DSGVO-Bußgelder und Sanktionen: Was SaaS-Unternehmen riskieren

DSGVO-Bußgelder sind keine Theorie. Seit die Verordnung im Mai 2018 in Kraft trat, haben europäische Datenschutzbehörden Sanktionen in Milliardenhöhe verhängt — wobei einige der höchsten Bußgelder auf Technologie- und SaaS-Unternehmen abzielten. Die Zahlen machen Schlagzeilen: 1,2 Milliarden Euro gegen Meta für internationale Datenübermittlungen, 746 Millionen Euro gegen Amazon für Werbe-Targeting, 405 Millionen Euro gegen Meta für Kinderdaten auf Instagram.

Aber das Durchsetzungsbild geht weit über schlagzeilenträchtige Mega-Bußgelder hinaus. Hunderte kleinerer Sanktionen wurden gegen Unternehmen aller Größen für routinemäßige Compliance-Versäumnisse verhängt: unzureichende Datenschutzhinweise, fehlende AVVs, verspätete Meldungen von Datenpannen und das Versäumnis, ein Verzeichnis der Verarbeitungstätigkeiten zu führen. Das sind genau die Versäumnisse, die SaaS-Unternehmen in jeder Wachstumsphase betreffen.

Das Verständnis des Bußgeld-Frameworks — was Durchsetzung auslöst, wie Sanktionen berechnet werden und was Aufsichtsbehörden tatsächlich ahnden — hilft Ihnen, Ihre Compliance-Bemühungen dort zu priorisieren, wo sie am meisten zählen.

Die zweistufige Bußgeldstruktur

Stufe 1: Bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes

Die untere Stufe gilt für Verstöße in Bezug auf:

• Pflichten von Verantwortlichen und Auftragsverarbeitern (Artikel 8, 11, 25–39, 42, 43) — Dazu gehören Versäumnisse bei:

  • Verzeichnis der Verarbeitungstätigkeiten (Artikel 30)
  • Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen (Artikel 25)
  • Auftragsverarbeitungsverträge (Artikel 28)
  • Meldung von Datenpannen (Artikel 33–34)
  • Datenschutz-Folgenabschätzungen (Artikel 35)
  • Ernennung und Unabhängigkeit des DSB (Artikel 37–39)
  • Sicherheit der Verarbeitung (Artikel 32)

• Pflichten von Zertifizierungsstellen (Artikel 42–43)

Stufe 2: Bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes

Die obere Stufe gilt für schwerwiegendere Verstöße:

• Grundsätze der Verarbeitung (Artikel 5, 6, 9) — Unrechtmäßige Verarbeitung, Fehlen einer gültigen Rechtsgrundlage, Verarbeitung besonderer Datenkategorien ohne Berechtigung
• Einwilligungsbedingungen (Artikel 7) — Ungültige Einwilligungsmechanismen
• Rechte betroffener Personen (Artikel 12–22) — Nichtbeantwortung von Auskunftsersuchen, Recht auf Löschung, Datenübertragbarkeit
• Internationale Datenübermittlungen (Artikel 44–49) — Übermittlung von Daten außerhalb des EWR ohne gültigen Mechanismus
• Nichtbefolgung von Anordnungen der Aufsichtsbehörde — Ignorieren von Korrekturmaßnahmen einer Datenschutzbehörde

In beiden Stufen gilt das Bußgeld als der höhere Betrag des Festbetrags oder des Umsatzprozentsatzes. Für ein Unternehmen mit 500 Millionen Euro Jahresumsatz könnte ein Stufe-2-Bußgeld 20 Millionen Euro erreichen — aber 4 % des Umsatzes wären in diesem Fall ebenfalls 20 Millionen Euro. Für ein Unternehmen mit 1 Milliarde Euro Umsatz würde der Umsatzprozentsatz (40 Millionen Euro) den Festbetrag übersteigen.

Wie Bußgelder berechnet werden

Artikel 83(2) listet die Faktoren auf, die Aufsichtsbehörden bei der Festsetzung der Bußgeldhöhe berücksichtigen:

Art, Schwere und Dauer. Wie schwerwiegend war der Verstoß? Wie viele Personen waren betroffen? Wie viel Schaden ist entstanden? Wie lange dauerte der Verstoß, bevor er behoben wurde?

Vorsatz oder Fahrlässigkeit. War der Verstoß vorsätzlich (z. B. absichtliches Ignorieren von Auskunftsersuchen) oder fahrlässig (z. B. unzureichende interne Prozesse)? Vorsätzliche Verstöße ziehen höhere Bußgelder nach sich.

Abhilfemaßnahmen. Was hat die Organisation unternommen, um den Schaden zu reduzieren? Schnelles Handeln zur Eindämmung einer Datenpanne, Benachrichtigung betroffener Personen und Behebung der Ursache können das Bußgeld reduzieren.

Compliance-Historie. Ist dies der erste Verstoß der Organisation oder gibt es ein Muster? Wiederholungstäter sehen sich eskalierenden Sanktionen gegenüber.

Kooperation mit der Aufsichtsbehörde. Organisationen, die vollständig mit Untersuchungen kooperieren — zeitnah Informationen bereitstellen, angeforderte Änderungen umsetzen — werden besser behandelt als solche, die sich widersetzen oder behindern.

Kategorien personenbezogener Daten. Verstöße, die sensible Daten betreffen (Gesundheits-, Finanz-, Kinderdaten), ziehen typischerweise höhere Bußgelder nach sich als solche, die grundlegende Kontaktdaten betreffen.

Wie die Behörde vom Verstoß erfuhr. Hat die Organisation das Problem selbst gemeldet (z. B. durch eine Meldung einer Datenpanne) oder hat die Behörde es durch eine Beschwerde oder Untersuchung entdeckt?

Vorherige Compliance-Maßnahmen. Welche technischen und organisatorischen Maßnahmen waren vor dem Verstoß vorhanden? Organisationen, die ein echtes Compliance-Programm nachweisen — dokumentierte Richtlinien, geschultes Personal, regelmäßige Audits — erhalten eine günstigere Behandlung als solche ohne Programm.

Zertifizierungen und Verhaltenskodizes. Die Einhaltung genehmigter Verhaltenskodizes oder Zertifizierungsmechanismen (Artikel 40, 42) kann ein mildernder Faktor sein.

Bemerkenswerte Durchsetzungsfälle mit Relevanz für SaaS

Internationale Datenübermittlungen

Meta — 1,2 Milliarden Euro (2023). Die irische Datenschutzbehörde (DPC) verhängte ein Bußgeld gegen Meta für die Übermittlung europäischer Nutzerdaten in die Vereinigten Staaten ohne angemessene Schutzmaßnahmen nach dem Schrems-II-Urteil. Dies unterstrich, dass große Technologieunternehmen sich nicht auf Behauptungen der Notwendigkeit berufen können, wenn gültige Übermittlungsmechanismen fehlen. Die Lektion für SaaS-Unternehmen: Internationale Datenübermittlungs-Compliance ist nicht verhandelbar.

Einwilligung und Cookies

Amazon — 746 Millionen Euro (2021). Luxemburgs CNPD stellte fest, dass Amazons Werbe-Targeting-System personenbezogene Daten ohne gültige Einwilligung verarbeitete. Das Bußgeld hob hervor, dass die Einwilligung freiwillig und spezifisch sein muss — die Nutzung personenbezogener Daten für Werbe-Targeting ohne ordnungsgemäßes Opt-in ist ein grundlegender Verstoß.

Google — 150 Millionen Euro (2022). Frankreichs CNIL verhängte ein Bußgeld gegen Google, weil es schwieriger war, Cookies abzulehnen als zu akzeptieren. Das „Ein-Klick-Akzeptieren, Fünf-Klick-Ablehnen”-Muster wurde als nicht konform befunden. Für SaaS-Unternehmen: Ihr Cookie-Einwilligungsmechanismus muss ausgewogen sein — die Ablehnung muss genauso einfach sein wie die Akzeptanz.

Sicherheitsmängel

British Airways — 22 Millionen Euro (2020). Das ICO verhängte ein Bußgeld gegen British Airways für eine Datenpanne, bei der die persönlichen und finanziellen Daten von rund 400.000 Kunden offengelegt wurden. Die Datenpanne resultierte aus mangelhaften Sicherheitspraktiken — ein Web-Skimming-Angriff, der monatelang unerkannt blieb. Für SaaS-Unternehmen: Technische Sicherheit ist eine DSGVO-Pflicht (Artikel 32), nicht nur eine Best Practice.

Betroffenenrechte

Clearview AI — 20 Millionen Euro (Mehrere Behörden, 2022–2023). Mehrere europäische Datenschutzbehörden verhängten Bußgelder gegen Clearview AI für das Scrapen von Gesichtsbildern aus dem Internet und die Verarbeitung biometrischer Daten ohne Einwilligung oder gültige Rechtsgrundlage. Während Clearview AIs Geschäftsmodell weit von typischem SaaS entfernt ist, bekräftigten die Fälle, dass Betroffenenrechte — einschließlich des Widerspruchsrechts und des Rechts auf Löschung — respektiert werden müssen und dass „wir haben keine europäische Präsenz” keine Verteidigung ist.

Unzureichende Dokumentation

Deutsche Wohnen — 14,5 Millionen Euro (2019). Die Berliner Datenschutzbeauftragte verhängte ein Bußgeld gegen Deutsche Wohnen für die Aufbewahrung von Mieterdaten über jeden gerechtfertigten Aufbewahrungszeitraum hinaus und das Fehlen einer ordnungsgemäßen Datenaufbewahrungsrichtlinie. Das Unternehmen konnte nicht nachweisen, dass es Mechanismen zur Löschung von Daten hatte, wenn diese nicht mehr benötigt wurden. Dieser Fall ist direkt relevant für jedes SaaS-Unternehmen, das Daten unbegrenzt ohne dokumentierten Aufbewahrungszeitplan aufbewahrt.

Versäumnisse bei der Meldung von Datenpannen

Mehrere kleinere Bußgelder (10.000–500.000 Euro) wurden für verspätete oder unvollständige Meldungen von Datenpannen verhängt — Organisationen, die Datenpannen entdeckten, aber ihre Aufsichtsbehörde nicht innerhalb von 72 Stunden benachrichtigten oder zwar meldeten, aber erforderliche Informationen ausließen.

Durchsetzungstrends: 2025–2026

Mehrere Trends prägen die aktuelle DSGVO-Durchsetzung:

Zunehmender Fokus auf KI und automatisierte Entscheidungsfindung. Mit der Beschleunigung der KI-Einführung prüfen Datenschutzbehörden genau, wie Organisationen personenbezogene Daten in maschinellen Lernmodellen, automatisiertem Profiling und algorithmischer Entscheidungsfindung verwenden. DSFAs für KI-Features werden zunehmend erwartet.

Grenzüberschreitende Durchsetzungskoordination. Der Streitbeilegungsmechanismus des EDSA wird aktiver genutzt, um eine konsistente Durchsetzung über die Mitgliedstaaten hinweg sicherzustellen. Dies reduziert die Möglichkeit des „Forum Shopping”, indem man seine federführende Behörde in einem als nachsichtiger wahrgenommenen Mitgliedstaat etabliert.

Durchsetzung gegen kleine und mittlere Unternehmen. Während Mega-Bußgelder gegen Big Tech die Schlagzeilen dominieren, untersuchen und bestrafen Aufsichtsbehörden zunehmend kleine und mittlere Unternehmen. Kein Unternehmen ist zu klein für Durchsetzung, wenn eine Beschwerde eingereicht wird oder ein Vorfall eintritt.

Prüfung von Datenbrokern und Ad-Tech. Die Verarbeitung personenbezogener Daten für Werbezwecke ohne gültige Einwilligung bleibt ein primäres Durchsetzungsziel. SaaS-Unternehmen, die personenbezogene Daten für Werbe-Targeting verwenden — auch indirekt durch Drittanbieter-Integrationen — sollten ihre Praktiken überprüfen.

Mitarbeiterdaten. Datenschutzbehörden widmen der Mitarbeiterüberwachung, übermäßigen Überwachung und HR-Datenverarbeitung mehr Aufmerksamkeit. SaaS-Unternehmen sollten sicherstellen, dass ihre interne HR-Datenverarbeitung genauso konform ist wie ihre kundenorientierte Verarbeitung.

Jenseits der Bußgelder: Andere Konsequenzen

Bußgelder sind die am meisten diskutierte Konsequenz, aber Durchsetzung kann andere Formen annehmen:

Korrekturanordnungen. Eine Datenschutzbehörde kann Sie anweisen, Ihre Verarbeitung in Einklang mit den Vorschriften zu bringen — was bedeuten kann, eine Verarbeitungstätigkeit vollständig einzustellen, Daten zu löschen oder Ihre Datenflüsse umzustrukturieren. Dies kann Ihr Geschäft stärker stören als ein Bußgeld.

Verarbeitungsverbote. In schweren Fällen kann eine Datenschutzbehörde bestimmte Verarbeitungstätigkeiten vorübergehend oder dauerhaft verbieten. Wenn die verbotene Verarbeitung ein Kernbestandteil Ihres Produkts ist, legt dies effektiv diesen Geschäftsbereich in der EU still.

Reputationsschaden. Entscheidungen der Datenschutzbehörden werden typischerweise veröffentlicht. Eine öffentliche Durchsetzungsmaßnahme signalisiert Kunden, Interessenten und Partnern, dass Ihre Datenschutzpraktiken unzureichend sind. Im B2B-SaaS, wo Vertrauen ein Wettbewerbsvorteil ist, kann dies kostspieliger sein als das Bußgeld selbst.

Vertragliche Auswirkungen bei Kunden. Enterprise-Kunden nehmen zunehmend DSGVO-Compliance-Klauseln in ihre Verträge auf. Eine behördliche Feststellung der Nicht-Compliance kann Vertragsstrafen auslösen, Kunden Kündigungsrechte geben oder Sie von Beschaffungsprozessen disqualifizieren.

Zivilklagen. Die DSGVO gibt betroffenen Personen das Recht, Schadensersatz für materielle und immaterielle Schäden aus einem Verstoß zu verlangen (Artikel 82). Sammelklageartige Rechtsstreitigkeiten entstehen in mehreren EU-Rechtsordnungen und schaffen eine separate Haftungsspur neben der behördlichen Durchsetzung.

Minimierung Ihres Risikos

Die wirksamste Risikominderung besteht nicht darin, die Entdeckung zu vermeiden — sondern darin, ein Compliance-Programm aufzubauen, das Verstöße verhindert und Rechenschaftspflicht demonstriert:

Alles dokumentieren. Der Rechenschaftsgrundsatz (Artikel 5(2)) bedeutet, dass Sie Ihre Compliance beweisen müssen, nicht nur behaupten. Dokumentierte Richtlinien, aufgezeichnete Entscheidungen, Schulungsaufzeichnungen und Bewertungsergebnisse sind Ihre Nachweise.

Rechte-Anfragen zeitnah beantworten. DSAR-Versäumnisse sind einer der häufigsten Auslöser für Beschwerden bei Aufsichtsbehörden. Ein gut funktionierender Prozess für Rechte-Anfragen verhindert Beschwerden, bevor sie entstehen.

Ihr VVT pflegen. Ein aktuelles, genaues Verzeichnis der Verarbeitungstätigkeiten ist das Fundament nachweisbarer Compliance. Es ist auch das erste Dokument, das eine Datenschutzbehörde bei einer Untersuchung anfordern wird.

Datenpannen ordnungsgemäß behandeln. Zeitnahe, vollständige Meldung von Datenpannen demonstriert guten Willen und reduziert typischerweise Bußgelder. Verspätete, unvollständige oder fehlende Meldungen bewirken das Gegenteil.

In das Compliance-Programm investieren. Organisationen, die ein echtes, gut ausgestattetes Compliance-Programm nachweisen können — nicht nur Papierkram, sondern echte Prozesse, Schulungen und Aufsicht — erhalten in Durchsetzungsverfahren eine deutlich günstigere Behandlung.

Wie GRCTrail Ihr Durchsetzungsrisiko reduziert

GRCTrail bietet die Compliance-Infrastruktur, nach der Aufsichtsbehörden suchen:

Auditbereite Dokumentation. Ihr VVT, Ihre AVVs, DSFAs und Richtliniendokumente werden in einem strukturierten, zeitgestempelten und exportierbaren Format gepflegt. Wenn eine Datenschutzbehörde Nachweise anfordert, haben Sie sie.

Nachweis-Trail. Jede Compliance-Aktion — Überprüfungen, Genehmigungen, abgeschlossene Schulungen, Bewertungsergebnisse — wird mit Zeitstempeln protokolliert. Weisen Sie nach, dass Ihr Compliance-Programm aktiv ist, nicht nur dokumentiert.

Vernetzte Compliance. Ihre Richtlinien, Prozesse und Dokumentation arbeiten als System zusammen. Änderungen in einem Bereich kennzeichnen erforderliche Aktualisierungen in verwandten Bereichen und verhindern die Inkonsistenzen, die Durchsetzungsaufmerksamkeit auslösen.

Bauen Sie Ihre Compliance-Nachweisbasis auf →

Verwandte Leitfäden

• DSGVO-Compliance-Checkliste — Das vollständige Compliance-Framework
• Meldung von Datenpannen — Die 72-Stunden-Frist einhalten
• Auskunftsersuchen betroffener Personen (DSAR) — Rechte-Anfragen ordnungsgemäß bearbeiten
• Verzeichnis der Verarbeitungstätigkeiten (VVT) — Das Grundlagendokument

Starten Sie mit GRCTrail →