6 prominente DSGVO-Bußgelder und was wir daraus lernen
Die größten DSGVO-Bußgelder treffen meist drei Themen: (1) fehlende oder unwirksame Rechtsgrundlage für Werbung und Tracking, (2) unzureichende technische Maßnahmen (Art. 32), (3) intransparente Information (Art. 13/14). Meta, Amazon, Google, H&M und WhatsApp zeigen: Wer Datenflüsse nicht dokumentiert, Einwilligungen nicht sauber einholt oder TOMs nicht regelmäßig prüft, riskiert dreistellige Millionenbußgelder. Bußgelder sind in vielen Fällen kalkulierbar. Vermeidung kostet deutlich weniger. Keine Rechtsberatung.
Bußgelder nach DSGVO sind keine Theorie mehr. Seit 2018 haben europäische Aufsichtsbehörden über 5 Mrd. € verhängt (Stand 2025, enforcementtracker.com). Spitzenreiter: Irland (wegen Konzern-Headquarters von Meta, Google, Apple) und Spanien.
Sechs Fälle zeigen exemplarisch, welche Fehler Behörden besonders hart bestrafen, und welche Lehre jedes Unternehmen daraus für sich ziehen sollte.
Meta Platforms · 1,2 Mrd. € (Mai 2023)
Die irische Aufsichtsbehörde (DPC) verhängte das bislang höchste DSGVO-Bußgeld wegen unzulässiger Datentransfers in die USA auf Basis veralteter Standardvertragsklauseln (Verstoß gegen Art. 46 DSGVO). Lehre: Drittland-Transfers ohne aktuelle Rechtsgrundlage und Transfer Impact Assessment (TIA) sind hochriskant. Nach Schrems II (C-311/18) und vor dem EU-US Data Privacy Framework war Facebook lange unzureichend abgesichert.
Amazon · 746 Mio. € (Juli 2021)
Luxemburgs CNPD ahndete unzulässiges Targeting/Profiling ohne wirksame Einwilligung (Verstoß gegen Art. 6 DSGVO). Werbe-Profile wurden auf Basis von berechtigtem Interesse gebildet, das die Behörde verneinte. Lehre: Marketing-Profiling braucht echte Einwilligung. Berufung auf „berechtigtes Interesse“ funktioniert bei umfassendem Tracking selten.
WhatsApp · 225 Mio. € (September 2021, später erhöht)
Irische DPC: massive Verstöße gegen die Transparenzpflichten nach Art. 12–14 DSGVO, insbesondere wie Daten zwischen WhatsApp und Meta-Konzern geteilt werden. Lehre: Datenschutzerklärungen müssen konkret, vollständig und in einfacher Sprache verfasst sein, nicht juristischer Lawyer-Speak. Datenflüsse zwischen Konzern-Töchtern sind transparent zu machen.
Google LLC – 90 Mio. € + Google Ireland 60 Mio. € (CNIL, 2021)
Die französische CNIL bestrafte Cookie-Banner mit ungleichen Buttons: „Alle akzeptieren“ deutlich prominenter als das Ablehnen. Verstoß gegen Cookie-Regeln in Verbindung mit Art. 7 DSGVO. Lehre: „Akzeptieren“ und „Ablehnen“ müssen optisch und mit gleicher Klick-Tiefe erreichbar sein. Dark Patterns bei Consent sind ein Top-Fokus europäischer Behörden.
H&M Deutschland · 35,3 Mio. € (Oktober 2020)
Der Hamburgische Datenschutzbeauftragte ahndete umfangreiche Mitarbeiterüberwachung im Servicecenter Nürnberg: Krankheits- und Familiendaten wurden in Excel-Listen gespeichert und für Personalentscheidungen genutzt. Verstoß gegen Art. 5, 6, 9 DSGVO. Lehre: Beschäftigtendatenschutz (§ 26 BDSG) ist eigene Risiko-Kategorie. Vorgesetzten-Notizen, Krankheitsgespräche, Mitarbeiter-Profile gehören nicht in geteilte Sheets.
Notebooksbilliger.de · 10,4 Mio. € (Januar 2021)
LfD Niedersachsen: zwei Jahre Video-Dauerüberwachung von Mitarbeitenden und Kunden ohne Rechtsgrundlage (Verstoß gegen Art. 5, 6 DSGVO). Speicherdauer 60 Tage statt empfohlener 72 Stunden. Lehre: Videoüberwachung braucht enge Zweckbindung, kurze Speicherdauer, Information und ggf. Betriebsrats-Beteiligung. Eine pauschale „Diebstahlsprävention“ reicht als Rechtsgrundlage nicht.
Fazit
Die Muster hinter den Bußgeldern
Drei Fehler zahlen sich besonders teuer aus: (1) Marketing-Tracking ohne saubere Einwilligung, (2) Drittland-Transfers ohne aktuelle Absicherung, (3) Beschäftigtendaten in ungeschützten Strukturen. Wer diese drei Felder sauber organisiert, vermeidet 80 % des Risikos.
Wie Bußgelder berechnet werden
Der Europäische Datenschutzausschuss (EDSA) hat 2022 die Leitlinie 04/2022 zur Bußgeldbemessung veröffentlicht. Maßgeblich sind Schwere, Anzahl Betroffener, Vorsatz/Fahrlässigkeit, getroffene Maßnahmen, Kooperation. Wichtig: Bei Konzernen ist der Konzernumsatz Bemessungsgrundlage, was kleine Konzern-Töchter teuer machen kann.
FAQs
Fachkraft für Datenschutz und -sicherheit (IHK)
Im Lehrgang verwandelst du dieses Wissen in einen konkreten Umsetzungsplan — mit Templates, Use Cases und IHK-Zertifikat.
Kostenlos testenthekey.academy ist eine deutsche Online-Lernplattform für IHK-zertifizierte berufliche Weiterbildung — 25 Lehrgänge zu KI, Führung, Resilienz, Marketing und HR. 100 % online, self-paced, mit IHK-Zertifikat.
:quality(85))