Bußgelder nach der DSGVO – warum Datenschutz alle betrifft
© macgyverhh - stock.adobe.com

Bußgelder nach der DSGVO – warum Datenschutz alle betrifft

25. Juni 2026

Die Datenschutzgrundverordnung (DSGVO) ist inzwischen fester Bestandteil des unternehmerischen Alltags. Trotzdem wird Datenschutz in der Praxis noch immer häufig als rein formales oder „bürokratisches“ Thema wahrgenommen. Dabei zeigt gerade der Blick auf verhängte Bußgelder sehr deutlich die Bedeutung des Datenschutzes für die Menschen, die hinter den Daten stehen. Die Datenschutzaufsichtsbehörden verhängen monatlich Bußgelder wegen Verstößen gegen die DSGVO. Diese können auch erhebliche finanzielle und organisatorische Folgen haben und die Reputation der Unternehmen schädigen.

Welche Bußgelder sind nach der DSGVO möglich?

Die DSGVO sieht für Verstöße kein einheitliches Bußgeld vor. Vielmehr sind die Bußgeldmöglichkeiten sehr differenziert und abgestuft ausgestaltet. Das größtmögliche Bußgeld beläuft sich auf 20 Mio. Euro oder bis zu 4 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs.

Dies kann insbesondere bei schwerwiegenden Verstößen greifen, etwa wenn

  • personenbezogene Daten ohne Rechtsgrundlage verarbeitet werden,
  • die Bedingungen für die Einwilligung nicht umgesetzt werden
  • Betroffenenrechte missachtet werden,
  • gegen Grundsätze wie Zweckbindung, Datenminimierung oder Transparenz verstoßen wird,
  • Daten unzulässig an Dritte weitergegeben werden.

Ein niedrigeres Bußgeld kann sich auf bis zu 10 Mio. Euro oder 2 % des gesamten weltweit erzielten Jahresumsatzes belaufen und betrifft zum Beispiel:

  • fehlende oder unzureichende technische und organisatorische Maßnahmen,
  • unterlassene Meldung von Datenschutzverletzungen,
  • fehlende Verträge zur Auftragsverarbeitung,
  • fehlendes Verzeichnis der Verarbeitungstätigkeiten
  • unzureichende Datenschutzorganisation.

Die tatsächliche Höhe des Bußgeldes hängt zudem stark von weiteren folgenden Faktoren ab:

  • Art, Schwere und Dauer des Verstoßes,
  • Anzahl der betroffenen Personen,
  • Sensibilität der betroffenen Daten,
  • Grad des Verschuldens,
  • getroffene Abhilfemaßnahmen,
  • Kooperation mit der Aufsichtsbehörde,
  • frühere Verstöße.

Mit anderen Worten: Datenschutzverstöße werden immer im Einzelfall bewertet. Dennoch können schon vermeintlich kleine Nachlässigkeiten ernste Konsequenzen haben – insbesondere dann, wenn sie systematisch auftreten oder vermeidbar gewesen wären.

Beispiele aus der Praxis

Ein Blick auf konkrete Fälle zeigt, wie unterschiedlich Datenschutzverstöße gelagert sein können:

1. Unzulässige Datenabfragen am Arbeitsplatz

Immer wieder kommt es vor, dass Beschäftigte auf personenbezogene Daten zugreifen, obwohl dafür kein dienstlicher Anlass besteht. Solche „Neugierzugriffe“ können etwa Kundendaten, Personalakten, Gesundheitsdaten oder Adressinformationen betreffen. Auch wenn kein finanzieller Vorteil angestrebt wird, ist bereits der unbefugte Zugriff ein Datenschutzverstoß.

Beispielsweise wurde im September 2025 einem Mitarbeiter einer Zulassungsstelle ein Bußgeld in Höhe von 800 Euro durch die Datenschutzbehörde in Rheinland-Pfalz auferlegt. Der Mitarbeiter wollte einem Bekannten einen Gefallen tun und rief die Halterdaten des Fahrzeugs einer anderen Person aus den Datenbanken ab. Der Bekannte wollte damit einen anderen Autofahrer einschüchtern. Allerdings stellte sich heraus, dass dieser ein Polizeibeamter war.

Im Übrigen werden auch Polizeibeamten selbst regelmäßig Bußgelder für unerlaubte Datenabfragen aus Polizeisystemen auferlegt.

2. Verspätete Reaktion auf Betroffenenrechte

Aufsichtsbehörden verhängen regelmäßig Bußgelder, wenn Unternehmen nicht oder nicht rechtzeitig auf die Ausübung von Betroffenenrechten reagieren.

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit verhängte im September 2025 deshalb ein Bußgeld in Höhe von 195.000 Euro gegen ein Unternehmen, welches von einem Auftragsverarbeiter Werbung per Post verschicken ließ. Als die Empfänger ihre Betroffenenrechte ausübten, reagierte das Unternehmen nicht fristgerecht. In einem anderen Fall in Sachsen Ende 2024 wurde ein Bußgeld von 120.000 Euro gegen ein Unternehmen verhängt, das erst nach zwei Jahren, vier Monaten und fünf Zwangsgeldern, auf Informationsanfragen antwortete.

3. Unzulässige Videoüberwachung

Videoüberwachung ist nur unter engen rechtlichen Voraussetzungen zulässig. Werden Beschäftigte, Kunden oder Besucher ohne ausreichende Rechtsgrundlage, ohne transparente Information oder über einen zu langen Zeitraum aufgezeichnet, kann dies zu empfindlichen Sanktionen führen. Gerade im Beschäftigtenkontext prüfen die Behörden sehr genau, ob Maßnahmen verhältnismäßig sind.

Die Sächsische Datenschutz- und Transparenzbeauftragte verhängte Ende 2024 gegen ein Unternehmen der Hotelgastronomie ein Bußgeld in Höhe von 20.000 Euro wegen unzulässiger Videoüberwachung. Das Unternehmen überwachte den öffentlichen Verkehrsraum sowie eine zu ihm gehörende Baustelle, einen Gästeparkplatz und ein Nachbargrundstück mit Kameras, die auch Tonaufnahmen machten. Ein zweites Bußgeld in Höhe von 30.000 Euro wegen unzulässiger Videoüberwachung erging an ein anderes Unternehmen, das Kameras auf seiner Baustelle installiert hatte und diese auch tagsüber betrieb, obwohl sie angeblich zu Diebstahlschutzzwecken angebracht worden waren.

4. Fehlende oder unwirksame Einwilligungen

Auch im Marketingbereich werden immer wieder Bußgelder verhängt, wenn personenbezogene Daten für Werbung, Tracking oder Profilbildung ohne wirksame Einwilligung oder ohne andere tragfähige Rechtsgrundlage genutzt werden. Unternehmen müssen nachweisen können, auf welcher Grundlage die Verarbeitung erfolgt – bloße Annahmen reichen nicht aus.

Im Dezember 2025 verhängte die hessische Aufsichtsbehörde drei Bußgelder von je 2.000 Euro gegen ein Immobilienunternehmen, welches mehrfach Werbung verschickte, obwohl die Empfänger keine Einwilligung erteilt hatten. Auch auf Auskunftsgesuche der betroffenen Personen sowie Aufforderungen der Datenschutzbehörde reagierte das Unternehmen nicht bzw. nur mangelhaft.

5. Mangelnde Kooperation mit Aufsichtsbehörden

Aufsichtsbehörden möchten grundsätzlich nicht ignoriert werden. Bei kleineren Verstößen sind Behörden in der Regel nachsichtig, wenn Unternehmen sich kooperationsbereit und einsichtig zeigen. Reagiert man jedoch bereits nicht auf erste Anschreiben der Behörde, kann dies ebenfalls zu Bußgeldern führen. So verhängte der Hessische Beauftragte für Datenschutz und Informationsfreiheit gegen ein Unternehmen aus der Modebranche ein Bußgeld in Höhe von 10.000 Euro, weil das Unternehmen auf Aufforderungen und Anfragen während einer Untersuchung nicht reagierte. Es wurde erst geantwortet, als mit Strafe gedroht wurde.

Fazit

Bußgelder nach der DSGVO können erhebliche Höhen erreichen und betreffen längst nicht nur große internationale Konzerne. Auch alltägliche Fehler, unzureichend geregelte Abläufe oder unbefugte Zugriffe auf Daten können zu aufsichtsbehördlichen Maßnahmen führen.

Ziel sollte allerdings nicht allein sein, Bußgelder zu vermeiden. Entscheidend ist ein verantwortungsvoller Umgang mit personenbezogenen Daten – rechtssicher, bewusst und im Arbeitsalltag verlässlich umgesetzt. Für mögliche Umsetzungsempfehlungen kommen Sie gerne auf uns zu.

Hinweisgebersystem

Ähnliche Beiträge

Entgelttransparenz und Datenschutz
Datenschutz

Entgelttransparenz und Datenschutz

Im Mai 2023 verabschiedete die EU eine Richtlinie zur Verbesserung der Lohntransparenz, die dazu dienen soll, geschlechtsspezifische Diskriminierung bei […]
Der Algorithmus braucht auch Privatsphäre – KI und Datenschutz
Datenschutz

Der Algorithmus braucht auch Privatsphäre – KI und Datenschutz

Künstliche Intelligenz hat längst Einzug in unseren Arbeitsalltag gehalten. Ob Texte formulieren, Analysen erstellen oder Kundenanfragen beantworten – KI-Tools […]
Datensicherung – für den schlimmsten aller Fälle!
Datenschutz

Datensicherung – für den schlimmsten aller Fälle!

Was passiert eigentlich, wenn es zu einen Elementarschaden durch Regenwasser oder Blitzschlag kommt? Sind Sie gegen Datenverluste durch Hardwareausfälle […]