Amazon gewinnt gegen Rekord-Geldbuße von 746 Millionen Euro

Luxemburgs Verwaltungsgericht hat eine der höchsten Geldstrafen in der Geschichte der europäischen Datenschutz-Grundverordnung (DSGVO) gekippt. Das Urteil gegen Amazon markiert einen Wendepunkt im Kampf um Unternehmens-Compliance und zeigt: Auch Behörden müssen sich an strenge Verfahren halten.

Ein Sieg der Verfahrensfehler, nicht der Sache

Am 12. März 2026 kassierte das Gericht die 746-Millionen-Euro-Strafe, die Luxemburgs nationale Datenschutzkommission (CNPD) im Juli 2021 verhängt hatte. Grundlage waren Amazons Praktiken im Online Behavioral Advertising. Doch der Sieg des Tech-Giganten ist kein Freibrief. Das Gericht monierte vor allem verfahrenstechnische Mängel der Aufsichtsbehörde.

Das Urteil gegen Amazon verdeutlicht, wie schnell lückenhafte Dokumentationen zum rechtlichen Risiko werden können. Diese kostenlose Excel-Vorlage mit Schritt-für-Schritt-Anleitung hilft Ihnen, Ihr Verarbeitungsverzeichnis nach Art. 30 DSGVO in unter einer Stunde rechtssicher zu erstellen. Kostenlose Excel-Vorlage für das Verarbeitungsverzeichnis herunterladen

Die Richter kritisierten, die CNPD habe nicht ausreichend geprüft, ob Amazon vorsätzlich oder nur fahrlässig gehandelt habe. Diese fehlerbasierte Analyse ist nach aktueller Rechtsprechung des Europäischen Gerichtshofs (EuGH) jedoch zwingend erforderlich, bevor eine Geldbuße berechnet wird. Interessanterweise bestätigte das Gericht die wesentlichen DSGVO-Verstöße selbst. Es urteilte, dass sich Amazon zu Unrecht auf „berechtigte Interessen“ für das Tracking von Nutzern berufen habe. Das Unternehmen hat seine Werbepraktiken inzwischen angepasst. Die CNPD muss den Fall nun unter Beachtung der richtigen rechtlichen Rahmenbedingungen neu bewerten.

DSGVO-Durchsetzung 2026: Ungebrochener Druck trotz Rückschlag

Die Aufhebung der Rekordstrafe erfolgt in einer phase intensivierter Regulierung. Daten des jüngsten DLA Piper Reports zeigen: Europäische Aufsichtsbehörden verhängten 2025 weiterhin Strafen in Höhe von rund 1,2 Milliarden Euro. Gleichzeitig schnellen die Meldungen von Datenschutzverletzungen in die Höhe – im Schnitt werden täglich 443 Vorfälle gemeldet, ein Plus von 22 Prozent im Jahresvergleich.

Die Scrutiny betrifft längst nicht nur Tech-Konzerne. Einen Tag vor dem Amazon-Urteil zeigte die britische Datenschutzbehörde ICO bei Police Scotland Flagge. Die Behörde verhängte eine Geldbuße von 66.000 Pfund, weil die Polizei den gesamten Inhalt eines Handys eines Opfers kopiert hatte – ohne ausreichende rechtliche Grundlage und gegen das Prinzip der Datenminimierung verstoßend. Die Botschaft ist klar: Jede Organisation ist verwundbar, wenn sie grundlegende Privacy-Prinzipien missachtet.

Was Unternehmen jetzt tun müssen

Die Ereignisse der Märzwoche liefern klare Lehren für Compliance-Verantwortliche. Der Fokus des Gerichts auf die Unterscheidung zwischen Vorsatz und Fahrlässigkeit unterstreicht die immense Bedeutung von Dokumentation. Unternehmen müssen ihre Datenschutz-Folgenabschätzungen, Audits und Compliance-Bemühungen lückenlos nachweisen können. Im Ernstfall kann dieser Nachweis gutgläubigen Handelns den Unterschied zwischen einer Verwarnung und einer existenzbedrohenden Strafe ausmachen.

Um existenzbedrohende Bußgelder zu vermeiden, müssen Unternehmen ihre Datenschutz-Folgenabschätzung (DSFA) heute präziser denn je dokumentieren. Dieser Experten-Leitfaden bietet Ihnen bearbeitbare Muster-Vorlagen und Checklisten, um eine rechtssichere DSFA in wenigen Schritten zu erstellen. Gratis E-Book zur Datenschutz-Folgenabschätzung sichern

Zudem ist die Rechtssicherheit für werbliche Datenverarbeitung geschrumpft. „Berechtigte Interessen“ sind für Behavioral Tracking kein Freifahrtschein mehr. Die digitale Marketing-Branche muss auf ausdrückliche und informierte Einwilligung setzen. Nutzeroberflächen müssen transparent sein und einfache Widerrufsmöglichkeiten bieten.

Technisch rücken robuste Verschlüsselung, strikte Zugangskontrollen und kontinuierliches Monitoring in den Fokus. Der Fall Police Scotland zeigt zudem: Das Prinzip der Datenminimierung muss in allen Prozessen und Systemen verankert sein.

Das komplexe Geflecht neuer Digital-Regularien

Die Strategie zum Schutz von Daten muss heute ein ganzes Bündel sich überschneidender Gesetze berücksichtigen. Am 13. März veröffentlichten EU-Kommission und der Europäische Datenschutzausschuss (EDPB) über 100 Stellungnahmen zur Wechselwirkung zwischen DSGVO und dem Digital Markets Act (DMA). Es geht um die Frage, wie Anforderungen an Einwilligung, Datenportabilität und Targeted Advertising durchgesetzt werden, wenn beide Regelwerke gleichzeitig gelten.

Für Compliance-Verantwortliche bedeutet diese regulatorische Konvergenz eine enorme Herausforderung. Datenarchitekturen müssen nicht nur die DSGVO, sondern auch sektorspezische Vorgaben und kommende KI-Regulierungen erfüllen. Die große Anzahl eingereichter Feedback-Dokumente spiegelt die verbreitete Sorge der Wirtschaft vor Doppelbestrafung wider: Ein einziges Daten-Versagen könnte Untersuchungen unter mehreren regulatorischen Regimen auslösen.

Ausblick: Keine Entwarnung, sondern höhere Maßstäbe

Die Aufhebung der Amazon-Strafe ist kein Signal für eine laxere Durchsetzung. Sie setzt vielmehr einen strengeren rechtlichen Maßstab, den sowohl Aufsichtsbehörden als auch Unternehmen erfüllen müssen. Die erneute Prüfung des Falls durch die CNPD wird voraussichtlich einen Präzedenzfall dafür schaffen, wie Behörden Fahrlässigkeit in Zukunft dokumentieren müssen.

Die Fehlertoleranz für in Europa tätige Unternehmen schwindet weiter. Die Kombination aus aktiven Behörden, engagierten Privacy-Aktivisten und strenger gerichtlicher Kontrolle erfordert einen proaktiven Ansatz im Data Governance. Wer Datenschutz als kontinuierliche betriebliche Anforderung und nicht als statische Checkliste begreift, ist am besten gegen die finanziellen und reputativen Risiken der modernen Privacy-Durchsetzung gewappnet.