Europas Gerichte kassieren zwei der größten Datenschutz-Geldbußen der Geschichte. Die Urteile gegen Amazon und OpenAI offenbaren Schwächen der Behörden – und stärken die Position der Tech-Konzerne.
Ein Richter in Rom kippte am 19. März 2026 eine 15-Millionen-Euro-Strafe gegen OpenAI. Nur Tage zuvor hatte ein luxemburgisches Gericht eine historische Geldbuße von 746 Millionen Euro gegen Amazon aufgehoben. Beide Urteile stellen die Durchsetzung der europäischen Datenschutz-Grundverordnung (DSGVO) auf den Prüfstand. Sie signalisieren: Rekordstrafen allein reichen nicht aus – die Behörden müssen auch formal einwandfreie Verfahren vorlegen. Parallel fordern US-Verbraucherschützer schärfere Schutzregeln für Kinder im Netz.
Die aktuelle Rechtsprechung zeigt, dass DSGVO-Verstöße für Unternehmen existenzbedrohend sein können, wenn die Umsetzung nicht lückenlos erfolgt. Dieser kostenlose Leitfaden bietet Ihnen eine praxisnahe 5-Schritte-Anleitung, um alle Vorgaben der EU-Datenschutzgrundverordnung rechtssicher zu erfüllen. 5 sofort umsetzbare DSGVO-Schutzmaßnahmen entdecken
Amazon: Strafe gekippt, Vorwürfe bleiben
Die milliardenschwere Strafe gegen Amazon war im Juli 2021 von der luxemburgischen Datenschutzbehörde (CNPD) verhängt worden. Grundlage war eine Beschwerde der französischen Organisation La Quadrature du Net aus dem Jahr 2018. Der Vorwurf: Der Konzern habe Nutzerdaten ohne rechtmäßige Einwilligung für personalisierte Werbung verarbeitet.
Das Verwaltungsgericht in Luxemburg hob die Strafe nun aus verfahrenstechnischen Gründen auf. In der Sache gab es dem Konzern jedoch nicht recht. Die Richter bestätigten, dass die von der CNPD festgestellten DSGVO-Verstöße sachlich zutreffend waren. Amazon habe damals keine rechtliche Grundlage für sein verhaltensbasiertes Werbesystem gehabt.
Doch die Behörde hatte Fehler gemacht: Sie versäumte eine vorgeschriebene Prüfung, ob Amazon vorsätzlich oder nur fahrlässig handelte. Zudem bewertete sie nicht, ob mildere Sanktionen angemessener gewesen wären. Der Fall geht nun zurück an die CNPD. Sie muss das Verfahren korrigieren, bevor sie möglicherweise eine neue – voraussichtlich deutlich niedrigere – Geldbuße verhängen kann.
OpenAI siegt im Streit um KI-Datennutzung
In einem ähnlichen Fall setzte sich OpenAI vor einem römischen Gericht durch. Es hob eine 15-Millionen-Euro-Strafe der italienischen Behörde Garante auf, die Ende 2024 verhängt worden war. Die Vorwürfe betrafen die Trainingsdaten für das KI-Modell ChatGPT: unzureichende Rechtsgrundlage, mangelnde Transparenz und ungenügender Jugendschutz.
Das Urteil ist ein großer Erfolg für OpenAI und die gesamte Generative-KI-Branche. Es löscht die bislang einzige endgültige DSGVO-Strafe in Europa aus der Frühphase öffentlicher KI-Plattformen. Die italienische Behörde kann das Urteil noch anfechten, sobald die schriftliche Begründung vorliegt. OpenAI bekräftigte sein Bekenntnis zu Datenschutz und Compliance in der EU.
Während Gerichte über KI-Trainingsdaten urteilen, müssen Unternehmen bereits die neuen EU-Regeln für künstliche Intelligenz umsetzen. Unser gratis E-Book erklärt Ihnen kompakt die Kennzeichnungspflichten und Risikoklassen der neuen KI-Verordnung, damit Sie Bußgelder von Anfang an vermeiden. EU-KI-Verordnung: Jetzt kostenlosen Umsetzungsleitfaden sichern
USA: Druck für besseren Kinderschutz im Netz
Während in Europa Verfahrensfehler im Fokus stehen, dreht sich die Debatte in den USA verstärkt um den Schutz Minderjähriger. Eine Koalition aus Verbraucherschutzgruppen forderte die Handelsaufsicht FTC am 18. März 2026 auf, ihre Altersverifikations-Standards nachzuschärfen.
Die Kritik: Die aktuellen Regeln zum Children‘s Online Privacy Protection Act (COPPA) seien zu lasch. Sie erlaubten Websites, persönliche Daten von Nutzern zu sammeln – unter dem Vorwand, das Alter zu überprüfen. Die Gruppen fordern risikobasierte Standards, die eine übermäßige Datenerhebung und Verfolgung Minderjähriger verhindern.
Gleichzeitig werden auf US-Bundesstaatenebene KI-Gesetze überarbeitet. In Colorado schlägt eine Arbeitsgruppe vor, die Pflicht zu jährlichen Risikobewertungen für Tech-Firmen abzuschaffen. Stattdessen sollen klare Haftungsregeln nach negativen KI-Entscheidungen treten. Eine Reaktion auf erste praktische Erfahrungen mit den neuen Regeln.
Was bedeuten die Urteile für die Zukunft?
Die Woche markiert eine Zäsur in der globalen Datenschutz-Durchsetzung. Die Gerichte verlangen von den Behörden wasserfeste Verfahren und verhältnismäßige Strafen. Rekordbußen allein reichen nicht aus. Das stärkt die Rechtsposition großer Technologiekonzerne, die sich gegen hohe Strafen wehren.
Doch die Grundprinzipien der DSGVO bleiben unangetastet. Die Luxemburger Richter bestätigten den Kernvorwurf gegen Amazon: Verhaltensbasierte Werbung ohne ausdrückliche Einwilligung der Nutzer ist rechtswidrig. Unternehmen müssen weiter auf transparente Einwilligungsmechanismen setzen.
Die parallelen Forderungen nach besserem Jugendschutz in den USA zeigen einen transatlantischen Trend: Besonders schutzbedürftige Gruppen brauchen spezielle digitale Vorkehrungen. Der Druck auf Tech-Konzerne, ihre Geschäftsmodelle an immer strengere Datenschutzregeln anzupassen, bleibt hoch – auch wenn die Strafen künftig genauer geprüft werden.
