Wie Meta Bußgelder als Betriebskosten einkalkuliert
Investigativ

Wie Meta Bußgelder als Betriebskosten einkalkuliert

Über zwei Milliarden Euro DSGVO-Bußgelder haben Meta, Google und TikTok nicht aufgehalten. Eine Analyse zeigt, warum Bußgelder das falsche Instrument sind, wie die Lobbymaschine der Digitalkonzerne Regulierung systematisch aushöhlt und was der Rücktritt der Bundesdatenschutzbeauftragten bedeutet.

15. Mai 2026, 6:45 Uhr 1642 Wörter · 9 Min. Lesezeit
Redaktion: KI-gestützt erstellt und redaktionell geprüft

Die EU hat die Datenschutz-Grundverordnung einst als historischen Schutz für 450 Millionen Europäer gefeiert. Acht Jahre später lässt sich messen, wie gut das funktioniert hat: Allein die irische Datenschutzbehörde hat Meta mit Bußgeldern von insgesamt mehr als zwei Milliarden Euro belegt. Das Unternehmen sammelt Nutzerdaten unverändert weiter. Nicht trotz der Strafen, sondern in voller Kenntnis davon.

Das Versprechen der DSGVO und seine Grenzen

Als die Datenschutz-Grundverordnung im Mai 2018 in Kraft trat, galt sie als das schärfste Datenschutzgesetz der Welt. Erstmals konnten Behörden Bußgelder von bis zu vier Prozent des weltweiten Jahresumsatzes verhängen. Für Meta bedeutete das theoretisch: Bußgelder bis zu fünf Milliarden Euro pro Verstoß. Die Botschaft schien klar: Wer Daten von EU-Bürgern missbraucht, zahlt einen Preis, der spürbar ist.

Die Wirklichkeit sieht anders aus. Meta erzielte 2024 einen Jahresgewinn von mehr als 62 Milliarden US-Dollar. Die Gesamtsumme aller bisher verhängten DSGVO-Bußgelder gegen das Unternehmen entspricht etwa drei Wochen Unternehmensgewinn. Für einen Konzern dieser Größenordnung sind Bußgelder keine Abschreckung. Sie sind eine kalkulierbare Ausgabenposition.

Das Tracking-Netz, das niemanden ausspart

Wer noch nie ein Facebook-Konto hatte, ist trotzdem in Metas Datenbankensystem erfasst. Das Unternehmen erstellt sogenannte Schattenprofile von Menschen ohne eigenen Account: über Like-Buttons und Share-Funktionen, die auf fremden Websites eingebettet sind, über Kontaktlisten, die andere Nutzer hochgeladen haben, über das Meta-Pixel, einen unsichtbaren Tracking-Code auf Millionen von Webseiten. Laut einer Studie der Universität Leuven aus dem Jahr 2022 kann Facebook technisch die Surfaktivitäten von über 52 Prozent aller Internetnutzer weltweit verfolgen, einschließlich solcher ohne Facebook-Account.

Das Meta Business Toolkit ist auf mehr als zwei Millionen deutschsprachigen Websites und Apps installiert. Die Datenschutzkonferenz der deutschen Bundesländer stellte in NRW fest, dass rund 70.000 Websites Google Analytics ohne rechtskonforme Einwilligung der Nutzer betrieben, wie die Datenschutzbehörde NRW dokumentierte. Google Analytics, Metas Pixel, Amazons Tracking-Codes: Der Alltag im deutschen Internet ist zu weiten Teilen ein Experiment ohne Einwilligung.

Besonders prägnant zeigte sich das Ausmaß beim Cambridge-Analytica-Skandal: Meta hatte Daten von 87 Millionen Nutzern an eine britische Datenanalysefirma weitergegeben, die diese für politische Wahlkampfbeeinflussung nutzte. Meta schloss den Rechtsstreit 2022 mit einem Vergleich über 725 Millionen US-Dollar ab. Für ein Unternehmen mit einem Börsenwert von über einer Billion Dollar war auch das überschaubar.

Zwei Milliarden Euro: und trotzdem weiter

Die irische Datenschutzbehörde DPC ist als Heimatbehörde von Meta in der EU für die meisten Verfahren zuständig. Ihre Bilanz der vergangenen Jahre ist eindrucksvoll, gemessen an der Anzahl der Verfahren. Im Januar 2023 verhängte sie 390 Millionen Euro gegen Meta wegen unzulässiger Verarbeitung von Nutzerdaten für Werbezwecke. Im Mai 2023 folgte die bis dahin höchste Datenschutzstrafe in der Geschichte der DSGVO: 1,2 Milliarden Euro, weil Meta jahrelang Daten europäischer Facebook-Nutzer in die USA übermittelt hatte, ohne einen wirksamen Übertragungsmechanismus. Im September 2024 kamen weitere 91 Millionen Euro hinzu, im Dezember 2024 noch einmal 251 Millionen Euro für einen Datenschutzverstoß aus dem Jahr 2018.

Das Muster ist immer dasselbe: Die Behörde ermittelt, verhängt eine Strafe. Meta zahlt, legt Einspruch ein, bestreitet die Verletzung und ändert sein Verhalten minimal oder gar nicht. Im April 2025 verhängte die EU-Kommission dann noch einmal 200 Millionen Euro unter dem Digital Markets Act, weil Metas Modell der Wahlmöglichkeit zwischen Datenweitergabe und bezahltem Abo die Anforderungen des Gesetzes nicht erfüllte: Weniger als ein Prozent der Facebook- und Instagram-Nutzer hatte die kostenpflichtige Version gewählt.

Auch Google kommt in der Bilanz vor. Im September 2025 verhängte die EU-Kommission 2,9 Milliarden Euro wegen kartellrechtswidriger Bevorzugung des eigenen Werbeanzeigendienstes. Seit Anfang 2024 belaufen sich die EU-Bußgelder gegen die großen Digitalplattformen laut CNBC auf mehr als sechs Milliarden Euro. Für die Unternehmen ist das, gemessen an ihren Gewinnen, vergleichbar mit einem Strafzettel fürs Falschparken vor einem Laden, in dem man täglich 50 Millionen Euro umsetzt.

KI als neue Front der Datenausbeutung

2025 öffnete Meta eine neue Dimension des Datenstreits. Das Unternehmen begann damit, in Europa veröffentlichte Social-Media-Beiträge für das Training seiner KI-Systeme zu nutzen. Anders als bei personalisierten Werbeanzeigen beanspruchte Meta dabei kein Einverständnis der Nutzer, sondern berief sich auf ein sogenanntes berechtigtes Interesse nach Artikel 6 Absatz 1f der DSGVO.

Die Datenschutzorganisation NOYB beauftragte daraufhin das Gallup-Institut, deutsche Meta-Nutzer zu befragen. Das Ergebnis, veröffentlicht im August 2025: Nur sieben Prozent der befragten Meta-Nutzer wollen, dass ihre Daten für KI-Training genutzt werden. 66 Prozent lehnten das aktiv ab. Weitere 27 Prozent hatten von Metas Plänen noch gar nichts gehört. NOYB-Gründer Max Schrems schrieb in dem Cease-and-Desist-Schreiben an Meta vom Mai 2025, das Unternehmen behandle DSGVO-Rechte als Verhandlungsmasse.

Das Oberlandesgericht Köln entschied im Frühjahr 2025, dass Metas KI-Training mit Daten aus öffentlichen Social-Media-Profilen grundsätzlich zulässig sei. Das Urteil ist umstritten und beschränkt sich auf öffentlich zugängliche Beiträge. NOYB prüft eine europäische Sammelklage als nächsten Schritt. In Deutschland haben sich nach Angaben des Prozessfinanzierers Financialright laut Stand Frühjahr 2026 über 300.000 Menschen für mögliche Sammelklagen gegen Meta registriert.

Die Lobbymaschine hinter den Kulissen

Was passiert, während die Behörden Bußgeldbescheide verschicken? In Brüssel arbeiten Metas Lobbyisten daran, die nächste Regulierungsrunde möglichst folgenlos zu gestalten. Laut EU-Transparenzregister hat Meta seine EU-Lobbyausgaben auf mehr als acht Millionen Euro jährlich gesteigert und gehört damit zu den größten Einzellobbyisten in Brüssel. Neuere Zahlen deuten auf bis zu zehn Millionen Euro hin.

Die Gesamtsumme ist noch eindrucksvoller: Die Lobbyorganisation LobbyControl ermittelte, dass die Digitalindustrie ihre EU-Lobbybudgets 2025 auf 151 Millionen Euro erhöhte, ein Anstieg von 33,6 Prozent gegenüber dem Vorjahr. Was dieses Geld kauft, lässt sich in der Gesetzgebungsarbeit ablesen: Die Ausnahmetatbestände in DMA und DSA, die Definition von Schwellenwerten für die Gatekeeperregulierung, die Formulierung von Geheimhaltungspflichten bei laufenden Untersuchungen.

Der frühere britische Vizepremierminister Nick Clegg, bis 2024 Metas Cheflobbyist für globale Angelegenheiten, stand beispielhaft für die Strategie: erfahrene Politiker als Schnittstelle zur Regulierungswelt engagieren, um Einsprüche und Konsultationsprozesse professionell zu steuern. Das Unternehmen kenne die Regeln und nutze sie besser als die Behörden, urteilt Mark Scott, Digitalredakteur beim Politico-Magazin, der die Lobbyprozesse seit Jahren beobachtet.

Ein internationaler Vergleich: Was die EU besser macht und was sie nicht kann

Trotz aller Schwächen ist die DSGVO international das wirksamste Datenschutzgesetz. Die USA haben kein bundesweites Pendant, nur ein Flickenteppich aus 50 unterschiedlichen Einzelstaatengesetzen. Die Federal Trade Commission verhängt Bußgelder, die in der Regel unter einem Prozent des Jahresumsatzes liegen. Meta zahlte der FTC 2019 nach dem Cambridge-Analytica-Skandal fünf Milliarden Dollar, damals die höchste Datenschutzstrafe der US-Geschichte. Das klingt nach viel, entspricht aber nur etwa zehn Wochen Unternehmensgewinn im Jahr 2024.

China verfolgt einen anderen Ansatz: Das Personal Information Protection Law (PIPL) von 2021 hat auf dem Papier ähnliche Standards wie die DSGVO. In der Praxis richtet sich die Durchsetzung gegen ausländische Unternehmen und dient dem Staat als Instrument zur Datenkontrolle, nicht zum Schutz von Bürgern. Das Modell erklärt, warum TikTok in Europa unter europäischem Recht operiert, aber seine globale Infrastruktur und Datenhaltungspraktiken nicht vollständig offenlegt.

Der sogenannte Brussels Effect, den die Rechtswissenschaftlerin Anu Bradford von der Columbia Law School beschrieben hat, beschreibt das Phänomen, dass EU-Datenschutzstandards über Marktdruck weltweit angewendet werden: Unternehmen, die in Europa Daten schützen müssen, passen ihre globalen Systeme an, weil es effizienter ist als zwei parallele Infrastrukturen zu betreiben. Das erklärt, warum die DSGVO in Ländern wie Japan, Brasilien und Südkorea als Vorlage für eigene Gesetze diente. Die praktische Wirksamkeit in Europa selbst bleibt trotzdem hinter den eigenen Ansprüchen zurück.

Warum das System scheitert: strukturelle Schwächen

Prof. Dr. Louisa Specht-Riemenschneider, seit September 2024 Bundesdatenschutzbeauftragte, gab im März 2026 bekannt, ihr Amt aus gesundheitlichen Gründen niederzulegen. Sie war erst 18 Monate im Amt. Ihr Rückzug kam zu einem denkbar ungünstigen Zeitpunkt: Im Bundestag stehen nach ihren eigenen Angaben mehrere kritische Gesetzesvorhaben an, darunter die DSGVO-Reform und Regulierungen zu KI in Behörden.

Ihre Ankündigung markiert ein strukturelles Problem, das weit über ihre Person hinausgeht. Die DSGVO schreibt vor, dass Datenschutzbehörden unabhängig und mit ausreichenden Ressourcen ausgestattet sein müssen. In der Praxis konkurrieren die Behörden mit der Privatwirtschaft um technisch qualifiziertes Personal, das bei Meta, Google oder TikTok ein Vielfaches des öffentlichen Gehalts verdienen kann. Das führt dazu, dass Verfahren jahrelang dauern: Die irische DPC ermittelte sieben Jahre lang, bevor sie das 1,2-Milliarden-Euro-Bußgeld verhängte.

Der Jurist und Datenschutzforscher Max Schrems (NOYB) brachte das Dilemma 2025 auf den Punkt: Die DSGVO habe das richtige Prinzip, aber das falsche Durchsetzungssystem. Eine Behörde, die jahrelang ermittelt, während das betreffende Unternehmen Milliarden mit den fraglichen Daten verdient, schützt niemanden. Strukturell helfen nur zwei Dinge: sofortige Unterlassungsverfügungen bei Verstößen und Schadensersatzklagen, die direkt beim Nutzer ankommen.

TikTok kommt in der europäischen Regulierungsdiskussion oft zu kurz, obwohl das Unternehmen bei 20 Millionen deutschen Nutzern Standortdaten, Geräteinformationen und Verhaltensmuster erhebt und auf Servern speichert, die letztlich unter chinesischem Datenzugriff stehen könnten. Die EU-Kommission leitete 2023 eine Untersuchung unter dem Digital Services Act ein, erste Ergebnisse stehen noch aus. Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit hat ein eigenes Verfahren gegen TikTok eingeleitet.

300.000 Kläger und die neue Runde der Sammelklagen

Das wirksamste Gegengewicht zu den bisherigen Bußgeldbescheiden könnte paradoxerweise nicht von Behörden kommen, sondern von einzelnen Bürgern. Das Landgericht Leipzig entschied 2024, dass ein Facebook-Nutzer nach dem Datenleck von 2021 Anspruch auf 5.000 Euro Schadensersatz hat. Das Gericht wertete den Kontrollverlust über persönliche Daten als eigenständigen immateriellen Schaden, auch ohne konkreten Nachweis eines Missbrauchs. Der Bundesgerichtshof prüft seither vergleichbare Fälle.

Wenn alle über 300.000 registrierten Kläger 5.000 Euro erstreiten, summiert sich das auf 1,5 Milliarden Euro. Ob es dazu kommt, hängt von der Rechtsprechung der nächsten Monate ab. Für Meta ist das erkennbar ein ernsteres Risiko als Behördenbußgelder: Im Dezember 2022 schloss das Unternehmen eine ähnliche Sammelklage in den USA mit 725 Millionen Dollar ab.

Parallel dazu verhandelt Brüssel über eine Reform der DSGVO. Die EU-Kommission will die Verfahren beschleunigen und die Zusammenarbeit zwischen nationalen Behörden verbessern. Ob die Reform auch die strukturellen Schwächen der Durchsetzung behebt, also ob Bußgelder schneller verhängt, höher bemessen und mit sofortigen Unterlassungspflichten verknüpft werden, ist noch offen. Der Entwurf liegt dem Rat zur Beratung vor. Begleitet von einer Lobbyoffensive, die, gemessen an den Budgetzahlen, jede bisherige übertrifft.

Quellen (15)
EDPB: 1,2-Milliarden-Euro-Bußgeld gegen Meta (Mai 2023) · Irish DPC: Bußgeld 251 Millionen Euro (Dezember 2024) · Irish DPC: Bußgeld 91 Millionen Euro (September 2024) · EU-Kommission: DMA-Bußgeld 200 Millionen Euro gegen Meta (April 2025) · CNBC: EU Big Tech Fines Top $7 Billion in 2 Years · NOYB: Nur 7 Prozent wollen Meta-KI-Training (August 2025) · NOYB: Cease-and-Desist gegen Meta KI-Training (Mai 2025) · LobbyControl: EU-Lobbyausgaben der Digitalindustrie auf Rekordniveau · BfDI: Bundesdatenschutzbeauftragte kündigt Rückzug an (März 2026) · heise online: Facebook verfolgt 52 Prozent aller Internetnutzer · netzpolitik.org: Meta-Datenleck Sammelklage Deutschland · WBS Rechtsanwälte: Meta Business Tools und Datenschutz · Handelsblatt: Meta zahlt 725 Millionen Dollar im Cambridge-Analytica-Vergleich · utopia.de: Schattenprofile bei Facebook und Co. · Library of Congress: German Court Allows Meta AI Training

Kommentare

Weitere Artikel