Wer gegen die DSGVO verstößt, riskiert Bußgelder von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes — je nachdem, welcher Betrag höher ist. Doch Geldstrafen sind nur ein Teil der Konsequenzen. Geschäftsführer haften unter Umständen persönlich, Betroffene können Schadensersatz fordern, und bei bestimmten Verstößen drohen sogar Freiheitsstrafen von bis zu drei Jahren.
Dieser Artikel zeigt Ihnen, welche Konsequenzen ein Datenschutzverstoß konkret hat, welche Fehler am häufigsten vorkommen und wie Sie Ihr Unternehmen effektiv schützen.
Das Thema betrifft nicht nur Konzerne. Auch Privatpersonen können gegen den Datenschutz verstoßen und sich strafbar machen. Wer etwa heimlich Nachbarn filmt, Fotos ohne Einwilligung veröffentlicht oder personenbezogene Daten von Bekannten weitergibt, riskiert Abmahnungen, Schadensersatzforderungen und im schlimmsten Fall ein Ermittlungsverfahren. Die DSGVO gilt zwar primär für die geschäftliche Verarbeitung — doch das BDSG und das Kunsturhebergesetz (KUG) schützen die Persönlichkeitsrechte auch im privaten Bereich.
Für Unternehmen ist die Lage deutlich ernster. Hier greifen die vollen Bußgeldrahmen der DSGVO. Ein fehlender Datenschutzbeauftragter, ein unzureichendes Cookie-Banner oder eine ignorierte Auskunftsanfrage können schnell fünfstellige Bußgelder nach sich ziehen. Und die Aufsichtsbehörden prüfen zunehmend proaktiv — auch kleine und mittlere Unternehmen.
Die irische Datenschutzbehörde verhängte gegen Meta das bisher höchste DSGVO-Bußgeld weltweit — wegen der unzulässigen Übermittlung personenbezogener Daten europäischer Nutzer in die USA. Auch in Deutschland wurden 2024 Bußgelder in Millionenhöhe verhängt. Kein Unternehmen ist zu klein, um unter das Radar der Behörden zu fallen.
Wichtig ist die Abgrenzung zur Datenpanne (Art. 4 Nr. 12 DSGVO): Eine Datenpanne ist eine Verletzung der Sicherheit, die zur Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung personenbezogener Daten führt. Jede Datenpanne ist ein Datenschutzverstoß — aber nicht jeder Datenschutzverstoß ist eine Datenpanne.
Ein Beispiel: Wenn Sie kein Verarbeitungsverzeichnis führen, ist das ein Datenschutzverstoß nach Art. 30 DSGVO. Aber es ist keine Datenpanne, weil keine konkreten Daten kompromittiert wurden. Versenden Sie hingegen versehentlich eine Kundenliste an den falschen Empfänger, liegt beides vor.
In meiner Beratungstätigkeit sehe ich bestimmte Verstöße immer wieder. Viele davon passieren nicht aus böser Absicht, sondern schlicht aus Unwissenheit oder Nachlässigkeit. Das ändert aber nichts an den rechtlichen Konsequenzen.
Die meisten Datenschutzverstöße, die ich in der Praxis sehe, passieren nicht aus böser Absicht. Es fehlt an klaren Prozessen, an Schulung und an einem Ansprechpartner, der die Risiken kennt. Genau deshalb gibt es uns.
Nils OehmichenDatenschutzberater bei frag.hugo
Die DSGVO kennt zwei Bußgeldkategorien. Art. 83 Abs. 4 DSGVO regelt den "niedrigeren" Rahmen, Art. 83 Abs. 5 DSGVO den höheren. Die Unterscheidung richtet sich nach der Art des Verstoßes.
| Verstoßkategorie | Maximales Bußgeld | Beispiele |
|---|---|---|
| Art. 83 Abs. 4 DSGVO — Pflichten des Verantwortlichen | Bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes | Fehlendes VVT, kein DSB bestellt, mangelhafte AVV, fehlende DSFA |
| Art. 83 Abs. 5 DSGVO — Grundsätze der Verarbeitung | Bis zu 20 Mio. € oder 4 % des weltweiten Jahresumsatzes | Verarbeitung ohne Rechtsgrundlage, Verstoß gegen Einwilligungspflichten, Missachtung von Betroffenenrechten |
| § 43 BDSG — Nationale Ordnungswidrigkeiten | Bis zu 50.000 € | Verstoß gegen Auskunftspflicht gegenüber Aufsichtsbehörden |
| § 42 BDSG — Straftatbestände | Freiheitsstrafe bis 3 Jahre oder Geldstrafe | Wissentlich unbefugte, gewerbsmäßige Datenverarbeitung |
Die Aufsichtsbehörden schätzen Bußgelder nicht nach Gefühl. Seit 2023 wenden die deutschen Behörden das Bußgeld-Berechnungsmodell des Europäischen Datenschutzausschusses (EDSA) an, das fünf Schritte vorsieht:
Mildernde Faktoren sind etwa: sofortige Kooperation mit der Behörde, schnelle Behebung des Verstoßes, erstmalige Auffälligkeit und nachweisbare Datenschutzmaßnahmen. Umgekehrt wirken Vorsatz, wiederholte Verstöße und mangelnde Kooperation strafverschärfend.
Neben den verwaltungsrechtlichen Bußgeldern nach der DSGVO gibt es strafrechtliche Tatbestände im BDSG. § 42 BDSG stellt unter Strafe:
In diesen Fällen droht eine Freiheitsstrafe von bis zu zwei Jahren — bei Gewerbsmäßigkeit oder Bereicherungsabsicht sogar bis zu drei Jahren. Das klingt theoretisch, wird aber durchaus verfolgt: Mitarbeiter, die Kundendaten an Dritte verkaufen, oder Geschäftsführer, die systematisch gegen Datenschutzauflagen verstoßen, können sich strafbar machen.
Die Haftungsfrage ist differenzierter, als viele denken. Grundsätzlich gilt: Das Unternehmen als Verantwortlicher haftet für Bußgelder und Schadensersatz. Aber das ist nicht die ganze Geschichte.
Das Bußgeld nach Art. 83 DSGVO richtet sich primär an das Unternehmen als "Verantwortlichen" im Sinne des Art. 4 Nr. 7 DSGVO. Der BGH hat 2023 klargestellt, dass Unternehmen auch dann haften, wenn der Verstoß durch Mitarbeiter begangen wurde — ohne dass ein Organisationsverschulden nachgewiesen werden muss (BGH, Urt. v. 05.12.2023, I ZR 97/22).
Hier wird es für die Leitungsebene unangenehm. Die Geschäftsführung kann in mehreren Konstellationen persönlich haften:
Mitarbeiter haften grundsätzlich nicht direkt nach der DSGVO — die Bußgelder richten sich an den Verantwortlichen, also das Unternehmen. Allerdings können Mitarbeiter bei vorsätzlichen Verstößen strafrechtlich belangt werden (§ 42 BDSG) und arbeitsrechtliche Konsequenzen bis hin zur fristlosen Kündigung drohen.
Das Unternehmen kann zudem unter bestimmten Voraussetzungen Regress beim Mitarbeiter nehmen, allerdings nur bei vorsätzlichem oder grob fahrlässigem Handeln und unter Beachtung der arbeitsrechtlichen Haftungsgrundsätze.
Viele Unternehmen unterschätzen, was als Datenpanne gilt. Es muss kein spektakulärer Hackerangriff sein. Schon eine E-Mail mit offenem CC-Verteiler an 50 Kunden, ein verlorener USB-Stick mit Personaldaten oder ein versehentlich öffentlich zugänglicher Cloud-Ordner löst die Meldepflicht aus.
Schritt 1: Vorfall eindämmen (sofort)
Betroffene Systeme isolieren, Zugänge sperren, Datenleck schließen. Jede Minute zählt.
Schritt 2: Sachverhalt dokumentieren (innerhalb der ersten Stunden)
Was ist passiert? Welche Daten sind betroffen? Wie viele Personen? Seit wann besteht das Problem?
Schritt 3: Risikobewertung durchführen (unverzüglich)
Besteht ein Risiko für die Betroffenen? Wenn ja: Meldepflicht an die Aufsichtsbehörde. Bei hohem Risiko: zusätzlich Benachrichtigung der Betroffenen (Art. 34 DSGVO).
Schritt 4: Aufsichtsbehörde melden (innerhalb von 72 Stunden)
Die Meldung muss enthalten: Art der Verletzung, betroffene Datenkategorien und Personenzahl, Name des Datenschutzbeauftragten, wahrscheinliche Folgen und ergriffene Maßnahmen.
Schritt 5: Betroffene informieren (falls hohes Risiko)
In klarer, verständlicher Sprache. Keine juristischen Floskeln, sondern konkrete Information darüber, was passiert ist und was die Betroffenen tun können.
Schritt 6: Nachbereitung (nach der Akutphase)
Ursachenanalyse, Maßnahmen zur Verhinderung ähnlicher Vorfälle, Aktualisierung der Dokumentation und Schulungsmaßnahmen.
Sie stehen gerade vor einer Datenpanne und wissen nicht weiter? Unser Datenpannen-Service in Hamburg unterstützt Sie bei der korrekten Meldung und Abwicklung — auch kurzfristig.
Aus meiner Erfahrung scheitern Meldungen oft an denselben Stellen:
Neben den Bußgeldern der Behörden gibt es eine zweite finanzielle Front: Schadensersatzansprüche nach Art. 82 DSGVO. Jede Person, der durch einen Datenschutzverstoß ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadensersatz gegen den Verantwortlichen.
Der EuGH hat in mehreren Urteilen seit 2023 die Hürden für Schadensersatzansprüche konkretisiert:
Deutsche Gerichte sprechen in der Praxis Beträge zwischen 100 € und 5.000 € pro betroffenem Individuum zu. Das klingt überschaubar — bis man die Zahl der Betroffenen hochrechnet. Bei einem Datenleck mit 10.000 betroffenen Kunden und einem durchschnittlichen Schadensersatz von 500 € stehen wir bei 5 Millionen Euro.
Theorie ist wichtig, aber reale Fälle zeigen die Konsequenzen deutlicher. Hier eine Auswahl relevanter Bußgelder der letzten zwei Jahre:
Deutsche Wohnen SE — 14,5 Mio. € (bestätigt 2024 durch KG Berlin)
Unzureichendes Löschkonzept: Mieterdaten wurden jahrelang ohne Rechtsgrundlage und ohne Löschfristen gespeichert. Das Kammergericht Berlin bestätigte das Bußgeld der Berliner Datenschutzbeauftragten und stellte klar, dass eine direkte Unternehmenshaftung ohne individuelles Verschulden der Geschäftsführung möglich ist.
H&M — 35,3 Mio. € (Hamburger Datenschutzbehörde)
Systematische Überwachung von Mitarbeitern: Führungskräfte dokumentierten nach Rückkehr aus Urlaub oder Krankheit private Details über Mitarbeiter — Gesundheitszustand, familiäre Probleme, religiöse Überzeugungen. Die Daten wurden auf einem Netzlaufwerk gespeichert, auf das über 50 Führungskräfte Zugriff hatten.
1&1 Telecom — 900.000 € (BfDI)
Unzureichende Authentifizierung bei der Telefonhotline: Anrufer konnten mit Angabe von Name und Geburtsdatum auf Kundendaten zugreifen. Ein klassisches Beispiel für unzureichende technische und organisatorische Maßnahmen.
notebooksbilliger.de — 10,4 Mio. € (LfD Niedersachsen)
Videoüberwachung von Mitarbeitern über mindestens zwei Jahre ohne Rechtsgrundlage. Die Kameras erfassten Arbeitsplätze, Aufenthaltsbereiche und Verkaufsräume.
Arztpraxis Bayern — 6.500 € (BayLDA, 2025)
Versand von Patientendaten per unverschlüsselter E-Mail an den falschen Empfänger. Zeigt: Auch kleine Verstöße werden sanktioniert, und es trifft nicht nur Großunternehmen.
Die vollständige Datenbank der europäischen Bußgelder finden Sie unter enforcementtracker.com — ein empfehlenswertes Werkzeug, um ein Gefühl für die Bußgeldpraxis zu bekommen.
Bußgelder und Schadensersatz sind die offensichtlichen Folgen. In der Praxis wiegen andere Konsequenzen oft schwerer:
Datenschutzverstöße werden öffentlich. Die Aufsichtsbehörden veröffentlichen Tätigkeitsberichte, Medien berichten über prominente Fälle, und betroffene Kunden teilen ihre Erfahrungen. Für ein mittelständisches Unternehmen kann der Vertrauensverlust gravierender sein als das Bußgeld selbst.
Die Behörden können weit mehr als Bußgelder verhängen. Nach Art. 58 Abs. 2 DSGVO können sie:
Seit dem BGH-Urteil zu Google Analytics und der fortlaufenden Rechtsprechung können Mitbewerber und Verbraucherschutzverbände Datenschutzverstöße auch als Wettbewerbsverstöße abmahnen. Die Kosten einer Abmahnung liegen typischerweise bei 1.000 € bis 5.000 € — zuzüglich der Kosten für die Unterlassungserklärung und die tatsächliche Behebung des Verstoßes.
Prävention ist nicht nur günstiger als Reaktion — sie ist auch deutlich weniger stressig. Hier die Maßnahmen, die in der Praxis den größten Unterschied machen:
Ein qualifizierter Datenschutzbeauftragter ist nicht nur eine gesetzliche Pflicht — er ist Ihr wichtigstes Werkzeug zur Vermeidung von Verstößen. Konkret sorgt ein DSB dafür, dass:
Ohne DSB fehlt diese zentrale Kontrollinstanz — und Verstöße werden oft erst durch eine Behördenprüfung oder eine Kundenbeschwerde sichtbar. Dann ist es zu spät für Prävention. Wenn Sie unsicher sind, ob Ihr Unternehmen ausreichend aufgestellt ist, hilft eine professionelle Datenschutzberatung als erster Schritt.
Wir beraten KMU zu Datenschutz, DSGVO-Audits und Risikominimierung – persönlich und praxisnah.
Kostenlose Erstberatung buchenNein. Die Meldepflicht nach Art. 33 DSGVO gilt nur für Datenpannen, also Verletzungen der Sicherheit personenbezogener Daten. Und auch dann nur, wenn die Verletzung voraussichtlich zu einem Risiko für die Betroffenen führt. Organisatorische Verstöße wie ein fehlendes Verarbeitungsverzeichnis müssen Sie nicht proaktiv melden — aber Sie müssen sie natürlich trotzdem beheben.
Grundsätzlich haftet das Unternehmen. Mitarbeiter können aber bei vorsätzlichen Verstößen strafrechtlich nach § 42 BDSG verfolgt werden und arbeitsrechtliche Konsequenzen tragen. Ein Mitarbeiter, der absichtlich Kundendaten weitergibt, riskiert eine fristlose Kündigung und eine Freiheitsstrafe.
Die häufigsten Auslöser sind: Beschwerden von Betroffenen (Kunden, Mitarbeiter, Website-Besucher), Datenpannenmeldungen durch das Unternehmen selbst, Hinweise von Mitarbeitern (Whistleblower), anlasslose Prüfungen der Behörden und Medienberichte. Die Behörden prüfen zunehmend auch systematisch Websites — etwa auf Cookie-Banner-Compliance.
Ja. Gegen Bußgeldbescheide der Aufsichtsbehörden steht Ihnen der Rechtsweg offen. Sie können Einspruch einlegen, der dann vor dem zuständigen Amtsgericht verhandelt wird. In der Praxis werden Bußgelder in vielen Fällen reduziert, wenn das Unternehmen Kooperationsbereitschaft zeigt und nachweist, dass es Maßnahmen ergriffen hat. Dennoch sollten Sie dies nicht als Einladung verstehen, den Datenschutz auf die leichte Schulter zu nehmen.
Das Bußgeld ist oft nur die Spitze des Eisbergs. Hinzu kommen: Kosten für rechtliche Vertretung (5.000–50.000 €), interne Aufwände für die Behebung und Dokumentation, mögliche Schadensersatzforderungen der Betroffenen, Reputationsschaden und Kundenverlust sowie Kosten für nachträgliche Compliance-Maßnahmen. Die IBM-Studie "Cost of a Data Breach 2025" beziffert die durchschnittlichen Gesamtkosten einer Datenpanne in Deutschland auf rund 4,9 Millionen Euro.
Eine Cyber-Versicherung kann finanzielle Folgen abfedern, deckt aber in der Regel keine Bußgelder ab — die Versicherbarkeit von Bußgeldern ist in Deutschland rechtlich umstritten und von den meisten Anbietern ausgeschlossen. Schadensersatzansprüche Dritter und Kosten für Krisenmanagement können hingegen versicherbar sein. Eine Versicherung ersetzt aber niemals die eigentliche Compliance-Arbeit.
Die meisten Datenschutzverstöße entstehen nicht durch böse Absicht, sondern durch fehlendes Wissen und fehlende Strukturen. Ein externer Datenschutzbeauftragter schließt genau diese Lücke — zu einem Bruchteil der Kosten, die ein einziger Verstoß verursachen kann.
Als Ihr externer Datenschutzbeauftragter in Hamburg sorgen wir dafür, dass:
Kostenloses Erstgespräch vereinbaren — Wir analysieren Ihre aktuelle Situation und zeigen Ihnen konkret, wo Handlungsbedarf besteht. Ohne Verkaufsdruck, mit echtem Mehrwert.
Inhaltsverzeichnis
DSGVO-Bußgeld, Bussgeld und Strafen drohen auch KMU. Erfahren Sie, welche Verstöße am häufigsten von der Aufsichtsbehörde verhängt werden, wie DSGVO Bußgelder berechnet werden und wie Sie Datenschutzverletzungen vermeiden.
WeiterlesenSo erstellen Sie ein DSGVO-konformes Datenschutzkonzept: Schritt-für-Schritt-Anleitung mit Muster-Struktur, häufigen Fehlern und Praxistipps für kleine und mittlere Unternehmen.
WeiterlesenHolen Sie sich die besten Praktiken für den Austausch von Cyber-Bedrohungsinformationen in der Branche, um Ihre Sicherheitsstrategie zu optimieren und sich
Weiterlesen Über den Autor
Datenschutzberater & Geschäftsführer
Nils ist zertifizierter Datenschutzbeauftragter und Geschäftsführer der frag.hugo Informationssicherheit GmbH. Er berät mittelständische Unternehmen zu DSGVO, NIS2 und IT-Sicherheit – praxisnah und verständlich.
Vereinbaren Sie ein unverbindliches Erstgespräch mit unseren Experten. Wir beraten Sie persönlich zu Datenschutz, NIS2 und IT-Sicherheit.
