Zuletzt aktualisiert am 7. April 2026

Der Alptraum eines jeden Datenschützers: Ein Datenschutzverstoß ist eingetreten. Jeder denkt sofort an Bußgelder und Gerichtsverfahren, doch welche rechtlichen Gefahren drohen bei einem Datenschutzverstoß wirklich und wie lassen sich diese vermeiden?

Sanktionen durch Aufsichtsbehörden

Jeder, der mit dem Datenschutz nach der DSGVO zu tun hat, fürchtet das bei einem Verstoß drohende Bußgeld. Dagegen erlangen die anderen in der DSGVO vorgesehenen Sanktionen wenig Beachtung.

Eine Übersicht über mögliche Sanktionen durch die jeweilige Aufsichtsbehörde erhalten Sie hier.

Nationale Sanktionen

Neben den Sanktionen der DSGVO sind auch Strafvorschriften des jeweiligen nationalen Rechtes anwendbar (Öffnungsklausel in Art. 84 DSGVO).

In Deutschland ist hier der § 43 BDSG entstanden. Dieser droht mit zwei Jahren Freiheits- oder Geldstrafe, wenn eine unrechtmäßige Verarbeitung gegen Entgelt oder mit Schädigungs- bzw. Bereicherungsabsicht geschieht. Liegt ein wissentlicher, unberechtigter und gewerbsmäßiger Handel mit nicht-öffentlichen Daten eines großen Personenkreises vor, drohen sogar drei Jahre.

Risiken durch Mitbewerber

Liegt eine unrechtmäßige Verarbeitung personenbezogener Daten vor, können auch Mitbewerber dagegen vorgehen. Nach gängiger Rechtsprechung kann gegen ein solches Verhalten eine zivilrechtliche Abmahnung vorgenommen werden. Dafür muss ein Wettbewerbsverstoß nach dem UWG vorliegen.

Auch Verbraucherschutzverbände können auf eigene Initiative Datenschutzverstöße abmahnen und entsprechend verklagen.

Schadensersatzklagen nach DSGVO

Auch Betroffene selbst könne dem Datenverarbeiter zum Verhängnis werden. Art. 82 DSGVO ermöglicht es den Betroffenen, Schadensersatz einzuklagen. Diesem immateriellen Schaden gegenüber sind die deutschen Gerichte nun auch zugänglicher geworden (wie zum Beispiel beim jüngsten Urteil gegen Scalable wegen eines Datenlecks zu erahnen).

Zusammenfassung

Bei einem Datenschutzverstoß ist das Bußgeld nach DSGVO längst nicht das einzige Risiko. Die Liste der rechtlichen Konsequenzen ist vergleichbar mit diesem Artikel sehr lang. Unbeachtet bleiben an dieser Stelle auch die wirtschaftlichen und immateriellen Risiken: Imageschaden, Vertrauensverlust, Umsatzeinbußen usw.

Diesen Risiken lässt sich effektiv mit einem guten Datenschutzmanagement begegnen. Binden Sie einen Datenschutzbeauftragten in Ihr Unternehmen ein und stellen Sie so sicher, dass Verarbeitungen rechtskonform stattfinden, überwacht werden und alle Beteiligten immer fachkundig beraten werden können.

Die häufigsten Datenschutzverstöße in der Praxis

In der Praxis treten bestimmte Datenschutzverstöße besonders häufig auf. Zu den typischen Verstößen gehören die fehlende oder unzureichende Einwilligung bei der Verarbeitung personenbezogener Daten, mangelnde Informationspflichten nach Art. 13 und 14 DSGVO, unzureichende technisch-organisatorische Maßnahmen nach Art. 32 DSGVO sowie die verspätete Meldung von Datenpannen an die Aufsichtsbehörde.

Besonders häufig sind auch Verstöße im Bereich des E-Mail-Marketings, wo Newsletter ohne wirksame Einwilligung versendet werden, oder im Bereich der Videoüberwachung, wo Kameras ohne ausreichende Beschilderung und ohne Datenschutz-Folgenabschätzung betrieben werden. Auch die fehlende Bestellung eines Datenschutzbeauftragten, obwohl die gesetzliche Pflicht besteht, wird regelmäßig beanstandet.

Bußgeldrahmen nach Art. 83 DSGVO im Detail

Die DSGVO sieht in Art. 83 ein zweistufiges Bußgeldsystem vor. Für weniger schwere Verstöße, etwa gegen die Pflicht zur Führung eines Verzeichnisses von Verarbeitungstätigkeiten, können Bußgelder von bis zu 10 Millionen Euro oder bis zu zwei Prozent des weltweiten Jahresumsatzes verhängt werden.

Für schwerwiegendere Verstöße, insbesondere gegen die Grundsätze der Verarbeitung, die Rechte der Betroffenen oder die Voraussetzungen für die Einwilligung, sind Bußgelder von bis zu 20 Millionen Euro oder bis zu vier Prozent des weltweiten Jahresumsatzes vorgesehen. Bei der Bemessung berücksichtigen die Aufsichtsbehörden unter anderem die Art, Schwere und Dauer des Verstoßes, die Zahl der betroffenen Personen, den Grad der Verantwortung sowie etwaige Maßnahmen zur Minderung des entstandenen Schadens.

Bußgeldberechnung der deutschen Aufsichtsbehörden

Die deutschen Aufsichtsbehörden haben ein eigenes Bußgeldkonzept entwickelt, das die Berechnung transparenter machen soll. Dabei wird zunächst der weltweite Jahresumsatz des Unternehmens als Ausgangspunkt genommen. Dieser wird in Tagessätze umgerechnet und dann mit einem Faktor multipliziert, der die Schwere des Verstoßes widerspiegelt.

In der Praxis können selbst für kleine und mittlere Unternehmen Bußgelder in fünf- bis sechsstelliger Höhe anfallen. So hat die sächsische Datenschutzaufsichtsbehörde in den vergangenen Jahren mehrfach Bußgelder gegen Unternehmen in Sachsen verhängt, unter anderem wegen unzulässiger Videoüberwachung und fehlender Auftragsverarbeitungsverträge.

Weitere Sanktionsmöglichkeiten der Aufsichtsbehörden

Neben Bußgeldern stehen den Aufsichtsbehörden nach Art. 58 DSGVO weitere Abhilfebefugnisse zur Verfügung. Dazu gehören Warnungen und Verwarnungen, die Anweisung zur Berichtigung oder Löschung personenbezogener Daten, die Verhängung einer vorübergehenden oder endgültigen Beschränkung der Verarbeitung sowie die Aussetzung von Datenübermittlungen an Empfänger in Drittländern.

In besonders schwerwiegenden Fällen kann die Aufsichtsbehörde sogar die vollständige Einstellung einer Datenverarbeitung anordnen. Dies kann für datengetriebene Geschäftsmodelle existenzbedrohend sein. Unternehmen sollten daher präventiv handeln und ein wirksames Datenschutzmanagementsystem implementieren.

Aktuelle Bußgeldpraxis in Deutschland und Sachsen

Die Bußgeldpraxis der deutschen Aufsichtsbehörden hat sich seit Inkrafttreten der DSGVO deutlich verschärft. Die Berliner Datenschutzbeauftragte verhängte 2019 ein Bußgeld von 14,5 Millionen Euro gegen die Deutsche Wohnen SE wegen unzulässiger Speicherung von Mieterdaten. Die niedersächsische Aufsichtsbehörde belegte notebooksbilliger.de mit einem Bußgeld von 10,4 Millionen Euro wegen unzulässiger Videoüberwachung von Mitarbeitern.

Auch die sächsische Datenschutzaufsichtsbehörde ist in den vergangenen Jahren aktiver geworden. Sie führt vermehrt anlassbezogene und anlasslose Prüfungen durch und verhängt bei Verstößen entsprechende Sanktionen. Für sächsische Unternehmen bedeutet dies, dass ein vorausschauendes Datenschutzmanagement nicht nur rechtlich geboten, sondern auch wirtschaftlich sinnvoll ist.

Haftung von Geschäftsführern und Vorständen

Neben der Haftung des Unternehmens können auch Geschäftsführer und Vorstände persönlich für Datenschutzverstöße zur Verantwortung gezogen werden. Nach § 43 BDSG drohen bei bestimmten Verstößen Freiheitsstrafen von bis zu drei Jahren. Zudem können Geschäftsführer nach den allgemeinen gesellschaftsrechtlichen Grundsätzen dem Unternehmen gegenüber schadensersatzpflichtig sein, wenn sie ihre Organisationspflichten im Bereich des Datenschutzes verletzt haben.

Die Pflicht zur ordnungsgemäßen Organisation des Datenschutzes gehört zu den grundsätzlichen Sorgfaltspflichten der Unternehmensleitung. Dies umfasst die Bestellung eines Datenschutzbeauftragten, soweit gesetzlich vorgeschrieben, die Bereitstellung ausreichender Ressourcen für den Datenschutz, die regelmäßige Überprüfung der Datenschutzmaßnahmen und die zeitnahe Behebung erkannter Mängel.

Reputationsschäden als unterschätzte Konsequenz

Neben den finanziellen Sanktionen drohen bei Datenschutzverstößen erhebliche Reputationsschäden, die oft schwerwiegender als das Bußgeld selbst sind. Datenpannen und Datenschutzverstöße werden von den Medien aufgegriffen und können das Vertrauen von Kunden, Geschäftspartnern und Mitarbeitern nachhaltig beschädigen. Der Wiederaufbau des Vertrauens ist zeitaufwändig und kostspielig.

Studien zeigen, dass Unternehmen nach einer öffentlich bekannt gewordenen Datenpanne durchschnittlich drei bis fünf Prozent ihrer Kunden verlieren. Bei sensiblen Branchen wie dem Gesundheitswesen oder dem Finanzsektor kann der Verlust noch deutlich höher ausfallen. Ein professionelles Datenschutzmanagement ist daher nicht nur eine rechtliche Pflicht, sondern auch ein wichtiger Baustein der Unternehmensreputation.

Präventive Maßnahmen zur Vermeidung von Sanktionen

Der beste Schutz vor Datenschutz-Sanktionen ist ein vorausschauendes Datenschutzmanagement. Dazu gehört die regelmäßige Überprüfung und Aktualisierung der Datenschutzdokumentation, die Durchführung von Datenschutz-Schulungen für Mitarbeiter, die Implementierung angemessener technisch-organisatorischer Maßnahmen und die Einrichtung eines Prozesses zur Meldung und Behandlung von Datenpannen.

Ein externer Datenschutzbeauftragter kann dabei unterstützen, Schwachstellen frühzeitig zu erkennen und zu beheben, bevor es zu einem Verstoß kommt. Gerade für kleine und mittlere Unternehmen ist dies oft die wirtschaftlichste Lösung, da die Kosten für einen externen Datenschutzbeauftragten in der Regel deutlich unter den möglichen Bußgeldern liegen.

Sie suchen noch nach einem externen Datenschutzbeauftragten? Kontaktieren Sie uns gerne!

Verwarnungen und Anordnungen als Vorstufe zum Bußgeld

Neben Bußgeldern stehen den Aufsichtsbehörden weitere Sanktionsinstrumente zur Verfügung. Verwarnungen nach Art. 58 Abs. 2 lit. b DSGVO sind häufig der erste Schritt bei weniger schwerwiegenden Verstößen. Die Behörde kann auch verbindliche Anordnungen erlassen, bestimmte Verarbeitungstätigkeiten zu ändern oder einzustellen. Bei Nichtbefolgung drohen dann erhöhte Bußgelder. Für Unternehmen ist es daher ratsam, auf behördliche Hinweise und Verwarnungen umgehend zu reagieren und die geforderten Maßnahmen nachweisbar umzusetzen, um eine Eskalation zu vermeiden.

Bußgeldberechnung nach dem DSK-Konzept

Das von der Datenschutzkonferenz entwickelte Bußgeldkonzept folgt einem mehrstufigen Verfahren. Zunächst wird das Unternehmen einer Größenklasse zugeordnet, die sich am weltweiten Jahresumsatz orientiert. Darauf aufbauend wird ein Grundbetrag ermittelt, der durch verschiedene Faktoren nach oben oder unten angepasst wird. Mildernde Umstände wie freiwillige Kooperation mit der Aufsichtsbehörde, sofortige Abstellung des Verstoßes oder die Benennung eines Datenschutzbeauftragten können das Bußgeld reduzieren. Erschwerende Faktoren wie Vorsatz, fehlende Kooperation oder wiederholte Verstöße führen hingegen zu einer Erhöhung.

Aktuelle Entwicklungen bei DSGVO-Sanktionen in Deutschland

Die deutschen Aufsichtsbehörden haben in den letzten Jahren ihre Durchsetzungspraxis deutlich verschärft. Während in den ersten Jahren nach Inkrafttreten der DSGVO noch vergleichsweise moderate Bußgelder verhängt wurden, zeigen aktuelle Fälle eine klare Tendenz zu höheren Strafen. Die Datenschutzkonferenz (DSK) hat ein Bußgeldkonzept entwickelt, das sich am Jahresumsatz des Unternehmens orientiert und so für eine einheitlichere Sanktionspraxis in allen Bundesländern sorgt.

Besonders häufig werden Verstöße gegen die Informationspflichten nach Art. 13 und 14 DSGVO, fehlende oder unvollständige Verarbeitungsverzeichnisse sowie unzureichende technisch-organisatorische Maßnahmen sanktioniert. Auch die unerlaubte Weitergabe personenbezogener Daten an Dritte ohne Rechtsgrundlage führt regelmäßig zu empfindlichen Strafen. Für Unternehmen in Sachsen ist der Sächsische Datenschutz- und Transparenzbeauftragte (SDTB) die zuständige Aufsichtsbehörde, die sowohl beratend als auch sanktionierend tätig wird.

Neben den direkten finanziellen Sanktionen drohen Unternehmen bei Datenschutzverstößen auch erhebliche Reputationsschäden. Bußgeldbescheide werden zunehmend öffentlich gemacht, und betroffene Unternehmen sehen sich mit negativer Berichterstattung und dem Verlust von Kundenvertrauen konfrontiert. Eine vorausschauende Datenschutzstrategie mit einem regelmäßigen Datenschutz-Audit ist daher die wirtschaftlich sinnvollste Vorgehensweise, um Sanktionen zu vermeiden und gleichzeitig das Vertrauen von Kunden und Geschäftspartnern zu stärken.

Außerdem sollten Unternehmen auch die Möglichkeit einer freiwilligen Selbstanzeige bei der Aufsichtsbehörde in Betracht ziehen, wenn ein Datenschutzverstoß festgestellt wird. Eine kooperative Haltung gegenüber der Behörde kann sich bußgeldmindernd auswirken und signalisiert, dass das Unternehmen den Datenschutz ernst nimmt. Auch die Einrichtung eines internen Hinweisgebersystems kann dazu beitragen, Datenschutzverstöße frühzeitig aufzudecken und zu beheben.

Datenschutz für Ihr Unternehmen

• DSGVO-Beratung
• Verarbeitungsverzeichnis
• TOM Datenschutz
• Datenschutz-Schulung

Erstberatung anfragen