Aktualisiert: März 2026 · Lesezeit: 8 Min.
20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes — diese Zahlen geistern seit 2018 durch jede DSGVO-Präsentation. Und ja, das ist der gesetzliche Rahmen nach Art. 83 DSGVO. Aber wie sieht die Realität aus? Deutlich differenzierter, als die Panikmache mancher Berater vermuten lässt.
Gleichzeitig wäre es fahrlässig, die Bußgeldrisiken kleinzureden. Die deutschen Aufsichtsbehörden haben in den letzten Jahren ordentlich zugelangt. Und der Trend geht klar nach oben — sowohl bei der Höhe der Bußgelder als auch bei der Bereitschaft, sie tatsächlich zu verhängen.
Den deutschen Rekord hält H&M mit 35,3 Millionen Euro, verhängt vom Hamburger Datenschutzbeauftragten im Oktober 2020. Der Modekonzern hatte in seinem Nürnberger Servicecenter systematisch private Informationen über Mitarbeiter gesammelt — Krankheitsdetails, familiäre Probleme, religiöse Überzeugungen. Ein erschreckendes Ausmaß an Überwachung.
Auf Platz zwei: 14,5 Millionen Euro gegen die Deutsche Wohnen SE (jetzt Vonovia). Das Unternehmen hatte Mieterdaten über Jahre gespeichert, ohne ein Löschkonzept zu haben. Alte Gehaltsnachweise, Kontoauszüge, Sozialversicherungsdaten — alles aufbewahrt, obwohl kein Zweck mehr bestand. Art. 5 Abs. 1 lit. e DSGVO in Reinform verletzt.
Notebooksbilliger.de: 10,4 Millionen Euro. Der Elektronikhändler aus Sarstedt hatte seine Mitarbeiter mindestens zwei Jahre lang per Video überwacht — ohne Rechtsgrundlage und ohne ausreichende Information. Die niedersächsische Datenschutzbehörde zeigte hier Zähne.
Was fällt auf? Die größten Bußgelder treffen nicht kleine Websites wegen fehlender Cookie-Banner. Es geht um systematische, schwerwiegende Verstöße über längere Zeiträume. Trotzdem: Auch kleinere Unternehmen werden bestraft.
Hier wird es für die meisten Leser relevant. Ein Handwerksbetrieb in Karlsruhe wird kein Millionen-Bußgeld kassieren. Aber ein vierstelliger Betrag? Durchaus möglich.
Die Aufsichtsbehörden berücksichtigen bei der Bemessung eine Reihe von Faktoren nach Art. 83 Abs. 2 DSGVO: Schwere und Dauer des Verstoßes, Vorsatz oder Fahrlässigkeit, ergriffene Abhilfemaßnahmen, Kooperationsbereitschaft, Art der betroffenen Daten, und ob es ein Erst- oder Wiederholungsverstoß ist.
In der Praxis sehe ich bei typischen Website-Verstößen folgende Größenordnungen: Fehlende oder unvollständige Datenschutzerklärung — Verwarnung bis 5.000 Euro. Google Analytics ohne Einwilligung — 2.000 bis 15.000 Euro. Fehlender Auftragsverarbeitungsvertrag — 5.000 bis 25.000 Euro. Newsletter-Versand ohne Double-Opt-in — je nach Umfang 1.000 bis 10.000 Euro.
Das sind Schätzungen basierend auf veröffentlichten Fällen. Die tatsächliche Höhe hängt immer vom Einzelfall ab.
Neben den Bußgeldern der Behörden gibt es das Abmahnrisiko durch Wettbewerber und Verbände. Seit dem BGH-Urteil vom Januar 2024 steht fest: DSGVO-Verstöße können nach dem UWG abgemahnt werden, wenn sie zugleich eine Marktverhaltensregelung verletzen.
Die typische Abmahnung wegen fehlender oder falscher Datenschutzerklärung liegt bei 500 bis 2.000 Euro Anwaltskosten plus Unterlassungserklärung. Klingt nach wenig. Aber: Wer die Unterlassungserklärung unterschreibt und dann erneut verstößt, zahlt eine Vertragsstrafe — und die liegt gerne bei 5.000 Euro oder mehr pro Verstoß.
Die Google-Fonts-Abmahnwelle von 2022/2023 hat das eindrucksvoll demonstriert. Tausende Websitebetreiber erhielten Schreiben, in denen 100 Euro Schadensersatz plus Anwaltskosten gefordert wurden. Auch wenn viele dieser Abmahnungen rechtsmissbräuchlich waren — der Aufwand, sich dagegen zu wehren, war erheblich.
Die deutschen Aufsichtsbehörden haben ein gemeinsames Bußgeldmodell entwickelt. Es orientiert sich am Jahresumsatz und kategorisiert Verstöße nach Schwere.
Vereinfacht: Zunächst wird der Tagessatz berechnet — Vorjahresumsatz geteilt durch 360. Dann kommt ein Faktor, je nach Schweregrad (leicht, mittel, schwer, sehr schwer). Das Ergebnis wird nach den Umständen des Einzelfalls angepasst.
Für ein Unternehmen mit 500.000 Euro Jahresumsatz ergibt sich ein Tagessatz von rund 1.389 Euro. Bei einem mittelschweren Verstoß (Faktor 2-4) landen wir bei 2.778 bis 5.556 Euro. Bei einem schweren Verstoß (Faktor 4-8) bei 5.556 bis 11.112 Euro. Kein Pappenstiel für einen Mittelständler.
Der beste Schutz? Compliance. Klingt banal, ist es aber. Die allermeisten Bußgelder hätten mit relativ geringem Aufwand vermieden werden können. Ein ordentliches Cookie-Banner, eine aktuelle Datenschutzerklärung, abgeschlossene AVVs — das sind keine Hexenwerke.
Falls Sie doch Post von einer Aufsichtsbehörde bekommen: Kooperieren Sie. Antworten Sie fristgerecht. Zeigen Sie, welche Maßnahmen Sie bereits ergriffen haben. Kooperationsbereitschaft ist einer der stärksten Milderungsgründe nach Art. 83 Abs. 2 lit. f DSGVO.
Und im Fall einer Abmahnung: Nicht in Panik verfallen. Prüfen Sie zunächst, ob der Absender überhaupt abmahnberechtigt ist. Unterschreiben Sie keine vorformulierte Unterlassungserklärung ohne anwaltliche Prüfung — die Vertragsstrafe-Klauseln sind oft deutlich zu hoch angesetzt.