Datenschutz-Beratung DSGVO Externer DSB Datenbank
Bußgeld-Radar

DSGVO-Bußgelder: Aktuelle Entscheidungen der Datenschutzbehörden.

Was die europäischen Datenschutzbehörden im Enforcement entscheiden, erscheint meist nur auf Englisch, Italienisch oder Spanisch. Hier bereiten wir die relevantesten Fälle kompakt auf Deutsch auf.

Hintergrund

Enforcement ist kein theoretisches Risiko mehr.

Seit Inkrafttreten der DSGVO im Mai 2018 haben die europäischen Datenschutzbehörden mehr als 2.000 Bußgelder verhängt. Die Summen sind in den vergangenen Jahren deutlich gestiegen: Allein 2023 wurden Bußgelder in Höhe von über 2,5 Milliarden Euro verhängt, getrieben von Großverfahren gegen US-Plattformen mit europäischem Hauptsitz in Irland.

Für Unternehmen hat das eine praktische Konsequenz: Die Frage ist nicht mehr, ob Behörden durchgreifen, sondern für welche Verstöße. Die Analyse aktueller Entscheidungen zeigt, welche Verarbeitungspraktiken im Fokus stehen. Rechtsgrundlagen für Werbung, Drittlandübermittlungen und mangelnde Transparenz gegenüber Betroffenen sind derzeit die häufigsten Bußgeldgründe.

KMU sind von den größten Verfahren selten direkt betroffen. Die zugrundeliegenden Anforderungen gelten aber für alle Unternehmen gleichermaßen. Wer versteht, warum LinkedIn oder TikTok gebüßt wurden, erkennt auch, wo in der eigenen Datenverarbeitung Handlungsbedarf bestehen kann.

Fälle

Top-Fälle im Überblick.

Eintrag anklicken für mehr Details.

Weitere Entscheidungen der letzten 6 Monate →

2026

100 Mio. €
AP · Niederlande 1. April 2026 Mobilität / Taxidienst

MLU B.V. (Yango)

Art. 44, 46 DSGVO – Drittlandübermittlung nach Russland trotz Standardvertragsklauseln

Die niederländische AP verhängte gemeinsam mit den Behörden Finnlands und Norwegens ein Bußgeld von 100 Millionen Euro gegen Yandexs Taxi-App-Tochter Yango. Nutzdaten finnischer und norwegischer Kunden wurden trotz formal verwendeter Standardvertragsklauseln an russische Server übermittelt. Die Verschlüsselungsschlüssel lagen in Russland, und das Yarovaya-Gesetz verpflichtet dort Unternehmen zur Kooperation mit Behörden, was jede vertragliche Datenschutzgarantie strukturell unterläuft. Die Behörden ordneten einen sofortigen Stopp der Übermittlungen an.

Zur offiziellen Quelle: Datenschutzbehörde Niederlande →
31,8 Mio. €
Garante · Italien 26. März 2026 Finanzdienstleistungen

Intesa Sanpaolo S.p.A.

Art. 5, 32, 33, 34 DSGVO – Datenpanne, technische Sicherheit, Meldepflichten

Ein Mitarbeiter griff zwischen Februar 2022 und April 2024 ohne dienstliche Berechtigung über 6.600-mal auf Bankdaten von 3.573 Kunden zu. Die internen Kontrollsysteme der Bank erkannten das Muster mehr als zwei Jahre lang nicht. Die Datenpannenmeldung erfolgte verspätet und unvollständig; die Betroffenen wurden erst nach einer behördlichen Anordnung informiert. Das Bußgeld ist das zweithöchste, das der Garante je verhängt hat. Wenige Tage zuvor hatte die Bank bereits 17,6 Millionen Euro für eine separate Profilierungsaffäre (ISybank-Übertragung) erhalten.

Zur offiziellen Quelle: Datenschutzbehörde Italien →
27 Mio. €
CNIL · Frankreich 13. Januar 2026 Telekommunikation

Free Mobile SAS

Art. 32, 34 DSGVO – Technische Sicherheit, Betroffenenbenachrichtigung

Im Oktober 2024 verschafften sich Angreifer Zugang zum Informationssystem von Free Mobile und entwendeten Daten von rund 24 Millionen Abonnementverträgen, darunter IBANs. Die CNIL stellte fest, dass der VPN-Zugang unzureichend gesichert und kein wirksames System zur Erkennung anomaler Zugriffe vorhanden war. Außerdem wurden Daten bereits gekündigter Verträge teils seit mehr als fünf Jahren unnötig gespeichert. Die Benachrichtigung der Betroffenen enthielt nicht alle gesetzlich vorgeschriebenen Informationen. Ein Schwesterunternehmen (Free) erhielt gleichzeitig ein Bußgeld von 15 Millionen Euro.

Zur offiziellen Quelle: Datenschutzbehörde Frankreich →

2025

530 Mio. €
DPC · Irland Mai 2025 Soziale Medien

TikTok Technology Limited

Art. 44, 46 DSGVO – Drittlandübermittlung nach China

TikTok übermittelte Nutzerdaten aus der EU an Mitarbeiter in China, ohne ausreichende Garantien für den Schutz vor dem Zugriff durch chinesische Behörden nachweisen zu können. Chinesisches Recht verpflichtet Unternehmen zur Kooperation mit Sicherheitsbehörden, was mit europäischen Datenschutzstandards unvereinbar ist. Das Bußgeld ist das bislang höchste für eine Drittlandübermittlung außerhalb des USA-Kontexts.

Zur offiziellen Quelle: Datenschutzbehörde Irland →
45 Mio. €
BfDI · Deutschland Juni 2025 Telekommunikation

Vodafone GmbH

Art. 28, 32 DSGVO – Auftragsverarbeitung, technische Sicherheit

Vodafone hatte mit Auftragsverarbeitern unzureichende Verträge nach Art. 28 DSGVO geschlossen und wies Schwachstellen in der IT-Sicherheitsarchitektur auf. Die Behörde verhängte zwei separate Bußgelder über 15 und 30 Millionen Euro. Positiv gewertet wurde die kooperative Haltung des Unternehmens im Verfahren. Es ist das höchste bislang von einer deutschen Aufsichtsbehörde verhängte DSGVO-Bußgeld.

Zur offiziellen Quelle: Datenschutzbehörde Deutschland →
325 Mio. €
CNIL · Frankreich 1. September 2025 Technologie

Google LLC / Google Ireland Limited

Art. 5, 7 DSGVO – Einwilligung, Cookie-Consent

Google zeigte in Gmail Werbeanzeigen zwischen den privaten E-Mails der Nutzer, ohne deren wirksame Einwilligung eingeholt zu haben. Außerdem war beim Anlegen eines Google-Kontos der Ablehnung von Werbe-Cookies technisch schwerer als deren Annahme. Die CNIL wertete das als unfreie Einwilligung nach Art. 7 DSGVO. Da Google bereits 2020 und 2021 für vergleichbare Cookie-Verstöße sanktioniert worden war, fiel die Strafe entsprechend höher aus. Die Entscheidung richtet sich zugleich gegen Google LLC (200 Mio. €) und Google Ireland Limited (125 Mio. €).

Zur offiziellen Quelle: Datenschutzbehörde Frankreich →
150 Mio. €
CNIL · Frankreich 1. September 2025 E-Commerce

Infinite Styles Services Co. Ltd. (SHEIN)

Art. 5, 7 DSGVO – Einwilligung, Cookie-Consent

SHEIN platzierte auf der Website shein.com Werbe-Cookies bereits beim Seitenaufruf, bevor Nutzer überhaupt eine Auswahl getroffen hatten. Auch nach dem Klick auf "Alle ablehnen" wurden neue Cookies gesetzt und bereits vorhandene weiter ausgelesen. Die CNIL berücksichtigte die erhebliche Reichweite: Rund 12 Millionen in Frankreich ansässige Personen besuchen monatlich die Website. Die Behörde wertete das Muster als systematischen Verstoß gegen die Grundsätze der Einwilligung.

Zur offiziellen Quelle: Datenschutzbehörde Frankreich →
290 Mio. €
AP · Niederlande 26. August 2024 Mobilitätsdienste

Uber Technologies Inc.

Art. 44, 46 DSGVO – Drittlandübermittlung in die USA

Uber übermittelte personenbezogene Daten europäischer Fahrer in die USA, ohne gültige Standardvertragsklauseln oder andere geeignete Garantien vorzuhalten. Nach dem Auslaufen des Privacy Shield 2020 hätten Zusatzmaßnahmen implementiert werden müssen. Die niederländische Aufsichtsbehörde AP, zuständig als federführende Behörde für Uber in der EU, verhängte das bislang drittgrößte DSGVO-Bußgeld.

Zur offiziellen Quelle: Datenschutzbehörde Niederlande →
310 Mio. €
DPC · Irland 24. Oktober 2024 Business-Netzwerk

LinkedIn Ireland Unlimited Company

Art. 5, 6, 13 DSGVO – Rechtsgrundlage, Transparenz

LinkedIn verarbeitete Verhaltensdaten europäischer Mitglieder für personalisierte Werbung, ohne über eine wirksame Rechtsgrundlage zu verfügen. Weder Einwilligung noch berechtigte Interessen wurden korrekt umgesetzt. Zusätzlich informierte LinkedIn die Nutzer unzureichend über die Datenverarbeitung zu Werbezwecken. LinkedIn musste seine Prozesse innerhalb von drei Monaten nach der Entscheidung anpassen.

Zur offiziellen Quelle: Datenschutzbehörde Irland →
1,2 Mrd. €
DPC · Irland 22. Mai 2023 Soziale Medien

Meta Platforms (Facebook)

Art. 46 DSGVO – Drittlandübermittlung

Meta transferierte die personenbezogenen Daten europäischer Facebook-Nutzer in die USA, gestützt auf Standardvertragsklauseln. Der irische DPC stellte nach dem Schrems-II-Urteil des EuGH fest, dass Meta keine ausreichenden Zusatzmaßnahmen ergriffen hatte, um das US-Überwachungsrecht zu kompensieren. Mit 1,2 Milliarden Euro ist es das höchste je verhängte DSGVO-Bußgeld. Meta hat Berufung eingelegt.

Zur offiziellen Quelle: Datenschutzbehörde Irland →
390 Mio. €
DPC · Irland 4. Januar 2023 Soziale Medien

Meta Platforms (Facebook & Instagram)

Art. 6 DSGVO – Rechtsgrundlage der Verarbeitung

Meta stützte die verhaltensbasierte Werbung auf Facebook und Instagram auf Vertragserfüllung statt auf Einwilligung. Der Europäische Datenschutzausschuss (EDSA) entschied, dass personalisierte Werbung keine notwendige Vertragsleistung darstellt und daher einer ausdrücklichen Einwilligung bedarf. Die Entscheidung hat weitreichende Folgen für alle Plattformen, die Targeting-Werbung ohne validen Einwilligungsprozess betreiben.

Zur offiziellen Quelle: Datenschutzbehörde Irland →
345 Mio. €
DPC · Irland 15. September 2023 Soziale Medien

TikTok Technology Limited

Art. 5, 25 DSGVO – Privacy by Design, Kinderdaten

TikTok stellte Nutzerkonten von Minderjährigen standardmäßig auf "öffentlich" und bot unzureichende Alterskontrollen. Der sogenannte "Family Pairing"-Modus erlaubte es fremden Personen, Kontrolle über Accounts Minderjähriger zu übernehmen, ohne dass deren Alter geprüft wurde. Der DPC sah darin einen Verstoß gegen das Prinzip Privacy by Design: Datenschutz muss technisch voreingestellt sein, nicht erst auf Nachfrage aktiviert werden.

Zur offiziellen Quelle: Datenschutzbehörde Irland →
405 Mio. €
DPC · Irland 5. September 2022 Soziale Medien

Instagram LLC (Meta)

Art. 5, 6, 12, 13, 25 DSGVO – Kinderdaten, Privacy by Default

Instagram hatte Konten minderjähriger Nutzer standardmäßig auf öffentlich gesetzt. Über die Business-Account-Einstellung waren Telefonnummern und E-Mail-Adressen von Minderjährigen für alle einsehbar. Der irische DPC stellte fest, dass Instagram keine ausreichenden Schutzmaßnahmen implementiert hatte, um Minderjährige vor diesen Datenschutzrisiken zu bewahren.

Zur offiziellen Quelle: Datenschutzbehörde Irland →
265 Mio. €
DPC · Irland 28. November 2022 Soziale Medien

Meta Platforms Ireland Limited

Art. 25 DSGVO – Datenpanne, Privacy by Design

Daten von 533 Millionen Facebook-Nutzern weltweit wurden durch Scraping einer Suchfunktion abgegriffen und in einem Hackerforum veröffentlicht. Die CNIL stellte fest, dass Meta keine ausreichenden technischen Schutzmaßnahmen implementiert hatte, um das massenhafte automatisierte Auslesen von Profildaten zu verhindern.

Zur offiziellen Quelle: Datenschutzbehörde Irland →
225 Mio. €
DPC · Irland 2. September 2021 Messaging

WhatsApp Ireland Limited

Art. 12, 13, 14 DSGVO – Transparenz und Informationspflichten

WhatsApp informierte Nutzer und Nicht-Nutzer unzureichend darüber, welche Daten verarbeitet werden, zu welchem Zweck und auf welcher Rechtsgrundlage. Besonders kritisiert wurde die fehlende Transparenz über die Datenweitergabe innerhalb des Meta-Konzerns. Ursprünglich hatte der irische DPC ein Bußgeld von 50 Millionen Euro vorgeschlagen. Der EDSA erhöhte es im Bindungsbeschluss auf 225 Millionen Euro.

Zur offiziellen Quelle: Datenschutzbehörde Irland →
35,3 Mio. €
HmbBfDI · Deutschland 1. Oktober 2020 Einzelhandel

H&M Hennes & Mauritz Online Shop GmbH & Co. KG

Art. 5, 6, 9 DSGVO – Mitarbeiterüberwachung, besondere Kategorien

H&M erfasste im Servicecenter Nürnberg seit mindestens 2014 systematisch private Informationen über Mitarbeitende: Erkrankungen, familiäre Situation, religiöse Überzeugungen und Urlaubserlebnisse. Die Daten wurden für Personalentscheidungen genutzt und waren für bis zu 50 Führungskräfte einsehbar. Der Hamburger Datenschutzbeauftragte verhängte damals das zweithöchste Bußgeld, das je eine deutsche Aufsichtsbehörde nach der DSGVO ausgesprochen hat.

Zur offiziellen Quelle: Datenschutzbehörde Deutschland →
FAQ

Häufige Fragen zu DSGVO-Bußgeldern.

Verwandte Themen

Die großen Verfahren richten sich gegen internationale Konzerne, weil dort der Umsatz und damit der Bußgeldrahmen am höchsten ist. Die zugrundeliegenden Verstöße sind aber keine Konzernprobleme: Unzureichende Rechtsgrundlagen für Werbung, fehlende Transparenz oder mangelhafter Schutz sensibler Daten kommen genauso in KMU vor. Deutsche Aufsichtsbehörden verhängen regelmäßig Bußgelder im vier- bis sechsstelligen Bereich gegen mittelständische Unternehmen.

Der häufigste Grund für DSGVO-Bußgelder ist eine fehlende oder unwirksame Rechtsgrundlage für die Datenverarbeitung, insbesondere im Bereich Werbung und Tracking. Danach folgen Verstöße gegen Transparenzpflichten nach Art. 13 und 14 DSGVO, mangelhafter technischer Schutz nach Art. 32 DSGVO und unzulässige Drittlandübermittlungen nach Art. 46 DSGVO.

Art. 83 DSGVO sieht zwei Bußgeldrahmen vor: bis zu 10 Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes für weniger schwerwiegende Verstöße, bis zu 20 Millionen Euro oder vier Prozent des Jahresumsatzes für schwerwiegendere Fälle. Maßgeblich sind unter anderem die Schwere des Verstoßes, die Zahl der Betroffenen, ergriffene Maßnahmen zur Schadensbegrenzung und die Kooperation mit der Behörde.

Die meisten großen US-Technologieunternehmen haben ihren europäischen Hauptsitz in Irland gewählt. Nach dem One-Stop-Shop-Prinzip der DSGVO ist damit der irische Data Protection Commissioner die federführende Aufsichtsbehörde für deren EU-weite DSGVO-Verfahren. Das erklärt, warum Verfahren gegen Meta, TikTok, LinkedIn oder WhatsApp in Dublin geführt werden, selbst wenn der Verstoß EU-weit Auswirkungen hat.

Datenschutz-Compliance, die standhält.

Checkmate Experts begleitet Unternehmen bei der Umsetzung ihrer Datenschutz-Anforderungen.

Beratung anfragen