13 min Zuletzt auktualisiert: 28.01.2026

Was kostet eine Datenschutzverletzung 2024?

Eine Datenschutzverletzung kann für Unternehmen nicht nur erheblichen Reputationsschaden bedeuten, sondern auch massive finanzielle Konsequenzen nach sich ziehen. Im Jahr 2024 ist der Schutz personenbezogener Daten wichtiger denn je, und Verletzungen der Datenschutz-Grundverordnung (DSGVO) werden mit hohen Bußgeldern bestraft. Unternehmen jeder Größe müssen sich den potenziellen Risiken bewusst sein und geeignete Maßnahmen ergreifen, um hohe Strafen zu vermeiden. 

Aber was genau kostet eine Datenschutzverletzung im Jahr 2024? In diesem Artikel beleuchten wir die aktuellen Entwicklungen, die Bußgeldpraxis und geben einen Überblick über die Faktoren, die die Höhe der Strafen beeinflussen.

Die teuersten Datenschutzverletzungen 2024

290 Mio. EUR: Uber Technologies & Uber BV (Niederlande)

Uber geriet in die Kritik, weil es Daten von 172 FahrerInnen ohne ausreichende Schutzmaßnahmen in die USA übermittelte. Die niederländische Datenschutzbehörde reagierte mit einem Rekordbußgeld von 290 Millionen Euro.

91 Mio. EUR: Meta Platforms Ireland (Irland)

2024 wurde Meta eine Strafe in Höhe von 91 Millionen Euro auferlegt, zusätzlich zur Rekordstrafe von 1,2 Milliarden Euro in 2023. Der Grund für die Strafe lag in einem schwerwiegenden Verstoß gegen die DSGVO, bei dem Meta über einen längeren Zeitraum hinweg Passwörter von NutzerInnen in Klartext gespeichert hatte, anstatt sie durch kryptografische Maßnahmen zu schützen.

79,1 Mio. EUR: Enel Energia (Italien)

Enel Energia musste ein Bußgeld von 79,1 Millionen Euro zahlen, weil das Unternehmen 978 Energieverträge von DrittanbieterInnen kaufte, die bereits wegen illegaler Telemarketing-Aktivitäten sanktioniert waren. Zudem ermöglichten Sicherheitsmängel im IT-System unerlaubten Zugriff und den Abschluss illegaler Verträge.

32 Mio. EUR: Amazon France Logistique (Frankreich)

Amazon überwachte die LagerarbeiterInnen mittels Scannern in minutiöser Genauigkeit, um die Produktivität detailliert zu überwachen und speicherte diese Daten übermäßig lange. Ein Vorgehen, das von der französischen Datenschutzbehörde als unangemessen bewertet wurde. Zudem wurden die Arbeitskräfte nicht ausreichend über die Datenerfassung informiert. Das Bußgeld: 32 Millionen Euro.

30,5 Mio. EUR: Clearview AI (Niederlande)

Clearview AI baute eine Datenbank mit über 30 Milliarden Bildern auf, die von öffentlichen Plattformen wie sozialen Medien gesammelt wurden. Die DPA stellte fest, dass Clearview diese biometrischen Daten ohne rechtliche Grundlage verarbeitet hatte. Außerdem informierte das Unternehmen die betroffenen Personen nicht ausreichend über die Datenverarbeitung und reagierte nicht auf Zugriffsanfragen. Zusätzlich hatte Clearview keinen EU-Vertreter ernannt.

Entwicklung der Datenschutzverletzungen seit Einführung der DSGVO

In den ersten Jahren nach Einführung der DSGVO konzentrierten sich die Aufsichtsbehörden zunächst darauf, die Entwicklungen am Markt zu beobachten und Altfälle zu bearbeiten, die noch nicht unter die DSGVO fielen. Abgesehen von einer Strafe in Höhe von 400.000 Euro gegen ein Krankenhaus im Jahr 2018 war diese Anfangsphase sowohl in Bezug auf die Anzahl als auch die Höhe der Strafen eher moderat. 

Nach dieser „Orientierungsphase“ intensivierten die Datenschutzbehörden ihre Durchsetzungsmaßnahmen in den Jahren 2019 bis 2022 deutlich. Bereits 2022 wurden erhebliche Strafen gegen große Technologieunternehmen verhängt, aber 2023 übertraf dies alles mit der ersten Strafe im Milliardenbereich, wodurch die Gesamtsumme der verhängten Strafen auf über 4 Milliarden Euro stieg.In der fünften Ausgabe des GDPR Enforcement Tracker Reports (Stichtag: 01. März 2024) sind insgesamt 2.086 Bußgelder verzeichnet (+510 im Vergleich zum Bericht von 2023). Die Gesamtsumme der Strafen beläuft sich nun auf etwa 4,48 Milliarden Euro (+1,71 Milliarden im Vergleich zum GDPR Enforcement Tracker Report 2023). Der Durchschnittsbetrag einer Strafe lag im Zeitraum von 2018 bis 2024 bei 2.142.712 Euro.

Kosten von Datenschutzverletzungen weltweit

Laut dem “Data Breach Report” von IBM stiegen die weltweiten Durchschnittskosten einer Datenschutzverletzung in 2024  auf 4,54 Millionen Euro – ein Anstieg von 10 % im Vergleich zum Vorjahr.

Interessant ist, dass Unternehmen, die auf Sicherheits-KI und Automatisierung setzen, im Durchschnitt 2,06 Millionen Euro einsparen konnten. Diese Technologien helfen dabei, Bedrohungen frühzeitig zu erkennen und zu verhindern, was die finanziellen Folgen von Vorfällen erheblich reduziert. Investitionen in moderne Sicherheitslösungen zahlen sich also aus und können im Ernstfall Millionen sparen.

Der “2024 Bericht über Datenschutz und Compliance bei der Kommunikation sensibler Inhalte” von Kiteworks zeigt auch alarmierende Zahlen zur Häufigkeit und Art von Datenschutzverletzungen weltweit. 32 % der befragten Unternehmen gaben an, im vergangenen Jahr sieben oder mehr Datenschutzverletzungen erlebt zu haben. 

Die meisten Datenschutzverletzungen treten in den Bereichen Finanzdienstleistungen, Banken und Versicherungen auf, gefolgt von der Fertigungsindustrie, Technologie, Kommunikation und schließlich dem Einzelhandel.

Die teuersten Herausforderungen und Risiken

  • Schattendaten: 1 von 3 Datenschutzverletzungen betrifft Schattendaten, also Daten, deren Verbreitung schwer nachzuverfolgen und zu sichern ist.
  • Öffentliche Clouds: Daten, die in öffentlichen Clouds gespeichert sind, verursachten die höchsten durchschnittlichen Kosten von 4,81 Mio. Euro pro Datenleck.

Bußgeldhöhe laut DSGVO: Wie wird sie berechnet?

Die Höhe der Bußgelder richtet sich nach der Schwere der Datenschutzverletzungen und kann bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes eines Unternehmens betragen – je nachdem, welcher Betrag höher ist. Bei der Berechnung werden mehrere Faktoren berücksichtigt:

  1. Art, Schwere und Dauer der Datenschutzverletzung: Je schwerwiegender und länger andauernd der Verstoß, desto höher das Bußgeld.
  2. Vorsatz oder Fahrlässigkeit: Wurde der Verstoß vorsätzlich begangen oder handelte das Unternehmen fahrlässig?
  3. Maßnahmen zur Minderung des Schadens: Hat das Unternehmen nach dem Vorfall Maßnahmen ergriffen, um den Schaden für die betroffenen Personen zu mindern?
  4. Vorherige Verstöße: Hat das Unternehmen bereits in der Vergangenheit gegen die DSGVO verstoßen?
  5. Kooperation mit der Aufsichtsbehörde: Hat das Unternehmen mit der Aufsichtsbehörde kooperiert und zur Aufklärung des Vorfalls beigetragen?
  6. Art der betroffenen Daten: Handelt es sich um sensible Daten, wie Gesundheitsdaten oder Daten von Kindern?

Diese Kriterien helfen den Aufsichtsbehörden, das Bußgeld angemessen zu gestalten und sicherzustellen, dass es eine abschreckende Wirkung hat.

Arten von Datenschutzverletzungen und deren Konsequenzen

Die DSGVO unterscheidet zwischen zwei Kategorien von Datenschutzverletzungen, die jeweils unterschiedliche Höchststrafen nach sich ziehen können:

Minder schwere Verstöße

Diese Datenschutzverletzungen betreffen vor allem administrative und organisatorische Pflichten und ziehen weniger strenge Sanktionen nach sich. Die Höchststrafe beträgt hier bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes eines Unternehmens – je nachdem, welcher Betrag höher ist.

Zu den minder schweren Verstößen gemäß Art. 83 Abs. 4 DSVO zählen unter anderem:

  • Verletzung der Pflichten des Verantwortlichen und Auftragsverarbeiters: Zum Beispiel, wenn keine Datenschutzbeauftragten benannt wurden oder Datenschutzbeauftragte nicht korrekt eingebunden sind.
  • Fehlende oder unzureichende Dokumentation: Unternehmen sind verpflichtet, ihre Datenverarbeitungsaktivitäten zu dokumentieren. Fehlen diese Aufzeichnungen, kann das zu einem Verstoß führen.
  • Verstöße gegen Sicherheitsmaßnahmen: Dazu gehören unzureichende Maßnahmen zur Sicherung der Datenverarbeitung, wie zum Beispiel fehlende oder schwache Verschlüsselungstechniken.

Konsequenzen

Neben finanziellen Sanktionen können diese Datenschutzverletzungen auch dazu führen, dass Unternehmen gezwungen werden, ihre Datenschutzrichtlinien zu überarbeiten, zusätzliche technische und organisatorische Maßnahmen umzusetzen und interne Abläufe zu ändern.

Schwere Verstöße

Schwere Verstöße nach Art. 83 Abs. 5 DSGVO betreffen grundlegende Prinzipien der DSGVO und können mit Strafen von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes geahndet werden. Hier geht es insbesondere um Verstöße gegen die Rechte der betroffenen Personen und die grundlegenden Pflichten des Unternehmens hinsichtlich der Datenverarbeitung.

Zu den schweren Verstößen zählen:

  • Verstoß gegen die Grundprinzipien der Datenverarbeitung: Zum Beispiel die Verarbeitung personenbezogener Daten ohne rechtliche Grundlage oder über das notwendige Maß hinaus.
  • Nichtbeachtung der Rechte der betroffenen Personen: Unternehmen sind verpflichtet, betroffenen Personen Auskunft über die Verarbeitung ihrer Daten zu geben, sie zu informieren und ihnen das Recht auf Löschung, Berichtigung oder Widerspruch zu gewähren.
  • Verletzung der Pflichten in Bezug auf die Datenübertragung in Drittländer: Die DSGVO legt strenge Regeln für die Übermittlung personenbezogener Daten in Länder außerhalb des Europäischen Wirtschaftsraums fest. Verstöße gegen diese Vorschriften, wie zum Beispiel die unzulässige Weitergabe von Daten ohne angemessenen Schutz, gelten als schwere Verstöße.

Konsequenzen

Neben erheblichen finanziellen Strafen können diese Datenschutzverletzungen dazu führen, dass Unternehmen gezwungen werden, ihre Datenverarbeitung zu stoppen oder drastisch zu ändern. Die Aufsichtsbehörden können auch Maßnahmen wie ein Verbot der Datenverarbeitung, eine Einschränkung der Datenübermittlung oder die Löschung der rechtswidrig verarbeiteten Daten anordnen.

Fazit

Datenschutzverletzungen im Jahr 2024 sind mit erheblichen finanziellen und reputationsbezogenen Risiken verbunden. Unternehmen müssen nicht nur mit hohen Bußgeldern rechnen, sondern auch mit langfristigen Auswirkungen wie Anwaltskosten, Schadensersatzforderungen und dem Verlust des Vertrauens ihrer Kunden. 

Die Entwicklungen der letzten Jahre zeigen, dass die Aufsichtsbehörden zunehmend härter durchgreifen und Verstöße, insbesondere von großen Unternehmen, mit Rekordstrafen ahnden. Es ist entscheidend, dass Unternehmen umfassende Sicherheits- und Datenschutzmaßnahmen ergreifen, um potenzielle Datenschutzverletzungen zu verhindern und ihre Datenverarbeitungssysteme kontinuierlich zu verbessern. Nur so können sie sich vor den hohen Kosten und Konsequenzen einer Datenschutzverletzung schützen.

Inhaltsangabe

Unsere Auszeichnungen

Unsere Partner

lawpilots GmbH
c/o Indy by Industrious
Eichhornstraße 3
10785 Berlin
Deutschland

+49 (0)30 22 18 22 80 kontakt@lawpilots.com
lawpilots GmbH hat 4.4260774269252 von 5 Sternen 2719 Bewertungen auf ProvenExpert.com

Schulungen

Expertise

Unternehmen

Ressourcen

Verkauf nur an UnternehmerInnen, Gewerbetreibende, FreiberuflerInnen und öffentliche Einrichtungen. Kein Verkauf an VerbraucherInnen im Sinne des § 13 BGB.
Meldestelle für HinweisgeberInnen: lawpilots@hinweis.hb-ecommerce.eu; 0151 / 19461497