€4,7 Mrd.: US-Firmen zahlen 83 % aller DSGVO-Bußgelder
Die Bußgeld-Lücke
Seit 2018 haben EU-Behörden über €6,2 Milliarden an DSGVO-Bußgeldern verhängt. Das Muster ist eindeutig. €4,7 Milliarden — 83 % — gingen an US-Unternehmen.
Acht der zehn höchsten Bußgelder aller Zeiten trafen amerikanische Tech-Konzerne.
Die zehn höchsten DSGVO-Bußgelder
| Rang | Unternehmen | Bußgeld | Grund | Jahr |
|---|---|---|---|---|
| 1 | Meta (Irland) | €1,2 Mrd. | EU-US-Transfers | 2023 |
| 2 | Amazon (Luxemburg) | €746 Mio. | Gezielte Werbung | 2021 |
| 3 | TikTok (Irland) | €530 Mio. | Transfers nach China | 2025 |
| 4 | Instagram (Irland) | €405 Mio. | Kinddaten | 2022 |
| 5 | Meta (Irland) | €390 Mio. | Rechtsgrundlage für Werbung | 2023 |
| 6 | TikTok (Irland) | €345 Mio. | Kinderdatenschutz | 2023 |
| 7 | LinkedIn (Irland) | €310 Mio. | Verhaltensanalyse | 2024 |
| 8 | Uber (Niederlande) | €290 Mio. | Fahrerdaten in die USA | 2024 |
| 9 | Meta (Irland) | €265 Mio. | Scraping | 2022 |
| 10 | WhatsApp (Irland) | €225 Mio. | Transparenz | 2021 |
Die höchsten Bußgelder haben alle eine Ursache: grenzüberschreitende Transfers. Meta allein — einschließlich Instagram und WhatsApp — steht für €2,4 Milliarden.
Warum US-Transfers gegen die DSGVO verstoßen
Das Schrems-II-Urteil
Im Juli 2020 kippte der EU-Gerichtshof Privacy Shield. US-Überwachungsgesetze widersprechen EU-Datenschutzrechten. Dieses Urteil heißt Schrems II.
Es hat drei direkte Folgen:
- Standardvertragsklauseln allein reichen nicht aus
- Unternehmen müssen prüfen, ob US-Recht ausreichenden Schutz bietet
- Die meisten Transfers brauchen ergänzende technische Maßnahmen
Das CLOUD-Act-Problem
US-Recht kann amerikanische Firmen zwingen, gespeicherte Dateien herauszugeben. Das gilt auch, wenn die Dateien auf EU-Servern liegen. Der CLOUD Act erlaubt US-Behörden, Inhalte von US-Firmen — weltweit — zu fordern.
Das ist ein grundlegendes Problem für US-Cloud-Anbieter in der EU.
Zwei wegweisende Bußgelder
Metas Bußgeld von €1,2 Milliarden (2023)
Irlands DPC stellte fest, dass Meta EU-Nutzerdaten ohne gültige Rechtsgrundlage in die USA übermittelt hatte. Meta musste alle EU-US-Transfers innerhalb von fünf Monaten stoppen. Es war das höchste DSGVO-Bußgeld der Geschichte.
Ubers Bußgeld von €290 Millionen (2024)
Die niederländische DPA bestrafte Uber für die Übermittlung von Fahrerdaten in die USA. Uber nutzte Standardvertragsklauseln. Aber es fehlten die ergänzenden Maßnahmen, die Schrems II verlangt.
Was Behörden prüfen
Aufsichtsbehörden prüfen jetzt drei Dinge:
- Ist der Transfer wirklich notwendig?
- Sind ergänzende Schutzmaßnahmen vorhanden?
- Bietet das Recht im Zielland ausreichenden Schutz?
Die Lösung: Datensouveränität in der EU
Der sicherste Weg ist, personenbezogene Daten in der EU zu halten. Das beseitigt das Transferrisiko vollständig.
anonym.legal Infrastruktur
| Merkmal | Detail |
|---|---|
| Hosting | Hetzner, Deutschland (ISO 27001) |
| Cloud | Kein AWS, Azure oder GCP |
| Verarbeitung | 100 % EU-Server |
| Entität | Deutsches Unternehmen |
| CLOUD Act | Nicht anwendbar — kein US-Mutterkonzern |
Zero-Knowledge-Design
Unser Zero-Knowledge-Ansatz bietet eine zweite Schutzschicht:
- Passwörter verlassen niemals Ihr Gerät
- Schlüssel bleiben auf der Client-Seite
- Wir können Ihre Inhalte selbst auf gerichtliche Anordnung nicht lesen
- Es gibt keine Hintertür in unserem System
Mehr technische Details finden Sie in unserer Sicherheits-Compliance-Übersicht.
Schritte für US-Unternehmen
1. Transfers auf das Minimum reduzieren
Anonymisieren Sie persönliche Kennzeichen vor jedem Transfer. Senden Sie nur, was wirklich nötig ist.
2. EU-Anbieter nutzen
Für EU-Nutzerdaten wählen Sie EU-basierte Dienste, wo möglich. Unser DSGVO-Compliance-Leitfaden erklärt die Auswahl von Anbietern.
3. Ergänzende Maßnahmen einführen
Wenn Transfers unvermeidlich sind, setzen Sie Verschlüsselung und Tokenisierung ein. Diese blockieren den Zugriff durch US-Behörden.
4. Datentransfer-Folgenabschätzung durchführen
Dokumentieren Sie Ihre Prüfung, ob das Recht im Zielland EU-Daten schützt. DPAs erwarten diesen Schritt heute standardmäßig.
So hilft anonym.legal
Vor einem Transfer: Ersetzen Sie persönliche Kennzeichen durch Tokens. Senden Sie die tokenisierte Version. Behalten Sie echte Werte in der EU.
Für Compliance: Deutsches Hosting, Zero-Knowledge-Design, vollständige Prüfprotokolle und DSGVO-konform von Grund auf.
Preise: Kostenlos: 200 Tokens pro Monat. Basic: €3/Monat. Business: €29/Monat.
Schützen Sie EU-Daten noch heute. Kostenlos starten.