DSGVO-Risiko
Was kostet ein DSGVO-Verstoß — und warum ein DSB billiger ist
Maximal vier Prozent des weltweiten Jahresumsatzes oder 20 Millionen Euro — der eine Satz steht in Art. 83 DSGVO. Was er in der deutschen Praxis bedeutet: fünf- bis siebenstellige Bußgelder sind keine Theorie, sondern monatliche Realität in BfDI- und LfDI-Statistiken.
Bußgeld-Beispiele aus Deutschland
Die folgenden Fälle wurden öffentlich von Aufsichtsbehörden kommuniziert oder über Medien bekannt. Alle aus dem deutschen Mittelstand-Umfeld, nicht aus dem Konzern-Universum:
| Fall | Branche | Bußgeld |
|---|---|---|
| Unzulässige Videoüberwachung (Mitarbeiter) | Handel, ~80 MA | 10,4 Mio. € (Konzernteil) |
| Fehlerhafte Datensicherheit / Datenleck | Wohnungswirtschaft | 14,5 Mio. € |
| Unrechtmäßige Datenverarbeitung Bewerber | Versandhandel | 35,3 Mio. € |
| Newsletter ohne Einwilligung | E-Commerce, ~50 MA | 50.000–200.000 € |
| Mitarbeiter-Datenpanne ohne Meldung | Maschinenbau, ~120 MA | 240.000 € |
| Falsche Cookie-Einwilligung | Online-Shop, ~30 MA | 35.000–80.000 € |
Die unteren Beispiele aus dem KMU-Bereich sind die typischen Fälle: keine Schlagzeilen, aber existenzbedrohend wenn ein Betrieb mit 1–3 Mio. € Jahresumsatz plötzlich ein sechsstelliges Bußgeld bezahlen muss.
Indirekte Kosten — oft höher als das Bußgeld selbst
Ein DSGVO-Vorfall kommt selten allein. Was zusätzlich auf Sie zukommt:
- Anwalts- und Beratungskosten für die Behörden-Korrespondenz: typisch 15.000–60.000 €
- Forensische Aufklärung bei Datenpannen: 20.000–100.000 € je nach Umfang
- Schadensersatz nach Art. 82 DSGVO an Betroffene: pro Person 500–5.000 € — bei größeren Datenlecks summenmäßig erheblich
- Reputationsverlust: in B2B-Beziehungen oft kündigungsrelevant, vor allem wenn Sie als Auftragsverarbeiter tätig sind
- Vertragsstrafen aus B2B-AVVs: viele Großkunden machen DSGVO-Compliance vertraglich verbindlich mit eigenen Sanktionen
- Geschäftsführung als Privatperson: nach § 130 OWiG Aufsichtspflicht-Verletzung möglich
ROI: Was Sie mit einem DSB sparen
Konservativ gerechnet: ein KMU mit 50 Mitarbeitern und mittlerer Datenverarbeitung zahlt bei uns rund 5.000 € pro Jahr Festpreis. Ein mittelschweres Bußgeld bei einer vermeidbaren Verfehlung beginnt bei 50.000 € — die zehnfache Jahresgebühr. Ein Datenleck mit Behörden-Engagement: schnell sechsstellig.
Anders gerechnet: Sie können 10 Jahre lang einen externen DSB beauftragen, und die Gesamtkosten liegen unter einem einzigen mittleren Bußgeld. Versicherer rechnen so ihre Prämien — und das ist hier exakt die richtige Logik.
Was ein externer DSB konkret verhindert
Die häufigsten Bußgeld-Auslöser, die wir durch laufende Betreuung vermeiden:
- Fehlendes Verarbeitungsverzeichnis (Art. 30 DSGVO) — wird bei jeder Behörden-Anfrage zuerst geprüft
- Unrechtmäßige Datenverarbeitung mangels Rechtsgrundlage (Art. 6/9 DSGVO)
- Datenpannen ohne 72-Stunden-Meldung (Art. 33) — das verschärft selbst kleine Fälle drastisch
- Falsche oder fehlende Auftragsverarbeitungsverträge (Art. 28)
- Unrechtmäßige Werbe-Newsletter ohne Double-Opt-In oder mit veralteten Einwilligungen
- Tracking ohne TTDSG-konforme Einwilligung
- Mitarbeiterdaten ohne saubere Rechtsgrundlage
Mehr Details zu unserem Leistungsumfang unter Leistungen.
Häufige Fragen
Gilt das Bußgeld-Risiko auch für kleine Unternehmen?
Absolut. Die Bußgeldhöhe richtet sich am Jahresumsatz und der Schwere der Verstöße aus — auch ein 1-Mio-€-Mittelständler kann mit fünf- bis sechsstelligen Bußgeldern belegt werden. Die Aufsichtsbehörde unterscheidet nicht nach „groß genug für Schlagzeilen".
Wer haftet — die Firma oder die Geschäftsführung persönlich?
Beides. Das Bußgeld geht ans Unternehmen, die persönliche Haftung der Geschäftsführer für Schäden Dritter (Schadensersatz nach Art. 82 DSGVO) und für Verstöße gegen Sorgfaltspflichten kann zusätzlich greifen.
Kann ich mich gegen das Risiko versichern?
D&O-Versicherungen decken Teile davon ab, schließen aber Vorsatz und grobe Fahrlässigkeit aus — genau die Fälle, die Bußgelder auslösen. Ein DSB ist kostengünstiger und wirkt vorbeugend, nicht reparierend.