DSGVO-Bußgelder, Urteile & Sicherheitsvorfälle 2025
23. Februar 2026Rückblick auf DSGVO-Bußgeldverfahren und Datenpannen
2025 ist vorbei – und wie in den Vorjahren werfen wir auch dieses Jahr einen Blick zurück. Wir beleuchten den deutlichen Rückgang der von uns erfassten Bußgelder und betrachten relevante Sicherheitsvorfälle sowie Gerichtsentscheidungen des vergangenen Jahres.
Erneuter Rückgang der Gesamtsumme verhängter Strafen
Wie schon im Vorjahr ging die Gesamthöhe der von uns erfassten Bußgelder im Jahre 2025 erneut zurück: Statt noch 1,22 Mrd. EUR in 2024 verzeichneten wir für 2025 nur noch 689,98 Mio. EUR – ein Rückgang um mehr als 530 Mio. EUR.
Damit wird erstmals seit 2021 die Marke von 1 Mrd. EUR bei der Summe der verhängten Strafen nicht mehr erreicht. Dabei ist zu beachten, dass wir bei der Abfrage unserer Datenbank nur Bußgelder erfassen, bei denen das Datum des Bescheids bekannt ist. Der Zeitraum der Abfrage erstreckte sich vom 1. Januar – 31. Dezember 2025.
Das bedeutet jedoch nicht, dass es 2025 keine signifikant hohen Bußgelder gab. Besonders die französische Datenschutzbehörde (CNIL) war konsequent: Sie sprach eine Strafe von 325 Mio. EUR gegen die europäische Niederlassung von Google aus und verhängte 150 Mio. EUR gegen Sheins EU-Niederlassung, die Infinite Styles Services Co.
Google wurde wegen Werbung belangt, die der Software-Gigant in seinen Gmail-Postfächern schaltete. Diese wurden ohne Zustimmung der Nutzer eingespielt und waren echten eingegangen E-Mails täuschend ähnlich. Mit dem Bußgeld gegen Shein bestrafte die CNIL die Cookie-Praktik des Unternehmens. Besuchte man die Webseite des Fast Fashion-Riesen, legte diese auf dem Endgerät des Nutzers Cookies ab, ohne hierfür eine Einwilligung einzuholen. Widersprach man, las sie diese dennoch weiterhin aus – und speicherte noch neue.
Das höchste Bußgeld des Jahres kam jedoch – wie gewohnt – aus Irland, wo die DPC 530 Mio. EUR gegen TikTok Technology Limited verhängte. Diese fallen wegen der Übermittlung von Nutzerdaten nach China durch das Unternehmen an, über die User zudem nicht angemessen informiert wurden. An dieser Stelle ist jedoch anzumerken, dass die irische Datenschutzbehörde aktuellen Berichten nach nur einen winzigen Prozentsatz der von ihr ausgesprochenen Geldstrafen tatsächlich einholt, da sich der Behörde zufolge die meisten der betroffenen Verfahren noch in Berufung befinden.
Doch auch in Deutschland gab es vereinzelt für hiesige Verhältnisse sehr hohe Bußgelder. Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) erließ zwei Bußgelder von insg. 45 Mio. EUR gegen Vodafone. Grund für die 15 Mio. EUR-Strafe war die nur mangelhafte Überprüfung involvierter Auftragsverarbeiter, deren Mitarbeitende dadurch gefälschte Verträge erstellen konnten. 30 Mio. EUR sprach die BfDI aus, weil die von Vodafone implementierten Authentifizierungsprozesse nicht ausreichend waren.
Deutsche Bußgelder
In diesem Jahr meldeten die deutschen Aufsichtsbehörden insgesamt 249 Bußgelder mit einer Gesamthöhe von rund 46,9 Mio. EUR. Dies ist zwar ein Rückgang in der Menge verhängter Strafen, stellt aber trotzdem einen massiven Anstieg in der Summe der ausgesprochenen Sanktionen dar. Wie immer ist zu beachten, dass uns nicht alle Behörden Zahlen zukommen ließen, weshalb dieser Betrag als Untergrenze zu verstehen ist. Die meisten Strafen kommen auch 2025 wieder aus Bremen, das mit 101 Bußgeldern mehr als doppelt so viele verhängte wie Hessen, das mit 47 Sanktionen – genau so vielen wie 2024 – erneut an zweiter Stelle steht.
Wie bereits erwähnt stammte das höchste Bußgeld 2025 von der BfDI, die Vodafone mit 45 Mio. EUR belegte. Die zweithöchste Geldstrafe sprach der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit aus: 492.000 EUR gegen ein Finanz-Unternehmen, das nicht auf Anfragen zur Ausübung von Betroffenenrechten reagierte, nachdem es mehrere Kreditanfragen trotz guter Bonität der Antragstellenden abgelehnt hatte.
Bußgelder der Bundesnetzagentur
Wir haben die Bundesnetzagentur (BNetzA) auch dieses Jahr bezüglich der von ihr ausgesprochenen Bußgelder gefragt. Zwar verhängt diese Behörde keine Bußgelder nach der DSGVO, jedoch betreffen die Bußgelder oft datenschutzrelevante Themen, wie unerlaubte Kontaktaufnahme zu Werbezwecken.
Die Bundesnetzagentur verhängte 2025 insgesamt 13 Bußgelder von fast 901 Tsd. EUR – ein Rückgang im Vergleich zum Vorjahr. Diese betreffen vorrangig unerlaubte Telefonwerbung, insbesondere Cold Calls, die eine unzumutbare Belästigung gemäß § 7 Abs. 2 Nr. 1 des Gesetzes gegen den unlauteren Wettbewerb (UWG) darstellen. Auch Verstöße gegen das Verbot der Rufnummernunterdrückung bei Werbeanrufen gemäß § 28 Abs. 1 Nr. 9 i. V. m. § 15 Abs. 2 HS 1 TDDDG wurden mit Geldstrafen belegt. Zudem wurden 2025 zum ersten Mal auch Verstöße bei der Pflicht zur Dokumentation und Aufbewahrung von Werbeeinwilligungen gem. § 20 Abs. 1 Nr. 2 sowie Absätze 2 und 3 i. V. m. § 7a Abs. 1 UWG geahndet. Zehn der Verfahren waren bis zum 31. Dezember 2025 noch nicht abgeschlossen.
Im Vergleich mit anderen EU-Staaten
Wie bereits in den letzten Jahren haben wir die Tätigkeit der deutschen Behörden mit der Bußgeldpraxis anderer großer EU-Staaten verglichen. Hierbei haben wir auch dieses Jahr wieder Frankreich, Spanien und Italien genauer betrachtet.
Frankreich
Die französische Datenschutzbehörde (CNIL) verhängte ihrem Jahresbericht für 2025 zufolge Bußgelder in Gesamthöhe von 486,8 Mio. EUR – ein signifikanter Anstieg im Vergleich zu den etwa 55,2 Mio. EUR aus dem Vorjahr. Diese Summe verteilt sich auf 83 Sanktionen, vier weniger als 2024. Verantwortlich für diesen deutlichen Unterschied sind vorrangig die bereits erwähnten Strafen für Google und Shein, die insgesamt 475 Mio. EUR ausmachen. Im vereinfachten Verfahren erließ die CNIL 42 Bußgelder, ebenfalls ein Rückgang. Die Summe dieser Strafen gab die Behörde nicht bekannt.
Italien
Den bisher von uns erfassten Bußgeldern zufolge ging die Gesamtsumme in Italien 2025 massiv zurück: statt 122 Mio. EUR 2024 verzeichnet unsere Datenbank bisher knapp 12,6 Mio. EUR von der Datenschutzbehörde (GPDP) verhängte Strafen aus 2025. Die Anzahl der Strafen ging dabei leicht zurück – von 146 in 2024 auf 140 (2025). Beachtenswert ist jedoch, dass die italienische Datenschutzbehörde oftmals noch bis weit ins Folgejahr hinein Bußgelder aus dem Vorjahr freigibt.
Spanien
Die Spanier verzeichnen wieder einen signifikanten Anstieg bei der Gesamtsumme der verhängten Bußgelder: Statt noch 38,6 Mio. EUR und 289 Sanktionen aus dem Jahr 2024 belaufen sich die Geldstrafen von 2025 auf 54,48 Mio. EUR verteilt auf insgesamt 342 Strafen. Das dabei auffälligste Bußgeld sind die 10 Mio. EUR, die die Datenschutzbehörde (AEPD) gegen den Flughafenbetreiber Aena verhängte – das Unternehmen hatte Gesichtserkennungssoftware eingesetzt, ohne eine Datenschutz-Folgenabschätzung durchzuführen.
Ergebnis unseres Vergleichs
Aufgrund des rekordhohen Bußgelds gegen Vodafone verzeichneten die deutschen Behörden auch im internationalen Vergleich einen massiven Anstieg in ihrer Bußgeldsumme. Diese liegt nur weniger als 10 Mio. EUR unter der Gesamtsumme der AEPD und 34 Mio. EUR über den bisher von der GPDP gemeldeten Strafgeldern.
Datenpannen in Deutschland
2025 wurden den deutschen Behörden insgesamt 10.259 Datenpannen gemeldet – ein Anstieg im Vergleich zum Vorjahr (8.623), aber immer noch weniger als die Hälfte der im Jahr 2023 verzeichneten Pannenmeldungen (24.749). Auch dieser Wert ist jedoch als Untergrenze zu verstehen, da zum Redaktionsschluss noch nicht von allen Aufsichtsbehörden Statistiken für das Berichtsjahr vorliegen.
Die meisten Pannen verzeichnete – wie im Vorjahr – Hessen mit 2.730, gefolgt von Bayern (1.500) und Berlin (1.460). 2025 hingen diese vorrangig mit Fehlversand von Dokumenten und Hackerangriffen zusammen.
Sicherheitsvorfälle
Auch 2025 gab es mehrere Sicherheitsvorfälle mit weltweiten Auswirkungen. Einer davon geht auf die schon seit Jahren bekannte Gruppierung „CL0P“ zurück, die im August 2025 eine Schwachstelle in der E-Business Suite (EBS) von Oracle ausnutzte. Die Schwachstelle betraf mehrere Versionen der EBS und erlaubte es den Hackern, auf die Systeme einer Reihe von Einrichtungen und Unternehmen zuzugreifen – darunter mehrere Universitäten, aber auch Tech-Giganten wie Logitech. Bezeichnend war, dass Oracle erst nach ca. zwei Monaten einen Patch für das Problem veröffentlichte.
Im Oktober hingegen fielen die Cloud-Dienste der Amazon Web Services (AWS) weltweit für mehrere Stunden aus. Verantwortlich war ein fehlerhaftes DNS-Update in einem Rechenzentrum, infolgedessen binnen zwei Stunden über 4 Mio. Störungsmeldungen eingingen – die Systeme selbst verzeichneten 17 Mio. Ausfälle in 60 Ländern. Nach etwa drei Stunden war ein Großteil der betroffenen Dienste wieder erreichbar.
Schon im März verschafften sich Hacker des „Scattered Lapsus$ Hunters“-Zusammenschlusses Zugang zum GitHub-Repository der Salesloft Drift-Anwendung. Im August nutzten sie dann ihren Zugriff, um aus der AWS-Umgebung der Anwendung OAuth-Tokens abzugreifen. Mit diesen brachen sie in die Salesforce-Instanzen diverser weltweit bekannter Unternehmen ein, stahlen Daten und nutzten diese, um ihre Opfer zu erpressen.
Nachdem die Messaging-App Discord als Reaktion auf Gesetzesänderungen in Großbritannien und Australien Altersverifizierungs-Maßnahmen einbaute, wurde der dafür hinzugezogene Dienstleister 5CA im Oktober prompt Opfer einer massiven Attacke. Die Täter stahlen Fotos von Personen, aber auch deren Ausweisen, die für die Altersnachweise eingereicht wurden. Betroffen waren 8,4 Mio. Support-Fälle, ausgelöst von 5,5 Mio. Personen, darunter 70 Tsd. Verifizierungsdokumente. Diese hätten Discords vorherigen Ankündigungen nach eigentlich direkt nach Abschluss der Verifikationen gelöscht werden müssen.
Gerichtsentscheidungen
Auch 2025 veröffentlichten europäische Gerichte einige beachtenswerte Entscheidungen. So legte der Europäische Gerichtshof (EuGH) im März fest, dass es in der Pflicht der nationalen Behörden liegt, fehlerhafte Einträge zu Geschlechtsidentitäten zu berichtigen, wenn diese nach Art. 5 Abs. 1 lit. d DSGVO falsch sind. Die betroffene Person kann hierfür Beweise vorlegen; es ist den Behörden nicht erlaubt, geschlechtsangleichende Operationen als Bedingung zu verlangen.
Im September betonte der EuGH, dass pseudonymisierte Daten nicht automatisch auch personenbezogen sind. Entscheidend ist, ob eine Identifizierung der Betroffenen anhand der vorliegenden Informationen möglich ist. Dem Urteil zufolge blieben die pseudonymisierten Daten für den Übermittelnden personenbezogene Daten, da er über die erforderlichen Zusatzinformationen zur Identifizierung der Betroffenen verfügte. Für den Empfänger der Daten war keine Re-Identifizierung der Betroffenen mehr möglich, so dass es sich lt. Ansicht des EuGH nicht mehr um personenbezogene Daten handelte. Entscheidend sind also die konkreten Umstände der Verarbeitung und welche Informationen den einzelnen Beteiligten vorliegen.
Im Dezember veröffentlichte der Gerichtshof schließlich eine Entscheidung über die Verantwortung von Online-Marktplatz-Betreibern für die von ihren Nutzern veröffentlichten Beiträge. Ein User eines von Russmedia betriebenen Online-Marktplatzes hatte eine rechtswidrige Anzeige auf diesem veröffentlicht, die im Namen der späteren Klägerin sexuelle Dienstleistungen anbot. Russmedia löschte die Anzeige schnell, doch diese verbreitete sich auf anderen Plattformen weiter.
Der EuGH sah Russmedia in Teilverantwortung: Betreiber sind verpflichtet, zu überprüfen, ob die Identität des Posters mit der der angeblich werbenden Person übereinstimmt – und ist dies nicht der Fall, liegt es beim Betreiber, sicherzustellen, dass der Nutzer die Erlaubnis des Betroffenen hat. Gelingt dies nicht, muss der Marktplatz die Veröffentlichung verweigern.
Ausblick
Zwar blieben die erwarteten großen Bußgelder und Rechtsprechungen im Bereich KI aus – es gab vereinzelte Strafen, vor allem aus Italien (so gegen Luka Inc. und Menarini Silicon Biosystems), doch wurden keine wegweisenden Entscheidungen getroffen. In Anbetracht der erst im Februar 2026 von der irischen Datenschutzbehörde angekündigten Untersuchung von X (ehemals Twitter) bezüglich des auf der Plattform eingebundenen KI-Chatbots „Grok“ könnte sich dies jedoch ändern.
Die anstehende EU-weite Überprüfung zur Umsetzung der Informationspflichten seitens der Datenschutzbehörden – oder vielmehr ihre Ergebnisse – ist ebenfalls beachtenswert; besonders im Bußgeldbereich ist mit Konsequenzen für Unternehmen, die hier Mängel aufweisen, zu rechnen.
Der „Digitale Omnibus“ wird weiterhin diskutiert: Nach den im November 2025 vorgelegten Vorschlägen zur Reformierung der DSGVO veröffentlichte der Europäische Datenschutzausschuss im Februar 2026 eine scharf kritische Stellungnahme zu den Plänen der Kommission. Das Thema wird uns 2026 mit Sicherheit weiter beschäftigen.
Auch im Bereich Altersverifizierung kündigen sich Spannungen an: Apps wie Discord preschen nach den Gesetzesänderungen in UK und Australien voran und planen, ähnliche Maßnahmen zwangsweise auch für User aus allen anderen Ländern zu realisieren – obwohl es hierfür keine gesetzlichen Forderungen gibt.
Übersicht nach Aufsichtsbehörden
Die Tabelle umfasst die uns von den Aufsichtsbehörden übermittelten Bußgelder. Bei Nachreichungen der Behörden wird sie entsprechend aktualisiert.
| Aufsichtsbehörde | Bußgelder | Gesamt in € | Datenpannen |
|---|---|---|---|
| Baden-Württemberg | n.a. | n.a. | n.a. |
| Bayern (nicht-öffentl. Bereich) | n.a. | n.a. | n.a. |
| Bayern (öffentl. Bereich) | 0 | 0 | 1.500 |
| Berlin | 13 | 79.450 | 1.462 |
| BfDI | n.a. | n.a. | n.a. |
| Brandenburg | 25 | 109.000 | 576 |
| Bremen | 101 | 75.077 | 259 |
| Hamburg | n.a. | n.a. | n.a. |
| Hessen | 47 | 190.000 | 2.730 |
| Mecklenburg-Vorpommern | n.a. | n.a. | n.a. |
| Niedersachsen | 34 | 705.000 | n.a. |
| Nordrhein-Westfalen | n.a. | n.a. | n.a. |
| Rheinland-Pfalz | 7 | 21.350 | 988 |
| Saarland | 9 | 13.233 | 911 |
|
Sachsen (öffentl. Bereich) Sachsen (nichtöffentl. Bereich) |
8 n.a. |
10.875 n.a. |
1.058 |
| Sachsen-Anhalt | n.a. | 7.080 | n.a. |
| Schleswig-Holstein | 5 | 281.371,50 | 775 |
| Thüringen | n.a. | n.a. | n.a. |
| Gesamt | 249 | 1.412.986,50 | 10.259 |