Datenschutz & IT-Sicherheit

6 prominente DSGVO-Bußgelder und was wir daraus lernen

Zuletzt aktualisiert:
In einem Satz

Die größten DSGVO-Bußgelder treffen meist drei Themen: (1) fehlende oder unwirksame Rechtsgrundlage für Werbung und Tracking, (2) unzureichende technische Maßnahmen (Art. 32), (3) intransparente Information (Art. 13/14). Meta, Amazon, Google, H&M und WhatsApp zeigen: Wer Datenflüsse nicht dokumentiert, Einwilligungen nicht sauber einholt oder TOMs nicht regelmäßig prüft, riskiert dreistellige Millionenbußgelder. Bußgelder sind in vielen Fällen kalkulierbar. Vermeidung kostet deutlich weniger. Keine Rechtsberatung.

Bußgelder nach DSGVO sind keine Theorie mehr. Seit 2018 haben europäische Aufsichtsbehörden über 5 Mrd. € verhängt (Stand 2025, enforcementtracker.com). Spitzenreiter: Irland (wegen Konzern-Headquarters von Meta, Google, Apple) und Spanien.

Sechs Fälle zeigen exemplarisch, welche Fehler Behörden besonders hart bestrafen, und welche Lehre jedes Unternehmen daraus für sich ziehen sollte.

1

Meta Platforms · 1,2 Mrd. € (Mai 2023)

Die irische Aufsichtsbehörde (DPC) verhängte das bislang höchste DSGVO-Bußgeld wegen unzulässiger Datentransfers in die USA auf Basis veralteter Standardvertragsklauseln (Verstoß gegen Art. 46 DSGVO). Lehre: Drittland-Transfers ohne aktuelle Rechtsgrundlage und Transfer Impact Assessment (TIA) sind hochriskant. Nach Schrems II (C-311/18) und vor dem EU-US Data Privacy Framework war Facebook lange unzureichend abgesichert.

2

Amazon · 746 Mio. € (Juli 2021)

Luxemburgs CNPD ahndete unzulässiges Targeting/Profiling ohne wirksame Einwilligung (Verstoß gegen Art. 6 DSGVO). Werbe-Profile wurden auf Basis von berechtigtem Interesse gebildet, das die Behörde verneinte. Lehre: Marketing-Profiling braucht echte Einwilligung. Berufung auf „berechtigtes Interesse“ funktioniert bei umfassendem Tracking selten.

3

WhatsApp · 225 Mio. € (September 2021, später erhöht)

Irische DPC: massive Verstöße gegen die Transparenzpflichten nach Art. 12–14 DSGVO, insbesondere wie Daten zwischen WhatsApp und Meta-Konzern geteilt werden. Lehre: Datenschutzerklärungen müssen konkret, vollständig und in einfacher Sprache verfasst sein, nicht juristischer Lawyer-Speak. Datenflüsse zwischen Konzern-Töchtern sind transparent zu machen.

4

Google LLC – 90 Mio. € + Google Ireland 60 Mio. € (CNIL, 2021)

Die französische CNIL bestrafte Cookie-Banner mit ungleichen Buttons: „Alle akzeptieren“ deutlich prominenter als das Ablehnen. Verstoß gegen Cookie-Regeln in Verbindung mit Art. 7 DSGVO. Lehre: „Akzeptieren“ und „Ablehnen“ müssen optisch und mit gleicher Klick-Tiefe erreichbar sein. Dark Patterns bei Consent sind ein Top-Fokus europäischer Behörden.

5

H&M Deutschland · 35,3 Mio. € (Oktober 2020)

Der Hamburgische Datenschutzbeauftragte ahndete umfangreiche Mitarbeiterüberwachung im Servicecenter Nürnberg: Krankheits- und Familiendaten wurden in Excel-Listen gespeichert und für Personalentscheidungen genutzt. Verstoß gegen Art. 5, 6, 9 DSGVO. Lehre: Beschäftigtendatenschutz (§ 26 BDSG) ist eigene Risiko-Kategorie. Vorgesetzten-Notizen, Krankheitsgespräche, Mitarbeiter-Profile gehören nicht in geteilte Sheets.

6

Notebooksbilliger.de · 10,4 Mio. € (Januar 2021)

LfD Niedersachsen: zwei Jahre Video-Dauerüberwachung von Mitarbeitenden und Kunden ohne Rechtsgrundlage (Verstoß gegen Art. 5, 6 DSGVO). Speicherdauer 60 Tage statt empfohlener 72 Stunden. Lehre: Videoüberwachung braucht enge Zweckbindung, kurze Speicherdauer, Information und ggf. Betriebsrats-Beteiligung. Eine pauschale „Diebstahlsprävention“ reicht als Rechtsgrundlage nicht.

Fazit

Die Muster hinter den Bußgeldern

Drei Fehler zahlen sich besonders teuer aus: (1) Marketing-Tracking ohne saubere Einwilligung, (2) Drittland-Transfers ohne aktuelle Absicherung, (3) Beschäftigtendaten in ungeschützten Strukturen. Wer diese drei Felder sauber organisiert, vermeidet 80 % des Risikos.

Wie Bußgelder berechnet werden

Der Europäische Datenschutzausschuss (EDSA) hat 2022 die Leitlinie 04/2022 zur Bußgeldbemessung veröffentlicht. Maßgeblich sind Schwere, Anzahl Betroffener, Vorsatz/Fahrlässigkeit, getroffene Maßnahmen, Kooperation. Wichtig: Bei Konzernen ist der Konzernumsatz Bemessungsgrundlage, was kleine Konzern-Töchter teuer machen kann.

FAQs

Werden Bußgelder auch gegen kleine Unternehmen verhängt?
Bußgelder gegen KMU lagen 2023 im Schnitt zwischen 1.500 € und 200.000 €. Häufige Auslöser: Datenpanne (Mailversand an falschen Empfänger), Beschwerde Beschäftigter, ungesichertes Webformular. Aufsichtsbehörden orientieren sich am Verhältnismäßigkeitsprinzip, aber Vermeidung ist immer günstiger.
Sind Bußgelder versicherbar?
In Deutschland ist die direkte Versicherung von Bußgeldern juristisch umstritten, viele Verträge schließen sie aus oder begrenzen Deckung auf bestimmte Konstellationen. Geschäftsführer-Haftung (D&O) kann bei persönlicher Inanspruchnahme greifen, deckt aber selten die Geldbuße selbst.
Kann ich gegen ein Bußgeld vorgehen?
Gegen den Bußgeldbescheid kann binnen zwei Wochen Einspruch eingelegt werden. Verfahren landet vor dem zuständigen Amts-/Landgericht. Die OWiG-Regeln gelten. Verteidigungsstrategien fokussieren auf Höhe der Geldbuße, Verschulden und Unternehmensbegriff (Konzern vs. Tochter).
Frameworks praktisch anwenden

Fachkraft für Datenschutz und -sicherheit (IHK)

Im Lehrgang verwandelst du dieses Wissen in einen konkreten Umsetzungsplan — mit Templates, Use Cases und IHK-Zertifikat.

Kostenlos testen
Über thekey.academy

thekey.academy ist eine deutsche Online-Lernplattform für IHK-zertifizierte berufliche Weiterbildung — 25 Lehrgänge zu KI, Führung, Resilienz, Marketing und HR. 100 % online, self-paced, mit IHK-Zertifikat.