Zum vierten Geburtstag der europäischen Datenschutzgrundverordnung im Mai 2022 wurde der jährliche GDPR Enforcement Tracker Report mit einer Auswertung der bislang verhängten DSGVO-Bußgelder veröffentlicht. Einen Überblick über die wichtigsten Entwicklungen gibt Dr. Alexander Schmid, Rechtsanwalt bei CMS Deutschland.
(Quelle: WrightStudio - Adobe Stock)
Ein Blick in den GDPR Enforcement Tracker Report verrät, dass 2021 ein ganz besonderes Jahr war. Es wurden innerhalb eines Jahres nicht nur 505 neue DSGVO-Bußgelder in die zugrundeliegende Datenbank des GDPR Enforcement Tracker aufgenommen – was fast eine Verdoppelung innerhalb eines Jahres von vorher 526 Bußgeldern darstellt. Mit neuen Rekordbußgeldern gegen einzelne Unternehmen in Höhe von bis zu 746 Millionen Euro und 225 Millionen Euro erreichte der Enforcement Tracker auch in der Höhe eine neue Marke: Mittlerweile sind DSGVO-Bußgelder mit einer Gesamtsumme von rund 1,5 Milliarden Euro in der Datenbank enthalten. Diese wurden von Mitarbeitenden der Kanzlei CMS recherchiert, gelesen, ausgewertet, übersetzt und leicht verständlich zusammengefasst.
(Der aktuelle GDPR Enforcement Tracker Report zeigt einen deutlichen Anstieg der verhängten DSGVO-Bußgelder seit Juni 2021. (Bild: CMS Legal Services EEIG))
Aufsichtsbehörden entwickeln Routine beim Verhängen von Bußgeldern
Der Trend, der sich aus diesen Zahlen ableiten lässt, ist klar: Auch vier Jahre nach Inkrafttreten der DSGVO hat diese nicht an Relevanz für Unternehmen verloren und die Bußgeldpraxis der Aufsichtsbehörden der einzelnen EU-Mitgliedstaaten und der deutschen Bundesländer hat anscheinend gerade erst Betriebstemperatur angenommen. Was im Enforcement Tracker Report 2021 noch als Rekordbußgeld galt, findet im Enforcement Tracker Report 2022 gerade noch in den „Top 10“ Platz. Ein Abflachen ist derzeit nicht zu erkennen.
Auch wenn naturgemäß die einzelnen Rekordbußgelder aus den „Top 10“ zu medialem Rummel führen und die Schlagzeilen der Presse füllen, so dürfen sich Unternehmen hiervon aber nicht täuschen lassen. Diese Rekordbußgelder bilden nur die Spitze des Eisbergs ab. Zwar liegt die durchschnittliche Betrag der zum Stand des Enforcement Tracker Reports 2022 insgesamt 1.088 ausgewerteten Bußgeldern relativ hoch bei rund 1,5 Millionen Euro. Dies ist aber ebenfalls den schwindelerregenden Rekordbußgeldern gegen „Big Tech“ geschuldet, welche die durchschnittliche Höhe der Bußgelder nach oben treiben. Lässt man diese Rekordhöhe in der Betrachtung außen vor, so ist zu erkennen, dass die Aufsichtsbehörden durchaus zahlreiche Bußgelder im unteren vierstelligen Bereich verhängen oder es gar bei Ermahnungen belassen, obwohl die Gesamtanzahl der veröffentlichten Verfahren durchaus signifikant zugenommen hat.
DSGVO-Bußgelder: Spanien ist Spitzenreiter in der EU
Hinsichtlich der Anzahl der veröffentlichten DSGVO-Bußgelder ist dabei nach wie vor Spanien der Spitzenreiter, mit einigem Abstand gefolgt von Italien und Rumänien. Dies mag daran liegen, dass die Aufsichtsbehörden in Spanien generell aktiver sind und für kleinere Verstöße Bußgelder verhängen. Spanien scheint aber auch kleinere Bußgelder konsequenter zu veröffentlichen, was im Gegensatz zur strikten Veröffentlichungspraxis beispielsweise der deutschen Aufsichtsbehörden naturgemäß zu höheren Zahlen führt.
Besonders relevant zeigen sich dabei Datenverarbeitungen ohne ausreichende Rechtsgrundlage. Die DSGVO sieht vor, dass jegliche Verarbeitung personenbezogener Daten nur dann statthaft ist, wenn hierfür eine ausreichende Rechtsgrundlage besteht. Relevanteste Rechtsgrundlagen für Unternehmen der Privatwirtschaft sind dabei die Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) und die allgemeine Interessensabwägung (Art. 6 Abs. 1 lit. f DSGVO). Für beide Rechtsgrundlagen wurden in Vergangenheit von den Aufsichtsbehörden und der juristischen Literatur zahlreiche Grundsätze gebildet, die von Unternehmen in der Anwendung beachtet werden müssen.
(Spanien liegt an der Spitze bei der Anzahl der veröffentlichten DSGVO-Bußgelder. (Bild: CMS Legal Services EEIG))
DSGVO-Bußgelder: Basis sind Grundsätze der Datenverarbeitung
Weiterhin sind die allgemeinen Datenverarbeitungsgrundsätze zu beachten. Art. 5 der DSGVO enthält einen Katalog an Grundsätzen, der für jede Datenverarbeitung – unabhängig von ihrer Rechtsgrundlage – zu beachten ist. So müssen sich Unternehmen bei Datenverarbeitungen beispielsweise an die Prinzipien der Datensparsamkeit und Erforderlichkeit halten, also nicht mehr Daten verarbeiten, als dies für den jeweiligen Zweck erforderlich ist und Daten löschen, sobald diese für den ursprünglichen Verarbeitungszweck nicht mehr benötigt werden und keine Aufbewahrungspflichten bestehen.
Daten müssen schließlich gegen unbefugte und unrechtmäßige Verarbeitung geschützt werden, was einerseits technische Maßnahmen, andererseits aber auch organisatorische Maßnahmen zum Schutz von Daten (sogenannte technische und organisatorische Maßnahmen, TOMs) erfordert. Insbesondere muss durch technische Maßnahmen sichergestellt werden, dass nur autorisierte Personen Zugriff auf Datenverarbeitungssysteme und einzelne Datensätze haben. Daten sind zudem verschlüsselt zu speichern und zu übertragen, soweit dies wegen ihrer Sensitivität und dem damit verbundenen Risiko für die betroffenen Personen angezeigt ist.
Auch KMU auf dem Radar der Aufsichtsbehörden
Zusammenfassend ist festzustellen: Auch kleinere und mittelständische Unternehmen fliegen nicht unter dem Radar der Aufsichtsbehörden. Auch wenn es diesbezügliche Bußgelder meist nicht zu medialer Präsenz schaffen. Auch in kleineren und mittelständischen Unternehmen muss der Datenschutz also ernst genommen werden. Und es sollten Compliance-Konzepte aufgestellt und konsequent durchgesetzt werden. Datenschutzbußgelder führen nicht nur zu finanziellen Einbußen, sondern können der Vertrauenswürdigkeit des betroffenen Unternehmens schaden.
Stand: 16.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die WIN-Verlag GmbH & Co. KG, Chiemgaustraße 148, 81549 München einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von redaktionellen Newslettern nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://kontakt.vogel.de/de/win abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung, Abschnitt Redaktionelle Newsletter.
(Dr. Alexander Schmid ist Rechtsanwalt bei der Wirtschaftskanzlei CMS Deutschland. (Bild: CMS Legal Services EEIG))
Über den Autor: Dr. Alexander Schmid ist Rechtsanwalt bei der internationalen Wirtschaftskanzlei CMS in Deutschland. Er berät börsennotierte Unternehmen ebenso wie den Mittelstand zu Fragen des deutschen und europäischen IT-, Internet- und Datenschutzrechts. Seine Expertise erstreckt sich insbesondere auf die Themenfelder Digitale Geschäftsmodelle, Industrie 4.0 und IT-Outsourcing. (sg)
:quality(80)/p7i.vogel.de/wcms/f1/e9/f1e98b953f620f73a70286cc1227d951/taiping-20life-20insurance-vertriebsportal-16-9-871x490v1.jpeg "KI-gestützte Vertriebsplattform für Versicherungsagenten Beidou. (Bild: Taiping Life Insurance)")
:quality(80)/p7i.vogel.de/wcms/c0/64/c064b7ae6fad197f24f9aeb2286b9c18/vibe-20coding-pixelzone-adobestock-1928351772-mitki-1197x673v1.jpeg "(Bild: © Pixelzone/stock.adobe.com - generiert mit KI)"){kind=tracking}
:quality(80)/p7i.vogel.de/wcms/97/e3/97e3de39a611a1b83335e87465da264d/ifs-20-281-29v1.jpeg "Mittendrin statt nur dabei: KI entfaltet ihren Mehrwert erst durch ihre Einbettung in die operative Architektur. (Bild: IFS Deutschland GmbH)")
:quality(80)/p7i.vogel.de/wcms/ff/c4/ffc4a12c0c057ebdd25ec9ec9cfac283/r-c3-bcgenwalder-20m-c3-bchle-abf-c3-bcllung-20becker-16-9-1200x674v1.jpeg "Die Rügenwalder Mühle Carl Müller GmbH & Co. KG ist einer der bekanntesten Lebensmittelhersteller in Deutschland. (Bild: Rügenwalder Mühle)")
:quality(80)/p7i.vogel.de/wcms/b5/bc/b5bcd89014947ba7a8dcd3c40f733887/finanzbuchhaltung-baiboon-adobestock-844754938-mitki-996x560v1.jpeg "(Bild: © Baiboon/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/09/e4/09e4f3ecae59d63610e72841b5b9a582/svinformatik-mannheim-16-9-1200x674v1.jpeg "Die SV Informatik GmbH ist eine Tochtergesellschaft der SV SparkassenVersicherung in Mannheim.
(Bild: SV Informatik)")
:quality(80)/p7i.vogel.de/wcms/78/8b/788bc27578eb8e659925e56165d45bcb/cyberresilienz-delques-adobestock-783757721-neu-996x560v1.jpeg "(Bild: © Delques/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ae/81/ae8117326fa2d2cfb741c93eec84e301/derz-chatgpt-nis-2-16-9-1200x675v1.jpeg "(Bild: generiert mit ChatGPT)")
:quality(80)/p7i.vogel.de/wcms/88/19/8819dcd73a4fb9f0cee3f9ceb164d09e/rechenzentrum-nurionstudio-adobestock-990833600-mitki-1056x594v1.jpeg "(Bild: © nurionstudio/stock.adobe.com - generiert mit KI)")
:quality(80)/p7i.vogel.de/wcms/8d/6f/8d6ff76f8a461582b5896bc1bba46b41/ai-20agent-looker-studio-adobestock-1490521906-neu-1200x674v1.jpeg "(Bild: © Looker_Studio/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c4/0f/c40f4ee2e9a7c7961a4129669ace575c/recruiting-kunakorn-adobestock-588426794-neu-999x562v1.jpeg "(Bild: © kunakorn/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8c/4a/8c4a3cc0640eba8becdb813710412a8d/2026-06-csp-thementage-keyvisual-1677198687-2899x1632v1.jpeg "(Bild: ADN Advanced Digital Network Distribution GmbH)")
:quality(80)/p7i.vogel.de/wcms/15/2b/152ba0e37025c431f019ab3a166d2416/adobestock-1866319603-master1305-employer-branding-923x519v1.jpeg "(Bild: © master1305/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/02/e0/02e0253de738dc54cabc95e02b53eb51/cenit-20ag-martin-20thiel-16-9-977x550v1.jpeg "Martin Thiel wird als neuer CEO der Unternehmensgruppe zum 1. Mai 2026 antreten. (Bild: Cenit Gruppe)")
:quality(80)/p7i.vogel.de/wcms/8c/81/8c812149a8cf23be383184b1da53a55d/mhp-shutterstock-gorodenkoff-16-9-1126x633v1.jpeg "Die Mehrheit der Unternehmen treiben Post-Quantum-Kryptographie bereits aktiv voran – vom Pilotprojekt bis zur Migration. (Bild: Gorodenkoff/Shutterstock.com)")
:quality(80)/p7i.vogel.de/wcms/e9/4d/e94d46aa750d5b4b9eff39ac86f3021e/quantencomputer-graphicview35-adobestock-1620461863-mitki-1165x655v1.jpeg "(Bild: © graphicview35/stock.adobe.com - generiert mit KI)")
:quality(80)/p7i.vogel.de/wcms/d0/c9/d0c9db33dd29e147f8bfb10108d298c3/adobestock-1331550778-iman00-post-quantum-kryptografie-999x562v1.jpeg "(Bild: © Iman00/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/29/eb/29eb4c9076f5e31b20cc698b6629cd49/fortinet-20os-grafik-16-9-1559x876v1.jpeg "FortiOS ist ein Quantum-Safe-Betriebssystem, das als grundlegende Engine der Security-Fabric-Plattform von Fortinet dient. (Bild: Fortinet)")
:quality(80)/p7i.vogel.de/wcms/29/91/2991e12c4143d67380b22e5a28aa2fde/schwarz-20digits-siemens-cedrik-20neike-bernie-20wagner-16-9-1200x674v1.jpeg "Cedrik Neike (links), Mitglied des Vorstands der Siemens AG und CEO von Siemens Digital Industries, und Bernie Wagner, CSO von Schwarz Digits, nach der Vertragsunterzeichnung auf der Hannover Messe 2026. (Bild: Jonathan Schule/Schwarz Digits)")
:quality(80)/p7i.vogel.de/wcms/8f/de/8fde5edde5492f172f910a88df4ec6bd/souver-c3-a4nit-c3-a4t-antto-ai-adobestock-935874090-mitki-1197x673v1.jpeg "(Bild: © Antto-AI/stock.adobe.com - generiert mit KI)")
:quality(80)/p7i.vogel.de/wcms/2b/81/2b818b5f7ba733b3e1cb4f28959a71ab/digital-souvereignty-washing-16-9-1200x674v1.jpeg "(Bild: Generiert mit Claude Opus)")
:quality(80)/p7i.vogel.de/wcms/f0/34/f03477aa0801c854ace360a8bb3ac798/digital-wrightstudio-adobestock-282405948-neu-1200x675v1.jpeg "(Bild: © WrightStudio/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/15/4c/154c59eaef05d575d589cb226be21300/mkd-auftakt-20im-20klinikum-20aschaffenburg-16-9-1152x647v1.jpeg "Die beteiligten Partner von Mein-Krankenhaus.Digital (MKD) beim Auftakt im Klinikum Aschaffenburg. (Bild: Klinik IT eG)")
:quality(80)/p7i.vogel.de/wcms/cc/5b/cc5b1cb944ed35aea7d845615d1a590a/adobestock-1808356611-jafaewafa-digital-health-cloud-klinik-996x560v1.jpeg "(Bild: © jafaewafa/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ed/ca/edca4b162f9e6fcb70e2ce992f0fc191/schwarz-20digits-charite-1779x1000v1.jpeg "(Bild: )")
:quality(80)/p7i.vogel.de/wcms/09/03/0903ce87036011b833ac01227be46f45/robotik-anastasiia-adobestock-831949885-mitki-1067x600v1.jpeg "(Bild: © Anastasiia/stock.adobe.com - generiert mit KI)")
:quality(80)/p7i.vogel.de/wcms/d7/7e/d77ee857fc2f2f80cfd828c0c22db8c7/deutsche-20telekom-gr-c3-bcne-20ki-1296x728v1.jpeg "Künstliche Intelligenz kann die Energieeffizienz verbessern. (Bild: Deutsche Telekom)")
:quality(80)/p7i.vogel.de/wcms/66/c7/66c75cc78c7668b95e086f670e0f1a65/nachhaltigkeit-supatman-adobestock-896256258-neu-1200x675v1.jpeg "(Bild: © Supatman/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/dd/01dd47904948c7e4bde7592a5975591a/deutscher-nachhaltigkeitspreis-preisstatuette-fotocredit-frank-fendler-1000x563v1.jpeg "(Bild: Frank Fendler)")
:quality(80)/p7i.vogel.de/wcms/18/57/1857a82b6e8a7046aaf37a4049d6647e/uhv-leitstelle-foto-20state-20grid-20corp-16-9-1200x675v1.jpeg "Die State Grid Corporation of China betreibt ein Netz von Leitstellen und Kontrollzentren, um die Stromversorgung für über 1,1 Milliarden Menschen in China zu sichern. (Bild: State Grid Corp.)")
:quality(80)/p7i.vogel.de/wcms/aa/b0/aab0ec0eaf83c39c6f914d89f7663dab/adobestock-1727240800-studio-zenith-mitarbeiterkontrolle-996x560v1.jpeg "(Bild: © Studio Zenith/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9b/b6/9bb6e08e8817f967f2f1984b3c0667b0/adobestock-1380098923-kras99-shadow-ai-684x385v1.jpeg "(Bild: © kras99/stock.adobe.com)")
:fill(fff,0)/p7i.vogel.de/companies/66/27/66276a182029e/dvelop-logo-grey.jpeg "dvelop-logo-grey (d.velop AG)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/65/b9/65b9165fa3dff/logo-kendox.jpeg "logo-kendox (Kendox AG)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/5f/ca/5fca223f78cb5/xsuite-logo-rgb.jpg "XSUITE_LOGO_RGB.jpg (xSuite)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/93/d5/93d5c8cb9839da13c070f934d17e8c29/adobestock-1426893493-sidney-vd-boogaard-eu-data-act-1000x563v1.jpeg "adobestock-1426893493-sidney-vd-boogaard-eu-data-act-1000x563v1 (Bild: © Sidney vd Boogaard/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bd/bc/bdbc638abfec244b01cf7d6951e18e5e/adobestock-712667888-stockup-cyberangriff-recht-datenschutz-compliance-1000x563v1.jpeg "adobestock-712667888-stockup-cyberangriff-recht-datenschutz-compliance-1000x563v1 (Bild: © StockUp/stock.adobe.com)")