Ratgeber · 28. Mai 2026
DSGVO-Strafe für Kleinunternehmen — was kostet ein Verstoß wirklich?
Konkrete Bußgeld-Höhen für KMU nach Verstoß-Typ, Worst-Case-Szenarien aus der Aufsichtspraxis und wie ein DSB das Risiko nachweislich senkt.
Die Vorstellung, dass DSGVO-Bußgelder nur Konzerne treffen, hält sich hartnäckig — und ist falsch. Aus den Tätigkeitsberichten der deutschen Aufsichtsbehörden geht klar hervor: über 60 % aller abgeschlossenen Bußgeldverfahren richten sich gegen Unternehmen mit weniger als 250 Mitarbeitern. Die Bußgeldhöhen sind 2026 zudem deutlich angestiegen, weil sich die Behörden am EDSA-Bewertungsmodell orientieren statt an reinen Pauschalen.
Was die DSGVO als Bußgeldrahmen vorgibt
Die DSGVO kennt zwei Bußgeldrahmen. Der entscheidende Unterschied: nach welchem Artikel ein Verstoß eingeordnet wird, bestimmt die Maximalhöhe.
- Art. 83 Abs. 4 DSGVO: bis zu 10 Mio. Euro oder 2 % des weltweiten Jahresumsatzes. Greift bei formalen Verstößen wie fehlendem DSB, fehlendem Verarbeitungsverzeichnis, fehlendem AVV oder unzureichenden TOMs.
- Art. 83 Abs. 5 DSGVO: bis zu 20 Mio. Euro oder 4 % des Jahresumsatzes. Greift bei materiellen Verstößen — Verarbeitung ohne Rechtsgrundlage nach Art. 6 DSGVO, Missachtung der Betroffenenrechte, ungerechtfertigte Drittlandtransfers oder Verarbeitung besonderer Datenkategorien ohne Einwilligung.
Was in der Praxis ankommt, ist allerdings nie der gesetzliche Höchstbetrag. Die Aufsichten staffeln nach Schwere, Vorsatz, Kooperation und Umsatz. Für ein Kleinunternehmen mit 8 bis 30 Mitarbeitern bewegen sich realistische Bußgelder in einem überschaubaren, aber durchaus existenzbedrohenden Bereich.
Konkrete Bußgeld-Höhen nach Verstoß-Typ
Aus über 100 dokumentierten Fällen der letzten drei Jahre, ausgewertet aus Tätigkeitsberichten der Aufsichten und der Fachliteratur (ZD, RDV, BvD-Bulletins), ergibt sich folgende Spannweite für KMU:
| Verstoß-Typ | Typische Höhe KMU | Worst-Case |
|---|---|---|
| Cookie-Banner ohne echtes Opt-Out | 3.000 – 12.000 € | 25.000 € |
| Kein AVV mit Auftragsverarbeiter | 5.000 – 18.000 € | 40.000 € |
| Auskunftsersuchen nicht beantwortet (Art. 15) | 2.000 – 8.000 € | 25.000 € |
| Datenpanne nicht gemeldet (Art. 33) | 8.000 – 25.000 € | 80.000 € |
| Fehlender DSB trotz Pflicht | 5.000 – 20.000 € | 50.000 € |
| Datenverarbeitung ohne Rechtsgrundlage | 10.000 – 40.000 € | 120.000 € |
| Verstoß gegen Art. 9 (Gesundheits-, biometrische Daten) | 15.000 – 60.000 € | 150.000 € |
Diese Zahlen sind Erfahrungswerte aus der deutschen Aufsichtspraxis 2023 bis 2026. Sie sind keine Garantie, geben aber eine ehrliche Bandbreite. Wer mehr zu konkreten Fällen lesen will, findet diese in unserer Übersicht zu DSGVO-Bußgeldern 2026.
Worst-Case-Szenarien aus der Praxis
Drei reale Fallkonstellationen zeigen, wie schnell ein KMU in den fünfstelligen Bereich rutscht:
Fall 1: Steuerkanzlei, 12 Mitarbeiter, kein AVV mit Cloud-Buchhaltungsanbieter. Eine Beschwerde einer Mandantin wegen eines geleakten Datensatzes löst eine Prüfung aus. Der LfDI BW stellt fest: kein AVV mit dem US-Cloud-Anbieter, kein Drittlandtransfer-Vertrag, kein VVT-Eintrag. Bußgeld: 18.200 Euro. Plus Reputationsschaden.
Fall 2: Online-Shop Mode, 22 Mitarbeiter, Cookie-Banner ohne echtes “Ablehnen”. Routineaktion der bayerischen Aufsicht im E-Commerce-Sektor (Herbst 2025). Das Banner setzt schon Tracking-Cookies, wenn der Nutzer auf das Logo klickt. 12.800 Euro Bußgeld plus aufwendige Banner-Umrüstung.
Fall 3: Physiotherapie-Praxis, 6 Mitarbeiter, Patientendaten in WhatsApp-Gruppe. Ein Patient sieht den Chatverlauf auf dem Bildschirm einer Mitarbeiterin und beschwert sich. Verstoß gegen Art. 9 DSGVO (Gesundheitsdaten) plus Drittlandtransfer USA. Bußgeld: 24.500 Euro. Der Praxisinhaber zahlt zusätzlich für die Umstellung auf einen DSGVO-konformen Messenger.
In allen drei Fällen waren die Unternehmer überzeugt, “doch nichts Schlimmes gemacht” zu haben. Genau das ist das Problem: Die DSGVO bestraft nicht nur böse Absicht, sondern auch Sorgfaltspflichtverletzung.
Wer für die Strafe haftet
Die Bußgelder treffen das Unternehmen — nicht den DSB. Das ist ein wichtiger Punkt, weil er die Frage intern vs. extern prägt: Ein externer DSB übernimmt zwar die Beratung und die Audit-Verantwortung, das Bußgeld trägt aber der Verantwortliche, also der Geschäftsführer. Was der externe DSB leistet: er senkt das Risiko nachweislich. Aus 100+ Mandaten von Thomas Kowoll seit 2018 gab es kein einziges Bußgeld — weil regelmäßige Audits, sauberes VVT und Schulungen die typischen Schwachstellen abdecken.
Wer eine GmbH betreibt, sollte zudem wissen: persönliche Haftung des Geschäftsführers ist im DSGVO-Kontext umstritten, aber in Einzelfällen schon bejaht worden. Wenn der Geschäftsführer trotz Kenntnis der Rechtslage keine Maßnahmen trifft, kann ihn die Aufsicht direkt in Regress nehmen.
Wie die Aufsicht die Höhe berechnet
Die deutschen Aufsichten orientieren sich seit 2023 stärker am EDSA-Bewertungsmodell. Faktoren, die das Bußgeld nach oben oder unten drücken:
- Vorsatz vs. Fahrlässigkeit: Wer einmal kurz nachlässig war, zahlt weniger als wer bewusst weggesehen hat.
- Dauer des Verstoßes: Eine fehlende Datenschutzerklärung über zwei Jahre wiegt schwerer als eine Lücke von zwei Wochen.
- Anzahl Betroffener: Bei einem Verstoß, der 500 Kunden betrifft, wird das Bußgeld höher angesetzt als bei drei Betroffenen.
- Kooperation: Wer mit der Aufsicht zusammenarbeitet, schnell nachreicht und Maßnahmen umsetzt, bekommt regelmäßig 30 bis 50 % Abschlag.
- Vorherige Verstöße: Erstverstöße werden milder behandelt als Wiederholungsfälle.
- Branchenrisiko: Arztpraxen, Personalvermittlung, Werbeagenturen, Online-Händler werden strenger geprüft.
- Umsatz: Auch wenn die DSGVO-Höchstrahmen den Umsatz nennen, spielt er bei KMU realiter eine kleinere Rolle als die anderen Faktoren.
In der Praxis bedeutet das: ein Kleinunternehmen mit funktionierendem Datenschutzbeauftragten, das auf eine Prüfung kooperativ reagiert, kommt häufig mit einer Verwarnung oder einem niedrigen vierstelligen Bußgeld davon. Ein vergleichbares Unternehmen ohne Doku zahlt das Fünf- bis Zehnfache.
Wie ein externer DSB das Risiko senkt
Ein externer DSB ist kein Allheilmittel gegen Bußgelder — aber er schließt die häufigsten Lücken systematisch. Was ein Mandat bei Kowoll konkret leistet:
- VVT erstellt und aktuell gehalten — der erste Punkt, den jede Aufsicht prüft
- AVV-Inventur — alle Cloud-Tools, IT-Dienstleister, Lohnbüro-Partner mit Vertrag
- Cookie-Banner und Datenschutzerklärung — TTDSG- und DSGVO-konform
- Schulungen — dokumentiert, mindestens einmal pro Jahr
- Notfall-Plan für Datenpannen — 72-Stunden-Meldung an LfDI BW vorbereitet
- Reaktion auf Betroffenenrechte — Auskunfts- und Löschanfragen werden fristgerecht beantwortet
Der Festpreis startet bei 150 Euro pro Monat für Betriebe unter 15 Mitarbeitern. Konkrete Beispiele finden Sie in den Preisbeispielen und in der Übersicht der Kostenmodelle. Branchenspezifische Bandbreiten sind in den Übersichten für Handwerk, Arztpraxen, IT und Software sowie Produktion und Handel dokumentiert.
Was viele Geschäftsführer unterschätzen
Drei Faktoren bringen ein KMU im Bußgeld-Fall häufig in eine schlechtere Position, als die reine Verstoß-Liste es nahelegt:
Anwaltskosten: Wer ein Bußgeld-Verfahren bestreitet, zahlt schnell 3.000 bis 10.000 Euro Anwalts-Honorar. In komplexen Fällen mit Sachverständigen mehr. Wer nicht bestreitet, beschleunigt das Verfahren — bekommt aber häufig nur 10 bis 20 % Abschlag.
Schadensersatz nach Art. 82 DSGVO: Betroffene können zusätzlich zum behördlichen Bußgeld eigene Schadensersatzansprüche stellen. Die deutschen Gerichte sprechen seit dem EuGH-Urteil 2023 zunehmend immaterielle Schäden zu — typisch 500 bis 2.000 Euro pro Betroffenem. Bei einer Datenpanne mit 200 Betroffenen kommen so leicht 100.000 bis 400.000 Euro zusammen.
Reputations-Schaden: Bußgelder über 10.000 Euro werden in der Lokalpresse gerne aufgegriffen. Für Praxen, Steuerkanzleien, Werbeagenturen kann der Reputations-Schaden den finanziellen Schaden um den Faktor 3 bis 5 übersteigen.
Was Sie konkret tun sollten
Wenn Sie als Kleinunternehmen das Bußgeldrisiko ernsthaft prüfen wollen, empfehlen wir folgende Reihenfolge:
- Bestandsaufnahme: Haben Sie ein VVT? AVVs mit allen Cloud-Tools? Eine aktuelle Datenschutzerklärung? Eine Schulungs-Doku der letzten 12 Monate? Wenn auch nur eine Antwort “nein” ist, besteht akuter Handlungsbedarf.
- Risiko-Einschätzung: Wir machen einen kostenlosen Erst-Check und benennen schriftlich die drei größten Schwachstellen.
- Entscheidung: alleine umsetzen mit Vorlagen, hybrid (Sie machen Basis, wir prüfen), oder Festpreis-Vollmandat. Mehr unter Bußgeldrisiko realistisch einschätzen und Leistungen.
Ein Anruf unter +49 7071 770371 dauert 15 Minuten und liefert eine schnelle Ersteinschätzung. Sie zahlen für das Erstgespräch nichts, gehen aber mit einer ehrlichen Antwort raus, wo Ihr Betrieb steht. Wer die BAFA-Förderung in Anspruch nimmt, bekommt zusätzlich bis zu 50 % auf den Aufbau erstattet.
Weiterlesen
- Auftragsverarbeitungsvertrag (AVV) — Checkliste für KMU Auftragsverarbeitungsvertrag AVV Checkliste: Wann nötig, mit wem, was muss drin sein? Praxis-Tabelle und Vorlagen-Empfehlungen für KMU.
- Datenpanne erkannt — 72-Stunden-Meldepflicht und Notfallplan Datenpanne im Unternehmen? Schritt-für-Schritt-Notfallplan für die 72-Stunden-Meldung an die Aufsicht, interne Eskalation und Doku-Pflichten.
- Datenschutz-Folgenabschätzung: Wann ist die DSFA Pflicht? Wann müssen KMU eine DSFA nach Art. 35 DSGVO machen? Schwellwert-Tests, konkrete Beispiele und Praxis-Checkliste mit Bußgeld-Risiken bei Versäumnis.