Datenschutz & Compliance

DSGVO-Bußgelder: Wie groß ist das Risiko wirklich — und wie schützt man sich?

6 Min. Lesezeit
Kurze Antwort

DSGVO-Bußgelder: bis 10 Mio. € oder 2% des Umsatzes bei leichteren Verstößen, bis 20 Mio. € oder 4% bei schweren. Zusätzlich: Abmahnungen durch Wettbewerber, Schadensersatzklagen von Betroffenen. Auch KMU werden geprüft.

INREMA-Grundsatz: Datenschutz ist kein Papiertiger — er ist ein Wettbewerbsvorteil. Wer dokumentiert und technisch sauber arbeitet, schläft ruhig.

Die DSGVO gilt seit Mai 2018 — und dennoch behandeln viele Unternehmen Datenschutz immer noch als lästige Pflicht. Das ist gefährlich. Die Datenschutzbehörden der Bundesländer haben ihre Aktivitäten deutlich gesteigert: Beschwerden werden bearbeitet, Prüfungen eingeleitet, und Bußgeldbescheide verschickt. Dabei spielt die Unternehmensgröße eine kleinere Rolle als viele denken.

Artikel 83 der DSGVO definiert zwei Bußgeldkategorien. Die untere Stufe erfasst weniger schwere Verstöße — etwa unvollständige Datenschutzhinweise, fehlende Auftragsverarbeitungsverträge oder mangelhafte technische Maßnahmen. Hier sind Bußgelder bis zu 10 Millionen Euro oder 2% des weltweiten Jahresumsatzes möglich. Die obere Stufe trifft schwere Verstöße: unzulässige Datenverarbeitung, Missachtung von Betroffenenrechten, unrechtmäßige Übermittlung in Drittländer. Hier können bis zu 20 Millionen Euro oder 4% des Jahresumsatzes verhängt werden — je nachdem, was höher ist.

Für einen mittelständischen Betrieb mit 5 Millionen Euro Umsatz bedeutet das: 4% entsprechen 200.000 Euro. Das ist kein theoretischer Wert — es ist eine realistische Größenordnung, die Unternehmen existenziell treffen kann. Hinzu kommen Abmahnungen durch Wettbewerber (die seit dem neuen UWG unter bestimmten Bedingungen möglich sind) sowie Schadensersatzklagen von betroffenen Personen nach Art. 82 DSGVO.

Die bekanntesten DSGVO-Bußgelder in Deutschland zeigen die Bandbreite: H&M erhielt 2020 ein Bußgeld von 35,3 Millionen Euro, weil das Unternehmen systematisch private Informationen über Mitarbeiter gesammelt und ausgewertet hatte — von Krankheiten bis zu religiösen Überzeugungen. Die Deutsche Wohnen SE wurde mit 14,5 Millionen Euro belegt, weil Mieterdaten ohne rechtliche Grundlage aufbewahrt wurden. Rapidata GmbH bekam 10.400 Euro — ein kleines Unternehmen, das schlicht vergessen hatte, Betroffenenanfragen korrekt zu bearbeiten.

Diese Beispiele zeigen: Bußgelder treffen Konzerne und KMU gleichermaßen. Der Unterschied liegt nicht in der Unternehmensgröße, sondern im Verhalten. Behörden prüfen, ob ein Unternehmen erkennbar versucht hat, datenschutzkonform zu handeln. Ein dokumentiertes Datenschutzkonzept, ein benannter Datenschutzbeauftragter und nachweisbare technisch-organisatorische Maßnahmen (TOM) signalisieren den Behörden Ernsthaftigkeit — und mindern das Bußgeld erheblich, sollte es dennoch zu einem Verstoß kommen.

Zusätzlich zur behördlichen Kontrolle gibt es zwei weitere Risikoquellen: Erstens Beschwerden von Betroffenen. Jeder, der sich in seinen Datenschutzrechten verletzt fühlt, kann sich an die zuständige Aufsichtsbehörde wenden — kostenlos und mit wenigen Klicks. Zweitens Wettbewerberabmahnungen. Fehlende Cookie-Banner, unvollständige Datenschutzerklärungen oder rechtswidrige E-Mail-Werbung können von Wettbewerbern abgemahnt werden, was zusätzliche Kosten und Unterlassungsklagen nach sich zieht.

Ein häufiger Irrglaube: 'Wir sind zu klein, die kommen nicht zu uns.' Falsch. Die Landesbeauftragten bearbeiten jede Beschwerde — und eine einzige verärgerte Kundin, die über ein fehlendes Impressum oder einen unerlaubten Newsletter-Versand stolpert, kann eine Prüfung auslösen. Ein Steuerberater in NRW wurde mit 9.000 Euro belegt, weil er Mandantendaten ohne AVV an eine externe Buchhaltungssoftware übermittelt hatte. Die Prüfung begann mit einer einzigen Beschwerde eines ehemaligen Mandanten.
  • Datenschutzerklärung: aktuell, vollständig, alle Verarbeitungszwecke transparent aufgeführt
  • Verarbeitungsverzeichnis nach Art. 30 DSGVO: jede Datenverarbeitung dokumentiert und begründet
  • Auftragsverarbeitungsverträge (AVV): mit jedem Dienstleister, der personenbezogene Daten verarbeitet
  • Technisch-organisatorische Maßnahmen (TOM): dokumentiert — Verschlüsselung, Zugriffskontrolle, Backup-Konzept
  • Cookie-Consent-System: rechtssicher implementiert, keine vorausgewählten Drittdienste
  • Datenschutzbeauftragter (DSB): intern oder extern benannt, wenn gesetzlich erforderlich (ab 20 Personen mit regelmäßiger Datenverarbeitung)
  • Mitarbeiterschulung: mindestens einmal jährlich, nachweisbar dokumentiert
  • Reaktionsprozess für Betroffenenanfragen: Antwortfrist 30 Tage einhalten, Prozess intern geregelt
  1. Bestandsaufnahme: Was verarbeiten Sie?

    Erfassen Sie alle Prozesse, bei denen personenbezogene Daten anfallen — Kundendaten, Mitarbeiterdaten, Bewerberdaten, Newsletter-Empfänger, Webseiten-Besucher. Viele Unternehmen unterschätzen die Anzahl ihrer Verarbeitungsvorgänge erheblich. Ein strukturiertes Interview mit allen Abteilungsleitern dauert einen halben Tag und ist der wichtigste erste Schritt.

  2. Verarbeitungsverzeichnis erstellen

    Für jeden Verarbeitungsvorgang: Zweck, Rechtsgrundlage, Kategorien betroffener Personen, Empfänger, Speicherdauer. Das Verzeichnis muss aktuell gehalten werden — jede neue Software, jeder neue Dienstleister, jeder neue Prozess muss ergänzt werden. Eine Excel-Vorlage reicht, solange sie gepflegt wird.

  3. AVV mit allen Dienstleistern abschließen

    Jeder Cloud-Dienst, jede E-Mail-Marketing-Plattform, jedes CRM, jede externe Buchhaltungssoftware — überall wo Ihre Kundendaten landen, brauchen Sie einen Auftragsverarbeitungsvertrag. Die meisten großen Anbieter (Google, Microsoft, HubSpot) stellen AVV-Vorlagen online bereit. Bei kleineren Dienstleistern müssen Sie aktiv nachfragen.

  4. TOM dokumentieren und technisch umsetzen

    Definieren Sie schriftlich, wie Sie Daten schützen: Welche Verschlüsselung nutzen Sie? Wie regeln Sie Zugriffsrechte? Wie sichern Sie Daten? Wie gehen Sie mit Datenpannen um? Diese Dokumentation ist im Ernstfall Ihr wichtigstes Entlastungsdokument gegenüber der Aufsichtsbehörde.

  5. Webseite datenschutzkonform gestalten

    Cookie-Consent vor dem Laden von Google Analytics, Facebook Pixel oder ähnlichen Diensten. Kontaktformulare mit Datenschutzhinweis. Datenschutzerklärung vollständig und verlinkt. Impressum korrekt nach §5 DDG. Diese vier Punkte sind die häufigsten Beanstandungspunkte bei Webseitenprüfungen — und alle behebbar.

  6. Prozess für Betroffenenanfragen einrichten

    Wer schreibt Ihnen, wenn eine Person Auskunft, Löschung oder Berichtigung verlangt? Wer bearbeitet die Anfrage? Wo wird dokumentiert, dass die Anfrage innerhalb von 30 Tagen beantwortet wurde? Ein einfacher interner Prozess — notfalls per E-Mail-Ordner und Checkliste — reicht aus, solange er zuverlässig funktioniert.

Der günstigste Datenschutzbeauftragte ist teurer als gar keiner — aber billiger als ein Bußgeld. Externe DSB kosten je nach Aufwand zwischen 100 und 400 Euro im Monat. Sie prüfen regelmäßig, halten Ihre Dokumentation aktuell und sind im Ernstfall Ihr Ansprechpartner gegenüber der Behörde. Für viele KMU ist das die sinnvollste Lösung, weil interne Ressourcen und Expertise fehlen.

Bei INREMA ist Datenschutz kein optionaler Zusatz — er ist fester Bestandteil jedes Webprojekts. Das bedeutet konkret: Cookie-Consent-System wird vor dem ersten Deployment implementiert und getestet. Datenschutzerklärung wird auf Basis der tatsächlich eingesetzten Dienste erstellt — kein Textbaustein von der Stange. Kontaktformulare erhalten korrekte Datenschutzhinweise und werden nur mit AVV-gesicherten Hosting-Diensten betrieben. Google Fonts werden lokal eingebunden, keine externen Ressourcen ohne Einwilligung. Impressum wird nach §5 DDG geprüft — inklusive Verantwortlicher für journalistisch-redaktionelle Inhalte, wenn relevant.

Darüber hinaus beraten wir unsere Kunden in der Region OWL zu grundlegenden Datenschutzfragen und empfehlen bei Bedarf externe Datenschutzbeauftragte, die auf KMU spezialisiert sind. Datenschutz funktioniert nur, wenn er gelebt wird — nicht wenn er einmalig auf Papier gebracht und dann vergessen wird.

Das Fazit ist pragmatisch: Die meisten DSGVO-Verstöße, die zu Bußgeldern führen, wären mit einfachen Maßnahmen vermeidbar gewesen. Fehlende AVV, veraltete Datenschutzerklärungen, fehlende Cookie-Einwilligung — das sind keine komplexen Probleme. Sie erfordern Aufmerksamkeit und einen strukturierten Prozess. Wer beides hat, schläft ruhig.

Zusammenfassung
  • DSGVO-Bußgelder können bis 20 Mio. € oder 4% des Jahresumsatzes betragen — KMU sind nicht ausgenommen
  • Dokumentation ist die beste Verteidigung: Verarbeitungsverzeichnis, TOM, AVV und Betroffenenprozess signalisieren Behörden Ernsthaftigkeit
  • INREMA integriert Datenschutz technisch und rechtlich in jedes Webprojekt — Cookie-Consent, lokale Fonts, korrektes Impressum sind Standard

Sie sind unsicher, ob Ihre Webseite und Ihre Datenprozesse DSGVO-konform sind? INREMA prüft und berät — konkret, ohne Jargon.

Datenschutz-Check anfragen

Häufige Fragen

Ab welcher Unternehmensgröße muss ich einen Datenschutzbeauftragten benennen?
In Deutschland gilt: Wer in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt, muss einen DSB benennen. Das gilt unabhängig von der Rechtsform. Bei Verarbeitungen, die einer Datenschutz-Folgenabschätzung bedürfen, gilt die Pflicht ohne Mindestgrenze.
Kann ein Wettbewerber mich wegen DSGVO-Verstößen abmahnen?
Ja, unter bestimmten Bedingungen. Das UWG (§3a) erlaubt Abmahnungen bei Verstößen gegen Marktverhaltensregeln — und DSGVO-Verstöße können darunter fallen, insbesondere bei unerlaubtem E-Mail-Marketing oder fehlender Cookie-Einwilligung. Abmahnvereine und Wettbewerber nutzen diese Möglichkeit aktiv.
Was ist ein Auftragsverarbeitungsvertrag (AVV) und wann brauche ich ihn?
Ein AVV regelt, wie ein Dienstleister mit Ihren Kundendaten umgeht, wenn er in Ihrem Auftrag tätig wird. Sie benötigen ihn bei jedem Anbieter, der personenbezogene Daten für Sie verarbeitet: E-Mail-Marketing, Cloud-Speicher, CRM, Buchhaltungssoftware, Webhosting. Ohne AVV ist die Datenübermittlung in der Regel rechtswidrig.
Wie groß ist das Bußgeldrisiko wirklich für kleine Unternehmen?
Die Wahrscheinlichkeit einer Prüfung steigt mit der Anzahl von Kundenkontakten, Newsletter-Empfängern und öffentlicher Online-Präsenz. Beschwerden von Betroffenen sind der häufigste Auslöser — eine einzige Beschwerde reicht. Bußgelder für KMU liegen oft zwischen 1.000 und 50.000 Euro, abhängig von Schwere und Kooperationsbereitschaft.

War dieser Artikel hilfreich?

Verwandte Artikel
Datenschutz & Compliance
Branchenspezifische Compliance: Was Arztpraxen, Banken und Kanzleien beachten müssen
7 Min. Lesezeit
Datenschutz & Compliance
Datenpanne melden: Meldepflicht, Fristen und was im Ernstfall zu tun ist
8 Min. Lesezeit
Datenschutz & Compliance
Datenpanne: Was Unternehmen in den ersten 72 Stunden tun muessen
6 Min. Lesezeit

Haben Sie weitere Fragen?

Unser Team hilft Ihnen persönlich und direkt weiter.

← Zur Kategorie Kontakt aufnehmen