DSGVO-Bußgelder: Reale Fälle aus Deutschland und was Unternehmen daraus lernen

Ein DSGVO-Bußgeld kann Sie nach Art. 83 DSGVO in zwei Rahmen treffen: bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes bei mangelhafter Datensicherheit, bis zu 20 Millionen Euro oder 4 Prozent bei Verstößen gegen Grundprinzipien wie Rechtmäßigkeit oder besondere Datenkategorien. Maßgeblich ist jeweils der höhere Wert.
Von der Provimedia Redaktion · Stand: Juli 2026 · Dieser Beitrag ist eine allgemeine Information und keine Rechtsberatung.
Der Rekord: 45 Millionen Euro gegen Vodafone 2025. Vier reale Fälle zeigen Ihnen, welche Prozesslücken Unternehmen Millionen kosteten — und warum Gerichte zwei der Bußgelder im Nachhinein um über 90 Prozent kürzten.
Wie hoch können DSGVO-Bußgelder sein?
Art. 83 Abs. 4 DSGVO deckt Pflichtverstöße von Verantwortlichen und Auftragsverarbeitern ab, etwa unzureichende Maßnahmen nach Art. 32 oder fehlende Verträge zur Auftragsverarbeitung nach Art. 28: bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes. Art. 83 Abs. 5 DSGVO betrifft schwerere Verstöße gegen Grundsätze der Verarbeitung (Art. 5, 6, 9), Betroffenenrechte oder internationale Datenübermittlungen: bis zu 20 Millionen Euro oder 4 Prozent. Bei Konzernen mit mehreren Milliarden Euro Jahresumsatz ist praktisch immer der Umsatzprozentsatz entscheidend, nicht der feste Höchstbetrag.
Welche realen Fälle gab es in Deutschland?
Die folgenden vier Fälle sind über Pressemitteilungen der zuständigen Aufsichtsbehörden bzw. Gerichtsentscheidungen belegt.
| Unternehmen | Jahr | Betrag | Behörde | Kernverstoß |
|---|---|---|---|---|
| H&M Hennes & Mauritz | 2020 | 35,3 Mio. € | HmbBfDI (Hamburg) | Systematische Erfassung privater Mitarbeiterdaten |
| Deutsche Wohnen SE | 2019 | 14,5 Mio. € (2026 gerichtlich auf 900.000 € reduziert, nicht rechtskräftig) | BlnBDI (Berlin) | Archivsystem ohne Löschmöglichkeit für Mieterdaten |
| 1&1 Telecom GmbH | 2019 | 9,55 Mio. € (2020 gerichtlich auf 900.000 € reduziert, rechtskräftig) | BfDI | Unzureichende Authentifizierung in der Kundenhotline |
| Vodafone GmbH | 2025 | 45 Mio. € (2 Einzelbußgelder: 15 + 30 Mio. €) | BfDI | Mängel bei Vertriebspartner-Kontrolle und Authentifizierung |
H&M: private Mitarbeiterdaten im Servicecenter
Im Servicecenter Nürnberg sammelten Führungskräfte seit 2014 in „Welcome Back Talks" nach Urlaub oder Krankheit Notizen zu familiären Problemen, Krankheitssymptomen und religiösen Überzeugungen der Mitarbeitenden und speicherten sie auf einem Netzlaufwerk. Im Oktober 2019 wurden diese Daten durch einen Konfigurationsfehler unternehmensweit einsehbar. Die HmbBfDI verhängte am 1. Oktober 2020 ein Bußgeld von 35.258.707,95 Euro, das rechtskräftig wurde, da H&M keinen Einspruch einlegte.
Lehre für Ihr Unternehmen: Ohne klare Vorgaben, welche Gesprächsinhalte dokumentiert werden dürfen, und ohne Schulung der Führungskräfte zu zulässigen Personalgesprächen entsteht ein Sammelsurium sensibler Daten, für das es schlicht keine Rechtsgrundlage gibt.
Deutsche Wohnen: Archivsystem ohne Löschfunktion
Bei Kontrollen 2017 und 2019 stellte die BlnBDI fest, dass Deutsche Wohnen ein Archivsystem nutzte, aus dem sich nicht mehr benötigte Mieterdaten technisch nicht entfernen ließen. Am 5. November 2019 verhängte die Behörde ein Bußgeld von rund 14,5 Millionen Euro. Deutsche Wohnen klagte dagegen; der EuGH entschied am 5. Dezember 2023 (C-807/21), dass Unternehmen auch ohne Zurechnung zu einer Leitungsperson direkt haftbar sein können, verlangte dafür aber vorsätzliches oder fahrlässiges Verhalten. Das Landgericht Berlin reduzierte das Bußgeld daraufhin am 9. Juni 2026 auf 900.000 Euro, unter anderem weil das Unternehmen kooperiert und an einer technischen Lösung gearbeitet habe. Das Urteil ist nicht rechtskräftig.
Lehre für Ihr Unternehmen: Sie liegt weniger in der Schulung als im Prozess: dokumentierte Löschroutinen und Aufbewahrungsfristen für personenbezogene Daten sind kein Nice-to-have, sondern Kernpflicht nach Art. 5 Abs. 1 lit. e DSGVO.
1&1 Telecom: schwache Authentifizierung an der Hotline
Auslöser war 2018 ein Fall, in dem eine Anruferin über die 1&1-Hotline allein mit Namen und Geburtsdatum die neue Telefonnummer ihres Ex-Partners erfragen konnte. Die BfDI verhängte im Dezember 2019 ein Bußgeld von 9,55 Millionen Euro wegen unzureichender technischer und organisatorischer Maßnahmen im Authentifizierungsverfahren der Kundenhotline (Art. 32 DSGVO). Das Landgericht Bonn bestätigte den Verstoß am 11. November 2020 dem Grunde nach, sah aber keine massenhafte Offenlegung von Daten und reduzierte das Bußgeld auf 900.000 Euro. Diese Reduzierung begründete es damit, dass es die am Konzernumsatz orientierte Berechnungsmethode der Behörde nicht akzeptierte. Das Urteil ist rechtskräftig.
Lehre für Ihr Unternehmen: Ein geschultes Hotline-Team, das bei sensiblen Anfragen zusätzliche Verifikationsschritte kennt, hätte die Sicherheitslücke praktisch geschlossen.
Vodafone: Vertriebspartner und eSIM-Zugriff
Die BfDI verhängte im Juni 2025 zwei Bußgelder gegen Vodafone GmbH mit zusammen 45 Millionen Euro, der bislang höchste Betrag der Behörde. 15 Millionen Euro entfielen auf unzureichend kontrollierte Vertriebspartner, über die es zu betrügerischen Vertragsabschlüssen zulasten von Kunden kam. 30 Millionen Euro betrafen Sicherheitslücken im Zusammenspiel von Online-Portal „MeinVodafone" und Hotline, über die sich Angreifer Zugriff auf eSIM-Profile verschaffen konnten.
Lehre für Ihr Unternehmen: Beide Verstöße betreffen Kontroll- und Sicherheitsprozesse – regelmäßige Audits von Dienstleistern nach Art. 28 DSGVO und mehrstufige Authentifizierungsverfahren wären die naheliegenden technischen Antworten gewesen.
Wie bemessen Behörden die Höhe?
Zwei dieser Kriterien beeinflussen Sie direkt: Kooperation mit der Behörde und dokumentierte Maßnahmen. Art. 83 Abs. 2 DSGVO nennt die Kriterien, an denen sich Aufsichtsbehörden bei der Bemessung orientieren müssen:
- Art, Schwere und Dauer des Verstoßes
- Vorsatz oder Fahrlässigkeit
- Maßnahmen zur Minderung des Schadens
- Grad der Verantwortung unter Berücksichtigung der getroffenen technischen und organisatorischen Maßnahmen
- Frühere einschlägige Verstöße
- Umfang der Zusammenarbeit mit der Behörde
- Betroffene Datenkategorien
- Art und Weise, wie der Verstoß bekannt wurde
Genau diese Kriterien erklären, warum Gerichte die Bußgelder bei 1&1 und Deutsche Wohnen nachträglich senkten: Sie bewerteten Kooperation, getroffene Maßnahmen und die tatsächliche Schwere anders als die Behörde im Bescheid.
Was schützt Unternehmen wirklich?
Dokumentierte technische und organisatorische Maßnahmen, Löschkonzepte und Mitarbeiterschulungen sind Teil der Rechenschaftspflicht nach Art. 5 Abs. 2 und Art. 24 DSGVO – mehr dazu im Beitrag zur Rechenschaftspflicht nach DSGVO. Sie fließen nach Art. 83 Abs. 2 lit. d DSGVO ausdrücklich als milderndes Kriterium in die Bußgeldbemessung ein. Ehrlich betrachtet ist eine Schulung damit ein Baustein im Risikomanagement, kein Freibrief: Keiner der vier Fälle wäre allein durch eine Schulung verhindert worden.
Alle vier zeigen aber, dass fehlende oder nicht gelebte Prozesse – Löschroutinen, Zugriffskontrollen, Authentifizierungsstandards, klare Gesprächsleitfäden – der eigentliche Auslöser waren. Wer nachweisen kann, dass Mitarbeitende die Grundprinzipien der DSGVO kennen und Prozesse regelmäßig überprüft werden, steht bei der Bemessung eines Bußgelds in der Regel besser da als ein Unternehmen ohne jede Dokumentation.
Häufige Fragen (FAQ)
Wer verhängt DSGVO-Bußgelder in Deutschland?
Zuständig sind die Datenschutzaufsichtsbehörden der Bundesländer am Sitz des Unternehmens, etwa die HmbBfDI in Hamburg oder die BlnBDI in Berlin. Für Telekommunikations- und Postdienstleister sowie Bundesbehörden ist die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) zuständig.
Können Gerichte DSGVO-Bußgelder wieder reduzieren?
Ja. Unternehmen können gegen Bußgeldbescheide vor den ordentlichen Gerichten vorgehen. In zwei der hier vorgestellten Fälle wurde die ursprünglich verhängte Summe nachträglich um mehr als 90 Prozent gesenkt.
Gilt die 10-/20-Millionen-Grenze auch für kleine Unternehmen?
Die Höchstbeträge nach Art. 83 Abs. 4 und 5 DSGVO gelten unabhängig von der Unternehmensgröße. Bei kleinen Unternehmen ist meist der feste Höchstbetrag die praktisch relevante Grenze, bei großen Konzernen mit hohem Jahresumsatz dagegen fast immer der Umsatzprozentsatz.
Was riskiert ein kleines Unternehmen realistisch?
Die hier vorgestellten Fälle betreffen ausnahmslos Konzerne mit hohem Jahresumsatz. Nach Art. 83 Abs. 1 DSGVO müssen Bußgelder wirksam, verhältnismäßig und abschreckend sein – bei geringem Umsatz fällt ein verhältnismäßiges Bußgeld daher deutlich niedriger aus als bei einem Milliardenkonzern. Eine seriöse Durchschnittssumme für KMU lässt sich aus den vier Fällen nicht ableiten, da sich alle Bescheide gegen Großunternehmen richten.
Für Unternehmen, die die DSGVO-Grundprinzipien nicht nur auf dem Papier, sondern im Arbeitsalltag verankern wollen, bietet die DSGVO-Grundlagenschulung von Provimedia einen praxisnahen Einstieg mit Teilnahmezertifikat als Nachweis der durchgeführten Schulungsmaßnahme.
Quellen
- HmbBfDI, Pressemitteilung „35,3 Mio. Euro Bußgeld gegen H&M", 1. Oktober 2020: datenschutz-hamburg.de
- BlnBDI, Pressemitteilung zum Bußgeld gegen Deutsche Wohnen, 5. November 2019: datenschutz-berlin.de
- EuGH, Urteil vom 5.12.2023, Rs. C-807/21 (Deutsche Wohnen), eingeordnet in der Pressemitteilung der BlnBDI: datenschutz-berlin.de
- Landgericht Berlin I, Urteil vom 9.6.2026, Az. 526 OWiG LG 1/20, berichtet von Legal Tribune Online: lto.de
- BfDI, Pressemitteilung „BfDI verhängt Geldbuße gegen 1&1", 9. Dezember 2019: bfdi.bund.de
- BfDI, Pressemitteilung zum Urteil des Landgerichts Bonn im Verfahren gegen 1&1, 2020: bfdi.bund.de
- BfDI, Pressemitteilung „BfDI verhängt Geldbußen gegen Vodafone", Juni 2025: bfdi.bund.de
Beitrag teilen
Bleiben Sie auf dem Laufenden
Erhalten Sie die neuesten Artikel, Insights und Branchen-Updates direkt in Ihr Postfach.
Ähnliche Beiträge
Weitere Artikel, die Sie interessieren könnten.
Phishing und Social Engineering: Woran Ihre Mitarbeiter Angriffe erkennen
Phishing, Spear-Phishing, CEO-Fraud und Smishing zielen nicht auf Systeme, sondern auf Menschen. Welche Warnsignale eine Phishing-Mitarbeiter-Schulung vermitteln sollte und warum ein erfolgreicher Angriff schnell zur meldepflichtigen Datenschutzverletzung wird.
Datenschutz in der Arztpraxis: die 5 Alltagsfallen und wann Sie einen Datenschutzbeauftragten brauchen
Der Name wird laut ins Wartezimmer gerufen, die Terminerinnerung per SMS verschickt, die alte Akte entsorgt: Im Praxisalltag entscheiden Kleinigkeiten über Datenschutzverstöße. Der Beitrag zeigt, welche Situationen heikel sind, wann Sie einen Datenschutzbeauftragten brauchen und wie Sie Ihr Team nachweisbar schulen.
Informationssicherheits-Schulung vs. Datenschutzschulung: Was Unternehmen brauchen
Informationssicherheit schützt Systeme und Informationen, Datenschutz schützt Personen und ihre Daten. Der Unterschied, die Überschneidung nach Art. 32 DSGVO und was die neue NIS2-Schulungspflicht für Geschäftsleitungen bedeutet.
Bereit für den dokumentierten Schulungsnachweis?
Die DSGVO-Grundlagenschulung für Ihr Team – online, in rund 90 Minuten, mit datiertem Teilnahmezertifikat je Person.