Bekommen wir bei einer Datenpanne automatisch Bußgeld?

Nein. Bußgeld droht nur bei nachweislich fahrlässigem oder vorsätzlichem Verstoß gegen DSGVO-Pflichten. Eine sauber gemeldete Datenpanne mit dokumentierten Schutzmaßnahmen führt typischerweise zu Verwarnung statt Bußgeld.

Wie hoch ist das Bußgeld für eine fehlende Datenschutzerklärung?

In der Praxis 1.000 bis 10.000 € — abhängig von Unternehmensgröße, Vorsatz und Kooperation mit der Behörde. Hauptkosten kommen meist aus Abmahnung durch Mitbewerber, nicht aus Behördenbußgeld.

Gibt es Versicherungen gegen DSGVO-Bußgelder?

Bedingt. Bußgelder selbst dürfen in Deutschland nicht versichert werden (Schutz vor Moral Hazard). Versicherbar sind aber Anwaltskosten, Reputationsmanagement und Schadensersatzforderungen Betroffener.

Ratgeber · 9 Min Lesezeit

DSGVO-Bußgeld vermeiden.

Die DSGVO sieht Bußgelder bis zu 4 % des weltweiten Jahresumsatzes vor. In Deutschland werden jährlich rund 250 Bußgelder verhängt — die meisten unter 50.000 €, einzelne im zweistelligen Millionenbereich. Hier sind die zehn häufigsten Verstöße — und wie Sie sie vermeiden.

Bußgeld-Höhe und Berechnung

Die DSGVO unterscheidet in Art. 83 zwei Bußgeld-Stufen:

Stufe 1: bis 10 Mio. € oder 2 % weltweiter Jahresumsatz — bei Verstößen gegen formale Pflichten (kein DSB bestellt, kein Verarbeitungsverzeichnis, fehlende Meldung).
Stufe 2: bis 20 Mio. € oder 4 % weltweiter Jahresumsatz — bei Verstößen gegen Grundprinzipien (unrechtmäßige Datenverarbeitung, Verletzung der Rechte Betroffener, unzureichende Sicherheit).

Die Behörde berücksichtigt bei der Bemessung Schwere des Verstoßes, Vorsatz oder Fahrlässigkeit, Kooperation mit der Behörde, Bemühungen zur Schadensminderung und frühere Verstöße. Wer kooperativ ist und Schutzmaßnahmen nachweist, kommt deutlich günstiger weg.

Die zehn häufigsten Bußgeld-Auslöser

1. Fehlende oder unvollständige Datenschutzerklärung

Jede Website mit Kontaktformular, Newsletter oder Tracking braucht eine Datenschutzerklärung. Sie muss alle eingesetzten Tools nennen, die Rechtsgrundlage angeben und die Betroffenenrechte erklären. Generische Mustertexte ohne Bezug auf Ihre tatsächlich eingesetzten Systeme reichen nicht.

2. Cookie-Banner ohne echte Einwilligung

Seit dem BGH-Urteil zum Cookie-Banner von 2020 ist klar: Tracking-Cookies brauchen aktive Einwilligung. „Weitersurfen heißt zustimmen“ reicht nicht. Auch vorausgewählte Checkboxen sind unzulässig. Der Banner muss eine echte Ablehnung erlauben — und zwar gleichwertig zur Zustimmung, nicht versteckt im Untermenü.

3. Newsletter ohne Double-Opt-In

Newsletter brauchen eine bestätigte Einwilligung. Verfahren: Eintragung der E-Mail — Bestätigungsmail mit Aktivierungslink — Klick auf Link. Erst dann ist die Adresse rechtssicher in der Liste. Wer ohne Bestätigung verschickt, riskiert Abmahnungen durch Empfänger und Mitbewerber.

4. Fehlende AVV mit Dienstleistern

Jeder Dienstleister, der für Sie personenbezogene Daten verarbeitet — Webhoster, Cloud-Speicher, Newsletter-Tool, Buchhaltungs-Software — braucht einen Auftragsverarbeitungsvertrag nach Art. 28 DSGVO. Anleitung im AVV-Ratgeber.

5. Unverschlüsselte Übertragung sensibler Daten

Kontaktformulare und Login-Bereiche müssen über HTTPS laufen. E-Mails mit personenbezogenen Daten (Bewerbungen, Patientendaten, Vertragsdokumente) sollten verschlüsselt versendet werden — oder über sichere Plattformen wie verschlüsselte Cloud-Übergabe.

6. Verspätete Datenpannen-Meldung

Bei meldepflichtigen Datenpannen läuft eine 72-Stunden-Frist (Art. 33 DSGVO). Wer zu spät meldet oder gar nicht, riskiert deutlich höhere Bußgelder als bei der Panne selbst. Detaillierte Anleitung: Datenpanne in 72 Stunden.

7. Unrechtmäßige Datenweitergabe

Daten an Dritte weiterzugeben braucht eine Rechtsgrundlage — Einwilligung, Vertrag oder berechtigtes Interesse. Häufiger Fehler: Kundendaten an Schwesterunternehmen weiterleiten ohne saubere Konzernregelung. Auch der Datenexport in USA-Cloud (z. B. HubSpot, Salesforce) braucht Standardvertragsklauseln plus Risikobewertung nach Schrems II.

8. Fehlende Mitarbeiterverpflichtung

Jeder Mitarbeitende, der mit personenbezogenen Daten arbeitet, muss schriftlich auf das Datengeheimnis nach § 53 BDSG verpflichtet werden. Bei Neueinstellungen mit Arbeitsvertrag zusammen, bei Bestandsmitarbeitern nachgeholt.

9. Auskunftsersuchen ignoriert

Wenn ein Betroffener Auskunft nach Art. 15 DSGVO verlangt, läuft eine Monatsfrist. Wer die Frist verstreichen lässt oder den Antrag mit oberflächlicher Antwort abtut, riskiert eine Beschwerde bei der Aufsichtsbehörde — und damit Bußgelder.

10. Datenlöschung versäumt

Daten dürfen nicht ewig gespeichert werden. Aufbewahrungsfristen (HGB 10 Jahre, Personalakten 3 Jahre nach Austritt) müssen eingehalten werden, danach gilt Löschpflicht. Häufige Fundstelle: alte Bewerbungen auf dem Personal-Laufwerk, ehemalige Kunden im CRM, alte Newsletter-Listen.

Echte Bußgeld-Fälle

Vodafone 2025 — 9,55 Mio. €. Datenschutzverstöße im Vertriebspartner-Netzwerk; Verträge wurden im Namen von Kunden ohne deren Einwilligung abgeschlossen.
Notebooksbilliger 2020 — 10,4 Mio. €. Umfangreiche Videoüberwachung von Mitarbeitenden ohne ausreichende Rechtsgrundlage.
1&1 Telecom 2019 — 9,55 Mio. €. Unzureichende Identitätsprüfung am Kunden-Support — Mitarbeitende gaben Daten an Anrufer ohne ausreichende Verifikation heraus.
H&M Deutschland 2020 — 35,3 Mio. €. Umfangreiche Profilbildung über Mitarbeitende im Servicecenter Nürnberg, einschließlich Erfassung familiärer und gesundheitlicher Verhältnisse.

Was alle Fälle gemeinsam haben: Es waren keine technischen Pannen, sondern organisatorische Versäumnisse. Genau das, wo ein bestellter DSB Risiken im Vorfeld identifiziert hätte.

Sechs Schritte zur Bußgeld-Vermeidung

DSB bestellen, wenn pflichtig. Allein das senkt die Wahrscheinlichkeit eines Bußgelds erheblich, weil eine Anlaufstelle für Beschwerden im Unternehmen existiert.
Verarbeitungsverzeichnis aufsetzen. Bei jeder Behördenprüfung das erste Dokument, das verlangt wird.
Datenschutzerklärung & Cookie-Banner DSGVO-konform. Die zwei häufigsten Abmahn-Felder.
AVVs mit allen Dienstleistern. Newsletter, Cloud, CRM, Webhoster.
Mitarbeiter-Schulung jährlich. Pflicht nach Art. 39 — und die meisten Pannen entstehen aus Unwissen, nicht aus Vorsatz.
Datenpannen-Notfallplan. Wer im Ernstfall in 72 Stunden meldet, kommt meist mit Verwarnung statt Bußgeld davon.

Was tun, wenn schon eine Abmahnung da ist?

Vier Punkte, in der Reihenfolge:

Frist notieren — meist sieben bis vierzehn Tage.
Nicht unterschreiben, was vom Abmahner geschickt wurde.
Beweismittel sichern (Screenshots vom Stand der Website, Logs).
Externen DSB oder Fachanwalt einschalten — wir reagieren innerhalb 24 Stunden im Abo-Modell und bereiten die juristisch saubere Antwort vor.

Häufige Fragen

Seit dem BGH-Urteil von 2023 ja — Mitbewerber können DSGVO-Verstöße als unlauteren Wettbewerb abmahnen. Häufige Felder: fehlende Datenschutzerklärung, unzureichendes Cookie-Banner, fehlende SSL-Verschlüsselung beim Kontaktformular.