DSGVO Bußgelder 2026: Aktuelle Fälle und was KMU wirklich droht

Auf einen Blick

DSGVO-Bußgelder können bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes erreichen, je nachdem was höher ist. Für KMU sind die realistischen Zahlen deutlich kleiner, aber immer noch schmerzhaft: Google Fonts ohne lokales Hosting kostet 100 Euro pro Besucher, fehlende Einwilligung für Google Analytics kann 5.000-50.000 Euro kosten, ein fehlendes Impressum 500-1.500 Euro an Abmahnkosten. Diese Übersicht zeigt die realen Zahlen, aktuelle Fälle und die fünf häufigsten Fehler bei KMU-Websites.

Die größten DSGVO-Bußgelder der letzten Jahre

Die Spitzenreiter kommen aus dem Big-Tech-Bereich. Diese Fälle sind für KMU kaum relevant, zeigen aber das theoretische Maximum.

Meta (Facebook, Instagram) - 1,2 Milliarden Euro (2023) Die irische Datenschutzbehörde (DPC) verhängte das bislang höchste DSGVO-Bußgeld der Geschichte. Grund: Meta übertrug Nutzerdaten aus Europa in die USA ohne ausreichende rechtliche Grundlage nach dem Schrems-II-Urteil (EuGH C-311/18). Meta hat Berufung eingelegt.

WhatsApp (Meta) - 225 Millionen Euro (2021) Fehlende Transparenz darüber, wie Nutzerdaten zwischen WhatsApp und anderen Meta-Diensten geteilt wurden. DPC Irland nach Verfahren unter Federführung der europäischen Aufsichtsbehörden.

Amazon - 746 Millionen Euro (2021) Luxemburgische Datenschutzbehörde (CNPD) wegen Datenschutzverstößen beim Behavioral Advertising. Amazon focht das Urteil an, Verfahren läuft.

Clearview AI - ca. 20 Millionen Euro (kumuliert in mehreren EU-Ländern, 2022-2024) Das US-Unternehmen hat ohne Einwilligung Milliarden Gesichtsfotos aus dem Internet gesammelt, um eine biometrische Datenbank aufzubauen. Bußgelder in Frankreich (20 Mio.), Griechenland (20 Mio.), Italien (20 Mio.), Schweden, Finnland.

Criteo - 40 Millionen Euro (2023) Französische CNIL verhängte 40 Millionen Euro Bußgeld gegen den Advertising-Tech-Anbieter wegen fehlendem Nachweis wirksamer Einwilligung für verhaltensbasierte Werbung.

Google LLC - 90 Millionen Euro (2022) CNIL Frankreich wegen unzureichender Cookie-Ablehnung. Nutzer konnten Cookies nicht genauso einfach ablehnen wie akzeptieren. Genau das Dark-Pattern-Problem, das auch für kleine Websites gilt.

Was bedeutet das für KMU? Die realen Zahlen

Große Bußgelder treffen große Unternehmen. Für KMU gelten andere Maßstäbe, aber das Risiko ist trotzdem real. Aufsichtsbehörden wenden eine Verhältnismäßigkeitsprüfung an und berücksichtigen:

  • Schwere und Dauer des Verstoßes
  • Art der betroffenen Daten
  • Kooperationsbereitschaft mit der Behörde
  • Maßnahmen nach Bekanntwerden des Verstoßes
  • Jahresumsatz des Unternehmens

In Deutschland lagen die Bußgelder für kleine Unternehmen 2024 typischerweise zwischen:

  • Geringfügige Verstöße: 0-500 Euro (Verwarnung statt Bußgeld bei erstem Verstoß)
  • Moderate Verstöße (z. B. fehlende AV-Verträge): 500-5.000 Euro
  • Schwerwiegende Verstöße (z. B. kein Consent für Tracking): 5.000-50.000 Euro
  • Systematische Verstöße (z. B. jahrelanges illegales Tracking): 50.000-500.000 Euro

Zusätzlich zum Bußgeld kommen oft noch Abmahnkosten von Mitbewerbern oder Verbraucherschutzverbänden hinzu. Das sind privatrechtliche Ansprüche, die unabhängig vom Behördenverfahren entstehen.

Du willst eine Website, die wirklich Kunden bringt?

KI WebSichtbar entdecken

Die 5 teuersten KMU-Verstöße: Tabelle mit realen Kosten

Verstoß Risiko Typische Kosten (KMU) Lösung
Google Fonts extern geladen Hoch (Abmahnwelle aktiv) 100 EUR/Besucher + 300-800 EUR Anwaltskosten Lokal hosten
Google Analytics ohne Consent Sehr hoch 5.000-50.000 EUR Bußgeld Banner oder abschalten
Fehlendes/unvollständiges Impressum Mittel 500-1.500 EUR Abmahnung Vollständiges Impressum
Kein AV-Vertrag mit Auftragsverarbeitern Mittel 2.000-10.000 EUR AV-Verträge abschließen
Kontaktformular ohne Datenschutz-Hinweis Mittel 1.000-3.000 EUR Abmahnung Checkbox + DSE-Link
← Tabelle seitlich scrollen →

Verstoß 1: Google Fonts ohne lokales Hosting

Das LG München I hat am 20. Januar 2022 (Az. 3 O 17493/20) einen Websitebetreiber zur Zahlung von 100 Euro Schadensersatz verurteilt, weil er Google Fonts extern geladen und damit die IP-Adresse eines Besuchers ohne Einwilligung an Google übertragen hatte.

Das klingt nach wenig. Aber in der Abmahnwelle 2022/2023 verschickten spezialisierte Kanzleien über 100.000 Abmahnbriefe. Wer dann nicht nur den Schadensersatz, sondern auch Anwaltskosten und eine strafbewehrte Unterlassungserklärung unterschrieben hat, saß schnell auf 1.000-2.000 Euro pro Fall.

Lösung: Google Fonts lokal einbinden, 15 Minuten Aufwand, dauerhaft sicher.

Verstoß 2: Google Analytics ohne Einwilligung

Die Datenschutzkonferenz der Länder (DSK) hat 2022 klargestellt: Google Analytics ist ohne Einwilligung in Deutschland nicht zulässig. Das Tool überträgt Nutzerdaten in die USA. Der EuGH hat in Schrems II entschieden, dass Datentransfers in die USA einer ausreichenden Rechtsgrundlage bedürfen.

Mehrere Aufsichtsbehörden haben explizite Mahnungen herausgegeben (Bayern LDA, Schleswig-Holstein, Österreich DSB). Bußgelder in Österreich: 5.000-10.000 Euro. Für Deutschland sind Bußgelder bis 50.000 Euro dokumentiert.

Lösung: Google Analytics nur mit Consent-Banner einsetzen. Oder wechseln auf datenschutzfreundliche Alternativen wie Plausible (EU-Server) oder serverseitiges Logging.

Verstoß 3: Fehlendes oder unvollständiges Impressum

Fehlendes Impressum ist der häufigste Abmahngrund in Deutschland, weil es automatisiert geprüft werden kann. Spezialisierte Kanzleien und Mitbewerber scannen Websites systematisch.

Typische Kosten pro Abmahnung: Anwaltskosten 500-1.500 Euro. Dazu kommt die strafbewehrte Unterlassungserklärung: Wer danach einen weiteren Verstoß begeht, zahlt Vertragsstrafe von 5.000-15.000 Euro.

Was häufig fehlt: VSBG-Hinweis zur Verbraucherschlichtung, ladungsfähige Anschrift (Postfach reicht nicht), berufsspezifische Angaben. Details in unserem Artikel über Impressum Pflichtangaben 2026.

Verstoß 4: Kontaktformular ohne Datenschutz-Einwilligung

Ein Kontaktformular auf deiner Website verarbeitet personenbezogene Daten (Name, E-Mail, Nachricht). Dafür braucht es eine Rechtsgrundlage. Für Marketing-Mailings: Einwilligung. Für die reine Kontaktaufnahme: berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO).

Das OLG Köln hat 2022 entschieden, dass eine Datenschutz-Checkbox im Formular mit Link zur Datenschutzerklärung erforderlich ist, damit Nutzer über die Verarbeitung informiert werden. Fehlt sie, ist das ein Abmahnrisiko.

Pflicht-Elemente beim Kontaktformular:

  • Checkbox mit Einwilligungstext (nicht vorangehakt)
  • Link zur Datenschutzerklärung (öffnet in neuem Tab)
  • Nur notwendige Felder (nicht mehr als nötig)

Verstoß 5: Kein Auftragsverarbeitungsvertrag (AV-Vertrag)

Wer externe Dienstleister einsetzt, die Zugriff auf personenbezogene Daten haben, muss nach Art. 28 DSGVO einen Auftragsverarbeitungsvertrag abschließen. Das betrifft:

  • Webhoster (wenn der Hoster auf Serverdaten zugreifen kann)
  • E-Mail-Provider (Mailchimp, ActiveCampaign)
  • CRM-Systeme
  • Buchhaltungssoftware mit Kundendaten
  • Newsletter-Dienste

Viele dieser Anbieter stellen AV-Verträge automatisch bereit. Oft reicht ein Klick in den Datenschutzeinstellungen des Tools. Aber: Du musst sicherstellen, dass der Vertrag tatsächlich geschlossen ist und das dokumentieren.

Wie Behörden vorgehen: Der Ablauf eines Bußgeldverfahrens

Bußgeldverfahren starten in Deutschland meist durch:

  1. Beschwerde: Ein betroffener Nutzer beschwert sich bei der Datenschutzbehörde seines Bundeslandes
  2. Eigeninitiative der Behörde: Behörden prüfen stichprobenartig oder aufgrund von Medienberichten
  3. Verdachtsmeldung: Mitbewerber oder Verbraucherschutzverbände informieren die Behörde

Typischer Ablauf:

  1. Behörde sendet Auskunftsverlangen an den Verantwortlichen
  2. Du hast Möglichkeit zur Stellungnahme
  3. Behörde prüft den Sachverhalt
  4. Entscheidung: Verwarnung (kein Bußgeld, aber Aufforderung zur Änderung) oder Bußgeldbescheid
  5. Möglichkeit zum Widerspruch (Einspruch beim Amtsgericht)

Strafmildernde Faktoren:

  • Sofortige Kooperation mit der Behörde
  • Schnelle Behebung des Verstoßes
  • Fehlende Vorwürfe in der Vergangenheit
  • Nachweise für gute Absicht (Datenschutzkonzept vorhanden)

Strafverschärfende Faktoren:

  • Bewusster Verstoß
  • Lange Dauer des Verstoßes
  • Besonders sensible Daten betroffen
  • Verweigerung der Kooperation

Was du sofort tun kannst: Die 5-Punkte-Checkliste

Prüfe deine Website anhand dieser fünf Punkte. Wer alle abhaken kann, ist für die häufigsten KMU-Verstöße gut aufgestellt.

Checkliste:

  • Google Fonts und andere externe Ressourcen: Werden Fonts, Icons oder Libraries von externen Servern geladen? Wenn ja: lokal einbinden oder entfernen. Teste mit unserem DSGVO-Check.
  • Analytics und Tracking: Läuft Google Analytics, Meta Pixel oder ähnliches? Wenn ja: Cookie-Banner mit echtem Opt-in einsetzen. Kein vorangehakter Haken, Ablehnen-Button genauso sichtbar wie Akzeptieren.
  • Impressum vollständig: Alle Pflichtangaben nach § 5 DDG vorhanden? Auf jeder Seite erreichbar? VSBG-Hinweis da? Nutze den Compliance-Check für die automatische Prüfung.
  • Kontaktformular abgesichert: Datenschutz-Checkbox mit Link zur DSE vorhanden? Keine unnötigen Felder abgefragt?
  • AV-Verträge abgeschlossen: Hoster, Newsletter-Tool, CRM, Buchhaltungssoftware: Sind AV-Verträge in den Einstellungen aktiviert oder unterschrieben?

Wer alle fünf Punkte erfüllt, hat die größten Risiken einer KMU-Website beseitigt.

DSGVO-konform von Anfang an: Der einfachste Weg

Der effizienteste Schutz ist eine Website, die DSGVO-Compliance als Standard hat, nicht als Nacharbeit. Statische Websites ohne Tracking-Tools, mit lokal gehosteten Fonts, ohne externe Einbettungen und mit vollständigem Impressum brauchen keinen aufwendigen Cookie-Banner und haben drastisch weniger Angriffsfläche.

Websites, die wir bei KI-WebSichtbar bauen, kommen mit:

  • Lokalen Fonts (keine Google Fonts von externen Servern)
  • Keinem Google Analytics (keine Einwilligung für Tracking nötig)
  • Vollständigem Impressum nach § 5 DDG
  • Datenschutzkonformem Kontaktformular (Checkbox, DSE-Link)
  • HTTPS-Standard auf allen Seiten

Das ist kein Zusatzpaket. Das ist die Basis. Mehr zu unseren Paketen ab 1.499 EUR auf der Startseite.

Wer eine bestehende Website prüfen will: Unser DSGVO-Check analysiert automatisch die häufigsten Schwachstellen. Der Compliance-Check prüft Impressum und weitere Pflichtangaben.

Weiterführend: DSGVO-Checkliste für KMU-Websites und Cookie-Banner Pflicht 2026.

FAQ: DSGVO Bußgelder

Können kleine Unternehmen wirklich hohe Bußgelder bekommen?

Ja, aber Aufsichtsbehörden wenden Verhältnismäßigkeit an. Ein Kleinunternehmer mit 100.000 Euro Jahresumsatz bekommt kein Millionen-Bußgeld. Die realen Zahlen für KMU liegen je nach Schwere zwischen Verwarnung (0 EUR) und 50.000 Euro. Häufiger als Bußgelder treffen KMU privatrechtliche Abmahnungen von Mitbewerbern oder Verbraucherschutzverbänden.

Werden Verstöße aktiv gesucht, oder reagieren Behörden nur auf Beschwerden?

Beides. Die meisten Verfahren starten durch Beschwerden betroffener Personen. Einige Behörden führen aber auch anlasslose Prüfungen durch, besonders in sensiblen Branchen (Gesundheit, Finanzen). Zudem können Mitbewerber die Behörde informieren.

Was ist der Unterschied zwischen einem DSGVO-Bußgeld und einer Abmahnung?

Ein Bußgeld wird von einer staatlichen Datenschutzbehörde verhängt. Eine Abmahnung ist ein privatrechtlicher Anspruch eines Mitbewerbers oder Verbraucherschutzverbands. Beide können gleichzeitig eintreten. Abmahnungen sind bei KMU häufiger, weil sie für spezialisierte Kanzleien lukrativ sind.

Schützt eine Datenschutzerklärung auf der Website vor Bußgeldern?

Teilweise. Eine korrekte Datenschutzerklärung erfüllt die Informationspflichten nach Art. 13/14 DSGVO. Sie ersetzt aber nicht die technische Umsetzung: keine externen Fonts, korrekter Cookie-Banner, rechtmäßige Verarbeitungsgrundlagen. Datenschutzerklärung plus technische Maßnahmen zusammen schützen.

Was tue ich, wenn ich eine DSGVO-Abmahnung erhalte?

Ruhe bewahren und schnell reagieren. Keinesfalls die vorgelegte strafbewehrte Unterlassungserklärung ungeprüft unterschreiben. Einen auf IT-Recht spezialisierten Anwalt einschalten. Gleichzeitig den Verstoß sofort beseitigen. Kooperation mit der Gegenseite kann die Kosten reduzieren.

Gibt es eine Verjährungsfrist für DSGVO-Verstöße?

Bußgelder nach DSGVO verjähren in Deutschland nach drei Jahren (§ 41 Abs. 1 BDSG in Verbindung mit § 31 OWiG). Privatrechtliche Abmahnungen verjähren nach drei Jahren ab Kenntnis des Verstoßes (§ 195 BGB). Ein lang zurückliegender Verstoß kann also noch verfolgt werden.