Die DSGVO hat Zähne — und die deutschen Aufsichtsbehörden setzen sie ein. Seit Inkrafttreten der Verordnung im Mai 2018 wurden in Deutschland Bußgelder in Millionenhöhe verhängt. Und der Trend zeigt klar nach oben: Die Strafen werden höher, die Aufsichtsbehörden personell besser aufgestellt, und die Durchsetzung konsequenter.

In diesem Artikel gebe ich Ihnen einen aktuellen Überblick über DSGVO-Strafen in Deutschland, zeige Ihnen die wichtigsten Fälle und erkläre, wie Sie Bußgelder vermeiden können.

Rechtsgrundlage: Art. 83 DSGVO

Die Bußgeldvorschriften der DSGVO finden sich in Art. 83. Die Verordnung unterscheidet zwei Stufen:

Stufe 1: Bis zu 10 Millionen Euro oder 2 % des Jahresumsatzes

Verstöße gegen:

  • Pflichten des Verantwortlichen und Auftragsverarbeiters (Art. 8, 11, 25–39, 42, 43)
  • Pflichten der Zertifizierungsstelle (Art. 42, 43)
  • Pflichten der Überwachungsstelle (Art. 41 Abs. 4)

Stufe 2: Bis zu 20 Millionen Euro oder 4 % des Jahresumsatzes

Verstöße gegen:

  • Grundsätze der Verarbeitung (Art. 5, 6, 7, 9)
  • Rechte der Betroffenen (Art. 12–22)
  • Übermittlung in Drittländer (Art. 44–49)
  • Anordnungen der Aufsichtsbehörde

Es gilt immer der höhere Betrag — bei großen Konzernen kann das schnell in die Hunderte Millionen gehen.

Wie berechnen deutsche Behörden die Bußgelder?

Die deutschen Aufsichtsbehörden orientieren sich am Bußgeldkonzept der DSK (Datenschutzkonferenz). Seit 2019 gibt es ein abgestimmtes Berechnungsmodell:

  1. Grundwert: Basiert auf dem Jahresumsatz des Unternehmens
  2. Schwere des Verstoßes: Multiplikator je nach Art, Dauer und Ausmaß
  3. Verschulden: Vorsatz wird deutlich strenger bestraft als Fahrlässigkeit
  4. Kooperationsbereitschaft: Zusammenarbeit mit der Behörde kann mildernd wirken
  5. Bisherige Verstöße: Wiederholungstäter werden härter bestraft
  6. Maßnahmen zur Schadensminderung: Schnelle Reaktion kann die Strafe senken

Darüber hinaus hat der EuGH 2023 klargestellt (Urteil vom 05.12.2023, C-807/21), dass bei der Berechnung der weltweite Konzernumsatz herangezogen werden kann — nicht nur der Umsatz der betroffenen Einzelgesellschaft.

Bedeutende DSGVO-Bußgelder in Deutschland

H&M — 35,3 Millionen Euro (2020)

Der Hamburger Beauftragte für Datenschutz verhängte gegen H&M das bis dahin höchste deutsche DSGVO-Bußgeld. Der Grund: Am Standort Nürnberg wurden über Jahre hinweg umfangreiche private Informationen über Mitarbeiter gesammelt und gespeichert — Gesundheitsdaten, familiäre Probleme, religiöse Überzeugungen. Die Daten wurden in einer Art Dossier geführt und waren einem breiten Personenkreis zugänglich.

Lehre: Beschäftigtendatenschutz ist kein Nebenthema. Verstöße in diesem Bereich werden besonders hart bestraft.

Deutsche Wohnen — 14,5 Millionen Euro (2019/2022)

Die Berliner Datenschutzbeauftragte verhängte dieses Bußgeld wegen mangelhafter Löschung von Mieterdaten. Das Unternehmen speicherte jahrelang personenbezogene Daten, obwohl der Zweck der Speicherung längst entfallen war. Das Verfahren ging durch mehrere Instanzen und landete beim EuGH, der 2023 bestätigte, dass Unternehmen auch ohne individuelles Verschulden einer natürlichen Person haftbar sein können.

Lehre: Ein funktionierendes Löschkonzept ist Pflicht. Wer Daten einfach “aufhebt”, riskiert Millionenstrafen.

1&1 Telecom — 9,55 Millionen Euro (2019)

Der BfDI verhängte dieses Bußgeld, weil Anrufer beim Kundenservice allein durch Angabe von Name und Geburtsdatum Zugang zu detaillierten Kundendaten erhielten — eine völlig unzureichende Authentifizierung. Das Bußgeld wurde später vom LG Bonn auf 900.000 Euro reduziert.

Lehre: Authentifizierungsprozesse müssen dem Schutzbedarf der Daten entsprechen.

Notebooksbilliger.de — 10,4 Millionen Euro (2021)

Der Niedersächsische Landesbeauftragte für Datenschutz bestrafte den Online-Händler wegen Videoüberwachung von Mitarbeitern ohne Rechtsgrundlage. Über mindestens zwei Jahre wurden Mitarbeiter an Arbeitsplätzen, in Verkaufsräumen und Lagerbereichen per Video überwacht — ohne konkreten Verdacht und ohne ausreichende Rechtsgrundlage.

Lehre: Videoüberwachung am Arbeitsplatz ist ein hochsensibles Thema mit extrem hohem Bußgeldrisiko.

Aktuelle Fälle 2025/2026

Die Bußgeldpraxis hat sich weiterentwickelt. Aktuelle Schwerpunkte der Aufsichtsbehörden sind:

  • Cookie-Banner-Verstöße: Mehrere Behörden haben 2025 koordinierte Prüfungen von Websites durchgeführt und Bußgelder im fünf- bis sechsstelligen Bereich verhängt — insbesondere für Dark Patterns und fehlende Ablehnmöglichkeiten.

  • Fehlende oder mangelhafte AVVs: Besonders bei KMU werden häufig fehlende Auftragsverarbeitungsverträge beanstandet. Die Bußgelder liegen typischerweise im fünfstelligen Bereich.

  • Meldepflichtige Datenpannen: Die Nichtmeldung von Datenpannen (Art. 33 DSGVO — 72-Stunden-Frist) wird zunehmend mit Bußgeldern sanktioniert.

  • Unzulässige Drittlandtransfers: Trotz des EU-US Data Privacy Frameworks prüfen Behörden verstärkt, ob Unternehmen die Voraussetzungen für Datentransfers in die USA tatsächlich erfüllen.

Neben Bußgeldern: Weitere Konsequenzen

DSGVO-Verstöße können weit mehr als nur Bußgelder nach sich ziehen:

Schadensersatzansprüche (Art. 82 DSGVO)

Betroffene können immateriellen Schadensersatz fordern. Der EuGH hat 2023 bestätigt (Urteil vom 04.05.2023, C-300/21), dass bereits ein Kontrollverlust über die eigenen Daten einen ersatzfähigen Schaden darstellen kann. Die Beträge pro Person sind zwar meist gering (100–5.000 Euro), aber bei Massenverstößen summiert sich das schnell.

Abmahnungen

Wettbewerber und Verbraucherschutzverbände können DSGVO-Verstöße abmahnen. Nach dem UWG und dem UKlaG ist das bei Verstößen, die den Marktverhaltensregeln dienen, möglich. Die Kosten einer Abmahnung liegen typischerweise bei 1.000–5.000 Euro — plus Unterlassungserklärung.

Reputationsschaden

Ein öffentlich bekannt gewordener DSGVO-Verstoß kann das Vertrauen Ihrer Kunden nachhaltig beschädigen. Aufsichtsbehörden veröffentlichen Bußgelder zunehmend mit Nennung des Unternehmens.

Anordnungen der Aufsichtsbehörde

Neben Bußgeldern können Aufsichtsbehörden nach Art. 58 DSGVO konkrete Anordnungen treffen — bis hin zum Verbot der Datenverarbeitung. Das kann im schlimmsten Fall bedeuten, dass Sie Ihren Online-Shop oder Ihre Website vorübergehend abschalten müssen.

So vermeiden Sie DSGVO-Bußgelder

1. Compliance-Grundlagen schaffen

  • Verarbeitungsverzeichnis (Art. 30 DSGVO) erstellen und pflegen
  • Datenschutzbeauftragten benennen (wenn erforderlich nach Art. 37 DSGVO oder § 38 BDSG)
  • Mitarbeiter regelmäßig schulen

2. Technische Maßnahmen umsetzen

  • Cookie-Consent korrekt implementieren
  • Verschlüsselung einsetzen (Art. 32 DSGVO)
  • Zugriffsrechte nach dem Need-to-know-Prinzip vergeben
  • Regelmäßige Sicherheitsupdates durchführen

3. Prozesse etablieren

  • Meldeprozess für Datenpannen (72-Stunden-Frist nach Art. 33 DSGVO)
  • Prozess für Betroffenenanfragen (Ein-Monats-Frist nach Art. 12 DSGVO)
  • Regelmäßige Überprüfung und Aktualisierung aller Maßnahmen

4. Regelmäßig prüfen

Nutzen Sie unseren DSGVO-Check, um Ihre Website automatisch auf die häufigsten Verstöße zu prüfen. Viele der Bußgeld-relevanten Fehler — fehlende Datenschutzerklärung, falsches Cookie-Banner, unverschlüsselte Übertragung — lassen sich schnell erkennen und beheben.

Was tun bei einer Prüfung durch die Aufsichtsbehörde?

Wenn sich eine Aufsichtsbehörde bei Ihnen meldet:

  1. Ruhe bewahren — die meisten Prüfungen beginnen mit einem Fragebogen
  2. Fristen einhalten — verspätete Antworten werden negativ gewertet
  3. Kooperieren — Zusammenarbeit wirkt bußgeldmindernd (Art. 83 Abs. 2 lit. f DSGVO)
  4. Fachliche Unterstützung holen — ein spezialisierter Anwalt ist spätestens jetzt ratsam
  5. Dokumentation vorlegen — hier zeigt sich, ob Ihr Verarbeitungsverzeichnis aktuell ist

Fazit

DSGVO-Bußgelder in Deutschland sind keine theoretische Gefahr — sie sind Realität. Die Beträge steigen, die Behörden werden aktiver, und neben Bußgeldern drohen Schadensersatz, Abmahnungen und Reputationsschäden.

Die gute Nachricht: Die meisten Verstöße lassen sich mit überschaubarem Aufwand vermeiden. Starten Sie mit unserem DSGVO-Check, schauen Sie sich unser Rettungspaket für schnelle Hilfe an und finden Sie in unserer Produktübersicht die passende Lösung für Ihr Unternehmen.

Alle wichtigen Begriffe rund um die DSGVO erklären wir verständlich in unserem Glossar.

Häufig gestellte Fragen (FAQ)