BLACK WEEK DEAL: Entdecken Sie das Angebot des Jahres! Heute 50 % sparen!

Direkt zum Inhalt
Insights & Trends
Blog

DSGVO-Verstöße: 5 kostspielige Fallen für Unternehmen

Die Rechnung kam unerwartet: 1,2 Milliarden Euro für Meta, 50 Millionen Euro für die Orange SA, 15.000 Euro für das belgische KMU Jubel.be. Verstöße gegen die DSGVO sind kostspielig und ihre Ahndung ist längst keine Ausnahme mehr. Für Europas Aufsichtsbehörden gehört die Verfolgung solcher Fälle längst zum Alltag – und zwar unabhängig von der Unternehmensgröße.

Seit dem Start der DSGVO im Mai 2018 haben Konzerne, Mittelständler und kleine Unternehmen gleichermaßen schmerzhafte Lektionen erhalten. Auch nach sieben Jahren ist Datenschutz offensichtlich längst nicht zur Routine geworden. Im Kern lassen sich viele Fälle auf fünf Kardinalsfehler zurückführen – sie zeigen ein klares Muster: Wer datenschutzrechtliche Pflichten unterschätzt, riskiert spürbare Konsequenzen.

Zu sehen ist ein junger Mann mit kurzen Haaren und Bart. Er trägt eine Brille und ein Hemd. Der junge Mann sitzt an einem Schreibtisch in einem Büro, vor ihm steht ein Laptop, auf dem Tisch liegen auch ein Notizblock und ein Smartphone. Der Mann lächelt direkti n die Kamera.

Die DSGVO im Überblick

Die Datenschutz-Grundverordnung (DSGVO) ist seit Mai 2018 das einheitliche europäische Regelwerk zum Schutz personenbezogener Daten. Sie regelt, wie Unternehmen und Organisationen Daten erheben, verarbeiten und speichern dürfen, und gibt Betroffenen umfassende Rechte über ihre Daten. Bei schweren Verstößen drohen Bußgelder von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes – je nachdem, welcher Betrag höher ist. 

Aktuelle Entwicklungen erweitern den Rahmen des Datenschutzes: Der EU AI Act, der seit August 2024 gilt und dessen Pflichten schrittweise ab 2025 greifen, reguliert den Einsatz von KI-Systemen. Der Data Act stärkt seit September 2025 den Zugriff von Nutzern auf Daten ihrer vernetzten Geräte. Zudem liegen neue Vorschläge für den Umgang mit KI-Trainingsdaten und für geänderte Regeln zu Cookies und Tracking vor – regelmäßige Compliance-Prüfungen werden damit noch wichtiger.

Kostspielige Lektionen: Wenn Alltagspraktiken zur Bußgeldfalle werden

Im Mai 2023 traf es die Meta Platforms Ireland Limited besonders hart. Die irische Datenschutzaufsicht verhängte eine 1,2-Milliarden-Euro-Strafe, weil das Unternehmen die personenbezogenen Daten europäischer Nutzer (insbesondere Facebook-Nutzerdaten) in die USA übermittelte, ohne die dafür erforderlichen Schutzmechanismen einzuhalten. Nach dem „Schrems II“-Urteil des EuGH wurden die konkret eingesetzten Standardvertragsklauseln ohne zusätzliche Schutzmaßnahmen als unzureichend erachtet. Dies führte letztendlich zur höchsten jemals verhängten Sanktion der DSGVO.

Doch Bußgelder treffen nicht nur die großen Konzerne. Das durfte im Dezember 2024 die Orange SA erfahren. Der etablierte französische Telekommunikationsanbieter musste 50-Millionen-Euro Strafe zahlen, weil er in den E-Mail-Postfächern seiner Kunden Werbung einblendete, die kaum von regulären E-Mails zu unterscheiden war. Dies geschah zudem, ohne zuvor eine gültige Zustimmung einzuholen. Zusätzlich beanstandete die CNIL, dass Orange Cookies auf der Website trotz erfolgtem Widerruf der Einwilligung weiterhin auslas.

Dass selbst kleinere Anbieter nicht ausgenommen sind, zeigt der Fall von Jubel.be, einer juristischen Informationsplattform aus Belgien. Die belgische Datenschutzbehörde verhängte Ende 2019 ein Bußgeld von 15.000 Euro, weil die Website Cookies ohne Einwilligung setzte, keine Opt-out-Möglichkeit bot und die Nutzer unzureichend über die eingesetzten Tracking-Technologien informierte.

Die fünf Kardinalsfehler der DSGVO-Compliance

Diese und zahlreiche weitere Beispiele zeigen: Trotz jahrelanger Erfahrung mit der DSGVO begehen Unternehmen immer wieder dieselben Fehler. Hier sind fünf Beispiele, die besonders häufig zu empfindlichen Bußgeldern führen und sich mit systematischem Vorgehen einfach vermeiden lassen:

1. Fehlende Rechtsgrundlage: Das Fundament des Datenschutzes

Einer der häufigsten und folgenschwersten Verstöße gegen die DSGVO ist die Verarbeitung personenbezogener Daten ohne gültige Rechtsgrundlage. Jede Datenverarbeitung muss auf einem der sechs in Artikel 6 DSGVO genannten Erlaubnistatbestände beruhen: Einwilligung, Vertragserfüllung, rechtliche Verpflichtung, Schutz lebenswichtiger Interessen, öffentliches Interesse oder berechtigtes Interesse.

Fehlt diese Grundlage, ist die gesamte Datenverarbeitung rechtswidrig – mit entsprechenden finanziellen Konsequenzen. Besonders problematisch wird es, wenn Unternehmen sich auf vermeintliche Einwilligungen stützen, die den strengen DSGVO-Kriterien nicht genügen: Sie müssen freiwillig, informiert, spezifisch und eindeutig sein.

2. Unzureichende Sicherheitsmaßnahmen: Die digitale Achillesferse

Mangelnde technische und organisatorische Maßnahmen (TOM) bilden eine weitere häufige Ursache für DSGVO-Verstöße. Dazu gehören fehlende Verschlüsselung, unzureichende Zugriffskontrollen, veraltete Software und mangelhafte Backup-Systeme. Die DSGVO fordert einen Schutz personenbezogener Daten, der dem Stand der Technik entspricht – ein bewegliches Ziel, das kontinuierliche Investitionen in IT-Sicherheit erfordert. Unternehmen, die hier sparen, riskieren nicht nur Cyberangriffe und Datenlecks, sondern auch saftige Bußgelder für die Verletzung ihrer Sorgfaltspflicht.

3. Missachtete Betroffenenrechte: Wenn Kunden zu Bittstellern werden

Die DSGVO gewährt betroffenen Personen im Europäischen Wirtschaftsraum (EWR) umfassende Rechte zu ihren personenbezogenen Daten, darunter Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit und Widerspruch. Unternehmen, die solche Anfragen ignorieren, unvollständig bearbeiten oder übermäßig verzögern, verstoßen gegen die Vorgaben.

Besonders heikel ist die Verweigerung der Löschung – das „Recht auf Vergessenwerden“ –, sobald gesetzliche Aufbewahrungsfristen abgelaufen sind. Diese Rechte sind zwingend und müssen grundsätzlich innerhalb eines Monats beantwortet werden. In komplexen Fällen ist eine begründete Verlängerung möglich.

Übrigens: Mit dem neuen AI Act wird dies noch wichtiger. Da KI-Systeme häufig mit personenbezogenen Daten trainiert werden, müssen Unternehmen sicherstellen, dass Betroffene ihre DSGVO-Rechte auch in diesem Kontext wahrnehmen können. Dazu gehört, dass Personen Auskunft über ihre Daten verlangen, der Verarbeitung widersprechen oder eine Löschung fordern können. Unternehmen müssen diese Anfragen prüfen und – soweit rechtlich möglich – umsetzen.

4. Verschwiegene Datenpannen: Schweigen ist nicht Gold

Datenschutzverletzungen passieren – entscheidend ist der richtige Umgang damit. Die DSGVO verpflichtet Unternehmen, schwerwiegende Vorfälle innerhalb von 72 Stunden an die zuständige Aufsichtsbehörde zu melden und bei hohem Risiko für Betroffene auch diese zu informieren. Unternehmen, die Pannen verschweigen oder zu spät melden, riskieren doppelte Strafen: einmal für den Vorfall selbst und einmal für die unterlassene Meldung. Transparenz und schnelle Reaktion sind hier rechtliche Pflichten und nicht nur vertrauensbildende Maßnahmen.

5. Unerlaubte Werbung: Wenn Marketing zum Bumerang wird

Die unzulässige Verarbeitung personenbezogener Daten für Werbezwecke bleibt ein Dauerbrenner unter den DSGVO-Verstößen. Ob unerlaubte E-Mail-Newsletter, gekaufte Adresslisten oder Tracking ohne Einwilligung – Marketing ohne solide Rechtsgrundlage kann rapiden Schaden anrichten.

Ein Fall von Amazon unterstreicht die Dimensionen: Im Juli 2021 erhielt der Konzern von der luxemburgischen Behörde CNPD eine 746-Millionen-Euro-Strafe, weil personalisierte Werbung auf der Website ohne valide, freiwillige Einwilligung erfolgte und das Ablehnen von Tracking-Optionen unnötig kompliziert gestaltet war – ein Verstoß, der Millionen Nutzer betraf und die strengen Einwilligungsregeln der DSGVO (Art. 7) verletzte.

So vermeiden Unternehmen teure Bußgelder

Um den genannten Fallen zu entgehen, lohnt sich ein systematischer Ansatz:

  • Verzeichnis der Verarbeitungstätigkeiten erstellen: Eine vollständige Dokumentation aller Datenflüsse im Unternehmen – welche Daten werden zu welchem Zweck, auf welcher Rechtsgrundlage und wie lange verarbeitet.
  • Technische und organisatorische Maßnahmen umsetzen: Regelmäßige Sicherheitsupdates, starke Passwortrichtlinien, Verschlüsselung sensibler Daten und Zugriffsbeschränkungen nach dem „Need-to-Know"-Prinzip.
  • Transparente Datenschutzerklärungen verfassen: In einfacher Sprache erklären, welche Daten warum verarbeitet werden, und Betroffenen die einfache Ausübung ihrer Rechte ermöglichen.
  • System für Betroffenenanfragen etablieren: Zentrale Anlaufstelle, klare Prozesse und definierte Bearbeitungszeiten zur Einhaltung der gesetzlichen Fristen.
  • DSGVO-konforme Auftragsverarbeitungsverträge abschließen: Mit allen Partnern klare Regelungen zu Pflichten und Verantwortlichkeiten vereinbaren.

Fazit: Vorbeugen ist billiger als Bußgelder

Die häufigsten DSGVO-Verstöße entstehen meist durch Nachlässigkeit, doch diese Compliance-Fehler kosten europäische Unternehmen jährlich Hunderte Millionen Euro an Bußgeldern – Geld, das in Geschäftsentwicklung und Innovation besser investiert wäre. Die Kombination aus verschärfter Rechtsdurchsetzung und neuen Regulierungen wie dem AI Act macht proaktiven Datenschutz jedoch zur strategischen Notwendigkeit. Unternehmen, die in DSGVO-konforme Systeme und europäische Technologieanbieter investieren, sichern sich nicht nur gegen Bußgelder ab, sondern schaffen auch Vertrauen bei Kunden und Geschäftspartnern. In einer digitalen Wirtschaft ist Datenschutz kein Kostenfaktor mehr – sondern ein Wettbewerbsvorteil.

Insights & Trends

Entdecken Sie weitere Beiträge rund um das Thema Datenschutz.
Alle Beiträge
Lächelnde Frau mit Laptop auf dem Schoß
Datenschutz

Europäische Alternativen für datenschutzkonforme E-Mails im Business

Read more about Europäische Alternativen für datenschutzkonforme E-Mails im Business
Schloss
Best Practice, Datenschutz

Einsatz von E-Mail Continuity bei Ransomware-Attacken

Read more about Einsatz von E-Mail Continuity bei Ransomware-Attacken
mailbox Mail: Übersicht des Posteingangs

Auf einen Blick: Übersicht aller Module

Zur Übersicht →
mailbox Logo

mailbox wird zum digital souveränen Arbeitsplatz: Technik und Marke neu gedacht

Artikel lesen →
mailbox
Jetzt starten ❌︎