Zurück zu den Artikeln
DSGVO-Bußgelder in Deutschland: Bilanz, Rekordfälle und wie Sie sich schützen
DSGVO Datenschutz Bußgelder BfDI Compliance Audit

DSGVO-Bußgelder in Deutschland: Bilanz, Rekordfälle und wie Sie sich schützen

DPLIANCEAnbieter souveräner Data- und KI-Lösungen
7 Min. Lesezeit

46,9 Millionen Euro Bußgelder 2025: Deutscher Datenschutz wird ernst

Der Datenschutz in Deutschland war lange geprägt von Zurückhaltung. Das ist vorbei.

2025: 249 Bußgelder mit einer Gesamthöhe von 46,9 Millionen Euro. Spitzenreiter: ein einzelnes Rekordbußgeld von 45 Millionen Euro gegen Vodafone. 2024: das höchste Einzelbußgeld lag bei 900.000 Euro. Der Sprung ist gewaltig.

Was sich geändert hat, ist nicht die DSGVO — sie gilt seit 2018. Es ist die Entschlossenheit der Aufsichtsbehörden. Der BfDI (Bundesbeauftragte für den Datenschutz und die Informationsfreiheit) und die 16 Landesdatenschutzbehörden greifen härter durch. Bremen allein verhängte 2025 bereits 101 Sanktionen, gefolgt von Hessen mit 47.

Europaweit wurden laut DLA Piper 2024 insgesamt 1,2 Milliarden Euro an DSGVO-Bußgeldern verhängt. Deutschland holt auf.

Hier ist die vollständige Bilanz: Rekordfälle, häufigste Verstöße und wie Sie sich schützen.

Die Rekordbußgelder in Deutschland

Vodafone: 45 Millionen Euro (Juni 2025)

Das höchste DSGVO-Bußgeld in der deutschen Geschichte. Am 3. Juni 2025 verhängte der BfDI zwei Bußgelder in Höhe von insgesamt 45 Millionen Euro gegen die Vodafone GmbH.

15 Millionen Euro für mangelhafte Auftragsverarbeitung: Vodafone setzte Partneragenturen ein, die Verträge im Namen des Unternehmens vermittelten. Mitarbeiter dieser Verkaufspartner missbrauchten über Jahre hinweg Kundendaten — sie änderten Verträge oder schlossen neue Verträge ohne Zustimmung der Kunden ab, teilweise zu deren Lasten.

30 Millionen Euro für IT-Sicherheitsmängel: Schwachstellen im Authentifizierungsprozess bei der kombinierten Nutzung des Onlineportals „MeinVodafone” mit der Vodafone-Hotline hätten unbefugten Dritten den Zugriff auf eSIM-Profile ermöglicht.

Vodafone akzeptierte das Bußgeld, bestritt die Vorwürfe nicht und zog strukturelle Konsequenzen: Partnerverträge wurden beendet, interne Kontrollmechanismen gestärkt.

Die Lehre: Auftragsverarbeiter sind Ihr Risiko. Wer externe Dienstleister einsetzt, muss deren Datenschutz-Compliance aktiv überwachen — nicht nur vertraglich regeln.

H&M: 35,3 Millionen Euro (2020)

Der Hamburger Datenschutzbeauftragte verhängte 35,3 Millionen Euro gegen H&M — damals das höchste DSGVO-Bußgeld Deutschlands. Im Servicecenter Nürnberg hatte das Management systematisch Hunderte Mitarbeiter ausspioniert.

In sogenannten „Welcome Back Talks” nach Krankheit oder Urlaub wurden Mitarbeiter über Urlaubserlebnisse, Krankheitssymptome, Diagnosen, familiäre Probleme und religiöse Überzeugungen befragt. Alle Informationen wurden detailliert in einem Archiv gespeichert, auf das Führungskräfte zugreifen konnten.

Im Oktober 2019 wurde das Archiv durch einen Konfigurationsfehler kurzzeitig unternehmensweit zugänglich — über 60 Gigabyte an intimsten Mitarbeiterdaten.

Die Lehre: Die DSGVO schützt auch Beschäftigte. Systematische Erfassung von Gesundheitsdaten, religiösen Überzeugungen und Familienverhältnissen ist eine Verarbeitung besonderer Kategorien personenbezogener Daten (Art. 9 DSGVO) — und ohne ausdrückliche Einwilligung illegal.

Deutsche Wohnen: 14,5 Millionen Euro (2019)

Die Berliner Datenschutzbeauftragte verhängte 14,5 Millionen Euro gegen Deutsche Wohnen. Das Immobilienunternehmen speicherte massenhaft personenbezogene Daten von Mietern — Kopien von Ausweisen, Kontoauszüge, Gehaltsabrechnungen, Krankenversicherungsdaten — in einem Archivsystem ohne Löschmechanismus.

Bei Prüfungen 2017 und 2019 stellte die Behörde fest, dass jahrelang keine Prüfung stattfand, ob die Speicherung noch erforderlich war.

Das Bußgeld wurde gerichtlich angefochten und durchlief mehrere Instanzen bis zum EuGH, der 2023 grundsätzlich bestätigte, dass Bußgelder nur bei schuldhaftem Verstoß zulässig sind.

Die Lehre: „Alles aufheben” ist kein Datenschutzkonzept. Der Grundsatz der Speicherbegrenzung (Art. 5 Abs. 1 lit. e DSGVO) verlangt aktive Löschkonzepte.

Weitere relevante Fälle

  • Hamburger Dienstleister (2024): 900.000 Euro — Datensätze im sechsstelligen Bereich fünf Jahre über die Aufbewahrungsfrist hinaus gespeichert.
  • Notebooksbilliger.de (2021): 10,4 Millionen Euro — Videoüberwachung von Mitarbeitern ohne Rechtsgrundlage über mindestens zwei Jahre.
  • 1&1 Telecom (2019): 9,55 Millionen Euro — unzureichende Authentifizierung bei der Telefonhotline.

Die 5 häufigsten Bußgeldgründe in Deutschland

1. Unzureichende technisch-organisatorische Maßnahmen

Der häufigste Grund in Deutschland. Vodafone (45 Mio. €), 1&1 (9,55 Mio. €) und zahlreiche kleinere Fälle: mangelhafte Authentifizierung, fehlende Verschlüsselung, unzureichende Zugriffskontrollen.

Wie Sie sich schützen: Regelmäßige Sicherheitsaudits, dokumentierte TOM (technisch-organisatorische Maßnahmen) und ein getesteter Incident-Response-Plan.

2. Übermäßige Mitarbeiterüberwachung

H&M (35,3 Mio. €), Notebooksbilliger.de (10,4 Mio. €), Amazon (32 Mio. € in Frankreich). Deutsche Behörden sind besonders sensibel beim Beschäftigtendatenschutz.

Wie Sie sich schützen: Videoüberwachung, Produktivitätsmonitoring und Gesundheitsdatenerfassung nur mit klarer Rechtsgrundlage und DSFA.

3. Fehlende oder mangelhafte Auftragsverarbeitungsverträge

Vodafone (15 Mio. € für diesen Aspekt allein). Viele Unternehmen setzen Cloud-Dienste, Marketing-Tools und Analyse-Software ein, ohne die Anforderungen des Art. 28 DSGVO zu erfüllen.

Wie Sie sich schützen: Jeden Dienstleister prüfen, der personenbezogene Daten verarbeitet. Konforme AVV (Auftragsverarbeitungsverträge) abschließen. Europäische Anbieter bevorzugen. Mirage Analytics wird auf Scaleway in Frankreich gehostet — keine Daten verlassen die EU.

4. Cookies und Tracking ohne Einwilligung

In Deutschland weniger spektakulär als in Frankreich oder Spanien, aber ein wachsendes Thema. Die Datenschutzkonferenz (DSK) verschärft die Linie zu Cookie-Bannern kontinuierlich.

Wie Sie sich schützen: Einwilligungsbasiertes Cookie-Management mit einer konformen CMP. Cookilio blockiert alle nicht-essentiellen Tracker vor der Einwilligung und stellt Ablehnung auf gleicher Ebene wie Akzeptanz dar.

5. Übermäßige Datenspeicherung

Deutsche Wohnen (14,5 Mio. €), Hamburger Dienstleister (900.000 €). Daten ohne Löschkonzept aufzubewahren ist ein dauerhafter Verstoß, der mit jedem Tag wächst.

Wie Sie sich schützen: Löschkonzept erstellen, Aufbewahrungsfristen pro Datenkategorie definieren, automatisierte Löschprozesse implementieren.

Die dezentrale Struktur: 17 Aufsichtsbehörden

Deutschland hat eine einzigartige Struktur: Neben dem BfDI auf Bundesebene gibt es 16 Landesdatenschutzbehörden. Jede ist unabhängig und kann eigene Bußgelder verhängen.

Was das für Unternehmen bedeutet:

  • Bremen verhängte 2025 allein 101 Sanktionen — mehr als jedes andere Bundesland
  • Hessen folgte mit 47, Hamburg und Bayern sind ebenfalls aktiv
  • Die Auslegung der DSGVO kann zwischen den Bundesländern variieren
  • Online-Unternehmen können von jeder Landesdatenschutzbehörde kontrolliert werden

Wie werden Verstöße erkannt?

  • Beschwerden von Betroffenen: Der häufigste Auslöser — jeder kann sich bei seiner Landesbehörde beschweren
  • Meldungen von Datenschutzbeauftragten: Unternehmen mit DSB melden Verstöße oft selbst
  • Anlasslose Prüfungen: Einige Landesdatenschutzbehörden führen systematische Prüfungen durch
  • Datenpannen-Meldungen: Art. 33 DSGVO verpflichtet zur Meldung innerhalb von 72 Stunden

Wie Sie ein DSGVO-Bußgeld vermeiden: Die Checkliste

Stufe 1: Sofortmaßnahmen (< 1 Woche)

  • Website-Audit durchführen — Cookies, Tracker, Datenschutzerklärung und Formulare prüfen. Complio führt diesen Audit in Minuten durch und liefert einen Compliance-Bericht.
  • Konforme CMP einsetzen — Alle nicht-essentiellen Tracker vor Einwilligung blockieren. Cookilio erfüllt die Anforderungen deutscher Aufsichtsbehörden.
  • Analytics-Tool prüfen — Werden Daten in die USA übertragen? Mirage Analytics hostet alle Daten in Europa und setzt keine Cookies.
  • Datenschutzerklärung aktualisieren — Vollständig, aktuell, in klarer Sprache.

Stufe 2: Strukturelle Compliance (< 1 Monat)

  • Verarbeitungsverzeichnis führen — Pflicht nach Art. 30 DSGVO.
  • AVV mit allen Dienstleistern — Auftragsverarbeitungsverträge nach Art. 28 DSGVO.
  • Löschkonzept erstellen — Aufbewahrungsfristen pro Datenkategorie definieren.
  • Prozess für Betroffenenrechte — Dedizierte Adresse, dokumentiertes Verfahren, Fristen einhalten.

Stufe 3: Proaktive Compliance (fortlaufend)

  • DSB bestellen (falls erforderlich) — Pflicht bei Kerntätigkeit in der Datenverarbeitung.
  • DSFA durchführen — Datenschutz-Folgenabschätzung bei risikoreichen Verarbeitungen.
  • Mitarbeiter schulen — Regelmäßige Datenschutzschulungen dokumentieren.
  • Regelmäßige Audits planen — Compliance verschlechtert sich mit der Zeit.

Die wahren Kosten eines Bußgeldes

Bußgelder sind nur ein Teil. In Deutschland kommen dazu:

  • Abmahnrisiko: Wettbewerber und Verbraucherschutzverbände können Datenschutzverstöße abmahnen
  • Schadensersatzansprüche: Art. 82 DSGVO gibt Betroffenen einen direkten Schadensersatzanspruch
  • Reputationsschaden: Bußgeldbescheide werden zunehmend veröffentlicht

Die Rechnung ist klar:

Compliance ist kein Kostenfaktor. Sie ist eine Versicherung.

FAQ

Wie hoch ist die maximale DSGVO-Strafe?

Bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist. In Deutschland hat der BfDI 2025 erstmals 45 Millionen Euro gegen ein einzelnes Unternehmen verhängt (Vodafone).

Werden in Deutschland auch KMU bestraft?

Ja. Bremen verhängte 2025 allein 101 Sanktionen — die meisten gegen kleine und mittlere Unternehmen. Die Landesdatenschutzbehörden prüfen zunehmend systematisch und anlasslos.

Welche Branchen sind am stärksten betroffen?

Telekommunikation (Vodafone, 1&1), Einzelhandel (H&M), Immobilien (Deutsche Wohnen), E-Commerce (Notebooksbilliger.de) und der Gesundheitssektor. Kein Sektor ist ausgenommen.

Wie kann ich feststellen, ob meine Website konform ist?

Complio führt automatisch einen Compliance-Audit durch und liefert einen detaillierten Bericht mit Compliance-Score und priorisierten Empfehlungen.

Kann man ein DSGVO-Bußgeld anfechten?

Ja, vor den Verwaltungsgerichten. Der Fall Deutsche Wohnen zeigt jedoch, dass der Rechtsweg lang und teuer ist — und selten zur vollständigen Aufhebung führt. Prävention ist die effektivste Strategie.

Weiterführende ArtikelDSGVO: Die 10 häufigsten Fehler von Unternehmen | DSGVO-Checkliste Website | DSGVO-Audit Website: Vollständiger Leitfaden 2026

Quellen: BfDI — Bußgeld Vodafone, DLA Piper — DSGVO-Bußgelder Europa 2024, DSGVO-Portal — Rückblick 2025, HmbBfDI — Zwischenbilanz 2025. Veröffentlicht am 30. März 2026.

Schreiben Sie uns

contact@dpliance.com
Kontaktieren Sie uns