DSGVO Bussgelder Übersicht Vermeiden
DSGVO Bußgelder – Übersicht, Beispiele und wie man sie vermeidet 2026
1. Das Zwei-Stufen-Bußgeldsystem nach Art. 83 DSGVO
Die DSGVO sieht ein gestaffeltes Bußgeldsystem vor, das verschiedene Schweregrade von Verstößen berücksichtigt. Es gibt zwei hauptsächliche Bußgeld-Kategorien:
| Kategorie | Obere Grenze | Berechnung | Typische Verstöße |
|---|---|---|---|
| Art. 83 Abs. 4 DSGVO (Technische/Organisatorische) |
bis 10.000.000 EUR ODER 2% des weltweiten Jahresumsatzes (der höhere Betrag) |
Whichever is higher: €10M or 2% revenue |
Fehlende Dokumentation (VVT), mangelhafte TOM, Auftragsverarbeiter-Vertrag fehlt |
| Art. 83 Abs. 5 DSGVO (Fundamentale Rechte) |
bis 20.000.000 EUR ODER 4% des weltweiten Jahresumsatzes (der höhere Betrag) |
Whichever is higher: €20M or 4% revenue |
Fehlende Einwilligung, keine Betroffenenrechte, Datenpanne nicht gemeldet, unrechtmäßige Profiling |
Praktische Beispiele der Bußgeld-Berechnung:
- Kleines Unternehmen (500.000 EUR Jahresumsatz): 2% = 10.000 EUR (aber Minimum oft 1.000-5.000 EUR)
- Mittelständiges Unternehmen (10 Mio. EUR Umsatz): 4% = 400.000 EUR
- Großunternehmen (1 Mrd. EUR Umsatz): 4% = 40.000.000 EUR!
- Google (Irland): 90 Mrd. EUR Umsatz: 4% würde 3,6 Mrd. EUR bedeuten
⚠️ Wichtig: Der Jahresumsatz bezieht sich auf den weltweiten Gesamtumsatz des Konzerns, nicht nur der betroffenen Tochter. Ein deutsches Start-up mit kleinem Umsatz kann trotzdem mit millionenschweren Strafen rechnen, wenn es Teil eines großen internationalen Konzerns ist.
2. Faktoren, die die Bußgeld-Höhe beeinflussen
Nach Art. 83 Abs. 2 DSGVO berücksichtigen die Aufsichtsbehörden folgende Faktoren:
| Faktor | Erhöhung der Geldbuße | Reduktion der Geldbuße |
|---|---|---|
| Art, Ausmaß und Dauer des Verstoßes | Jahrelange, systematische Verstöße → höher | Einmaliger, kurzfristiger Verstoß → niedriger |
| Vorsätzlichkeit oder Fahrlässigkeit | Absichtlicher Verstoß (Malus) → deutlich höher | Nachlässigkeit durch unverschuldete Umstände → etwas niedriger |
| Kooperation mit Behörden | Widerstand gegen Ermittlungen → erhöht | Proaktive Offenlegung + Zusammenarbeit → reduktion bis 50% |
| Frühere Verstöße | Wiederholter Verstoß gleicher Art → massiv erhöht | Erste Verletzung gleicher Art → keine Malus |
| Abhilfemaßnahmen und Schadensbegrenzung | Keine Gegenmaßnahmen → höher | Schnelle Reparatur, proaktive Benachrichtigung → kann deutlich reduzieren |
| Kategorien betroffener Daten | Besondere Daten (Gesundheit, Genetik) → höher | Nur öffentliche Daten → niedriger |
| Anzahl betroffener Personen | Millionen betroffene Personen → deutlich höher | Einzelne Person → deutlich niedriger |
💡 Tipp: Die größten Reduktionen sind möglich durch: (1) Sofortige Zusammenarbeit mit der Behörde, (2) Schnelle Reparatur des Verstoßes, (3) Proaktive Benachrichtigung, (4) Investition in Sicherheitsmaßnahmen. Dokumentieren Sie alle diese Schritte!
3. Berühmte DSGVO-Bußgeld-Fälle in Europa
Meta (Facebook) - 1.2 Milliarden EUR (2022)
Grund: Übermittlung personenbezogener Daten in die USA ohne angemessene Schutzmaßnahmen (Schrems II)
Besonderheit: Irish Data Protection Commission (DPC) verhängte ein Rekord-Bußgeld
Grund für Höhe: Millionen betroffener Nutzer, systematischer Verstoß, langjährige Praxis
Amazon – 746 Millionen EUR (2021)
Grund: Fehlende Rechtsgrundlage für Datenverarbeitung, falsche Datenschutzerklärung
Besonderheit: Luxemburgische Kommission entdeckte Manipulationen bei Datennutzung
Grund für Höhe: Amazon ist riesig (Jahresumsatz >100 Mrd EUR), also 4% sehr hoch
WhatsApp – 225 Millionen EUR (2021)
Grund: Intransparenz bei Datenmetagaben und Weitergabe an Meta
Besonderheit: Nur 225 Mio statt potenziell 4 Mrd wegen Zusammenarbeit und Mitigation
Deutsche Wohnen SE – 2.45 Millionen EUR (2022)
Grund: Fehlende Dokumentation (VVT), mangelnde Sicherheitsmaßnahmen, lange nicht gemeldete Datenpanne
Besonderheit: Deutsches Unternehmen, relativ "kleine" Strafe im Vergleich
Grund für Höhe: ~3 Mio Mieter betroffen, mangelnde Sicherheit, keine schnelle Benachrichtigung
H&M – 35 Millionen EUR (2020)
Grund: Unzureichende Datenschutzkompetenz, fehlende Kontrollen bei Verarbeitung, mangelhafte TOM
Besonderheit: Erste Bußgelder an großes deutsches/skandinavisches Unternehmen
1&1 (Ionos) – 9 Millionen EUR (2020)
Grund: Mangelnde Sicherheitsmaßnahmen, Datenpanne mit verzögerter Benachrichtigung
Besonderheit: Deutsches Hosting-Unternehmen, Vorwurf der fahrlässigen Sicherheit
4. Die häufigsten Verstöße, die zu Bußgeldern führen
| Verstoß | Artikel DSGVO | Auftretens-häufigkeit in Audits | Typische Strafe (KMU) | Vermeidung |
|---|---|---|---|---|
| Fehlender/unvollständiger AVV (Auftragsverarbeitervertrag) | Art. 28 DSGVO | Sehr häufig (70%) | 5.000-50.000 EUR | Alle Dienstleister kontrollieren, AVV standardisiert |
| Keine oder mangelhafte Datenschutzerklärung | Art. 13, 14 DSGVO | Sehr häufig (65%) | 5.000-30.000 EUR | Professionelle Erklärung, regelmäßig überprüfen |
| Datenpanne nicht gemeldet oder zu spät | Art. 33 DSGVO | Häufig (40%) | 10.000-100.000 EUR | Incident Response Plan, Monitoring, klare Prozesse |
| Keine Einwilligung für Cookies/Analytics | Art. 7 DSGVO | Häufig (35%) | 5.000-50.000 EUR | DSGVO-konformer Cookie Banner, Tracking erst nach Consent |
| Mangelhafte technische/organisatorische Maßnahmen (TOM) | Art. 32 DSGVO | Häufig (50%) | 10.000-100.000 EUR | Sicherheitsaudit, Verschlüsselung, regelmäßige Backups |
| Fehlender Datenschutzbeauftragter (DSB) wo erforderlich | Art. 37 DSGVO | Manchmal (15%) | 5.000-30.000 EUR | Prüfe Pflicht (Art. 37 + §38 BDSG), DSB ggf. intern/extern berufen |
| Keine Datenschutz-Folgenabschätzung (DPIA) bei höherem Risiko | Art. 35 DSGVO | Manchmal (25%) | 5.000-50.000 EUR | Screening Tool verwenden, DPIA für kritische Verarbeitungen |
| Unberechtigte Datenübermittlung in Drittländer | Art. 44-49 DSGVO | Häufig (30%) | 10.000-500.000 EUR | SCCs/BCRs einsetzen, Safeguards dokumentieren |
| Betroffenenrechte nicht gewährt (Auskunftspflicht, Löschung) | Art. 15-22 DSGVO | Häufig (40%) | 5.000-50.000 EUR | Prozesse für Anfragen etablieren, 30-Tage-Frist einhalten |
5. Praktische Checkliste zur Bußgeld-Vermeidung
| Kategorie | Maßnahme | Priorität | Status |
|---|---|---|---|
| Dokumentation | ☐ Verarbeitungsverzeichnis (VVT) erstellt und aktuell | 🔴 Kritisch | |
| ☐ Datenschutzerklärung vorhanden und umfassend | 🔴 Kritisch | ||
| ☐ Auftragsverarbeitungsverträge (AVV) mit allen Diensten | 🔴 Kritisch | ||
| ☐ Datenschutz-Folgenabschätzungen (DPIA) wo erforderlich | 🟡 Hoch | ||
| Technische Sicherheit | ☐ Daten verschlüsselt (Transit und Speicherung) | 🔴 Kritisch | |
| ☐ Regelmäßige Backups und Restore-Tests | 🟡 Hoch | ||
| ☐ Zugriffskontrolle und Authentifizierung | 🔴 Kritisch | ||
| ☐ Audit-Logs für Datenzugriff | 🟡 Hoch | ||
| ☐ Sicherheit getestet (Penetration Test, Vulnerability Scan) | 🟡 Hoch | ||
| Betroffenenrechte | ☐ Auskunftspflicht erfüllbar (30 Tage) | 🟡 Hoch | |
| ☐ Löschmöglichkeit implementiert | 🟡 Hoch | ||
| ☐ Rechte auf Datenportabilität umsetzbar | 🟡 Hoch | ||
| ☐ Opt-Out und Widerspruchsmöglichkeiten vorhanden | 🟡 Hoch | ||
| Einwilligung/Cookies | ☐ Cookie-Banner DSGVO-konform (Opt-In, nicht Pre-checked) | 🔴 Kritisch | |
| ☐ Tracking nicht vor Einwilligung aktiv | 🔴 Kritisch | ||
| ☐ Withdrawal-Möglichkeit leicht zugänglich | 🟡 Hoch | ||
| ☐ Consent-Records dokumentiert und archiviert | 🟡 Hoch | ||
| Organisation | ☐ Datenschutzbeauftragter benannt (wo erforderlich) | 🟡 Hoch | |
| ☐ Datenschutz-Training für Mitarbeiter (jährlich) | 🟡 Hoch | ||
| ☐ Incident Response Plan und Datenpannen-Register | 🟡 Hoch |
6. Was tun, wenn Sie ein Bußgeld erhalten?
6.1 Die Anhörung (Anhörungsverfahren)
Nach Art. 83 DSGVO muss die Behörde vor der Geldbuße ein Anhörungsverfahren durchführen:
- Sie erhalten einen Anhörungsbescheid: Die Behörde teilt den voraussichtlichen Verstoß mit
- Sie haben ca. 30 Tage Zeit zu antworten: Erklären Sie Ihre Position, bringen Sie neue Fakten vor
- Kooperation zeigen: Erklären Sie, welche Maßnahmen Sie bereits ergriffen haben
- Mitigating Factors: Erklären Sie, warum die Geldbuße niedriger sein sollte (erste Verletzung, Zusammenarbeit, schnelle Reparatur)
6.2 Das Einspruchsverfahren (Widerspruch)
Nach Erhalt des Verwaltungsbestandes können Sie:
- Formalen Widerspruch einreichen: Bei der Aufsichtsbehörde selbst (relativ chancenlos)
- Gerichtliche Überprüfung anrufen: Vor dem Verwaltungsgericht Widerspruch gegen die Geldbuße erheben
- Anwalt einschalten: Unbedingt empfohlen (Spezialist für Datenschutzrecht)
6.3 Praktische Maßnahmen sofort nach Benachrichtigung
| Was tun | Zeitrahmen | Verantwortlich |
|---|---|---|
| Anwalt für Datenschutzrecht engagieren | Sofort | Geschäftsführung |
| Intern: Fehler analysieren und verstehen | Tag 1-3 | Datenschutzbeauftragter, IT |
| Alle Dokumentation sammeln (VVT, Richtlinien, Schulungen) | Tag 1-5 | Datenschutzbeauftragter |
| Bereits ergriffene Maßnahmen dokumentieren | Tag 1-7 | Datenschutzbeauftragter, IT |
| Anhörungsbescheid beantworten (mit Anwalt) | Vor Deadline (meist 30 Tage) | Anwalt + Management |
| Widerspruch / Klage überlegend (mit Anwalt) | Nach Geldbuße | Anwalt + Management |
✅ Gut zu wissen: Viele Bußgelder werden in Verwaltungsgerichtsverfahren reduziert. Ein guter Anwalt kann oft 20-40% Reduktion durch korrekte Einsprechung erreichen. Die Investition in einen Anwalt lohnt sich bei höheren Strafen definitiv.
7. Risikobeurteilungs-Matrix für Ihren Datenschutz-Status
| Risk Factor | Grünes Licht (Low Risk) | Gelbes Licht (Medium Risk) | Rotes Licht (High Risk) |
|---|---|---|---|
| VVT | Aktuell, vollständig | Vorhanden aber teilweise veraltet | Nicht vorhanden oder deutlich unvollständig |
| Datenschutzerklärung | Vorhanden, regelmäßig überprüft | Vorhanden aber teilweise unklar | Nicht vorhanden oder sehr mangelhaft |
| Einwilligungen | DSGVO-konform, Opt-In, dokumentiert | Teilweise Compliance-Probleme | Keine oder fehlerhafte Einwilligungen |
| Sicherheitsmaßnahmen | Verschlüsselung, Backups, Zugriffskontrolle | Teilweise implementiert, Lücken vorhanden | Kaum oder keine Sicherheitsmaßnahmen |
| Incident Response | Plan vorhanden, trainiert, dokumentiert | Plan vorhanden aber nicht aktuell | Kein Plan, keine Vorbereitung |
| Auftragsverarbeiter-Verträge | Alle vorhanden und aktuell | Meistens vorhanden, einige fehlend | Viele oder alle fehlend |
8. Branchenzusätzliche Risiken
- E-Commerce: Hohe Bußgelder für fehlende Datenschutzerklärung und Cookie-Banner (häufig 30-100k EUR)
- SaaS/Cloud-Anbieter: AVV-Defizite sind häufig (10-50k EUR)
- Finanzdienstleistungen: Sichere Übermittlung und Verschlüsselung kritisch (50-500k EUR)
- Gesundheit/Pharma: Besondere Daten = höhere Strafen (100k-1M EUR)
- Telekommunikation: Datenpannen-Meldung kritisch (50-500k EUR)
9. Verwandte Dokumentationen
- 📖 DSGVO Website-Checkliste 2026
- 📖 DSGVO: Auftragsverarbeitervertrag (AVV) erstellen
- 📖 Datenschutzerklärung erstellen 2026
- 📖 DSGVO: Datenpanne melden
- 🔧 Enjyn Crawler – Website auf Sicherheit prüfen
Zuletzt aktualisiert: April 2026 | Rechtsstand: DSGVO (EU 2016/679), BDSG (2018), BVerfGE | Diese Informationen stellen keine Rechtsberatung dar. Konsultieren Sie bei kritischen Fragen einen Datenschutzanwalt.