So funktioniert es Was wir prüfen Preise Artikel Über uns Kostenloser Scan →
DSGVO- und CNIL-Bußgelder 2026: 13 reale Fälle und ihre Folgen
← Alle Artikel Durchsetzung ⏱ 10 Min. Lesezeit Aktualisiert am 27. Juni 2026

DSGVO- und CNIL-Bußgelder 2026: 13 reale Fälle und ihre Folgen

Die Durchsetzung der DSGVO ist längst keine Theorie mehr. Die CNIL in Frankreich hat in den letzten Jahren Bußgelder in beträchtlicher Höhe verhängt. Deutsche Datenschutzbehörden haben hunderte Bußgelder ausgesprochen. Und das deutsche System der privaten Abmahnung führt jedes Jahr zu tausenden Durchsetzungsmaßnahmen gegen Unternehmen jeder Größe.

Dies sind 13 dokumentierte Durchsetzungsfälle — Bußgelder, Sanktionen und Durchsetzungsentscheidungen, die Sie überprüfen können. Es handelt sich nicht um hypothetische Szenarien. Es sind die Fälle, die die Compliance-Teams Ihrer Wettbewerber gerade lesen.

⚠️ Haftungsausschluss: Dieser Artikel dient ausschließlich zu Informationszwecken und stellt keine Rechtsberatung dar. Angaben zu Sanktionen und Durchsetzungsentscheidungen beruhen auf öffentlich zugänglichen Informationen. Wenden Sie sich für eine auf Ihre Situation zugeschnittene Beratung an eine qualifizierte Anwältin oder einen qualifizierten Anwalt.


CNIL-Bußgelder 2025–2026: die wichtigsten Sanktionen

UnternehmenBußgeldJahrHauptverstoß
Ad-Tech-AnbieterSehr hohes Bußgeld2023Cookie-Einwilligung; ungültige Einwilligung für Werbe-Tracking
GesundheitsportalErhebliches Bußgeld2023Cookies vor Einwilligung; kein „Alle ablehnen“; unvollständige Datenschutzerklärung
Prepaid-ZahlungsdienstErhebliches Bußgeld2023Übermäßige Datenspeicherung; unzureichende Sicherheit; Cookies vor Einwilligung
LogistikunternehmenErhebliches Bußgeld2023Übermäßige Datenerhebung; Verstöße bei Speicherfristen; Lücken in der Datenschutzerklärung
Anbieter medizinischer LabordiensteHohes Bußgeld2022Datenpanne; unzureichende Sicherheit; Verstöße bei Speicherfristen
Anbieter von GesichtserkennungSehr hohes Bußgeld2022Unrechtmäßige Gesichtserkennung; keine Rechtsgrundlage
MobilfunkanbieterErhebliches Bußgeld2022Missachtung der Betroffenenrechte; unzureichende Datensicherheit (schwache Passwörter/Klartext)
Handelsregister-DienstErhebliches Bußgeld2022Übermäßige Speicherfristen; unzureichende Sicherheit; keine DSB-Meldung

Muster: Cookie-Einwilligung, übermäßige Datenspeicherung und unzureichende Sicherheit sind die drei am häufigsten genannten Verstoßkategorien in CNIL-Entscheidungen.


Durchsetzung der DSGVO in Deutschland (Bußgeld DSGVO 2026): zentrale Fälle

StelleBußgeldJahrBehördeHauptverstoß
WohnungsunternehmenSehr hohes Bußgeld2019Berliner Datenschutzbeauftragte (BlnBDI)Übermäßige Speicherung von Mieterdaten — Bußgeld am 30. Oktober 2019 verhängt, 2021 vom LG Berlin aufgehoben; nach dem EuGH-Urteil C-807/21 (2023) im Jahr 2026 auf 900.000 € herabgesetzt (Pressemitteilung des Gerichts)
Websites mit Google FontsSchadensersatz an einen Kläger2022LG MünchenÜbermittlung der IP-Adresse ohne Einwilligung (Google-CDN)
Chat-Community-BetreiberModerates Bußgeld2018LfDI Baden-WürttembergPasswörter im Klartext gespeichert (Art. 32 DSGVO) — erstes DSGVO-Bußgeld in Deutschland
Mehrere KMUBußgeld je Fall2023–2024AbmahnungImpressums-Verstöße; Fehler bei der Widerrufsbelehrung

Die 13 Fälle im Detail

Fall 1: Ad-Tech-Anbieter — Frankreich, CNIL, Juni 2023

Verstoß: Der Anbieter verarbeitete Besucherdaten von Partner-Websites ohne gültige Einwilligung. Die Cookie-Einwilligungsmechanismen auf den Partner-Websites erfüllten die Anforderungen der DSGVO nicht; der Anbieter behandelte eine unzureichende Einwilligung als gültige Einwilligung.

Was schiefging: Erhebung ungültiger Einwilligungen; keine Überprüfung der Einwilligung der Partner; unzureichende Information der Betroffenen; Nichtbeachtung von Widerrufen.

Lektion: Wenn Werbe- oder Analyse-Partner über Ihre Website Daten erheben, tragen Sie Mitverantwortung dafür, wie diese Einwilligung eingeholt wird. „Wir nutzen ein Drittanbieter-Tool“ ist keine Verteidigung.

→ Für Ihre Website: Prüfen Sie jedes Werbenetzwerk und jedes Analyse-Skript auf Ihrer Website. Wenn eines vor der Einwilligung auslöst, befinden Sie sich in derselben Lage wie die Partner-Websites in diesem Fall.


Fall 2: Gesundheitsportal — Frankreich, CNIL, Mai 2023

Verstoß: Der französische Anbieter von Gesundheitsinhalten setzte Cookies vor der Einwilligung; das Banner machte das Ablehnen schwieriger als das Akzeptieren; Daten wurden ohne Einwilligung an Werbepartner weitergegeben; und die Datenschutzerklärung war unvollständig.

Lektion: Es handelt sich um eine Content-Website mit Banner. Das Bußgeld erfolgte, weil das Banner-Design nicht rechtskonform war. Wenn Ihr „Alle ablehnen“-Button mehr Klicks erfordert als „Alle akzeptieren“, haben Sie dasselbe Problem.

→ Für Ihre Website: Öffnen Sie Ihr Cookie-Banner. Zählen Sie die Klicks bis „Alle akzeptieren“. Zählen Sie die Klicks bis „Alle ablehnen“. Wenn sie sich unterscheiden — beheben Sie es noch heute.


Fall 3: Anbieter von Prepaid-Zahlungsdiensten — Frankreich, CNIL, Dezember 2023

Verstoß: Der Anbieter (Betreiber eines Prepaid-Zahlungsdienstes) speicherte Nutzerkontodaten rund zehn Jahre lang, verwendete schwache Passwortregeln mit einer veralteten Hash-Funktion und setzte Google-Analytics-Cookies, bevor eine Einwilligung vorlag.

Lektion: Legen Sie Speicherfristen fest und setzen Sie sie durch, verlangen Sie starke Passwörter, die mit einer modernen Hash-Funktion gespeichert werden, und laden Sie keine Analyse-Cookies, bevor die Nutzerin oder der Nutzer eingewilligt hat.


Fall 4: Logistikunternehmen — Frankreich, CNIL, September 2023

Verstoß: Erhebung übermäßiger personenbezogener Daten von Bewerberinnen und Bewerbern über Webformulare; Speicherung über die erforderlichen Fristen hinaus; unzureichende Datenschutzerklärung.

Lektion: Karriereseiten und Bewerbungsformulare unterliegen denselben Anforderungen der DSGVO wie kundenorientierte Seiten.


Fall 5: Anbieter medizinischer Labordienste — Frankreich, CNIL, 2022

Verstoß: Datenpanne, durch die sensible Gesundheitsdaten von rund 500.000 Patientinnen und Patienten offengelegt wurden. Hauptursachen: unzureichende Sicherheit, fehlende Verschlüsselung, mangelnde Datenminimierung.

Lektion: Gesundheitsdaten unterliegen nach Art. 9 DSGVO einem deutlich höheren Bußgeldrahmen. Datensicherheit ist eine Compliance-Frage, nicht nur eine IT-Frage.


Wie schneidet Ihre Website im Vergleich zu diesen Durchsetzungsmustern ab? Führen Sie einen kostenlosen CNIL-Compliance-Scan durch →

Fall 6: Chat-Community-Betreiber — Deutschland, LfDI Baden-Württemberg, November 2018

Verstoß: Eine Chat-Plattform speicherte die Passwörter von rund 330.000 Nutzerinnen und Nutzern im Klartext; eine Datenpanne legte diese Daten offen. Der LfDI Baden-Württemberg verhängte ein Bußgeld nach Art. 32 DSGVO — das erste DSGVO-Bußgeld in Deutschland (Pressemitteilung des LfDI vom 21. November 2018).

Lektion: Speichern Sie Passwörter gehasht mit einem modernen Verfahren, niemals im Klartext. Die Behörde stellte klar, dass die moderate Höhe des Bußgelds die vorbildliche Kooperation des Unternehmens und die schnelle Behebung der Sicherheitsmängel widerspiegelte.


Fall 7: Google Fonts über CDN — Deutschland, LG München, 2022

Verstoß: Ein deutsches Gericht entschied, dass das Laden von Google Fonts über das CDN von Google gegen die DSGVO verstößt — bei jedem Seitenaufruf wurde die IP-Adresse der Besucher ohne Einwilligung an Google übermittelt.

Lektion: Hosten Sie Ihre Schriftarten selbst. Das dauert weniger als eine Stunde und beseitigt das Risiko vollständig.


Fall 8: Mobilfunkanbieter — Frankreich, CNIL, 2022

Verstoß: Missachtung der Betroffenenrechte (Auskunft und Löschung) sowie unzureichende Datensicherheit — einschließlich schwacher Passwörter und im Klartext gespeicherter oder übertragener Passwörter.

Lektion: Auskunfts- und Löschersuchen fristgerecht zu erfüllen und Passwörter sicher zu speichern (starke Regeln, moderne Hash-Verfahren) sind eigenständige Compliance-Pflichten — unabhängig von jeder Datenpanne.


Fälle 9–11: Abmahnwelle — deutsche KMU, 2023–2024

Verstoß: Verbraucherschutzverbände und Wettbewerber durchsuchten systematisch die Websites deutscher KMU nach Impressums-Verstößen.

Lektion: Die deutsche Abmahnung ist privat, systematisch und für die Abmahnenden profitabel. Sie müssen nicht erst von einer Behörde untersucht werden.

→ Für Ihre Website: Prüfen Sie Ihr Impressum jetzt: rechtlicher Firmenname, ladungsfähige Anschrift (kein Postfach), Telefonnummer, E-Mail, Handelsregistereintrag, USt-IdNr., verantwortliche Person.


Fall 12: E-Commerce-Websites — Deutschland, Abmahnung wegen Widerrufsbelehrung, 2023–2024

Verstoß: Fehlerhafte oder fehlende Widerrufsbelehrung auf deutschen E-Commerce-Websites.

Lektion: Die Widerrufsbelehrung muss das offizielle Muster verwenden. Ein häufiger Fehler: Die AGB werden aktualisiert, die separat erforderliche Widerrufsbelehrung jedoch vergessen.


Fall 13: Betreiber eines Handelsregister-Dienstes — Frankreich, CNIL, 2022

Verstoß: Übermäßige Speicherfristen; unzureichende Sicherheit; unterlassene Meldung eines Datenschutzbeauftragten bei der CNIL, wo erforderlich.

Lektion: Die Meldung eines Datenschutzbeauftragten ist ein Compliance-Schritt, den viele Organisationen übersehen.


Was die CNIL-Bußgelder 2026 antreibt

Der Durchsetzungsschwerpunkt der CNIL für 2025–2026 zielt auf drei Bereiche:

  1. Cookie-Einwilligung — automatisierte Scan-Werkzeuge im großen Maßstab
  2. Datenspeicherung — Organisationen, die Daten länger speichern als angegeben
  3. Sicherheit und Meldung von Datenpannen — insbesondere Verzögerungen bei der Meldung von Datenpannen

Das Muster über alle 13 Fälle hinweg

Art des VerstoßesAufgetreten inAnmerkungen
Mängel bei der Cookie-EinwilligungFälle 1, 2, 6Häufigster automatisiert erkannter Verstoß
Übermäßige DatenspeicherungFälle 3, 4, 8, 13Tritt häufig zusammen mit anderen Verstößen auf
Unzureichende SicherheitFälle 5, 8Höhere Bußgelder; Multiplikator bei Gesundheitsdaten
Tracking-Skripte vor EinwilligungFälle 2, 6Technisch überprüfbar; häufigstes Durchsetzungsmuster
Unvollständige DatenschutzerklärungFälle 2, 4, 6Fast immer ein Folgeverstoß
Private Abmahnung (Deutschland)Fälle 9–12Keine Behörde erforderlich; schnell und profitabel für die Abmahnenden

Wie Sie vermeiden, selbst zur Fallstudie zu werden

Jeder Verstoß in diesen 13 Fällen war vor der Durchsetzung erkennbar. Das Muster ist immer gleich: Die Organisation wusste nicht, dass sie ein Problem hatte, bis jemand anderes es fand.

  1. Jetzt scannen. Finden Sie, was Aufsichtsbehörden und Wettbewerber finden würden.
  2. Zuerst die Cookie-Einwilligung beheben. Es ist der Bereich mit den meisten Durchsetzungsmaßnahmen und der am leichtesten erkennbare.
  3. Drittanbieter-Skripte prüfen. Jede externe Ressource ist eine potenzielle Haftung.
  4. Prüfen Sie Ihr deutsches Impressum, wenn Sie in Deutschland tätig sind.
  5. Stellen Sie sicher, dass Ihr Banner blockiert und nicht nur anzeigt.

Einzelheiten zur Reaktion auf eine Abmahnung: Eine Abmahnung erhalten? Das sollten Sie in den nächsten 14 Tagen tun. Warum deutsche KMU überproportional ins Visier geraten: Warum kleine Unternehmen ein bevorzugtes Ziel für Abmahnungen sind.


Häufig gestellte Fragen

Steigen die CNIL-Bußgelder von Jahr zu Jahr?

Ja. Das Gesamtvolumen der CNIL-Bußgelder ist seit 2021 sowohl bei der Zahl der Entscheidungen als auch bei den Gesamtbeträgen gestiegen. Der Durchsetzungsapparat ist stärker automatisiert als noch vor drei Jahren.

Was ist der Unterschied zwischen einem CNIL-Bußgeld und einem deutschen Bußgeld?

Ein CNIL-Bußgeld wird von der französischen Datenschutzbehörde nach einer förmlichen Untersuchung verhängt. Ein Bußgeld wird von einer deutschen Datenschutzbehörde verhängt. Eine deutsche Abmahnung ist eine private Durchsetzungsmaßnahme — es ist keine Behörde beteiligt; ein Wettbewerber oder ein Verbraucherschutzverband versendet sie direkt.

Kann ein kleines Unternehmen wirklich von der CNIL mit einem Bußgeld belegt werden?

Ja. Die CNIL nimmt Beschwerden von Einzelpersonen an und geht ihnen unabhängig von der Unternehmensgröße nach. Das Abmahnsystem in Deutschland ist gegenüber kleinen Unternehmen besonders wirksam, weil die Kosten einer Anfechtung oft die Kosten einer Beilegung übersteigen.

Ist Google Fonts wirklich ein Compliance-Risiko?

In Deutschland ja, wenn Sie Google Fonts über das CDN von Google laden. Das LG München hat dies 2022 als DSGVO-Verstoß eingestuft. Die Lösung ist das Selbst-Hosten — es dauert weniger als eine Stunde.

Was kostet eine CNIL-Untersuchung tatsächlich über das Bußgeld hinaus?

Die Kosten einer rechtlichen Reaktion auf eine förmliche CNIL-Untersuchung sind erheblich. Hinzu kommen Betriebsstörungen, Zeitaufwand des Managements und etwaige Nachbesserungsarbeiten.

Scannen Sie jetzt Ihre Website

Weiterführende Lektüre:


Quellen: CNIL-Durchsetzungsentscheidungen (cnil.fr) · Entscheidungen der Berliner Datenschutzbeauftragten (BlnBDI) · LG München I Az. 3 O 17493/20 (Google Fonts) · DSK-Pressemitteilungen · Art. 33, 83 DSGVO · Art. 5 Abs. 3 ePrivacy-Richtlinie

🩸 — Sitetals Editorial