Datenschutz: Europa verschärft den Ton bei Milliardenstrafen

Die Datenschutz-Aufseher in Europa schlagen härter zu. Aktuelle Strafen gegen Reddit und eine irische Universität zeigen: Oberflächliche Compliance reicht nicht mehr aus. Unternehmen müssen ihre Systeme jetzt grundlegend absichern.

Reddit-Klage: 17 Millionen Euro Strafe für mangelnden Jugendschutz

Die britische Datenschutzbehörde ICO hat dem Social-Media-Riesen Reddit eine Strafe von umgerechnet 17 Millionen Euro auferlegt. Der Vorwurf: Die Plattform habe zwischen 2018 und 2025 personenbezogene Daten von unter 13-Jährigen ohne rechtliche Grundlage verarbeitet.

Der Fall Reddit zeigt deutlich, wie riskant eine verspätete oder lückenhafte Datenschutz-Folgenabschätzung für Unternehmen sein kann. Sichern Sie sich und Ihr Unternehmen ab und erstellen Sie rechtssichere DSFA-Dokumente mit dieser kostenlosen Anleitung inklusive Mustervorlagen. Kostenloses E-Book zur Datenschutz-Folgenabschätzung herunterladen

Kern des Problems war ein lasches Altersverifikations-System. Ein einfaches Abhaken der Frage „Sind Sie über 13?“ genügt den Aufsichtsbehörden längst nicht mehr. Sie fordern nun robuste, technisch überprüfbare Mechanismen. Zudem kritisierte die ICO, dass Reddit erst 2025 eine umfassende Datenschutz-Folgenabschätzung für Minderjährige durchführte – viel zu spät. Die Botschaft an alle digitalen Plattformen ist klar: Wer Kinder nicht wirksam schützt, riskiert empfindliche Millionenstrafen.

Universität Limerick: Strukturelle Versäumnisse kosten 98.000 Euro

Nicht nur Tech-Konzerne, auch öffentliche Einrichtungen geraten ins Visier. Die irische Datenschutzkommission (DPC) verhängte gegen die University of Limerick eine Geldbuße von 98.000 Euro. Grund waren mehrere Datenschutzverletzungen zwischen 2018 und 2020.

Die Behörde stellte fundamentale Mängel fest: unzureichende technische Sicherheitsvorkehrungen, verspätete Benachrichtigung der Betroffenen bei Datenlecks und lückenhafte Aufzeichnungen der Datenverarbeitung. Die vergleichsweise milde Strafe begründete die DPC mit der kooperativen Haltung der Universität, die ihre Sicherheitsrichtlinien und Schulungen anschließend überarbeitete.

Gerichtsurteil: Hacker-Argument zählt nicht mehr

Ein Grundsatzurteil des britischen Berufungsgerichts vom Februar 2026 verschärft die Haftung von Unternehmen bei Cyberangriffen. Im Fall DSG Retail wiesen die Richter die Argumentation des betroffenen Unternehmens zurück.

Da Gerichte die Haftung bei Cyberangriffen verschärfen, wird eine proaktive IT-Sicherheitsstrategie für Geschäftsführer zur Pflicht. Dieser Experten-Report enthüllt effektive Strategien, wie mittelständische Unternehmen sich ohne Budget-Explosion gegen Cyberkriminelle wappnen. Gratis Cyber-Security-Leitfaden jetzt anfordern

DSG Retail hatte argumentiert, die gestohlenen, teils pseudonymisierten Daten seien für die Hacker nicht nutzbar, um Personen zu identifizieren. Das Gericht ließ dies nicht gelten. Entscheidend sei, ob der verantwortliche Datenverarbeiter (der Konzern selbst) die Mittel zur Identifizierung habe – nicht der Hacker. Diese Auslegung der DSGVO erschwert es Unternehmen erheblich, Strafen nach einem Cyberangriff mit dem Verweis auf die angeblich harmlosen Daten zu bekämpfen.

Vier Milliarden Euro: Das gigantische Inkasso-Problem

Trotz hoher Strafen fließt nur wenig Geld in die Kassen der Aufseher. Allein der irischen DPC stehen über vier Milliarden Euro ausstehender Geldbußen offen. Von den rund 4,04 Milliarden Euro, die in sechs Jahren verhängt wurden, sind bislang nur etwa 20 Millionen Euro tatsächlich eingegangen.

Der Grund ist simpel: Solange Unternehmen die Strafen vor Gericht anfechten, kann die Behörde nicht vollstrecken. Die milliardenschweren Strafen gegen Tech-Giganten wie Meta stecken daher oft jahrelang in Rechtsstreitigkeiten fest. Die regulatorische Macht demonstriert so vor allem symbolische Wirkung.

Analyse: Vom Formfehler zum Systemversagen

Die jüngsten Entwicklungen markieren eine klare Zäsur. Die Aufsichtsbehörden gehen nicht mehr nur administrative Pannen an, sondern fundamentale System- und Governance-Fehler.

Die Reddit-Strafe zeigt eine Null-Toleranz-Politik bei unzureichendem Jugendschutz. Das Urteil im Fall DSG Retail macht klar, dass die Verantwortung für die Datensicherheit uneingeschränkt beim Unternehmen liegt – Ausreden zählen nicht. Datenchutz wird so vom lästigen Compliance-Thema zur Chefsache im Risikomanagement.

Ausblick: DSA und KI-Gesetz verschärfen den Druck

Die Regulierung wird noch komplexer. Mit dem Digital Services Act (DSA) und dem KI-Gesetz kommen auf EU-Ebene neue Regelwerke hinzu, die sich mit der DSGVO überschneiden.

Unternehmen stehen vor der Aufgabe, Datenschutz von Anfang an in die Produktentwicklung zu integrieren. Wer das vernachlässigt, muss nicht nur mit hohen Geldstrafen rechnen, sondern auch mit langwierigen Gerichtsverfahren und massivem Reputationsschaden. Die Botschaft aus Brüssel, London und Dublin ist unmissverständlich: Der Datenschutz-Ernst beginnt jetzt.