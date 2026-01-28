DLA Piper hat ihre jährliche Studie zu Geldstrafen wegen Verstößen gegen die Datenschutz-Grundverordnung (DSGVO) veröffentlicht. Demnach verhängten die europäischen Aufsichtsbehörden im Jahr 2025 erneut rund 1,2 Milliarden Euro an Strafen.

MMag. Sabine Fehringer, LL.M., Partnerin und Head of IPT bei DLA Piper Österreich, dazu: „Unsere Studie zeigt, dass das Cyberbedrohungsniveau ein bislang unerreichtes Ausmaß erreicht hat. Der beachtliche Anstieg der Datenschutzverletzungen verdeutlicht die unmittelbaren Auswirkungen geopolitischer Spannungen und prominenter Cyberangriffe auf Unternehmen. Dieser Trend ist ein ernstes Warnsignal. Angesichts neuer Cybersicherheitsgesetze, die teils persönliche Haftung für Führungskräfte vorsehen, appellieren wir an Unternehmen, ihre Cyberabwehr und Resilienz dringend zu stärken. Die konstant hohen DSGVO-Strafen belegen, dass die Aufsichtsbehörden weiterhin sehr aktiv bleiben – insbesondere in den Bereichen Informationssicherheit, internationale Datentransfers, Transparenz und Künstliche Intelligenz.“

Besonders auffallend ist der Anstieg der täglich gemeldeten Datenschutzverletzungen um 22 Prozent auf mittlerweile durchschnittlich 443 Meldungen pro Tag. Österreich belegt mit knapp 45 Millionen Euro an Strafen Rang 9 sowie mit 1.695 gemeldeten Datenschutzverletzungen Rang 13 im europäischen Vergleich.

Die achte Ausgabe des jährlich erscheinenden DLA Piper GDPR Fines and Data Breach Survey zeigt, dass das Durchsetzungsniveau der europäischen Datenschutzbehörden auch 2025 unverändert hoch bleibt: Insgesamt verhängten sie rund 1,2 Milliarden Euro an Geldstrafen und erreichten damit nahezu das Vorjahresniveau. Zwar gab es keinen Anstieg, doch das konstant hohe Strafmaß verdeutlicht, dass die Datenschutzbehörden trotz Kritik von außerhalb der EU weiterhin entschlossen sind, erhebliche Geldbußen zu verhängen. Die kumulierten Geldstrafen seit Inkrafttreten der DSGVO am 25. Mai 2018 belaufen sich auf 7,1 Milliarden Euro.

Irland führt erneut die Durchsetzungsstatistik an: Die irische Datenschutzkommission hat seit Mai 2018 insgesamt 4,04 Milliarden Euro an Bußgeldern verhängt. Zudem sprach sie im April 2025 die höchste Einzelstrafe des Jahres aus: 530 Millionen Euro gegen ein Social-Media-Unternehmen aufgrund von Verstößen gegen die DSGVO im Zusammenhang mit internationalen Datenübermittlungen. Wie in den Vorjahren waren große Technologie- und Social-Media-Unternehmen am häufigsten betroffen: Neun der zehn höchsten DSGVO-Bußgelder wurden gegen Unternehmen dieser Branche verhängt.

Die bislang höchste verhängte Strafe bleibt jene von 1,2 Milliarden Euro, die 2023 gegen Meta Platforms Ireland Limited ausgesprochen wurde.

Deutlicher Anstieg der Datenschutzverletzungen

Seit 28. Jänner 2025 stieg die durchschnittliche Zahl der täglich gemeldeten Datenschutzverletzungen um 22 Prozent – von 363 Verletzungen im Vorjahr auf 443. Damit wurde erstmals seit 2018 wieder die Marke von 400 überschritten. Zwar lassen die Daten keine eindeutigen Rückschlüsse auf die Ursachen zu, es liegt jedoch nahe, dass steigende geopolitische Spannungen, neue Technologien, die Cyberangriffe begünstigen, sowie zahlreiche neue Gesetze einschließlich erweiterter Meldepflichten zu diesem signifikanten Anstieg beitragen.

Neue Ära an Cyberbedrohungen

Geopolitische Spannungen, immer weiter entwickelte KI-gestützte Angreifer und zahlreiche prominente Cybervorfälle führten laut Bericht zu einem nie dagewesenen Cyberbedrohungsniveau. Für Unternehmen bedeutet dies, Sicherheit und operative Resilienz stärker zu priorisieren. Bei den gemeldeten Datenschutzverletzungen führen erneut die Niederlande, Deutschland und Polen die Statistik an. Österreich belegt Platz 9 im europäischen Vergleich.

Erweiterter Fokus der Aufsichtsbehörden

Während Big Tech weiterhin die höchsten Geldstrafen erhält, geraten zunehmend weitere Branchen ins Visier – darunter Finanzdienstleistungsunternehmen, Telekommunikationsanbieter, Energieversorger und IT-Dienstleistungsunternehmen. Zudem wurde erstmals eine hohe Geldstrafe für einen Datentransfer in ein Nicht-US-Drittland verhängt: Die irische Datenschutzbehörde sanktionierte ein Social-Media-Unternehmen mit 530 Millionen Euro, da es keinen im Wesentlichen gleichwertigen Schutz beim Transfer personenbezogener Daten nach China gewährleisten konnte. Dies zeigt, dass sich die Behörden nicht nur auf die USA fokussieren, sondern Drittlandsübermittlungen global prüfen. Schwerpunkte der Behörden bleiben Rechtmäßigkeit, Fairness und Transparenz, Sicherheit personenbezogener Daten sowie technische und organisatorische Schutzmaßnahmen.

Sicherheit der Verarbeitung personenbezogener Daten

Angesichts des deutlichen Anstiegs der gemeldeten Datenschutzverletzungen und zahlreicher globaler Cyberangriffe verwundert es nicht, dass Geldstrafen aufgrund von Verstößen gegen das DSGVO-Integritäts- und Vertraulichkeitsprinzip (Sicherheitsprinzip) weiterhin in allen untersuchten Ländern eine zentrale Rolle spielen. Die Sicherheit in der Lieferkette rückt dabei zunehmend in den Fokus der Aufsichtsbehörden. Sie erwarten robuste Sicherheitsmaßnahmen – sowohl von Verantwortlichen als auch von Auftragsverarbeitern. Letztere wurden 2025 mehrfach direkt mit hohen Strafen belegt.

Zunahme an DSGVO-Schadenersatzansprüchen

Neben behördlichen Sanktionen steigt auch das Risiko zivilrechtlicher Schadenersatzforderungen. 2025 brachten mehrere EuGH- und europäische Gerichtsurteile wichtige Weichenstellungen, insbesondere für immaterielle Schäden.

