href="https://compliance-kit.eu/wissen/dsgvo-bussgelder-tracker-2025-2026.html">

DSGVO-Bußgelder 2025/26: was wirklich kostet

· · Kategorie: DSGVO
Praxis-Hinweis: Dieser Artikel ist praxisorientierte Compliance-Dokumentation, keine Rechtsberatung. Wir sind Compliance-Spezialist, keine Anwaltskanzlei. Für rechtsverbindliche Auskünfte konsultieren Sie eine zugelassene Rechtsanwältin oder einen Rechtsanwalt.

TL;DR

  • Maximum: 20 Mio. EUR oder 4 % weltweiter Jahresumsatz
  • 2025-Top: TikTok 530 Mio. EUR (Drittlandtransfer), LinkedIn 310 Mio. EUR (Targeting ohne Einwilligung)
  • KMU-Praxis: Schnitt 8.000-80.000 EUR; bei grober Pflichtverletzung 80.000-500.000 EUR
  • Top-3 Auslöser: Cookie-Banner-Verstöße (35 %), fehlende AVVs (18 %), unzureichende TOMs (15 %)
  • Vor dem Bußgeld: 5 Eskalations-Stufen — KMU noch in Stufe 2-4 verhandlungsfähig

1. DSGVO-Bußgeldstatistik 2025/26

Kennzahl20242025
Anzahl Bußgelder EU-weit~2.100~2.450 (+17 %)
Gesamtsumme1,9 Mrd. EUR2,3 Mrd. EUR
Davon Big Tech (Top 10)1,4 Mrd. EUR (74 %)1,8 Mrd. EUR (78 %)
Schnitt KMU14.500 EUR16.200 EUR
Höchstes EU-Bußgeld 2025TikTok 530 Mio. EUR (Irland)
Wer den vollständigen DSGVO-Dokumentensatz nicht selbst aufsetzen will, findet im DSGVO-Kit alle 67 Pflicht-Vorlagen — VVT, AVV, TOM, DSFA, Löschkonzept und Datenpannen-Workflow inklusive.

2. Top 10 Bußgelder 2025/26

UnternehmenHöheVerstoßAufsicht
TikTok530 Mio. EURDrittlandtransfer (China-Daten ohne SCC)DPC Irland 2025
LinkedIn310 Mio. EURTargeting ohne EinwilligungDPC Irland 2024
Meta251 Mio. EURDatenpanne 2018, Folge-VerstößeDPC Irland 2024
Uber290 Mio. EURDatentransfer USA ohne GarantieAP Niederlande 2024
Clearview AI30,5 Mio. EURBiometrische Datenverarbeitung ohne RechtsgrundlageAP Niederlande 2024
Vodafone45 Mio. EURWerbeanrufe + DPF-VerstößeBfDI 2025
Deutsche Wohnen14,5 Mio. EURAufbewahrung Mieter-Daten ohne LöschkonzeptBerlin 2024
H&M35,3 Mio. EUR (rechtskräftig 2024)Mitarbeiter-ÜberwachungHmbBfDI 2020/2024
AOK Baden-Württemberg1,24 Mio. EURAuskunftsmängel + fehlende SchulungenLfDI BW 2020
Notebooksbilliger.de10,4 Mio. EURVideoüberwachung ohne RechtsgrundlageLfDI Niedersachsen 2021

3. KMU-Bußgelder: was wirklich Praxis ist

KMU-GrößeSchnitt-BußgeldHäufigste Auslöser
1-10 MA2.500-8.000 EURCookie-Banner, fehlende Datenschutzerklärung
11-50 MA8.000-25.000 EURFehlende AVVs, schwache TOMs, Datenpannen-Verzögerung
51-249 MA25.000-150.000 EURVVT-Mängel, fehlende DSFA, Auskunftsverweigerung
250-1.000 MA80.000-500.000 EURMehrfache Pflichtverletzungen, fehlendes Löschkonzept
> 1.000 MA500.000+ EURSystem. Pflichtverletzungen, GF-Haftung

4. 7 typische Fehler, die zu Bußgeldern führen

  1. Cookie-Banner ohne echte Wahl (35 % der EU-Bußgelder) — EuGH C-673/17, EuGH C-621/22 verschärft
  2. Fehlende AVVs mit Cloud-Anbietern (18 %) — typisch: Microsoft 365 ohne aktivierte EU Data Boundary
  3. Unzureichende TOMs nach Datenpannen (15 %) — Aufsicht prüft nach Vorfall, ob Schutzmaßnahmen vor dem Vorfall ausreichend waren
  4. Auskunftsverweigerung Art. 15 (12 %) — Antwort >1 Monat OHNE Verlängerungs-Begründung
  5. Fehlende DSFA bei Hochrisiko-Verarbeitungen (10 %)
  6. Kein Löschkonzept (Aufbewahrung über alle Fristen hinaus)
  7. Drittlandtransfer ohne TIA (Schrems II / DPF nicht dokumentiert)

5. Aufsichts-Praxis: was Behörden wirklich prüfen

BfDI-Tätigkeitsbericht 2024: 85 % der Aufsichtsanfragen beginnen mit Vorlage des VVT. Praxis-Reihenfolge:

  1. VVT-Vorlage und Plausibilitätsprüfung
  2. AVV-Liste (passend zu VVT-Empfängern)
  3. TOM-Konzept (passend zur Risikolage)
  4. DSFA für Hochrisiko-Verarbeitungen
  5. Datenschutzerklärung Website
  6. Cookie-Banner (Test der echten Auswahl)
  7. Datenpannen-Workflow (Tabletop-Übung erfragt)
  8. Schulungs-Nachweise

6. 14 Dokumente, die Aufsichten erwarten

  1. VVT (Verarbeitungsverzeichnis Art. 30)
  2. TOM-Konzept (Art. 32)
  3. AVV-Liste mit allen Auftragsverarbeitern
  4. DSFA-Methodik + Schwellwertanalyse
  5. Datenpannen-Response-Plan + 72h-Meldevorlage
  6. Löschkonzept (DIN 66398-konform)
  7. DSB-Bestellungsurkunde (sofern pflichtig)
  8. Datenschutzerklärung Website
  9. Datenschutzerklärung Bewerber/Mitarbeiter
  10. Cookie-/Consent-Konzept (TDDDG-konform)
  11. Drittlandtransfer-TIA (Schrems II)
  12. Schulungs-Konzept + Teilnahme-Nachweise
  13. Verpflichtungserklärung Vertraulichkeit (§ 53 BDSG)
  14. Auskunfts-Workflow (Art. 15-22)

7. Schadensersatz nach Art. 82 — eskalierend

Neben Aufsichts-Bußgeldern: zivilrechtliche Schadensersatz-Klagen nach Art. 82 DSGVO. EuGH C-340/21 (Dez. 2023): immaterieller Schadensersatz bereits bei 'Befürchtung' eines Missbrauchs. Praxis 2024-2026:

8. 9-Schritte-Checkliste zur Bußgeld-Vermeidung

  1. VVT-Audit: alle Verarbeitungen dokumentiert?
  2. AVV-Inventar: alle externen Dienstleister vertraglich abgedeckt?
  3. TOM-Review: angemessen für Risikolage?
  4. DSFA für alle Hochrisiko-Verarbeitungen
  5. Datenpannen-Tabletop-Übung halbjährlich
  6. Cookie-Banner mit Consent-Tool getestet
  7. Drittlandtransfer-TIA für alle US-Tools
  8. Mitarbeiter-Schulung jährlich + Onboarding
  9. DSB-Tätigkeitsbericht an Geschäftsleitung

Häufig gestellte Fragen

Wie hoch ist das Bußgeld-Maximum?
Bis 20 Mio. EUR oder 4 % weltweiter Jahresumsatz (höherer Wert). Bei den schwersten Verstößen (Art. 83 Abs. 5 DSGVO): Verstoß gegen Grundsätze, Rechtsgrundlagen, Betroffenenrechte oder Drittlandstransfers. Geringere Verstöße (Art. 83 Abs. 4): bis 10 Mio. EUR / 2 %.
Wie hoch sind KMU-Bußgelder typischerweise?
Praxis 2024-2026: Schnitt 8.000-80.000 EUR pro Fall. Bei groben Pflichtverletzungen (fehlendes VVT, Cookie-Banner ohne Opt-Out): 25.000-150.000 EUR. Vollständig fehlende DSGVO-Compliance + Aufsichts-Verfahren mit Anhörungen: 80.000-500.000 EUR.
Welche Verstöße führen am häufigsten zu Bußgeldern?
BfDI-Statistik 2024: (1) Cookie-Banner-Verstöße (35 %), (2) fehlende AVVs mit US-Cloud-Anbietern (18 %), (3) unzureichende TOMs nach Datenpannen (15 %), (4) Auskunftsverweigerung Art. 15 (12 %), (5) fehlende DSFA bei Hochrisiko-Verarbeitungen (10 %).
Was bedeutet 'wirksam, verhältnismäßig, abschreckend'?
Art. 83 Abs. 1 DSGVO. Aufsicht berücksichtigt: Schwere und Dauer des Verstoßes, Vorsatz/Fahrlässigkeit, Maßnahmen zur Schadens-Mitigation, Zusammenarbeit mit Aufsicht, Kategorien betroffener Daten, Meldetreue (Art. 33), Vorgeschichte. Praktisch: Erste Anzeige ist meist Verwarnung, zweite ein Bußgeld.
Wer entscheidet über das Bußgeld?
DE: Landes-Datenschutzbehörden (16 LfDI + BfDI für Bundesbehörden, Telekommunikation, Post). AT: ÖDSB. CH: EDÖB. Bei grenzüberschreitenden Verstößen: One-Stop-Shop mit federführender Behörde + Konsultation der betroffenen Behörden.
Kann das Bußgeld in Raten gezahlt werden?
Ja, in Praxis. Aufsichten gewähren Stundungen oder Ratenzahlungen, vor allem bei KMU mit liquiditätsbedrohender Höhe. Vorab-Absprache nötig — keine eigenmächtige Verzögerung.
Sind Bußgelder steuerlich absetzbar?
Nein. § 4 Abs. 5 Nr. 8 EStG: Bußgelder sind keine Betriebsausgaben. Auch Kosten der Verteidigung (Anwalt) sind nur teilweise absetzbar — Beratungs-Kosten ja, Strafverteidigungs-Kosten nicht.
Eskalation: was kommt vor dem Bußgeld?
Aufsicht-Eskalations-Stufen: (1) Beschwerden-Eingang, (2) Auskunftsersuchen an das Unternehmen (oft Vorlage VVT), (3) Anhörung mit Frist 4-8 Wochen, (4) Verwarnung oder Anordnung, (5) Bußgeldbescheid bei Wiederholung oder Schwere, (6) Klage / Verwaltungsgericht. KMU sind in 70 % der Fälle bei Stufe 2-4 noch verhandlungsfähig.

Quellen

Verwandte Artikel

DSGVO · Pillar

Verarbeitungsverzeichnis erstellen 2026

Pflichtfelder + 8-Schritte-Anleitung + 14 Beispiele.

 DSGVO · Glossar

AVV (Art. 28)

Mustervertrag + BayLDA-Praxis.

 DSGVO · LM

DSGVO-Selbsttest

8 Fragen, Score, individuelle Empfehlung.

Werkzeuge & Selbsttests

DSGVO-Checkliste 30 Pruefpunkte fuer Datenschutz-Compliance im KMU. Bussgeld-Rechner Berechnen Sie das potenzielle Bussgeld-Risiko fuer Ihr Unternehmen. DSGVO Self-Assessment Strukturierter Selbsttest mit Reifegrad-Score und Massnahmen-Roadmap. Cookie-Banner-Audit TDDG/DSGVO-Pruefung Ihres Cookie-Banners mit konkreten Korrektur-Hinweisen.