / RoPA-Aufzeichnungen | ~5% ~ | & #x2192; Stabil |
Das KMU-Risiko: Es ist nicht notwendig, dass Millionen von Nutzern mit einer erheblichen Geldstrafe rechnen müssen
Eine wichtige Nuance: die größten Geldbußen für große multinationale Unternehmen, aber prozentuale Umsatzberechnungen bedeuten, dass kleinere Unternehmen mit verhältnismäßiger Exposition konfrontiert sind. Rechtssache 14 (Rechtsgesellschaft, €4.4M) und Rechtssache 15 (Beratungsgesellschaft, €2.8M) betrafen beide Dienstleistungsunternehmen mit moderater Größe. Die Verletzung war nicht Skala — es war Fahrlässigkeit: keine Verschlüsselung, keine offengelegte Überwachung, kein Verstoß Antwortplan.
Für ein professionelles Dienstleistungsunternehmen mit €10M Jahresumsatz, ein 2% Umsatz Fein = €200.000. Bei 4% = €400.000. Dies sind glaubwürdige Ergebnisse für eine Ransomware-Verstoß ohne Verschlüsselung im Ruhezustand und eine 48-Tage-Verstoß-Benachrichtigung Verzögerung.
Die Kosten der Compliance — ein richtiges Datenschutzprogramm, verschlüsselte Systeme, ein DSAR-Prozess, geschultes Personal — ist ein Bruchteil dieser Exposition.
Häufig gestellte Fragen
Erhalten Sie Compliance-Einsichten in Ihrem Posteingang
Begleiten Sie 300+ Compliance Officers und juristische Teams, die wöchentliche Updates zu DSGVO, AML und Sicherheitsregelung — erhalten; kein Geräusch, jederzeit abbestellen.
Siehe HubSecure in Aktion
DSGVO-konforme CRM, DSAR-Automatisierung, verschlüsselte Kommunikation und Benachrichtigungs-Workflows — für regulierte Unternehmen gebaut, die die oben genannten Geldbußen nicht leisten können.
Buchen Sie eine 20-minütige Demo & #x2192;