Zuletzt aktualisiert: 9. 7. 2026 — Peter Fürsicht, zertifizierter DSB

Die DSGVO gilt seit dem 25. Mai 2018, doch das Enforcement wurde 2024 bis 2026 massiv verschaerft. Diese Liste ist die einzige deutschsprachige, vom zertifizierten DSB Peter Fürsicht kuratierte Evergreen-Bestandsliste mit Praeventions-Audit-Anker. Sie verbindet die hoechsten DSGVO-Bussgelder 2024 bis 2026 mit der Rechtsdogmatik aus Art. 83 DSGVO, den elf Buessgeldkriterien nach Art. 83 Abs. 2 und der aktuellen Buessgeldpraxis 2026. Aktualisierung jaehrlich; naechste Welle Mai 2027 nach DPC- und CNIL-Fruehjahrsentscheidungen. Wer die Hoehe einer DSGVO-Strafe abschaetzen will, muss drei Ebenen zusammenlesen: die Obergrenze aus Art. 83 Abs. 4 und 5, die Kriterien aus Art. 83 Abs. 2 und das Berechnungsmodell der Aufsichtsbehoerden.

Warum eine aktualisierte DSGVO-Bussgelder-Liste 2026 wichtig ist

Seit 2018 wurden EU-weit ueber 7,1 Milliarden Euro an DSGVO-Bussgeldern kumuliert (Stand Januar 2026). Das Jahr 2024 brachte rund 1,2 Milliarden Euro, 2025 erneut rund 1,2 Milliarden Euro. Der BfDI meldet in seinem Taetigkeitsbericht 34 (2025) 11.824 Eingaben und 80 Vor-Ort-Kontrollen sowie 129 aufsichtsrechtliche Massnahmen. Big Tech dominiert die Top-10: 9 der 10 groessten Bussgelder treffen Tech- und Social-Media-Unternehmen. Irland als Lead-Autoritaet fuer Big Tech verhaengte kumuliert rund 4,04 Milliarden Euro. Diese Liste bietet Praeventions-Wissen fuer jedes Unternehmen, nicht nur fuer Big Tech. Wer die DSGVO-Strafe 2026 nicht nur als Schlagzeile, sondern als systematisches Risiko versteht, kann eigene Schwachstellen frueh erkennen und die Hoehe einer moeglichen Bussgeld nach Art. 83 DSGVO realistisch abschaetzen.

Die 15 hoechsten DSGVO-Bussgelder 2024 bis 2026 (Top-15-Tabelle)

Rang Unternehmen Betrag Land/Behoerde Grund Datum
1 Meta Platforms Ireland 1.200.000.000 Euro Irland / DPC Unzureichende Rechtsgrundlage; unrechtmaessige EU-USA-Datenuebermittlung 22.05.2023
2 TikTok Technology Ltd. 530.000.000 Euro Irland / DPC EEA-China-Datenuebermittlung 02.05.2025
3 Meta Platforms Inc. 405.000.000 Euro Irland / DPC Kinderdaten/Instagram-Verarbeitung 05.09.2022
4 Meta Platforms Ireland 390.000.000 Euro Irland / DPC Facebook/Instagram Ads-Consent 04.01.2023
5 TikTok Ltd. 345.000.000 Euro Irland / DPC Kinderdaten/Default-Settings 01.09.2023
6 LinkedIn 310.000.000 Euro Irland / DPC Verhaltensanalyse/gezielte Werbung 24.10.2024
7 Uber B.V. 290.000.000 Euro Niederlande / AP Uebermittlung sensibler Fahrerdaten in USA 22.07.2024
8 Meta Platforms Ireland 265.000.000 Euro Irland / DPC TOM-Maengel Informationssicherheit 25.11.2022
9 Google Ireland 325.000.000 Euro Frankreich / CNIL Cookie-Consent + Ad-Verarbeitung 2025
10 Meta Platforms Ireland 251.000.000 Euro Irland / DPC TOM-Maengel; 2018-Datenpanne 27.12.2024
11 WhatsApp Ireland 225.000.000 Euro Irland / DPC Informationspflichten 02.09.2021
12 Shein (Infinite Styles) 150.000.000 Euro Frankreich / CNIL Cookies ohne Consent 01.09.2025
13 Enel Energia SpA 79.100.000 Euro Italien / Garante Unzulaessiges Telemarketing 08.02.2024
14 Amazon France Logistique 32.000.000 Euro Frankreich / CNIL Intrusive Mitarbeiterueberwachung 01.2024
15 Clearview AI 30.500.000 Euro Niederlande / AP Illegale Gesichtserkennungs-Datenbank 03.09.2024

Kontext: Amazon 746 Mio Euro (CNPD Luxemburg, 2021) ist die zweithoechste je verhaengte DSGVO-Strafe. Eintraege 1, 3, 4, 5, 8, 11 fallen als historischer Kontext vor das 2024-2026-Fenster, sind aber fuer die Groessenordnung und die Wiederholungsstruktur bei Meta relevant. Die Tabelle ist auf Vollstaendigkeit geprueft, enthaelt aber keine erdachten Faelle — jeder Eintrag ist dokumentiert.

Meta 1,2 Milliarden Euro: Der Rekordfall und die Folgen

Am 22. Mai 2023 verhaengte der Irish DPC 1,2 Milliarden Euro gegen Meta Platforms Ireland — bis heute die hoechste einzelne DSGVO-Bussgeld. Grund: unzureichende Rechtsgrundlage fuer die EU-USA-Datenuebermittlung; Standard Contractual Clauses nach Schrems II waren nicht durchsetzbar, weil ein effektiver Schutz im Drittland fehlte. Meta hat Berufung eingelegt; der irische High Court verhandelt 2026. Die Lehre fuer KMU: Auch ohne Big-Tech-Umsatz ist eine Art. 46-Uebertragung (SCCs) nur gueltig bei effektivem Schutzniveau im Drittland, ergaenzt durch Supplementary Measures und eine Transfer Impact Assessment. Ein DSB-Audit prueft genau das. Der Fall zeigt ausserdem, dass die Behoerde nicht nur die Grundlage (Art. 6), sondern auch die Transferkette (Art. 44 bis 49) in einem Verfahren kombinieren kann — und dann die obere Stufe nach Art. 83 Abs. 5 greift.

TikTok, LinkedIn, Uber: Die 2024 bis 2025 Big-Tech-Welle

TikTok 530 Mio Euro (DPC, 02.05.2025) — EEA-China-Transfer ohne ausreichende Rechtsgrundlage und unzureichende Transparenz gegenueber minderjaehrigen Nutzern. LinkedIn 310 Mio Euro (DPC, 24.10.2024) — Verhaltensanalyse und gezielte Werbung ohne ausreichende Rechtsgrundlage; Consent-Einholung unzureichend dokumentiert. Uber 290 Mio Euro (niederlaendische AP, 22.07.2024) — Uebermittlung sensibler Fahrerdaten in die USA ohne gueltige Transfergrundlage und unzureichende TOMs. Meta 251 Mio Euro (DPC, 27.12.2024) — Sicherheitsmaengel beim 2018-Breach, unzureichende Reaktion auf Vorab-Maengel. Das Muster: Transfer-Szenarien (Art. 44 bis 49), Rechtsgrundlage (Art. 6) und TOMs (Art. 32) sind die drei dominanten Bussgeld-Kategorien 2024 bis 2025. Fuer KMU bedeutet das: Genau diese drei Saulen sind Pruefpunkte jedes Praeventions-Audits.

Google, Shein, Clearview: CNIL und niederlaendische AP auf Vorstoss

Google 325 Mio Euro (CNIL, 2025) — Cookie-Werbung und Consent-Probleme, unzureichende Ablehnung-Option. Shein 150 Mio Euro (CNIL, 01.09.2025) — Cookies ohne Consent, Tracking-Uebererhebung. Clearview AI 30,5 Mio Euro (niederlaendische AP, 03.09.2024) — illegale Gesichtserkennungs-Datenbank, Scraping ohne Consent, besondere Kategorie nach Art. 9. CNIL 2025: 83 Sanktionen mit rund 486,8 Mio Euro Gesamtvolumen. Das Muster: Cookie-Compliance und Gesichtserkennung werden 2025 massiv verfolgt — KMU mit Cookie-Banner-Fehlern sind exponiert. Wer ein Banner ohne granulare Trennung von Stats- und Marketing-Cookies einsetzt, riskiert eine Verwarnung oder Bussgeld nach Art. 6 und Art. 7 (obere Stufe).

Deutsche DSGVO-Bussgelder 2024 bis 2026: Vodafone, BfDI und die Laenderbehoerden

Vodafone 45 Mio Euro (BfDI, 03.06.2025) — hoechste deutsche DSGVO-Bussgeld jemals; 15 Mio fuer Partnerkontrolle und Auftragsverarbeitung (Art. 28) und 30 Mio fuer Authentifizierung und TOM (Art. 32). Historisch: H&M 35,25 Mio Euro (HmbBfDI 2020) — Beschaeftigtendatenschutz, unzulaessige Weitergabe an Vorgesetzte. 1&1 Telecom 9,55 Mio Euro (BfDI 2020) — TOM-Maengel bei der Authentifizierung. Deutsche Wohnen 14,5 Mio Euro (Berlin 2019) — spaeter gerichtlich aufgehoben, weil Art. 83 ein Verschulden voraussetzt (BGH 2023: ein Unternehmen haftet nur, wenn es ihm vorwerfbar ist). BfDI TB 34: 11.824 Eingaben, 80 Vor-Ort-Kontrollen, 129 aufsichtsrechtliche Massnahmen. Kein deutsches Bussgeld 2024 bis 2026 im EU-Top-25. Die Vodafone-Entscheidung ist deshalb lehrreich, weil sie erstmals die Unterteilung zwischen Art. 28 (Partnerkontrolle) und Art. 32 (TOM) in einer Summe aufschluesselt — und damit den Hebel fuer KMU zeigt: Wer nur das TOM-Audit macht, aber die AVV-Kette ignoriert, hat die Haelfte des Risikos offen.

Bussgeldhoehe nach Art. 83 DSGVO: Zwei-Stufen-Modell erklaert

Untere Stufe Art. 83 Abs. 4: bis 10 Mio Euro oder 2 Prozent weltweiter Jahresumsatz — fuer Verfahrens- und Organisationspflichten, insbesondere Art. 8 (Kinder-Consent), Art. 11 (Verarbeitung ohne Identifizierung), Art. 25 (Privacy by Design), Art. 26 (Gemeinsam Verantwortliche), Art. 27 (Vertreter), Art. 28 (Auftragsverarbeitung/AVV), Art. 29 (Auftragsverarbeiter-Kette) und Art. 32 (TOMs). Obere Stufe Art. 83 Abs. 5: bis 20 Mio Euro oder 4 Prozent weltweiter Jahresumsatz — fuer Kernprinzipien (Art. 5 bis 7), besondere Datenkategorien (Art. 9), Betroffenenrechte (Art. 12 bis 22) und Drittland-Transfer (Art. 44 bis 49). Art. 83 Abs. 6: Bei Nichtbefolgung einer Anordnung der Aufsichtsbehoerde nach Art. 58 Abs. 2 gilt die 4-Prozent-Maximalstrafe. Unternehmen-Definition: „undertaking“ = gesamter Konzernverbund; Umsatz des Mutterkonzerns zaehlt (EuGH C-687/21 gegen Meta Ireland). Art. 83 Abs. 3 stellt klar, dass auch Auftragsverarbeiter (Prozessoren) fuer Verstoesse gegen Art. 28 und Art. 32 haftbar sind. Die EDPB-Leitlinien 04/2022 zur Bussgeldberechnung bieten ein mathematisches Modell mit Ausgangswert und Erschwerungs- sowie Milderungsfaktoren.

Wie Behoerden Bussgelder ermitteln: Die 11 Kriterien nach Art. 83 Abs. 2

Art. 83 Abs. 2 DSGVO nennt elf Kriterien, die jede Aufsichtsbehoerde bei der Bemessung beruecksichtigen muss. Sie sind keine abstrakte Liste, sondern ein gewichtetes Gesamtbild: 1. Art, Schwere und Dauer des Verstoesses (Anzahl Betroffener, Schadenshoehe, Dauer der Verarbeitung). 2. Vorsatz oder Fahrlaessigkeit — Vorsatz fuehrt deutlich hoeher. 3. Massnahmen zur Schadensminderung nach dem Vorfall. 4. Grad der Verantwortung (TOMs nach Art. 25 und Art. 32, deren Dokumentation und Wirksamkeit). 5. Fruehere Verstoesse gegen dieselbe Vorschrift. 6. Kooperation mit der Aufsichtsbehoerde. 7. Kategorien betroffener personenbezogener Daten — besondere Kategorien nach Art. 9 oder strafrechtliche nach Art. 10 erhoe hen die Schwere. 8. Wie die Behoerde vom Verstoess erfuhr (Selbstmeldung nach Art. 33 vs. Beschwerde vs. Leak). 9. Bisherige Anordnungen nach Art. 58 Abs. 2 und deren Befolgung. 10. Einhaltung von Verhaltensregeln oder Zertifizierungen (Art. 40, Art. 42). 11. Sonstige erschwerende oder mindernde Faktoren, insbesondere der finanzielle Gewinn aus dem Verstoess. Das bedeutet fuer die Praxis: Eine dokumentierte TOM-Strategie, eine fristgerechte Datenpannenmeldung und ein nachweisbares AVV-Management sind nicht nur Pflicht, sondern aktive Milderungsfaktoren nach Kriterium 3, 6 und 10.

Bussgeld vs. Verwarnung: Wann Behoerden wie eingreifen

Art. 83 Abs. 1: Bussgeld zusaetzlich zu oder statt anderer Massnahmen (Verwarnung, Anordnung, Beseitigung). Art. 58 Abs. 2: Hierarchie der Befugnisse — Rechnungstraegerpruefung, Loeschungsanordnung, Prozessierungsstopp, temporaere oder definitive Nutzungsbeschraenkung. Bei erstmaligem, geringfuegigem Verstoess oft Verwarnung; bei Vorsatz, Wiederholung, besonderen Kategorien (Art. 9) Bussgeld. Seit der BDSG-Reform 2024 koennen deutsche Behoerden auch Bussgelder gegen oeffentliche Stellen verhaengen (DSK-Stellungnahme 12.04.2024). KMU-Realitaet: Ein grosser Teil der deutschen Verfahren endet mit Anordnung oder Verwarnung, nicht mit Bussgeld. Die Unterscheidung entscheidet sich an der Schwere nach Art. 83 Abs. 2 Kriterium 1 und am Vorsatz nach Kriterium 2. Wer eine Meldung nach Art. 33 (72 Stunden) sauber einreicht und TOMs nachweist, bewegt sich meist im Verwarnungsbereich; wer abwartet oder verheimlicht, in den Bussgeldbereich.

Neue Verfahren und Buessgeldpraxis 2026: DSK-Konzept und EDPB-Modell

Die Buessgeldpraxis 2026 ist von zwei Entwicklungen gepraegt. Erstens das EDPB-Modell (Leitlinien 04/2022): Ein Ausgangswert wird je nach Bezugsnorm (Art. 83 Abs. 4 oder Abs. 5) festgelegt, dann um einen Schwerefaktor und die Betroffenenzahl ergaenzt, schliesslich um Erschwerung (Vorsatz, Wiederholung, Gewinn) und Milderung (Kooperation, Selbstmeldung, TOM-Nachweis) korrigiert. Zweitens das deutsche Buessgeldkonzept der Datenschutzkonferenz (DSK): Die Laenderbehoerden rechnen mit einem Härtegrad-Modell, das Verstoesse in Schweregrade stuft und Anhaltspunkte fuer die Bemessung liefert. Die BDSG-Reform 2024 hat ausserdem die Bussgeldbefugnis gegenueber oeffentlichen Stellen erweitert. Die praktische Folge fuer 2026: Behoerden sind schneller bei der Einstufung in die obere Stufe, wenn besondere Kategorien (Art. 9) oder Drittland-Transfer (Art. 44 bis 49) beruehrt sind. Eine Dokumentation der TOMs (Art. 32), der AVV-Kette (Art. 28) und der Transfergrundlage (Art. 46) ist der wirksamste Milderungsfaktor nach EDPB-Modell.

Praevention: DSB-Audit als Bussgeld-Schutzschild

Peter Fürsicht ist zertifizierter DSB (externer Datenschutzbeauftragter nach Art. 37 DSGVO). Das Bussgeld-Praeventions-Audit umfasst sechs Phasen: Phase 1 TOM-Audit (Art. 32) inklusive Authentifizierung und AVV-Pruefung (Art. 28). Phase 2 Transfer-Audit (Art. 44 bis 49) inklusive SCC-Issue-Log und Transfer Impact Assessment. Phase 3 Rechtsgrundlagen-Audit (Art. 6 und Art. 9) inklusive Consent-Audit. Phase 4 Betroffenenrechte-Prozesse (Art. 12 bis 22) mit Antwort-SLA unter 30 Tagen. Phase 5 Cookie-Tracking-DevTools-Audit (Pre/Post-Consent, GA4/GTM/Meta-Pixel) — Pre-Consent muss null Pixel-Feuer ergeben. Phase 6 VVT/AVV/Doku-Vollstaendigkeit (Art. 30). Die Vodafone-Fall-Lehre: 15 Mio von 45 Mio entfallen auf Partnerkontrolle — ein Art. 28-Audit deckt genau das ab. EDPB-Leitlinien 04/2022: Milderung bei Kooperation und nachweisbarer TOM-Dokumentation. Ein zertifizierter DSB ist ausserdem ein Milderungsfaktor nach Art. 83 Abs. 2 Kriterium 10 (Zertifizierung im Sinne von Art. 42).

Checkliste: So vermeiden Sie DSGVO-Bussgelder 2026

1. Verzeichnis von Verarbeitungstaetigkeiten (VVT) aktuell und vollstaendig (Art. 30).
2. AVV mit jedem Dienstleister (Art. 28) inklusive Unterauftragsverarbeiter-Kette.
3. TOM-Dokumentation nach Art. 32 (Verschluesselung, 2FA, Access-Logs).
4. Datenschutz-Folgenabschaetzung (DSFA) bei hohem Risiko (Art. 35).
5. Consent-Banner DSGVO-konform (Pre-Consent blockiert, granular, widerrufbar).
6. Tracking-DevTools-Audit: Pre-Consent = 0 Pixel-Feuer (GA4/GTM/Meta).
7. Drittland-Transfer-Logik: SCC + TIA + Supplementary Measures (Art. 46).
8. Betroffenenrechte-Prozess: Antwort unter 30 Tagen, Loeschkonzept (Art. 17).
9. Meldekette fuer Datenpannen: unter 72 Stunden an Behoerde (Art. 33).
10. Externer DSB bestellt (Art. 37) bei Kerntaetigkeit und grossem Umfang.
11. Mitarbeiterschulung (Art. 39) dokumentiert — auch AI-Act-Art. 4-Schulung (ab 02.08.2026).
12. Cookie-Crawler-Monitor: monatlicher Scan aller Domains.
13. Selbstmeldung nach Art. 33 als aktiver Milderungsfaktor nach Art. 83 Abs. 2 Kriterium 8.

Haeufige Fragen (FAQ)

Was ist die hoechste DSGVO-Bussgeld, die je verhaengt wurde?

1,2 Milliarden Euro gegen Meta Platforms Ireland (Irish DPC, 22.05.2023) wegen unrechtmaessiger EU-USA-Datenuebermittlung. Im Fenster 2024 bis 2026 ist TikTok (530 Mio Euro, Mai 2025) die hoechste Einzelstrafe.

Wie hoch koennen DSGVO-Bussgelder maximal ausfallen?

Nach Art. 83 DSGVO bis 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes des Konzerns (obere Stufe, Art. 83 Abs. 5). Untere Stufe (Art. 83 Abs. 4): bis 10 Mio Euro bzw. 2 Prozent Umsatz. Art. 83 Abs. 6 (Nichtbefolgung einer Behoerdenanordnung) ebenfalls bis 20 Mio Euro bzw. 4 Prozent.

Welche ist die hoechste deutsche DSGVO-Bussgeld?

Vodafone GmbH, 45 Millionen Euro, verhaengt vom BfDI am 03.06.2025 (15 Mio Euro fuer unzureichende Partnerkontrolle + 30 Mio Euro fuer Authentifizierungs-Maengel). Zuvor galt H&M (35,25 Mio Euro, Hamburg 2020) als deutscher Rekord.

Koennen Behoerden Bussgelder gegen oeffentliche Stellen verhaengen?

Ja, seit der BDSG-Reform 2024 koennen deutsche Behoerden auch Bussgelder gegen oeffentliche Stellen verhaengen (DSK-Stellungnahme 12.04.2024). Bislang dominierten Verwarnungen und Anordnungen.

Gilt eine DSGVO-Strafe auch fuer Auftragsverarbeiter?

Ja. Art. 83 Abs. 3 stellt klar, dass auch Prozessoren (Auftragsverarbeiter) fuer Verstoesse gegen Art. 28 und Art. 32 haftbar sind. Die Vodafone-Entscheidung zeigt, dass Partnerkontrolle und AVV-Kette eigenstaendig geprueft und sanktioniert werden.

Wie kann mein Unternehmen DSGVO-Bussgelder vermeiden?

Durch externen DSB (Art. 37), vollstaendiges VVT (Art. 30), gueltige AVVs (Art. 28), TOM-Dokumentation (Art. 32), konformes Consent-Tool mit Pre-Consent-Blocking, Drittland-Transfer-Audit (Art. 44 bis 49) und ein Bussgeld-Praeventions-Audit durch einen zertifizierten DSB. Eine Selbstmeldung nach Art. 33 und eine nachweisbare TOM-Strategie sind aktive Milderungsfaktoren nach Art. 83 Abs. 2.

Was ist der Unterschied zwischen Bussgeld und Verwarnung?

Art. 83 Abs. 1 erlaubt ein Bussgeld zusaetzlich zu oder statt anderer Massnahmen. Bei erstmaligem, geringfuegigem Verstoess ohne Vorsatz und ohne besondere Kategorien (Art. 9) genuegt oft eine Verwarnung oder Anordnung nach Art. 58 Abs. 2. Bei Vorsatz, Wiederholung oder Betroffenheit besonderer Kategorien verhaengt die Behoerde ein Bussgeld, meist in der oberen Stufe nach Art. 83 Abs. 5.

Regionale DSB-Versorgung: Externer Datenschutzbeauftragter in Muenchen, Stuttgart, Hamburg und Landsberg am Lech.

Weiterfuehrende Artikel: KI-Schulungspflicht nach AI Act Art. 4, AVV 2026, Warum ein DSB zertifiziert sein muss, Unsere Leistungen.

Jetzt handeln: Ein Bussgeld-Praeventions-Audit durch einen zertifizierten DSB senkt das Risiko einer DSGVO-Strafe 2026 systematisch — mit TOM-Audit (Art. 32), AVV-Kette (Art. 28), Transfer-Audit (Art. 44 bis 49) und Cookie-Tracking-DevTools-Audit. Kontaktieren Sie Peter Fürsicht fuer ein Audit.