Bußgelder, Aufsichtsbehörden und Praxisfälle

„DSGVO ist doch nur Bürokratie" – diesen Satz hört man oft. Bis das erste Bußgeldbescheid ankommt. Die DSGVO hat Zähne: Verstöße können mit Bußgeldern von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes geahndet werden – je nachdem was höher ist. Diese Lektion zeigt, wie das Sanktionssystem aufgebaut ist, wer es vollzieht und was echte Unternehmen erlebt haben.

1) Das Bußgeldsystem der DSGVO (Art. 83)

Art. 83 DSGVO sieht zwei Bußgeld-Stufen vor, die sich nach der Schwere des Verstoßes richten. Wichtig: Es handelt sich um Maximalbeträge. Die tatsächliche Höhe richtet sich nach Kriterien wie Schwere und Dauer des Verstoßes, Kooperationsbereitschaft, Vorsatz oder Fahrlässigkeit und ob das Unternehmen den Verstoß selbst gemeldet hat.

Art. 83 DSGVO – Zwei Bußgeldstufen

Stufe 1 – Art. 83 Abs. 4

10 Mio. €

oder 2 % des weltweiten Jahresumsatzes

Verletzung von Pflichten wie: fehlender AVV, kein DSB trotz Pflicht, keine DSFA bei Hochrisikoverarbeitung, Verstöße gegen TOMs

Stufe 2 – Art. 83 Abs. 5

20 Mio. €

oder 4 % des weltweiten Jahresumsatzes

Verletzung von Grundprinzipien (Art. 5, 6, 7, 9), Betroffenenrechten (Art. 15–22), Übermittlung in Drittländer ohne Grundlage

Für kleine Unternehmen gelten zwar dieselben Regeln, aber Aufsichtsbehörden berücksichtigen bei der Bußgeldhöhe die wirtschaftliche Lage. Auch Verwarnungen ohne Bußgeld sind möglich. Kein Unternehmen wird für einen ersten kleinen Fehler sofort mit Millionenbußgeldern belegt – aber wer einen Verstoß ignoriert oder vertuscht, riskiert das Maximum.

2) Die Aufsichtsbehörden

Die DSGVO wird dezentral durch nationale und regionale Aufsichtsbehörden vollzogen. In Deutschland gibt es wegen des Föderalismus sowohl Landesbehörden (eine pro Bundesland, zuständig für nicht-öffentliche Stellen mit Sitz im jeweiligen Land) als auch den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) für Bundesbehörden und Telekommunikationsanbieter.

Behörde	Zuständigkeit
LfDI / LDA (je Bundesland)	Unternehmen und private Stellen mit Sitz im jeweiligen Bundesland
BfDI	Bundesbehörden, Telekommunikationsanbieter, Post
One-Stop-Shop	EU-weit tätige Unternehmen: zuständig ist die Behörde am Hauptsitz (z.B. Irland für Google, Meta)

3) Reale Praxisfälle

Abstrakte Regeln werden greifbarer durch echte Fälle. Die folgenden Praxisfälle zeigen, welche Verstöße zu Bußgeldern geführt haben – und was man daraus lernen kann. Klicke auf einen Fall für Details.

H&M – Deutschland (2020)35,3 Mio. €

Der Modehändler hatte Daten von Hunderten Mitarbeitenden in Hamburg systematisch gesammelt und gespeichert – nach Urlaubsrückkehrgesprächen wurden Details über Familienverhältnisse, Erkrankungen, religiöse Überzeugungen und private Probleme aufgezeichnet und für Personalentscheidungen genutzt. Verstoß: Unzulässige Verarbeitung besonderer Datenkategorien, fehlende Rechtsgrundlage, massiver Eingriff in Persönlichkeitsrechte der Beschäftigten.

Deutsche Wohnen – Deutschland (2019/2021)14,5 Mio. €

Das Immobilienunternehmen speicherte Mieterdaten dauerhaft in einem Archivsystem, ohne Löschmöglichkeit für veraltete und nicht mehr benötigte Daten. Selbst nach Beendigung des Mietverhältnisses wurden Kontoauszüge, Gehaltsnachweise und Ausweisdaten nicht gelöscht. Verstoß: Speicherbegrenzungsgrundsatz (Art. 5 Abs. 1 lit. e), fehlende Löschkonzepte. Das Bußgeld wurde nach Rechtsmitteln deutlich reduziert – zeigt aber: Löschpflichten werden ernst genommen.

Meta / Facebook – Irland (2023)1,2 Mrd. €

Meta übertrug Facebook-Daten europäischer Nutzer in die USA, ohne ausreichende Schutzmaßnahmen nach dem Schrems-II-Urteil des EuGH. Der EuGH hatte 2020 das Privacy Shield für ungültig erklärt – danach galt eine Übergangsfrist. Meta nutzte Standardvertragsklauseln, aber ohne ausreichende technische Ergänzungsmaßnahmen. Verstoß: Unzulässige Drittlandübermittlung (Art. 46 DSGVO). Höchstes je verhängtes DSGVO-Bußgeld weltweit.

Google LLC – Frankreich (2019)50 Mio. €

Google informierte Nutzer bei der Android-Einrichtung nicht ausreichend und transparent über die Datenverarbeitung für personalisierte Werbung. Die Einwilligung war nicht freiwillig und informiert genug: Informationen waren über mehrere Ebenen verstreut, die Einwilligung vorausgewählt. Verstoß: Transparenzgrundsatz, ungültige Einwilligung (Art. 5, 6, 7 DSGVO).

Zusammenfassung

Das DSGVO-Bußgeldsystem hat zwei Stufen: bis 10 Mio. € für Organisationspflichtverletzungen (fehlender AVV, kein DSB, keine TOMs) und bis 20 Mio. € für Verstöße gegen Grundprinzipien und Betroffenenrechte. Vollzogen wird die DSGVO durch nationale Aufsichtsbehörden (in Deutschland LfDI je Bundesland und BfDI). Reale Fälle zeigen: Am teuersten sind systematische Verstöße, fehlende Löschkonzepte, ungültige Einwilligungen und unzulässige Datentransfers. Wer die Grundprinzipien aus Art. 5 DSGVO einhält und dokumentiert, ist auf der sicheren Seite.

Bußgelder, Aufsichtsbehörden und Praxisfälle

1) Das Bußgeldsystem der DSGVO (Art. 83)

2) Die Aufsichtsbehörden

3) Reale Praxisfälle

Zusammenfassung

Anmelden

Account Registrieren und Fortschritt Speichern!

Modal title