Ratgeber · DSGVO

DSGVO-Bußgeld vermeiden.

Malte Martens·18. Mai 2026·9 Min Lesezeit

Die DSGVO sieht Bußgelder bis zu 4 % des weltweiten Jahresumsatzes vor. In Deutschland werden jährlich rund 250 Bußgelder verhängt — die meisten unter 50.000 €, einzelne im zweistelligen Millionenbereich. Hier sind die zehn häufigsten Verstöße — und wie Sie sie vermeiden.

Bußgeld-Höhe und Berechnung

Die DSGVO unterscheidet in Art. 83 zwei Bußgeld-Stufen:

  • Stufe 1: bis 10 Mio. € oder 2 % weltweiter Jahresumsatz — bei Verstößen gegen formale Pflichten (kein DSB bestellt, kein Verarbeitungsverzeichnis, fehlende Meldung).
  • Stufe 2: bis 20 Mio. € oder 4 % weltweiter Jahresumsatz — bei Verstößen gegen Grundprinzipien (unrechtmäßige Datenverarbeitung, Verletzung der Rechte Betroffener, unzureichende Sicherheit).

Die Behörde berücksichtigt bei der Bemessung Schwere des Verstoßes, Vorsatz oder Fahrlässigkeit, Kooperation mit der Behörde, Bemühungen zur Schadensminderung und frühere Verstöße. Wer kooperativ ist und Schutzmaßnahmen nachweist, kommt deutlich günstiger weg.

Das Bußgeld-Risiko steigt mit jedem ungeregelten Risiko-Feld — und die meisten davon lassen sich vorab schließen.

Die zehn häufigsten Bußgeld-Auslöser

1. Fehlende oder unvollständige Datenschutzerklärung

Jede Website mit Kontaktformular, Newsletter oder Tracking braucht eine Datenschutzerklärung. Sie muss alle eingesetzten Tools nennen, die Rechtsgrundlage angeben und die Betroffenenrechte erklären. Generische Mustertexte ohne Bezug auf Ihre tatsächlich eingesetzten Systeme reichen nicht.

2. Cookie-Banner ohne echte Einwilligung

Seit dem BGH-Urteil zum Cookie-Banner von 2020 ist klar: Tracking-Cookies brauchen aktive Einwilligung. „Weitersurfen heißt zustimmen“ reicht nicht. Auch vorausgewählte Checkboxen sind unzulässig. Der Banner muss eine echte Ablehnung erlauben — und zwar gleichwertig zur Zustimmung, nicht versteckt im Untermenü.

3. Newsletter ohne Double-Opt-In

Newsletter brauchen eine bestätigte Einwilligung. Verfahren: Eintragung der E-Mail — Bestätigungsmail mit Aktivierungslink — Klick auf Link. Erst dann ist die Adresse rechtssicher in der Liste. Wer ohne Bestätigung verschickt, riskiert Abmahnungen durch Empfänger und Mitbewerber.

4. Fehlende AVV mit Dienstleistern

Jeder Dienstleister, der für Sie personenbezogene Daten verarbeitet — Webhoster, Cloud-Speicher, Newsletter-Tool, Buchhaltungs-Software — braucht einen Auftragsverarbeitungsvertrag nach Art. 28 DSGVO. Anleitung im AVV-Ratgeber.

5. Unverschlüsselte Übertragung sensibler Daten

Kontaktformulare und Login-Bereiche müssen über HTTPS laufen. E-Mails mit personenbezogenen Daten (Bewerbungen, Patientendaten, Vertragsdokumente) sollten verschlüsselt versendet werden — oder über sichere Plattformen wie verschlüsselte Cloud-Übergabe.

6. Verspätete Datenpannen-Meldung

Bei meldepflichtigen Datenpannen läuft eine 72-Stunden-Frist (Art. 33 DSGVO). Wer zu spät meldet oder gar nicht, riskiert deutlich höhere Bußgelder als bei der Panne selbst. Detaillierte Anleitung: Datenpanne in 72 Stunden.

Es waren keine technischen Pannen, sondern organisatorische Versäumnisse — genau dort, wo ein bestellter DSB Risiken im Vorfeld erkennt.

7. Unrechtmäßige Datenweitergabe

Daten an Dritte weiterzugeben braucht eine Rechtsgrundlage — Einwilligung, Vertrag oder berechtigtes Interesse. Häufiger Fehler: Kundendaten an Schwesterunternehmen weiterleiten ohne saubere Konzernregelung. Auch der Datenexport in USA-Cloud (z. B. HubSpot, Salesforce) braucht Standardvertragsklauseln plus Risikobewertung nach Schrems II.

8. Fehlende Mitarbeiterverpflichtung

Jeder Mitarbeitende, der mit personenbezogenen Daten arbeitet, muss schriftlich auf das Datengeheimnis nach § 53 BDSG verpflichtet werden. Bei Neueinstellungen mit Arbeitsvertrag zusammen, bei Bestandsmitarbeitern nachgeholt.

9. Auskunftsersuchen ignoriert

Wenn ein Betroffener Auskunft nach Art. 15 DSGVO verlangt, läuft eine Monatsfrist. Wer die Frist verstreichen lässt oder den Antrag mit oberflächlicher Antwort abtut, riskiert eine Beschwerde bei der Aufsichtsbehörde — und damit Bußgelder.

10. Datenlöschung versäumt

Daten dürfen nicht ewig gespeichert werden. Aufbewahrungsfristen (HGB 10 Jahre, Personalakten 3 Jahre nach Austritt) müssen eingehalten werden, danach gilt Löschpflicht. Häufige Fundstelle: alte Bewerbungen auf dem Personal-Laufwerk, ehemalige Kunden im CRM, alte Newsletter-Listen.

Echte Bußgeld-Fälle

  • Vodafone 2025 — 9,55 Mio. €. Datenschutzverstöße im Vertriebspartner-Netzwerk; Verträge wurden im Namen von Kunden ohne deren Einwilligung abgeschlossen.
  • Notebooksbilliger 2020 — 10,4 Mio. €. Umfangreiche Videoüberwachung von Mitarbeitenden ohne ausreichende Rechtsgrundlage.
  • 1&1 Telecom 2019 — 9,55 Mio. €. Unzureichende Identitätsprüfung am Kunden-Support — Mitarbeitende gaben Daten an Anrufer ohne ausreichende Verifikation heraus.
  • H&M Deutschland 2020 — 35,3 Mio. €. Umfangreiche Profilbildung über Mitarbeitende im Servicecenter Nürnberg, einschließlich Erfassung familiärer und gesundheitlicher Verhältnisse.

Was alle Fälle gemeinsam haben: Es waren keine technischen Pannen, sondern organisatorische Versäumnisse. Genau das, wo ein bestellter DSB Risiken im Vorfeld identifiziert hätte.

Die Aufsichtsbehörde wägt ab: Schwere des Verstoßes, Vorsatz, Kooperation — wer dokumentiert und mitwirkt, kommt günstiger weg.

Sechs Schritte zur Bußgeld-Vermeidung

  1. DSB bestellen, wenn pflichtig. Allein das senkt die Wahrscheinlichkeit eines Bußgelds erheblich, weil eine Anlaufstelle für Beschwerden im Unternehmen existiert.
  2. Verarbeitungsverzeichnis aufsetzen. Bei jeder Behördenprüfung das erste Dokument, das verlangt wird.
  3. Datenschutzerklärung & Cookie-Banner DSGVO-konform. Die zwei häufigsten Abmahn-Felder.
  4. AVVs mit allen Dienstleistern. Newsletter, Cloud, CRM, Webhoster.
  5. Mitarbeiter-Schulung jährlich. Pflicht nach Art. 39 — und die meisten Pannen entstehen aus Unwissen, nicht aus Vorsatz.
  6. Datenpannen-Notfallplan. Wer im Ernstfall in 72 Stunden meldet, kommt meist mit Verwarnung statt Bußgeld davon.
Abmahnung bereits erhalten? Vier Schritte
  1. Frist notieren — meist sieben bis vierzehn Tage.
  2. Nicht unterschreiben, was vom Abmahner geschickt wurde.
  3. Beweismittel sichern (Screenshots vom Stand der Website, Logs).
  4. Externen DSB oder Fachanwalt einschalten — im Abo-Modell bereiten wir die juristisch saubere Antwort vor. Mehr zu Express & Notfall →

Häufige Fragen

Seit dem BGH-Urteil von 2023 ja — Mitbewerber können DSGVO-Verstöße als unlauteren Wettbewerb abmahnen. Häufige Felder: fehlende Datenschutzerklärung, unzureichendes Cookie-Banner, fehlende SSL-Verschlüsselung beim Kontaktformular.
Malte Martens

Malte Martens ist Ihr persönlicher externer Datenschutzbeauftragter bei dataschild. Er betreut Unternehmen, Praxen und Vereine bundesweit — pragmatisch, im transparenten Festpreis, mit direkter Durchwahl statt Hotline.

Mehr über dataschild →
Jetzt anfragen

Abmahnung erhalten? Notfall-Reaktion in 24 Stunden.

Mit dem laufenden Abo greifen wir sofort ein — kein Stundenticker, keine Wartezeit.

Notfall-Beratung