Volgens Schrems krijgen bedrijven die de AVG overtreden zelden direct een boete. In plaats daarvan worden ze meestal gewaarschuwd of aangespoord hun praktijken aan te passen. Dit leidt tot een cultuur waarin bedrijven de wet blijven overtreden zonder veel risico te lopen. “Vergelijk het met verkeersovertredingen", stelt Schrems. “Bij een snelheidsovertreding krijg je direct een boete. Maar als je een bedrijf bent, kun je de regels schenden zonder directe consequenties.”

Een ander groot probleem is volgens Schrems het gebrek aan transparantie bij toezichthouders. Veel toezichthouders publiceren hun beslissingen niet, waardoor het publiek en andere bedrijven niet weten welke organisaties de wet overtreden. Dit gebrek aan openheid zorgt ervoor dat er geen afschrikkende werking uitgaat van boetes of berispingen.

Schrems hekelt ook de lage boetebedragen die worden opgelegd aan grote techbedrijven. Met name in Silicon Valley zouden bedrijven AVG-boetes beschouwen als een ‘privacybelasting’. “Als je slechts één of twee procent van je inkomsten kwijt bent aan boetes, blijf je gewoon doorgaan", zegt Schrems. Hij pleit voor hogere boetes en consequente handhaving om bedrijven daadwerkelijk tot verandering te dwingen.

Hoewel veel toezichthouders zich richten op voorlichting, stelt Schrems dat dit niet meer nodig is. “Na vijf jaar weten bedrijven inmiddels wel wat de AVG inhoudt. Het probleem is niet het gebrek aan kennis, maar het gebrek aan gevolgen.” Schrems roept op tot strikte handhaving en hogere sancties om bedrijven te dwingen de wet na te leven.