anonym.legal

By · Last updated 2026-06-05

Zurück zum BlogDSGVO & Compliance

Irische DPC: Warum 80 % der größten GDPR-Strafen der...

530 Mio. € TikTok, 310 Mio. € LinkedIn, 251 Mio. € Meta — alles von der irischen DPC.

June 5, 20268 min Lesezeit
Irish DPCIreland GDPRTikTok GDPR fineBig Tech enforcementEU data protection

Warum Irland die EU-Durchsetzung anführt

Die irische Datenschutzbehörde (DPC) ist die zuständige Leitbehörde für die meisten großen EU-Technologieunternehmen. Das ist kein Zufall.

Irlands niedriger Steuersatz zog Apple, Google, Meta, LinkedIn und TikTok an. Sie alle richteten dort ihre EU-Hauptsitze ein.

DSGVO Artikel 60 macht die DPC zur Leitbehörde für diese Unternehmen. Drei Dinge folgen aus dieser Regel.

Erstens gehen Beschwerden in Deutschland gegen Facebook an die irische DPC, nicht an den deutschen BfDI. Zweitens arbeitet die DPC mit anderen EU-Behörden an grenzüberschreitenden Fällen zusammen. Drittens gilt eine DPC-Entscheidung gegen Meta in der gesamten EU.

Das Ergebnis ist klar. Die DPC hat mehr Bußgeldwert verhängt als alle anderen EU-Behörden zusammen. Lesen Sie unsere DSGVO-Compliance-Übersicht dazu, wie Durchsetzungsmuster Anbieterentscheidungen beeinflussen.

Drei Bußgelder, die 2024–2025 prägen

€530 Mio. gegen TikTok (Mai 2025): Chinesische Mitarbeiter griffen auf EU-Nutzerdaten zu. Das verstieß gegen DSGVO Artikel 44–46. Diese Regeln schränken Übermittlungen in Länder ohne EU-Angemessenheitsbeschluss ein. China hat keinen. TikTok behauptete, angemessene Kontrollen zu haben. Die DPC widersprach.

€310 Mio. gegen LinkedIn (Oktober 2024): LinkedIn stützte sich auf „berechtigte Interessen" für die Verhaltensanalyse. Die DPC erklärte dies für ungültig. Die Verarbeitung war für den angegebenen Zweck nicht erforderlich. Der Interessenausgleich fiel nicht zugunsten von LinkedIn aus.

€251 Mio. gegen Meta (November 2024): Der Facebook-Datenschutzverstoß von 2018 wurde der DPC nicht rechtzeitig gemeldet. Die DPC stellte auch fest, dass schlechte Protokolldaten es unmöglich machten zu messen, was offengelegt worden war.

Diese drei Fälle reihen sich in das frühere €1,2-Mrd.-Bußgeld gegen Meta aus Mai 2023 ein. Auch dieses Bußgeld kam von der DPC, wegen illegaler EU-US-Übermittlungen. Es bleibt das größte je verhängte DSGVO-Bußgeld.

Die DPC bearbeitete 2024 über 8.500 grenzüberschreitende Fälle. Sehen Sie sich unsere Sicherheits- und Compliance-Seite an, um zu erfahren, wie Zero-Knowledge-Design jeden Fehler behebt.

Was jedes Bußgeld zeigt

Fehler bei grenzüberschreitendem Zugang

Alle drei Bußgelder haben ein Kernproblem gemeinsam. Personenbezogene Daten waren für Mitarbeiter in Ländern ohne EU-Datenschutzniveau zugänglich.

TikToks Bußgeld war eindeutig. EU-Nutzerdaten gelangten trotz angegebener Kontrollen zu chinesischen Ingenieuren.

Was das für die Anbieterauswahl bedeutet: Fragen Sie, ob Nicht-EU-Ingenieure auf EU-gehostete Daten zugreifen können. Ein Anbieter kann in Dublin hosten, aber EU-Dateien trotzdem über US-amerikanischen Support preisgeben. EU-Standort allein reicht nicht aus. Unser Leitfaden zur Datenverarbeitung zeigt, wie Zugriffskontrollen auf DSGVO Artikel 46 angewendet werden.

Fehler bei der Rechtsgrundlage

Linkedins Bußgeld betraf keinen Datenschutzverstoß. Es betraf die Frage, wie LinkedIn seine Verarbeitung begründete.

„Berechtigte Interessen" sind kein pauschales Recht. Verantwortliche müssen einen echten Interessenausgleich dokumentieren. Dieser muss zeigen, dass ihr Interesse die Rechte der Nutzer überwiegt. Unsere Compliance-Seite erklärt, wie man die Rechtsgrundlage von Anbietern prüft.

Fehler bei Protokollierung und Meldung

Metas €251-Mio.-Bußgeld enthielt einen zentralen Befund. Schlechte Protokolldaten machten es unmöglich, das Ausmaß des Verstoßes zu messen.

DSGVO Artikel 33 verlangt eine Meldung an die Aufsichtsbehörde innerhalb von 72 Stunden. Diese Meldung muss den Umfang der betroffenen Daten enthalten. Sie können keinen Umfang melden, den Sie nicht messen können.

Fragen Sie potenzielle Anbieter nach ihrer Protokollstruktur. Wenn ein Anbieter nach einem Vorfall nicht antworten kann, welche Daten betroffen waren, erfüllt er Artikel 33(3)(b) nicht.

Das Muster in den DPC-Fällen

Betrachtet man alle vier großen DPC-Bußgelder, zeigt sich ein klares Muster. Regulatoren gehen gegen Designs vor, bei denen Anbieter-Ingenieure Nutzerdaten einsehen können. Jedes große Bußgeld beinhaltete schlecht kontrollierten Zugang zu personenbezogenen Daten.

Zero-Knowledge-Design behebt das Kernproblem in jedem Fall. Nutzerinhalte werden verschlüsselt. Der Anbieter besitzt keine Entschlüsselungsschlüssel.

Bei TikTok- und Meta-Übermittlungsfällen sehen Nicht-EU-Ingenieure auf dem Server nur Geheimtext. Keine lesbaren Daten werden offengelegt. Im Meta-Verstoßfall liefert ein vollständiger Server-Kompromiss nichts Nützliches. Der Verstoßumfang schrumpft. Bei LinkedIn kann ein Anbieter, der keinen Klartext sieht, keine Verhaltensanalyse durchführen.

Das ist die direkte Antwort auf jeden DPC-Fall. Sehen Sie unsere Sicherheitsübersicht für Details oder unsere Gründererklärung, warum anonym.legal von Anfang an so gebaut wurde.

Was „Hauptniederlassung" bedeutet

Einige Unternehmen gestalten ihre EU-Struktur so, um zu kontrollieren, welche DPA zuständig ist. Die DPC-Interpretation ist hier wichtig.

„Hauptniederlassung" ist nicht nur eine Unternehmensadresse. Es ist der Ort, an dem die zentrale EU-Verwaltung sitzt. Für Verantwortliche ist es der Ort, an dem Entscheidungen über Verarbeitungszwecke getroffen werden.

Ein Unternehmen mit einem Londoner Datenschutzteam hat möglicherweise gar keine EU-Hauptniederlassung. Dann könnte jede nationale DPA Zuständigkeit für lokale Beschwerden beanspruchen.

Fragen zur Anbieterbewertung

Nutzen Sie diese Fragen bei der Bewertung von SaaS-Anbietern, die personenbezogene Daten verarbeiten.

Zuständigkeit und Zugang:

  • Wo befindet sich die EU-Hauptniederlassung des Anbieters?
  • Können Nicht-EU-Mitarbeiter im normalen Betrieb auf EU-Nutzerdaten zugreifen?
  • Unterliegt die Muttergesellschaft des Anbieters dem CLOUD Act oder chinesischen Sicherheitsgesetzen?

Technisches Design:

  • Bleiben EU-Nutzerdaten auf EU-gehosteten Servern?
  • Hält der Anbieter die Verschlüsselungsschlüssel, oder der Kunde?
  • Sind Protokolldaten detailliert genug, um den Verstoßumfang zu messen?

Übermittlungsunterlagen:

  • Welcher DSGVO-Artikel-46-Mechanismus deckt EU-US-Datenflüsse ab?
  • Hat der Anbieter eine Datentransfer-Folgenabschätzung durchgeführt?
  • Welche zusätzlichen technischen Maßnahmen sind vorhanden?

DPC-Durchsetzung ist in einem Punkt konsistent. Selbst Unternehmen mit Datenschutzteams und DSBs erhalten hohe Bußgelder, wenn ihr technisches Design nicht mit ihren Behauptungen übereinstimmt. Sehen Sie unsere Fallstudien und FAQ für mehr.

anonym.legal verwendet EU-basierte Hetzner-Server mit Zero-Knowledge-Design. Server enthalten nur AES-256-GCM-Geheimtext. Ein vollständiger Verstoß legt keine lesbaren Daten offen. Die Desktop-App verarbeitet alle Inhalte lokal ohne externe Verbindungen.

Quellen

Verwandte Artikel

DSGVO & Compliance

Japan My Number: Verhoeff & APPI

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia.

DSGVO & Compliance

HDPA Greece: AFM & AMKA Detection

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct.

DSGVO & Compliance

NAIH Hungary: TAJ-Szám and Adóazonosító Jel

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps.

Bereit, Ihre Daten zu schützen?

Beginnen Sie mit der Anonymisierung von PII mit über 285 Entitätstypen in 48 Sprachen.

Kostenlose Testversion startenFunktionen anzeigen

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.