GDPR-Durchsetzung im Jahr 2025: Welche Verstöße am teuersten sind - und wie Sie sie vermeiden können

Die Durchsetzung der DSGVO wurde im Jahr 2025 weiter intensiviert, wobei die Aufsichtsbehörden im gesamten EWR mehr als 2.100 Durchsetzungsbeschlüsse erlassen haben und die Geldbußen für das Kalenderjahr insgesamt mehr als 2,1 Milliarden Euro betrugen. Der Trend ist unverkennbar: Die Aufsichtsbehörden werden nicht langsamer. Für KMU ist es wichtig zu verstehen, welche Verstöße die höchsten Strafen nach sich ziehen, um Investitionen in die Einhaltung der Vorschriften zu priorisieren.

2025 Vollstreckung auf einen Blick

Mehrere wichtige Statistiken prägten die Landschaft der Strafverfolgung im Jahr 2025:

• Insgesamt verhängte Geldbußen: Ungefähr 2,1 Milliarden EUR für alle Datenschutzbehörden des EWR
• Anzahl der Vollstreckungsentscheidungen: Über 2.100, ein Anstieg von etwa 18% ab 2024
• Größte einzelne Geldstrafe: 1,2 Milliarden Euro von der irischen Datenschutzkommission (DPC) verhängt
• Die aktivsten DPAs nach Entscheidungsvolumen: Spanische AEPD, italienische Garante, rumänische ANSPDCP und ungarische NAIH
• Die aktivsten Datenschutzbehörden nach Bußgeldhöhe: Irische DPC, französische CNIL, italienische Garante und luxemburgische CNPD

Eine bemerkenswerte Entwicklung im Jahr 2025 war die zunehmende Aktivität der kleineren Datenschutzbehörden. Die Behörden in Österreich (DSB), Finnland (Tietosuojavaltuutettu) und Kroatien (AZOP) verhängten ihre bisher höchsten Geldstrafen und signalisierten damit eine Reifung der Durchsetzungskapazitäten in der EU.

Die 3 wichtigsten Kategorien von Verstößen

1. Unzureichende Rechtsgrundlage für die Verarbeitung (Artikel 6)

Die Verarbeitung personenbezogener Daten ohne gültige Rechtsgrundlage war auch im Jahr 2025 der am häufigsten genannte und am stärksten bestrafte Verstoß. Zu dieser Kategorie gehören Organisationen, die sich auf eine Einwilligung berufen haben, die nicht dem Standard von Artikel 7 entspricht, die sich auf berechtigte Interessen berufen haben, ohne eine ordnungsgemäße Abwägung vorzunehmen, oder die Daten für Zwecke verarbeitet haben, die mit dem ursprünglichen Erhebungszweck unvereinbar sind (Verstoß gegen den Grundsatz der Zweckbindung gemäß Artikel 5 Absatz 1 Buchstabe b)).

Die CNIL verhängte mehrere erhebliche Geldstrafen in dieser Kategorie, darunter auch Strafen gegen Organisationen, die Nutzer ohne gültige Zustimmung über Websites hinweg verfolgt haben. Die CNIL hat immer wieder festgestellt, dass Cookie-Einwilligungsmechanismen, die dunkle Muster oder vorausgewählte Optionen verwenden oder die Ablehnung unnötig erschweren, keine gültige Einwilligung gemäß Artikel 6 und 7 darstellen.

Lektion für KMU: Prüfen Sie jede Verarbeitungsaktivität auf eine dokumentierte, vertretbare Rechtsgrundlage. Wenn Sie sich auf eine Einwilligung berufen, stellen Sie sicher, dass Ihre Einwilligungsmechanismen dem Standard "freiwillig, ausdrücklich, in Kenntnis der Sachlage und unmissverständlich" entsprechen. Wenn Sie sich auf berechtigte Interessen berufen, dokumentieren Sie Ihre Abwägung.

2. Unzureichende technische und organisatorische Sicherheitsmaßnahmen (Artikel 32)

Verstöße gegen Artikel 32 machten im Jahr 2025 einen erheblichen Teil der Durchsetzungsmaßnahmen aus. Die Aufsichtsbehörden bestraften Unternehmen unter anderem für folgende Verstöße: unverschlüsselte personenbezogene Daten, schwache oder voreingestellte Passwörter, unzureichende Zugangskontrollen, nicht rechtzeitig eingesetzte Sicherheits-Patches sowie unzureichende Überwachung und Protokollierung.

Die italienische Garante war in diesem Bereich besonders aktiv und verhängte mehrere Bußgelder gegen Gesundheitsdienstleister wegen unzureichender Sicherheitsmaßnahmen, die zu einem unbefugten Zugriff auf Patientendaten führten. Die spanische AEPD setzte ihr bewährtes Muster fort, kleine und mittelgroße Unternehmen für grundlegende Sicherheitsmängel zu bestrafen, darunter auch Fälle, in denen Kundendatenbanken aufgrund von falsch konfiguriertem Cloud-Speicher offengelegt wurden.

Der deutsche Bundesbeauftragte für den Datenschutz (BfDI) konzentrierte sich auf systemische Sicherheitsmängel und betonte, dass Artikel 32 nicht nur angemessene technische Maßnahmen, sondern auch organisatorische Kontrollen einschließlich Sicherheitsrichtlinien, Zugriffsmanagementverfahren und regelmäßige Tests der Sicherheitseffektivität verlangt.

Lektion für KMUs: Eine grundlegende Sicherheitshygiene ist nicht verhandelbar. Implementieren Sie Verschlüsselung, erzwingen Sie eine starke Authentifizierung, führen Sie umgehend Patches ein und beschränken Sie den Zugriff nach dem Prinzip der geringsten Privilegien. Dokumentieren Sie Ihre Sicherheitsmaßnahmen und die Gründe für deren Auswahl.

3. Nichtbeachtung der Rechte der betroffenen Person (Artikel 15-22)

Die Nichtbeantwortung von Anfragen betroffener Personen innerhalb der gesetzlichen Frist von einem Monat oder unvollständige Antworten führten im Jahr 2025 zu einer Vielzahl von Durchsetzungsmaßnahmen. Die häufigsten Verstöße betrafen:

• Nichtbeantwortung von Anträgen auf Zugang (Artikel 15) innerhalb eines Monats
• Verweigerung der Löschung von Daten auf Antrag gemäß Artikel 17 ohne triftige Gründe für die weitere Verarbeitung
• Übermäßige Anforderungen zur Identitätsüberprüfung, die die Ausübung der Rechte effektiv behinderten
• Nichtbereitstellung von Daten in einem portablen Format auf Anfrage gemäß Artikel 20

Die italienische Garante verhängte mehrere Bußgelder für verspätete oder unzureichende Antworten auf Auskunftsersuchen von Betroffenen, darunter auch Fälle, in denen Organisationen ohne Begründung mehrere Monate brauchten, um zu antworten. Die polnische Datenschutzbehörde (UODO) hat ebenfalls bemerkenswerte Entscheidungen in diesem Bereich getroffen, insbesondere in Bezug auf das Recht auf Löschung.

Lektion für KMUs: Implementieren Sie ein System zur Nachverfolgung von Anfragen der betroffenen Personen mit automatisierten Fristenwarnungen. Schulen Sie Ihre Kundenbetreuer darin, Anfragen von Betroffenen zu erkennen, auch wenn sie nicht ausdrücklich in der Sprache der DSGVO formuliert sind. Ein Kunde, der sagt: "Ich möchte mein Konto löschen", macht von seinem Recht nach Artikel 17 Gebrauch.

Bemerkenswerte Durchsetzungsmaßnahmen

Irisches DPC: Durchsetzung von grenzüberschreitenden Überweisungen

Die irische Datenschutzbehörde nutzte weiterhin ihre Rolle als führende Aufsichtsbehörde für viele große Technologieunternehmen. Ihre Durchsetzungsentscheidungen im Jahr 2025 konzentrierten sich auf grenzüberschreitende Datenübermittlungen (Kapitel V) und die Angemessenheit der Garantien für Übermittlungen in Drittländer. Die Rekordgeldbuße in Höhe von 1,2 Mrd. EUR unterstreicht, dass die Übermittlungsmechanismen echte, bewertete Garantien und nicht nur vertragliche Formalitäten erfordern.

CNIL: Durchsetzung von Cookies und Tracking

Die CNIL konzentrierte sich weiterhin auf das Online-Tracking und die Einwilligung. Im Jahr 2025 weitete sie die Durchsetzung über große Plattformen hinaus auf mittelständische E-Commerce- und Medienunternehmen aus. Besonderes Augenmerk legte die CNIL auf die Mechanismen zum Widerruf der Einwilligung: Wenn es schwieriger ist, die Einwilligung zu widerrufen als sie zu erteilen, verstößt dies gegen die Forderung von Artikel 7 Absatz 3 nach einem ebenso einfachen Widerruf.

BfDI: Mitarbeiterdatenverarbeitung

Die deutsche BfDI hat die Verarbeitung von Mitarbeiterdaten genauer unter die Lupe genommen, insbesondere im Hinblick auf die Überwachung von Arbeitsplätzen, Software zur Mitarbeiterüberwachung und die Verwendung biometrischer Daten zur Zugangskontrolle. Es wurden mehrere Bußgelder für die Verarbeitung von Mitarbeiterdaten ohne angemessene Rechtsgrundlage oder ohne angemessene Transparenz verhängt (Artikel 13 und 14).

Garante: Gesundheitswesen und öffentlicher Sektor

Die italienische Garante setzte ihre aktive Durchsetzung im Gesundheitssektor fort und bestrafte Krankenhäuser und Gesundheitsbehörden für Sicherheitsverstöße, unbefugten Zugang zu Patientenakten und das Versäumnis, bei risikoreichen Verarbeitungen eine Datenschutzfolgenabschätzung durchzuführen. Außerdem hat sie Entscheidungen über den Einsatz von Gesichtserkennung und KI-basierter Entscheidungsfindung im öffentlichen Sektor erlassen.

Was dies für KMUs bedeutet

Die Daten zur Durchsetzung der Vorschriften für das Jahr 2025 bestätigen mehrere Trends, auf die KMU reagieren müssen:

1. Die Einhaltung grundlegender Vorschriften ist nicht verhandelbar. Die häufigsten Bußgelder werden für grundlegende Versäumnisse verhängt: keine Rechtsgrundlage, keine Sicherheitsmaßnahmen, keine Reaktion auf Anfragen von Betroffenen. Dabei handelt es sich nicht um komplexe regulatorische Herausforderungen, sondern um grundsätzliche Verpflichtungen.
2. Größe bietet keine Immunität. Die spanische AEPD und andere Datenschutzbehörden verhängen regelmäßig Bußgelder gegen kleine Unternehmen. Ein Bußgeld von 50.000 EUR mag im Kontext der gesamten Durchsetzung der DSGVO gering sein, aber für ein KMU ist es erheblich.
3. Dokumentation ist Ihre Verteidigung. Die Aufsichtsbehörden beurteilen die Einhaltung der Vorschriften auf der Grundlage dessen, was Sie nachweisen können. Eine nicht dokumentierte Einhaltung ist aus Sicht der Aufsichtsbehörden eine Nichteinhaltung.
4. Proaktive Einhaltung ist billiger als reaktive Durchsetzung. Die Kosten für die Implementierung einer ordnungsgemäßen Dokumentation der Rechtsgrundlagen, von Sicherheitsmaßnahmen und von Verfahren zur Wahrung der Rechte der betroffenen Personen sind nur ein Bruchteil der Kosten eines Bußgeldes, der damit verbundenen Anwaltskosten und des Reputationsschadens.

Bei der Durchsetzung der DSGVO gibt es keine Anzeichen für eine Trendwende. Die Unternehmen, die jetzt in die Einhaltung der Vorschriften investieren, werden die Schlagzeilen über die Durchsetzung im Jahr 2026 vermeiden.