Die gesamte Architektur aus vertraglichen und operativen Schritten, die diese Website empfiehlt, beruht auf einer stillschweigenden Annahme: dass ein Anbieter, der mit einer regulatorischen Verpflichtung konfrontiert wird, rational über Anpassungen seines Angebots verhandeln wird, anstatt einen anderen Weg zu wählen — das Bußgeld bezahlen und weitermachen, klagen, Produkte zurückziehen oder im Extremfall den Markt verlassen. Die historische Evidenz legt nahe, dass diese Annahme nur bedingt zutrifft. Die GDPR ist das umfassendste natürliche Experiment, das uns zur Verfügung steht.
Die Zahlen
Die GDPR trat im Mai 2018 in Kraft. Das kumulierte Bußgeldvolumen bis April 2026 übersteigt €7,1 Milliarden. , GDPR Enforcement Tracker Report 2025 (Sixth Edition) , 2025-05-13 · link · archived Doch die Verteilung ist ungleich und aufschlussreich.
Ungefähr 60 % des gesamten Bußgeldvolumens wurden nach Januar 2023 verhängt — das bedeutet, die Aufsichtsbehörden brauchten vier bis fünf Jahre, um wirksame Durchsetzungskapazitäten aufzubauen. , DLA Piper GDPR Fines and Data Breach Survey: January 2026 , 2026-01-21 · link Das allein ist eine Erkenntnis: Regulierung hat eine Anlaufphase, in der regulierte Unternehmen vernünftigerweise abwarten.
Was sich veränderte – und was nicht
Was sich veränderte: Die großen Technologieanbieter passten ihre Einwilligungsmechanismen, Datenpraktiken und Transparenz an. Oberflächlich. Meta wurde mit kumulierten GDPR-Bußgeldern von mehr als €2,5 Milliarden belegt (das bekannteste ist ein einzelnes Bußgeld in Höhe von €1,2 Mrd. der irischen DPC im Mai 2023 wegen transatlantischer Datentransfers, wobei die meisten Strafen jeweils in der Berufung anhängig sind) und hat sich angepasst; doch sein Geschäftsmodell — Erhebung, Aggregation und Monetarisierung von Nutzerdaten — blieb in seinem Kern intakt. , DLA Piper GDPR Fines and Data Breach Survey: January 2026 , 2026-01-21 · link Die Form änderte sich (Einwilligungsbanner, Rechtstexte, lokale Datenschutzbeauftragte); das Wesen (das Geschäftsmodell) nicht.
Für kleinere Unternehmen und den öffentlichen Sektor hatte die GDPR eine tiefgreifendere Wirkung — doch dort war das Problem ein anderes (nicht Monopolanbieter, sondern Unterinvestition in Sicherheit und Prozesse).
Die zentrale Lehre für das Argument dieser Website
Die GDPR zeigt, dass Regulierung formalen Wandel erzwingen kann, aber keinen Monopolanbieter dazu zwingen kann, sein Geschäftsmodell zu ändern, wenn es keine Alternative gibt, zu der der Kunde wechseln kann.
Ein Bußgeld ist ein Betriebsaufwand. Ein abwandernder Kunde ist eine strategische Bedrohung. Bislang war die EU in der Lage, Bußgelder zu verhängen, hat aber nicht die Bedingungen schaffen können, unter denen eine Kundenabwanderung eine reale Möglichkeit darstellt. Das ist die Lücke, die der Abschnitt über Alternativen und der Abschnitt über Partnerschaften zu schließen versuchen.
Das nächste Kapitel untersucht, ob der DMA — ein ambitionierteres Instrument — diese Dynamik in seinen ersten 18 Monaten verändert hat.