Bußgeld-Höhe und Berechnung
Die DSGVO unterscheidet in Art. 83 zwei Bußgeld-Stufen:
- Stufe 1: bis 10 Mio. € oder 2 % weltweiter Jahresumsatz — bei Verstößen gegen formale Pflichten (kein DSB bestellt, kein Verarbeitungsverzeichnis, fehlende Meldung).
- Stufe 2: bis 20 Mio. € oder 4 % weltweiter Jahresumsatz — bei Verstößen gegen Grundprinzipien (unrechtmäßige Datenverarbeitung, Verletzung der Rechte Betroffener, unzureichende Sicherheit).
Die Behörde berücksichtigt bei der Bemessung Schwere des Verstoßes, Vorsatz oder Fahrlässigkeit, Kooperation mit der Behörde, Bemühungen zur Schadensminderung und frühere Verstöße. Wer kooperativ ist und Schutzmaßnahmen nachweist, kommt deutlich günstiger weg.
Die zehn häufigsten Bußgeld-Auslöser
1. Fehlende oder unvollständige Datenschutzerklärung
Jede Website mit Kontaktformular, Newsletter oder Tracking braucht eine Datenschutzerklärung. Sie muss alle eingesetzten Tools nennen, die Rechtsgrundlage angeben und die Betroffenenrechte erklären. Generische Mustertexte ohne Bezug auf Ihre tatsächlich eingesetzten Systeme reichen nicht.
2. Cookie-Banner ohne echte Einwilligung
Seit dem BGH-Urteil zum Cookie-Banner von 2020 ist klar: Tracking-Cookies brauchen aktive Einwilligung. „Weitersurfen heißt zustimmen“ reicht nicht. Auch vorausgewählte Checkboxen sind unzulässig. Der Banner muss eine echte Ablehnung erlauben — und zwar gleichwertig zur Zustimmung, nicht versteckt im Untermenü.
3. Newsletter ohne Double-Opt-In
Newsletter brauchen eine bestätigte Einwilligung. Verfahren: Eintragung der E-Mail — Bestätigungsmail mit Aktivierungslink — Klick auf Link. Erst dann ist die Adresse rechtssicher in der Liste. Wer ohne Bestätigung verschickt, riskiert Abmahnungen durch Empfänger und Mitbewerber.
4. Fehlende AVV mit Dienstleistern
Jeder Dienstleister, der für Sie personenbezogene Daten verarbeitet — Webhoster, Cloud-Speicher, Newsletter-Tool, Buchhaltungs-Software — braucht einen Auftragsverarbeitungsvertrag nach Art. 28 DSGVO. Anleitung im AVV-Ratgeber.
5. Unverschlüsselte Übertragung sensibler Daten
Kontaktformulare und Login-Bereiche müssen über HTTPS laufen. E-Mails mit personenbezogenen Daten (Bewerbungen, Patientendaten, Vertragsdokumente) sollten verschlüsselt versendet werden — oder über sichere Plattformen wie verschlüsselte Cloud-Übergabe.
6. Verspätete Datenpannen-Meldung
Bei meldepflichtigen Datenpannen läuft eine 72-Stunden-Frist (Art. 33 DSGVO). Wer zu spät meldet oder gar nicht, riskiert deutlich höhere Bußgelder als bei der Panne selbst. Detaillierte Anleitung: Datenpanne in 72 Stunden.
Es waren keine technischen Pannen, sondern organisatorische Versäumnisse — genau dort, wo ein bestellter DSB Risiken im Vorfeld erkennt.
7. Unrechtmäßige Datenweitergabe
Daten an Dritte weiterzugeben braucht eine Rechtsgrundlage — Einwilligung, Vertrag oder berechtigtes Interesse. Häufiger Fehler: Kundendaten an Schwesterunternehmen weiterleiten ohne saubere Konzernregelung. Auch der Datenexport in USA-Cloud (z. B. HubSpot, Salesforce) braucht Standardvertragsklauseln plus Risikobewertung nach Schrems II.
8. Fehlende Mitarbeiterverpflichtung
Jeder Mitarbeitende, der mit personenbezogenen Daten arbeitet, muss schriftlich auf das Datengeheimnis nach § 53 BDSG verpflichtet werden. Bei Neueinstellungen mit Arbeitsvertrag zusammen, bei Bestandsmitarbeitern nachgeholt.
9. Auskunftsersuchen ignoriert
Wenn ein Betroffener Auskunft nach Art. 15 DSGVO verlangt, läuft eine Monatsfrist. Wer die Frist verstreichen lässt oder den Antrag mit oberflächlicher Antwort abtut, riskiert eine Beschwerde bei der Aufsichtsbehörde — und damit Bußgelder.
10. Datenlöschung versäumt
Daten dürfen nicht ewig gespeichert werden. Aufbewahrungsfristen (HGB 10 Jahre, Personalakten 3 Jahre nach Austritt) müssen eingehalten werden, danach gilt Löschpflicht. Häufige Fundstelle: alte Bewerbungen auf dem Personal-Laufwerk, ehemalige Kunden im CRM, alte Newsletter-Listen.
Echte Bußgeld-Fälle
- Vodafone 2025 — 9,55 Mio. €. Datenschutzverstöße im Vertriebspartner-Netzwerk; Verträge wurden im Namen von Kunden ohne deren Einwilligung abgeschlossen.
- Notebooksbilliger 2020 — 10,4 Mio. €. Umfangreiche Videoüberwachung von Mitarbeitenden ohne ausreichende Rechtsgrundlage.
- 1&1 Telecom 2019 — 9,55 Mio. €. Unzureichende Identitätsprüfung am Kunden-Support — Mitarbeitende gaben Daten an Anrufer ohne ausreichende Verifikation heraus.
- H&M Deutschland 2020 — 35,3 Mio. €. Umfangreiche Profilbildung über Mitarbeitende im Servicecenter Nürnberg, einschließlich Erfassung familiärer und gesundheitlicher Verhältnisse.
Was alle Fälle gemeinsam haben: Es waren keine technischen Pannen, sondern organisatorische Versäumnisse. Genau das, wo ein bestellter DSB Risiken im Vorfeld identifiziert hätte.
Sechs Schritte zur Bußgeld-Vermeidung
- DSB bestellen, wenn pflichtig. Allein das senkt die Wahrscheinlichkeit eines Bußgelds erheblich, weil eine Anlaufstelle für Beschwerden im Unternehmen existiert.
- Verarbeitungsverzeichnis aufsetzen. Bei jeder Behördenprüfung das erste Dokument, das verlangt wird.
- Datenschutzerklärung & Cookie-Banner DSGVO-konform. Die zwei häufigsten Abmahn-Felder.
- AVVs mit allen Dienstleistern. Newsletter, Cloud, CRM, Webhoster.
- Mitarbeiter-Schulung jährlich. Pflicht nach Art. 39 — und die meisten Pannen entstehen aus Unwissen, nicht aus Vorsatz.
- Datenpannen-Notfallplan. Wer im Ernstfall in 72 Stunden meldet, kommt meist mit Verwarnung statt Bußgeld davon.
- Frist notieren — meist sieben bis vierzehn Tage.
- Nicht unterschreiben, was vom Abmahner geschickt wurde.
- Beweismittel sichern (Screenshots vom Stand der Website, Logs).
- Externen DSB oder Fachanwalt einschalten — im Abo-Modell bereiten wir die juristisch saubere Antwort vor. Mehr zu Express & Notfall →
Häufige Fragen
Malte Martens ist Ihr persönlicher externer Datenschutzbeauftragter bei dataschild. Er betreut Unternehmen, Praxen und Vereine bundesweit — pragmatisch, im transparenten Festpreis, mit direkter Durchwahl statt Hotline.
Mehr über dataschild →