Eine aktuelle Auswertung zeigt: Die verhängten DSGVO-Bußgelder summierten sich 2025 auf rund 690 Millionen Euro – nach über einer Milliarde im Vorjahr ein deutlicher Rückgang. Die Analyse stammt vom deutschsprachigen Datenschutzportal, der vollständige Artikel ist hier abrufbar: datenschutz.org
Wenige große Fälle dominierten das Jahr. Die irische Datenschutzbehörde DPC verhängte 530 Millionen Euro gegen TikTok wegen unzureichend kommunizierter Datenweitergabe nach China. Frankreichs CNIL bestrafte Google mit 325 Millionen Euro für täuschend echt wirkende Werbeanzeigen in Gmail ohne Einwilligung, sowie Shein mit 150 Millionen Euro wegen unerlaubter Cookies. In Deutschland traf es Vodafone mit insgesamt 45 Millionen Euro – 15 Millionen wegen mangelhafter Auftragsverarbeiterkontrolle und 30 Millionen wegen unzureichender Authentifizierungsprozesse.
Bemerkenswert ist auch der Anstieg gemeldeter Datenpannen in Deutschland auf über 10.000 – als häufigste Ursachen gelten Fehlversand und Cyberangriffe. Drei EuGH-Urteile setzen zudem neue Akzente: zur Berichtigung von Geschlechtsidentitäten in Datensätzen, zur kontextabhängigen Bewertung pseudonymisierter Daten und zur Mitverantwortung von Marktplatzbetreibern bei unautorisierten Inseraten.
Einordnung: Der Rückgang der Gesamtsumme täuscht über die Schärfe einzelner Entscheidungen hinweg. Für Unternehmen relevanter als die Schlagzeilen sind die EuGH-Urteile zur Pseudonymisierung – sie zeigen, dass der Kontext entscheidend ist und keine pauschale Entwarnung bei pseudonymisierten Daten gilt. Das Vodafone-Verfahren macht deutlich, dass Auftragsverarbeiterkontrolle und Authentifizierungsprozesse konkret geprüft und dokumentiert sein müssen. Wer hier Lücken hat, sollte das 2026 beheben – die angekündigte EU-weite Prüfung von Informationspflichten durch die Aufsichtsbehörden dürfte weiteren Druck erzeugen.
