Das meiste war nichts Dramatisches. Das meiste war ein falsch konfiguriertes Cookie-Banner, ein fehlender Alt-Text, ein gefälschter Countdown-Timer. Hier sind die Daten — visualisiert.
12.847 Abonnenten · Gründer:innen, DSBs, Journalist:innenDrei neue Entscheidungen von drei Regulatoren in drei verschiedenen Branchen. Das Tempo lässt nicht nach.
Die CNIL urteilte, dass der Einwilligungsmechanismus bei Google-Diensten keine klare, dem „Alles akzeptieren" gleichwertige „Alles ablehnen"-Option bereitstellte — ein Verstoß gegen Art. 5(3) der ePrivacy-Richtlinie und Dark-Pattern-Grundsätze der UCPD.
Die AGCM verhängte Sanktionen für gefälschte Countdown-Timer, manipulative Knappheitsindikatoren („nur noch 2 auf Lager") ohne Bestandsdeckung und fehlende 30-Tage-Tiefpreisangabe nach Omnibus.
Erste Verwaltungsstrafe nach dem European Accessibility Act seit Beginn der Durchsetzung. Die DGCCRF nannte 14 separate WCAG-2.1-Verstöße auf auchan.fr, darunter fehlende Alt-Texte und unbeschriftete Formularfelder.
Eine Handvoll Regulatoren erledigt den Großteil der Arbeit. Spanien führt im Volumen; Irland bei den Rekordsummen; Deutschland bei der Unberechenbarkeit.
Die Durchsetzung verstärkt sich, je mehr neue Richtlinien greifen. EAA kam im Juni 2025. Der AI Act landet im August 2026. Die Kurve zeigt nur nach oben.
Jedes Rechteck ist eine Entscheidung, in der Größe nach Betrag, in der Farbe nach Richtlinie. Zwei Unternehmen machen fast die Hälfte aller Strafen aus.
Die DSGVO dominiert weiterhin, doch ePrivacy und Omnibus wachsen am schnellsten. EAA ist brandneu. Der AI Act ist geladen und wartet.
Für jedes Bußgeld im Tracker fragen wir: hätte der automatisierte Scanner von Compliwatch den Verstoß vor dem Regulator erkannt? Die Antwort: meistens ja.
Von den 2.847 erfassten Bußgeldern betreffen 1.907 Verstöße, die unser automatisierter Scanner beim ersten Kontakt mit der Website findet. Fehlende Alt-Texte. Cookie-Banner ohne Ablehnen-Button. Gefälschte Countdown-Timer. Datenschutzerklärungen ohne Pflichtklauseln. Genau die Dinge, die man sonst erst auf die harte Tour herausfindet.
Jedes Bußgeld der letzten 30 Tage. Mit Kurzfassung und Verdikt: hätten wir es erkannt.
Die CNIL bestrafte Google für einen Cookie-Einwilligungsmechanismus, bei dem „Alle ablehnen" deutlich schwerer zugänglich war als „Alle akzeptieren" — ein Dark Pattern und Verstoß gegen Art. 5(3) ePrivacy.
Vom Scanner erkennbarErste EAA-Vollzugsaktion in Frankreich. Die DGCCRF stellte 14 separate WCAG-Verstöße auf auchan.fr fest — fehlende Alt-Texte, unzureichende Farbkontraste, unbeschriftete Formularfelder.
Vom Scanner erkennbarDie AGCM sanktionierte Shein wegen gefälschter Countdown-Timer, die beim Neuladen zurücksetzten, falscher Knappheitsindikatoren („nur noch 2 verfügbar") und fehlender 30-Tage-Tiefpreisangabe nach Omnibus.
Vom Scanner erkennbarDer BfDI urteilte, dass die Alt-Kundendatenbank personenbezogene Daten 11 Jahre über die vertragliche Aufbewahrungsdauer hinaus speicherte. Unzureichende Löschprozesse.
Interner Prozess — teilweise ErkennungDie AEPD stellte fest, dass Glovos Tracking-SDKs vor Einwilligung aktiviert wurden und „essenzielle Cookies" Facebook Pixel und Google Analytics umfassten.
Vom Scanner erkennbarDie Europäische Kommission verhängte ein Zwangsgeld wegen Versäumnissen bei der Bewertung und Minderung systemischer Risiken durch illegale Produktangebote — Art. 34 DSA.
Plattformebene — Prüfung nötigDifi verhängte tägliche Zwangsgelder für sich häufende Barrierefreiheitsverstöße in einem öffentlichen Gesundheitsportal — Tastaturnavigation defekt, Screenreader-Inkompatibilität.
Vom Scanner erkennbarUOKiK urteilte, dass bestimmte Verkäufer auf Allegro Referenzpreise zeigten, die nie der tatsächliche Preis waren — Verstoß gegen Art. 6a Omnibus („30-Tage-Tiefpreis").
Vom Scanner erkennbarDie niederländische DPA stellte fest, dass die Meldung einer Datenpanne nach einem Sicherheitsvorfall mit 4.109 Kundendatensätzen 17 Tage zu spät erfolgte.
Prozessverstoß — nicht erkennbarDie CNIL urteilte, dass Shein Drittanbieter-Tracker (TikTok Pixel, Meta Pixel, Google Ads) vor jeder Nutzereinwilligung lud — auf einer monatlich von 12 Mio. Franzosen besuchten Seite.
Vom Scanner erkennbarGarante bestrafte den Energieversorger wegen unerbetener Marketinganrufe auf Basis von Einwilligungen, die Drittbroker ohne ausreichende Verifikation eingeholt hatten.
Telefonie — nicht scannbarKonsumentverket urteilte, dass der „Buy Now Pay Later"-Checkout Dark Patterns nutzte, um Verbraucher ohne angemessene Risikoaufklärung zur Kreditoption zu drängen.
Vom Scanner erkennbarAlle Daten stammen aus Primärquellen — offizielle Regulator-Entscheidungen, Pressemitteilungen und veröffentlichte Urteile. Keine Paywalls, kein Scraping kommerzieller Datenbanken.
Entscheidungen werden direkt von den Regulator-Websites bezogen — CNIL, AEPD, AGCM, ACM, UOKiK, Bundesnetzagentur, Europäische Kommission und 24 weitere.
Jede Entscheidung durchläuft eine Extraktions-Pipeline: strukturierte Felder (Unternehmen, Betrag, Datum, verletzte Artikel) werden geparst und in ein gemeinsames Schema übersetzt.
Verstoßtypen werden gegen die Compliwatch-Taxonomie mit 100+ technischen Checks getaggt. Jede Strafe wird auf „automatisch erkennbar: ja / teilweise / nein" abgebildet.
Geprüfte Einträge werden mit Link zur Originalquelle publiziert. Fehler und Korrekturen werden versioniert und transparent ausgewiesen. Alle Beträge sind in EUR zum Kurs des Entscheidungstages konvertiert.
Was wurde letzte Woche bestraft. Wer bestrafte wen. Hätte Compliwatch es erkannt. Lesedauer drei Minuten.
12.847 Abonnenten · Gründer:innen, DSBs, Journalist:innen