Auf einen Blick: DSGVO-Bußgelder sind unangenehm, aber selten existenzbedrohend wenn man richtig reagiert. Dieser Artikel erklärt, wie DSGVO-Strafen entstehen, wie hoch sie wirklich sind – und wie du dich bei einem Bescheid richtig verhältst.
Wie kommen DSGVO-Strafen zustande?
DSGVO-Verstöße werden meist auf drei Wegen aufgedeckt:
- Beschwerde eines Betroffenen bei der Datenschutzaufsichtsbehörde
- Meldung durch das Unternehmen selbst (bei Datenpannen)
- Eigeninitiative der Behörde (Prüfungen, Stichproben, Medienberichte)
Bußgeldrahmen der DSGVO
Die DSGVO sieht zwei Bußgeldkategorien vor:
| Kategorie | Maximales Bußgeld | Typische Verstöße |
|---|---|---|
| Schwerwiegend (Art. 83 Abs. 5) | Bis 20 Mio. € oder 4% des weltweiten Jahresumsatzes | Fehlendes Auftragsverarbeitungsvertrag, illegale Datenverarbeitung, Verletzung von Betroffenenrechten |
| Weniger schwerwiegend (Art. 83 Abs. 4) | Bis 10 Mio. € oder 2% des weltweiten Jahresumsatzes | Fehlendes VVT, fehlende Datenschutzerklärung, verspätete Datenpannenmeldung |
Die Realität für Kleinunternehmer: Theoretische Maximalbeträge werden selten verhängt. Typische Bußgelder für kleine Unternehmen in Deutschland liegen zwischen einigen hundert und wenigen tausend Euro.
Dennoch: Kombiniert mit Anwaltskosten, Presseberichterstattung und Reputationsverlust können auch moderate Bußgelder erheblich schaden.
Reale Beispiele aus Deutschland
| Fall | Bußgeld |
|---|---|
| Arztpraxis: unverschlüsselte Patientendaten auf Webserver | 300 € |
| Kleiner Online-Shop: keine Datenschutzerklärung | 3.000 € |
| Mittelständisches Unternehmen: keine AVVs mit Dienstleistern | 10.000 € |
| Großes Versandhaus: unzulässige Mitarbeiterüberwachung | 10,4 Mio. € |
| H&M (Mitarbeiter-Monitoring) | 35,3 Mio. € |
Die meisten Bescheide gegen kleine Unternehmen sind vier- bis fünfstellig, nicht siebenstellig.
Ich habe einen Bußgeldbescheid erhalten – was jetzt?
Schritt 1: Nicht zahlen und nichts unterschreiben (ohne Rechtsberatung)
Nimm dir Zeit. Bescheide enthalten eine Rechtsmittelfrist – meist 4 Wochen. Zahlung bedeutet Anerkennung.
Schritt 2: Anwalt mit DSGVO-Erfahrung kontaktieren
Sofort nach Erhalt des Bescheids:
- Spezialisierten Datenschutz- oder IT-Rechtsanwalt aufsuchen
- Frist zum Einspruch wahren
- Alle relevanten Unterlagen mitbringen
Schritt 3: Einspruch prüfen lassen
In vielen Fällen sind Bescheide anfechtbar – durch:
- Verhältnismäßigkeitsargumente (Unternehmensgröße, keine Vorsätzlichkeit)
- Formale Fehler im Verfahren
- Nachträgliche Mängelbeseitigung
- Nachweise engagierter Compliance-Bemühungen
Wie sich Bußgelder berechnen
Die Datenschutzbehörden berücksichtigen Faktoren wie:
| Faktor | Senkt das Bußgeld | Erhöht das Bußgeld |
|---|---|---|
| Kooperation mit Behörde | ✅ | – |
| Eigenständige Meldung | ✅ | – |
| Schnelle Abhilfe | ✅ | – |
| Vorsatz | – | ❌ |
| Wiederholung | – | ❌ |
| Hohe Anzahl Betroffener | – | ❌ |
| Sensible Datenkategorien | – | ❌ |
Abmahnungen von Mitbewerbern
Neben Bußgeldern der Behörden drohen auch Abmahnungen durch Wettbewerber nach UWG, wenn datenschutzrechtliche Verstöße vorliegen (z.B. DSGVO-Verletzung als Wettbewerbsvorteil gegenüber konformen Konkurrenten).
Typische Abmahngründe:
- Fehlende oder unvollständige Datenschutzerklärung
- Cookie-Banner ohne echte Opt-in-Möglichkeit
- E‑Mail-Marketing ohne Einwilligung
Abmahnkosten: Anwaltskosten + Unterlassungserklärung + ggf. Vertragsstrafe bei Wiederholung
Präventionsstrategien: So minimierst du das Risiko
- Datenschutzerklärung aktuell halten (bei jeder Tool-Änderung anpassen)
- AVVs abschließen mit allen relevanten Dienstleistern
- Cookie-Consent korrekt einrichten (aktives Opt-in)
- E‑Mail-Marketing nur mit Double-Opt-in
- Auf Beschwerden reagieren – wenn Kunden sich beschweren, sofort kooperieren
- Dokumentationspflichten erfüllen (VVT, TOM)
💡 Tipp: Eine Datenschutz-Rechtsschutzversicherung kann sinnvoll sein – sie deckt Anwalts- und Verfahrenskosten bei DSGVO-Streitigkeiten.
Fazit
DSGVO-Bußgelder sind real, aber meistens vermeidbar. Wer die grundlegenden Pflichten erfüllt, kooperativ mit Behörden umgeht und Datenpannen proaktiv meldet, hat deutlich geringere Risiken als jemand, der Datenschutz komplett ignoriert. Und falls doch ein Bescheid kommt: Nicht zahlen ohne Rechtsberatung – in vielen Fällen lässt sich das Bußgeld senken oder sogar abwenden.