Die Durchsetzung der DSGVO ist längst keine Theorie mehr. Die CNIL in Frankreich hat in den letzten Jahren Bußgelder in beträchtlicher Höhe verhängt. Deutsche Datenschutzbehörden haben hunderte Bußgelder ausgesprochen. Und das deutsche System der privaten Abmahnung führt jedes Jahr zu tausenden Durchsetzungsmaßnahmen gegen Unternehmen jeder Größe.
Dies sind 13 dokumentierte Durchsetzungsfälle — Bußgelder, Sanktionen und Durchsetzungsentscheidungen, die Sie überprüfen können. Es handelt sich nicht um hypothetische Szenarien. Es sind die Fälle, die die Compliance-Teams Ihrer Wettbewerber gerade lesen.
⚠️ Haftungsausschluss: Dieser Artikel dient ausschließlich zu Informationszwecken und stellt keine Rechtsberatung dar. Angaben zu Sanktionen und Durchsetzungsentscheidungen beruhen auf öffentlich zugänglichen Informationen. Wenden Sie sich für eine auf Ihre Situation zugeschnittene Beratung an eine qualifizierte Anwältin oder einen qualifizierten Anwalt.
| Unternehmen | Bußgeld | Jahr | Hauptverstoß |
|---|---|---|---|
| Ad-Tech-Anbieter | Sehr hohes Bußgeld | 2023 | Cookie-Einwilligung; ungültige Einwilligung für Werbe-Tracking |
| Gesundheitsportal | Erhebliches Bußgeld | 2023 | Cookies vor Einwilligung; kein „Alle ablehnen“; unvollständige Datenschutzerklärung |
| Prepaid-Zahlungsdienst | Erhebliches Bußgeld | 2023 | Übermäßige Datenspeicherung; unzureichende Sicherheit; Cookies vor Einwilligung |
| Logistikunternehmen | Erhebliches Bußgeld | 2023 | Übermäßige Datenerhebung; Verstöße bei Speicherfristen; Lücken in der Datenschutzerklärung |
| Anbieter medizinischer Labordienste | Hohes Bußgeld | 2022 | Datenpanne; unzureichende Sicherheit; Verstöße bei Speicherfristen |
| Anbieter von Gesichtserkennung | Sehr hohes Bußgeld | 2022 | Unrechtmäßige Gesichtserkennung; keine Rechtsgrundlage |
| Mobilfunkanbieter | Erhebliches Bußgeld | 2022 | Missachtung der Betroffenenrechte; unzureichende Datensicherheit (schwache Passwörter/Klartext) |
| Handelsregister-Dienst | Erhebliches Bußgeld | 2022 | Übermäßige Speicherfristen; unzureichende Sicherheit; keine DSB-Meldung |
Muster: Cookie-Einwilligung, übermäßige Datenspeicherung und unzureichende Sicherheit sind die drei am häufigsten genannten Verstoßkategorien in CNIL-Entscheidungen.
| Stelle | Bußgeld | Jahr | Behörde | Hauptverstoß |
|---|---|---|---|---|
| Wohnungsunternehmen | Sehr hohes Bußgeld | 2019 | Berliner Datenschutzbeauftragte (BlnBDI) | Übermäßige Speicherung von Mieterdaten — Bußgeld am 30. Oktober 2019 verhängt, 2021 vom LG Berlin aufgehoben; nach dem EuGH-Urteil C-807/21 (2023) im Jahr 2026 auf 900.000 € herabgesetzt (Pressemitteilung des Gerichts) |
| Websites mit Google Fonts | Schadensersatz an einen Kläger | 2022 | LG München | Übermittlung der IP-Adresse ohne Einwilligung (Google-CDN) |
| Chat-Community-Betreiber | Moderates Bußgeld | 2018 | LfDI Baden-Württemberg | Passwörter im Klartext gespeichert (Art. 32 DSGVO) — erstes DSGVO-Bußgeld in Deutschland |
| Mehrere KMU | Bußgeld je Fall | 2023–2024 | Abmahnung | Impressums-Verstöße; Fehler bei der Widerrufsbelehrung |
Verstoß: Der Anbieter verarbeitete Besucherdaten von Partner-Websites ohne gültige Einwilligung. Die Cookie-Einwilligungsmechanismen auf den Partner-Websites erfüllten die Anforderungen der DSGVO nicht; der Anbieter behandelte eine unzureichende Einwilligung als gültige Einwilligung.
Was schiefging: Erhebung ungültiger Einwilligungen; keine Überprüfung der Einwilligung der Partner; unzureichende Information der Betroffenen; Nichtbeachtung von Widerrufen.
Lektion: Wenn Werbe- oder Analyse-Partner über Ihre Website Daten erheben, tragen Sie Mitverantwortung dafür, wie diese Einwilligung eingeholt wird. „Wir nutzen ein Drittanbieter-Tool“ ist keine Verteidigung.
→ Für Ihre Website: Prüfen Sie jedes Werbenetzwerk und jedes Analyse-Skript auf Ihrer Website. Wenn eines vor der Einwilligung auslöst, befinden Sie sich in derselben Lage wie die Partner-Websites in diesem Fall.
Verstoß: Der französische Anbieter von Gesundheitsinhalten setzte Cookies vor der Einwilligung; das Banner machte das Ablehnen schwieriger als das Akzeptieren; Daten wurden ohne Einwilligung an Werbepartner weitergegeben; und die Datenschutzerklärung war unvollständig.
Lektion: Es handelt sich um eine Content-Website mit Banner. Das Bußgeld erfolgte, weil das Banner-Design nicht rechtskonform war. Wenn Ihr „Alle ablehnen“-Button mehr Klicks erfordert als „Alle akzeptieren“, haben Sie dasselbe Problem.
→ Für Ihre Website: Öffnen Sie Ihr Cookie-Banner. Zählen Sie die Klicks bis „Alle akzeptieren“. Zählen Sie die Klicks bis „Alle ablehnen“. Wenn sie sich unterscheiden — beheben Sie es noch heute.
Verstoß: Der Anbieter (Betreiber eines Prepaid-Zahlungsdienstes) speicherte Nutzerkontodaten rund zehn Jahre lang, verwendete schwache Passwortregeln mit einer veralteten Hash-Funktion und setzte Google-Analytics-Cookies, bevor eine Einwilligung vorlag.
Lektion: Legen Sie Speicherfristen fest und setzen Sie sie durch, verlangen Sie starke Passwörter, die mit einer modernen Hash-Funktion gespeichert werden, und laden Sie keine Analyse-Cookies, bevor die Nutzerin oder der Nutzer eingewilligt hat.
Verstoß: Erhebung übermäßiger personenbezogener Daten von Bewerberinnen und Bewerbern über Webformulare; Speicherung über die erforderlichen Fristen hinaus; unzureichende Datenschutzerklärung.
Lektion: Karriereseiten und Bewerbungsformulare unterliegen denselben Anforderungen der DSGVO wie kundenorientierte Seiten.
Verstoß: Datenpanne, durch die sensible Gesundheitsdaten von rund 500.000 Patientinnen und Patienten offengelegt wurden. Hauptursachen: unzureichende Sicherheit, fehlende Verschlüsselung, mangelnde Datenminimierung.
Lektion: Gesundheitsdaten unterliegen nach Art. 9 DSGVO einem deutlich höheren Bußgeldrahmen. Datensicherheit ist eine Compliance-Frage, nicht nur eine IT-Frage.
Verstoß: Eine Chat-Plattform speicherte die Passwörter von rund 330.000 Nutzerinnen und Nutzern im Klartext; eine Datenpanne legte diese Daten offen. Der LfDI Baden-Württemberg verhängte ein Bußgeld nach Art. 32 DSGVO — das erste DSGVO-Bußgeld in Deutschland (Pressemitteilung des LfDI vom 21. November 2018).
Lektion: Speichern Sie Passwörter gehasht mit einem modernen Verfahren, niemals im Klartext. Die Behörde stellte klar, dass die moderate Höhe des Bußgelds die vorbildliche Kooperation des Unternehmens und die schnelle Behebung der Sicherheitsmängel widerspiegelte.
Verstoß: Ein deutsches Gericht entschied, dass das Laden von Google Fonts über das CDN von Google gegen die DSGVO verstößt — bei jedem Seitenaufruf wurde die IP-Adresse der Besucher ohne Einwilligung an Google übermittelt.
Lektion: Hosten Sie Ihre Schriftarten selbst. Das dauert weniger als eine Stunde und beseitigt das Risiko vollständig.
Verstoß: Missachtung der Betroffenenrechte (Auskunft und Löschung) sowie unzureichende Datensicherheit — einschließlich schwacher Passwörter und im Klartext gespeicherter oder übertragener Passwörter.
Lektion: Auskunfts- und Löschersuchen fristgerecht zu erfüllen und Passwörter sicher zu speichern (starke Regeln, moderne Hash-Verfahren) sind eigenständige Compliance-Pflichten — unabhängig von jeder Datenpanne.
Verstoß: Verbraucherschutzverbände und Wettbewerber durchsuchten systematisch die Websites deutscher KMU nach Impressums-Verstößen.
Lektion: Die deutsche Abmahnung ist privat, systematisch und für die Abmahnenden profitabel. Sie müssen nicht erst von einer Behörde untersucht werden.
→ Für Ihre Website: Prüfen Sie Ihr Impressum jetzt: rechtlicher Firmenname, ladungsfähige Anschrift (kein Postfach), Telefonnummer, E-Mail, Handelsregistereintrag, USt-IdNr., verantwortliche Person.
Verstoß: Fehlerhafte oder fehlende Widerrufsbelehrung auf deutschen E-Commerce-Websites.
Lektion: Die Widerrufsbelehrung muss das offizielle Muster verwenden. Ein häufiger Fehler: Die AGB werden aktualisiert, die separat erforderliche Widerrufsbelehrung jedoch vergessen.
Verstoß: Übermäßige Speicherfristen; unzureichende Sicherheit; unterlassene Meldung eines Datenschutzbeauftragten bei der CNIL, wo erforderlich.
Lektion: Die Meldung eines Datenschutzbeauftragten ist ein Compliance-Schritt, den viele Organisationen übersehen.
Der Durchsetzungsschwerpunkt der CNIL für 2025–2026 zielt auf drei Bereiche:
| Art des Verstoßes | Aufgetreten in | Anmerkungen |
|---|---|---|
| Mängel bei der Cookie-Einwilligung | Fälle 1, 2, 6 | Häufigster automatisiert erkannter Verstoß |
| Übermäßige Datenspeicherung | Fälle 3, 4, 8, 13 | Tritt häufig zusammen mit anderen Verstößen auf |
| Unzureichende Sicherheit | Fälle 5, 8 | Höhere Bußgelder; Multiplikator bei Gesundheitsdaten |
| Tracking-Skripte vor Einwilligung | Fälle 2, 6 | Technisch überprüfbar; häufigstes Durchsetzungsmuster |
| Unvollständige Datenschutzerklärung | Fälle 2, 4, 6 | Fast immer ein Folgeverstoß |
| Private Abmahnung (Deutschland) | Fälle 9–12 | Keine Behörde erforderlich; schnell und profitabel für die Abmahnenden |
Jeder Verstoß in diesen 13 Fällen war vor der Durchsetzung erkennbar. Das Muster ist immer gleich: Die Organisation wusste nicht, dass sie ein Problem hatte, bis jemand anderes es fand.
Einzelheiten zur Reaktion auf eine Abmahnung: Eine Abmahnung erhalten? Das sollten Sie in den nächsten 14 Tagen tun. Warum deutsche KMU überproportional ins Visier geraten: Warum kleine Unternehmen ein bevorzugtes Ziel für Abmahnungen sind.
Steigen die CNIL-Bußgelder von Jahr zu Jahr?
Ja. Das Gesamtvolumen der CNIL-Bußgelder ist seit 2021 sowohl bei der Zahl der Entscheidungen als auch bei den Gesamtbeträgen gestiegen. Der Durchsetzungsapparat ist stärker automatisiert als noch vor drei Jahren.
Was ist der Unterschied zwischen einem CNIL-Bußgeld und einem deutschen Bußgeld?
Ein CNIL-Bußgeld wird von der französischen Datenschutzbehörde nach einer förmlichen Untersuchung verhängt. Ein Bußgeld wird von einer deutschen Datenschutzbehörde verhängt. Eine deutsche Abmahnung ist eine private Durchsetzungsmaßnahme — es ist keine Behörde beteiligt; ein Wettbewerber oder ein Verbraucherschutzverband versendet sie direkt.
Kann ein kleines Unternehmen wirklich von der CNIL mit einem Bußgeld belegt werden?
Ja. Die CNIL nimmt Beschwerden von Einzelpersonen an und geht ihnen unabhängig von der Unternehmensgröße nach. Das Abmahnsystem in Deutschland ist gegenüber kleinen Unternehmen besonders wirksam, weil die Kosten einer Anfechtung oft die Kosten einer Beilegung übersteigen.
Ist Google Fonts wirklich ein Compliance-Risiko?
In Deutschland ja, wenn Sie Google Fonts über das CDN von Google laden. Das LG München hat dies 2022 als DSGVO-Verstoß eingestuft. Die Lösung ist das Selbst-Hosten — es dauert weniger als eine Stunde.
Was kostet eine CNIL-Untersuchung tatsächlich über das Bußgeld hinaus?
Die Kosten einer rechtlichen Reaktion auf eine förmliche CNIL-Untersuchung sind erheblich. Hinzu kommen Betriebsstörungen, Zeitaufwand des Managements und etwaige Nachbesserungsarbeiten.
Weiterführende Lektüre:
Quellen: CNIL-Durchsetzungsentscheidungen (cnil.fr) · Entscheidungen der Berliner Datenschutzbeauftragten (BlnBDI) · LG München I Az. 3 O 17493/20 (Google Fonts) · DSK-Pressemitteilungen · Art. 33, 83 DSGVO · Art. 5 Abs. 3 ePrivacy-Richtlinie
🩸 — Sitetals Editorial