„Bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes" – die theoretischen Höchststrafen der DSGVO klingen dramatisch. Aber was kostet ein Datenschutzverstoß in der Praxis wirklich? Und wie berechnen Aufsichtsbehörden die Bußgelder?

In diesem Artikel zeige ich dir anhand echter Fälle, wie DSGVO-Bußgelder berechnet werden – und wie du mit dem nevik.de Abmahn-Rechner dein eigenes Risiko einschätzen kannst.

Wie werden DSGVO-Bußgelder berechnet?

Die Datenschutz-Grundverordnung gibt in Art. 83 konkrete Kriterien vor. Aufsichtsbehörden müssen diese Faktoren berücksichtigen:

1. Art, Schwere und Dauer des Verstoßes

  • Leichte Verstöße: Fehlende Datenschutzerklärung, kleine formale Mängel → 1.000–10.000 €
  • Mittelschwere Verstöße: Fehlende Rechtsgrundlage, unzureichende Einwilligungen → 10.000–100.000 €
  • Schwere Verstöße: Datenlecks, vorsätzliche Verstöße, Massenüberwachung → 100.000–20 Mio. €

2. Vorsatz oder Fahrlässigkeit

  • Fahrlässig: Du wusstest es nicht besser → niedrigeres Bußgeld
  • Vorsätzlich: Du hast bewusst gegen die DSGVO verstoßen → deutlich höhere Strafe

3. Maßnahmen zur Schadensbegrenzung

  • Hast du den Verstoß selbst gemeldet? → Strafmildernd
  • Hast du schnell reagiert und Maßnahmen ergriffen? → Strafmildernd
  • Hast du versucht, den Verstoß zu vertuschen? → Strafverschärfend

4. Frühere Verstöße

  • Ersttäter bekommen oft Verwarnungen statt Bußgelder
  • Wiederholungstäter werden härter bestraft

5. Unternehmensgröße und Umsatz

  • Kleine Unternehmen: Bußgelder zwischen 500–50.000 € (je nach Verstoß)
  • Mittelständische Unternehmen: 10.000–500.000 €
  • Konzerne: Mehrere Millionen bis zur gesetzlichen Höchstgrenze

Echte Beispiele: Was haben Unternehmen gezahlt?

Fall 1: Google (Frankreich, 2019) – 50 Millionen €

Verstoß: Intransparente Datenschutzerklärung, fehlende Rechtsgrundlage für personalisierte Werbung
Begründung: Google hat Nutzer nicht klar über die Datenverarbeitung informiert und keine gültige Einwilligung eingeholt
Umsatz: ~150 Mrd. € (2019)
Bußgeld: 50 Mio. € (0,033 % des Umsatzes)

Fall 2: H&M (Deutschland, 2020) – 35,3 Millionen €

Verstoß: Illegale Überwachung von Mitarbeitern (Gesprächsprotokolle über Privatleben)
Begründung: Systematische Erfassung privater Details ohne Rechtsgrundlage
Umsatz: ~20 Mrd. €
Bußgeld: 35,3 Mio. € (0,18 % des Umsatzes)

Fall 3: Notebooksbilliger.de (Deutschland, 2020) – 10,4 Millionen €

Verstoß: Videoüberwachung von Mitarbeitern ohne ausreichende Rechtsgrundlage
Begründung: Kameras erfassten auch sensible Bereiche (z. B. Pausenräume)
Umsatz: ~500 Mio. €
Bußgeld: 10,4 Mio. € (2,08 % des Umsatzes)

Fall 4: Katholische Kirche Köln (Deutschland, 2021) – 1,2 Millionen €

Verstoß: Unzureichende technische Maßnahmen (Datenleck bei Streaming-Gottesdiensten)
Begründung: Personenbezogene Daten waren öffentlich zugänglich
Umsatz: ~250 Mio. €
Bußgeld: 1,2 Mio. € (0,48 % des Umsatzes)

Fall 5: Kleiner Online-Shop (Deutschland, 2020) – 50.000 €

Verstoß: Fehlende Verschlüsselung, Google Fonts über Google-Server eingebunden
Begründung: Daten wurden unverschlüsselt übertragen, IP-Adressen an Google weitergegeben
Umsatz: ~300.000 €
Bußgeld: 50.000 € (16,7 % des Umsatzes – abgemildert auf 20.000 € nach Einspruch)

Fall 6: Arztpraxis (Deutschland, 2022) – 20.000 €

Verstoß: Unverschlüsselte E-Mails mit Gesundheitsdaten
Begründung: Sensible Daten (Diagnosen) wurden per unverschlüsselter E-Mail versendet
Umsatz: ~150.000 €
Bußgeld: 20.000 € (13,3 % des Umsatzes)

Typische Verstöße und ihre Kosten

VerstoßTypisches Bußgeld (KMU)Typisches Bußgeld (Konzern)
Fehlende/unvollständige Datenschutzerklärung1.000–5.000 €50.000–500.000 €
Google Fonts nicht lokal gehostet500–5.000 €10.000–100.000 €
Fehlende SSL-Verschlüsselung2.000–10.000 €50.000–500.000 €
Cookie-Banner nicht DSGVO-konform2.000–20.000 €100.000–1 Mio. €
Fehlende Auftragsverarbeitungsverträge5.000–50.000 €100.000–2 Mio. €
Datenleck (ohne Meldung)10.000–100.000 €500.000–20 Mio. €
Videoüberwachung ohne Rechtsgrundlage5.000–50.000 €100.000–10 Mio. €

So kannst du dein Bußgeld-Risiko berechnen

Die genaue Höhe hängt von vielen Faktoren ab, aber du kannst eine Orientierung bekommen:

Schritt 1: Schwere des Verstoßes bestimmen

  • Formaler Fehler (z. B. Impressum unvollständig): Faktor 0,5
  • Technischer Fehler (z. B. Google Fonts): Faktor 1
  • Schwerer Verstoß (z. B. Datenleck): Faktor 5–10

Schritt 2: Umsatz als Basis nehmen

  • Für KMU: 0,1–2 % des Jahresumsatzes
  • Für Konzerne: 0,5–4 % des weltweiten Umsatzes

Schritt 3: Mildernde/verschärfende Umstände

  • Ersttäter: -50 %
  • Selbstmeldung: -30 %
  • Schnelle Behebung: -20 %
  • Wiederholungstäter: +100 %
  • Vertuschungsversuch: +200 %

Beispielrechnung für einen Online-Shop (500.000 € Umsatz):

  • Google Fonts nicht lokal (Faktor 1)
  • Basis: 0,5 % von 500.000 € = 2.500 €
  • Ersttäter (-50 %) = 1.250 €
  • Schnelle Behebung nach Hinweis (-20 %) = 1.000 €

Realistisches Bußgeld: 1.000–3.000 € (je nach Verhandlung)

Neben Bußgeldern: Abmahnungen und Schadensersatz

Viele Unternehmen werden nicht von Behörden bestraft, sondern von Abmahnanwälten oder Betroffenen:

Abmahnungen (häufigste Gefahr für Websites)

  • Typische Fälle: Google Fonts, fehlende SSL, fehlerhafte Cookie-Banner
  • Kosten: 100–300 € Streitwert + 150–500 € Anwaltskosten
  • Häufigkeit: Massenhafte Abmahnwellen, vor allem seit 2022

Schadensersatz nach Art. 82 DSGVO

  • Voraussetzung: Betroffener muss materiellen oder immateriellen Schaden nachweisen
  • Typische Höhe: 100–1.000 € pro Fall
  • Beispiel: LG München hat 100 € für Google-Fonts-Verstoß zugesprochen

Wichtig: Auch ohne Bußgeld kannst du durch Abmahnungen und Schadensersatz mehrere tausend Euro verlieren.

So minimierst du dein Risiko

1. Kostenloser DSGVO-Check: Nutze den nevik.de DSGVO-Scanner, um deine Website auf typische Fehler zu prüfen:

  • Google Fonts über Google-Server
  • Fehlende SSL-Verschlüsselung
  • Tracking ohne Einwilligung
  • Fehlerhafte Cookie-Banner

2. Kritische Punkte beheben: Die häufigsten Fehler sind schnell behoben:

  • Google Fonts lokal hosten (20 Minuten)
  • SSL-Zertifikat installieren (kostenlos mit Let’s Encrypt)
  • Cookie-Banner DSGVO-konform konfigurieren
  • Datenschutzerklärung aktualisieren

3. Dokumentation führen: Erstelle ein Verarbeitungsverzeichnis und dokumentiere alle Maßnahmen. Das wirkt strafmildernd, falls doch mal etwas schiefgeht.

4. Bei Verstoß: Schnell reagieren

  • Verstoß sofort beheben
  • Bei Datenlecks: Behörde innerhalb 72 Stunden informieren
  • Betroffene informieren, wenn hohes Risiko besteht

Fazit: Was kostet ein DSGVO-Verstoß wirklich?

Für kleine Unternehmen:

  • Formale Fehler: 1.000–10.000 €
  • Technische Fehler: 5.000–50.000 €
  • Schwere Verstöße: 20.000–100.000 €

Für Konzerne:

  • Leichte Verstöße: 100.000–1 Mio. €
  • Schwere Verstöße: 1–50 Mio. €

Plus Zusatzkosten:

  • Abmahnungen: 250–800 € pro Fall
  • Schadensersatz: 100–1.000 € pro Betroffenem
  • Anwaltskosten: 2.000–20.000 €

Die gute Nachricht: Die meisten Verstöße lassen sich mit wenig Aufwand vermeiden. Ein DSGVO-Check mit dem nevik.de Scanner zeigt dir in 30 Sekunden, wo du nachbessern musst.

Nächste Schritte:

  1. Kostenloser DSGVO-Check – finde Schwachstellen
  2. Abmahn-Risiko berechnen – schätze dein finanzielles Risiko ein
  3. Kritische Punkte beheben – investiere 1-2 Stunden, spare tausende Euro

Datenschutz ist kein Hexenwerk – aber Nichtstun kann teuer werden.