Risiko der Nichteinhaltung der DSGVO: Was jeder Manager vor 2026 wissen muss

Das Risiko der Nichteinhaltung der DSGVO für ein Unternehmen verstehen

Worüber genau sprechen wir?

Die Datenschutz-Grundverordnung (DSGVO) regelt seit Mai 2018 alle Vorgänge im Zusammenhang mit personenbezogenen Daten: Erhebung, Speicherung, Übermittlung, Profilerstellung und Löschung. Jede Organisation, die diese Daten verarbeitet – Kunden, Interessenten, Mitarbeiter, Lieferanten – fällt unter ihren Geltungsbereich, unabhängig von ihrer Größe oder Branche.

Die Nichteinhaltung der DSGVO ist nicht bloß ein Verwaltungsfehler. Sie zieht zivil-, verwaltungs- und mitunter strafrechtliche Haftung für den Verantwortlichen nach sich, in der Regel das Unternehmen selbst und dessen gesetzlichen Vertreter.

Wer ist wirklich betroffen?

Die Regel ist weitreichend: Verarbeitet Ihr Unternehmen personenbezogene Daten von Personen mit Wohnsitz in der Europäischen Union, sind Sie betroffen. Dies gilt sowohl für den lokalen Einzelhändler mit einem Kundenbindungsprogramm als auch für die Holdinggesellschaft eines internationalen Konzerns.

Drei Akteure stehen im Vordergrund: Datenverantwortliche, Datenverarbeiter (IT-Dienstleister, Marketingagenturen, Hosting-Anbieter) und etwaige gemeinsam Verantwortliche. Jeder von ihnen kann unabhängig sanktioniert werden – eine Tatsache, die vielen Unternehmen nicht bewusst ist.

Warum ist dieses Thema wieder in aller Munde?

Lange Zeit schien die Anwendung der DSGVO uneinheitlich. Diese Zeiten sind vorbei. 2022 führte die CNIL (französische Datenschutzbehörde) ein vereinfachtes Sanktionsverfahren ein, das es ihr ermöglicht, Bußgelder von bis zu 20.000 € schnell zu verhängen, ohne die Identität des betroffenen Unternehmens offenzulegen. Infolgedessen wurden 2024 69 vereinfachte Sanktionen verhängt, fast dreimal so viele wie 2023.

In größeren Fällen schnellen die Summen in die Höhe. Allein zwei Urteile im Zusammenhang mit Cookies beliefen sich im Jahr 2025 auf 475 Millionen Euro, davon 325 Millionen Euro für Google und 150 Millionen Euro für Shein. Die Botschaft ist klar: weniger Fälle, dafür aber exemplarische Strafen.

Welche DSGVO-Strafe droht einem Unternehmen, das die Vorschriften nicht einhält?

Verwaltungsstrafen, die von der CNIL verhängt wurden

Die DSGVO sieht zwei Obergrenzen vor. Die erste, bis zu 10 Millionen Euro oder 2,1 Billionen US-Dollar des weltweiten Jahresumsatzes, zielt auf Verstöße wie das Fehlen eines Verarbeitungsverzeichnisses oder die unterlassene Durchführung einer Folgenabschätzung ab. Die zweite, bis zu 20 Millionen Euro oder 4,1 Billionen US-Dollar des weltweiten Jahresumsatzes, ahndet die schwerwiegendsten Verstöße: fehlende Rechtsgrundlage, Verletzung der Rechte betroffener Personen und unregulierte internationale Datenübermittlungen.

Die aussagekräftigste Strafe der CNIL der letzten Jahre ist keine Millionenstrafe, sondern die im Dezember 2024 gegen Amazon France Logistique verhängte: 32 Millionen Euro wegen Überwachung, die als unverhältnismäßig gegenüber den Kommissionierern eingestuft wurde. Die Botschaft ist klar: Selbst ein als „produktiv“ dargestelltes System kann rechtswidrig werden, wenn es die Privatsphäre der Mitarbeiter verletzt.

Strafrechtliche Sanktionen gemäß DSGVO

Neben den administrativen Aspekten sieht das französische Strafgesetzbuch im Zusammenhang mit der DSGVO strafrechtliche Sanktionen von bis zu fünf Jahren Haft und einer Geldstrafe von 300.000 Euro für Einzelpersonen und 1,5 Millionen Euro für juristische Personen vor. Diese Strafen umfassen die betrügerische Erhebung von Daten, die Verarbeitung sensibler Daten ohne Rechtsgrundlage und den Datenmissbrauch. Obwohl solche Strafverfolgungen selten sind, können sie in ein Verfahren bei der CNIL (französische Datenschutzbehörde) einbezogen werden.

Die indirekten Folgen, oft die kostspieligsten

Eine DSGVO-Sanktion verursacht Kosten, die weit über die Geldbuße hinausgehen: Imageschäden, insbesondere in B2B-Märkten, wo die Einhaltung der DSGVO zu einem Kaufkriterium geworden ist; Verlust von Aufträgen, da einige Auftraggeber mittlerweile einen formalen Nachweis der Einhaltung der DSGVO in ihren Ausschreibungen verlangen; Klagen der Betroffenen auf Wiedergutmachung, einzeln oder im Rahmen von Sammelklagen; interne Sanierungskosten, die oft die Geldbuße selbst übersteigen.

Wie wird eine CNIL-Prüfung ausgelöst?

Quellen und Formen der Kontrolle

Eine Prüfung durch die CNIL kann durch eine Beschwerde (die CNIL erhielt 2024 fast 17.800), eine Meldung über einen Verstoß seitens des Unternehmens, ein jährlich prioritäres Thema oder negative Medienberichterstattung ausgelöst werden. Es gibt vier Prüfungsformate: Vor-Ort-Prüfung, Anhörung, Online-Prüfung und Dokumentenprüfung. Letztere, bei der ein detaillierter Fragebogen verwendet wird, ist die häufigste und wird am meisten unterschätzt.

Das Verfahren

Werden Verstöße festgestellt, versendet die CNIL zunächst eine förmliche Mitteilung mit einer Frist. Im Jahr 2024 wurden 180 förmliche Mitteilungen versendet. Dies ist oft die letzte Möglichkeit, eine öffentliche Sanktion zu vermeiden. Andernfalls leitet das zuständige Gremium ein Verfahren ein, das sechs bis achtzehn Monate dauern kann. Weitere Informationen finden Sie in der [Website/Dokumentation einfügen]. Viqtor-Leitfaden zur DSGVO-Konformitätsprüfung.

Die häufigsten Schwachstellen im Geschäftsleben

Eine mangelhafte Datenverwaltung

Dies ist der Hauptrisikofaktor. Viele Unternehmen haben 2018 eine DSGVO-Richtlinie erstellt, sie abgelegt und nie wieder überprüft. Tools, Dienstleister und Datenflüsse entwickeln sich jedoch ständig weiter. Ohne kontinuierliche Überwachung vergrößert sich die Kluft zur Realität. Dieses Problem fällt eindeutig in den Verantwortungsbereich des Managements: Der in Artikel 5 Absatz 2 DSGVO verankerte Grundsatz der Rechenschaftspflicht verlangt, die Einhaltung der Vorschriften jederzeit nachzuweisen. Es handelt sich dabei nicht um eine Verpflichtung zur Bereitstellung von Mitteln, sondern um eine Beweispflicht.

Das Fehlen oder die unzureichende Positionierung des Datenschutzbeauftragten

Die Bestellung eines Datenschutzbeauftragten (DSB) ist für öffentliche Stellen, Organisationen, die sensible Daten in großem Umfang verarbeiten, und solche, die Personen systematisch überwachen, verpflichtend. In der Praxis profitieren viele Unternehmen auch ohne formale Verpflichtung von der Bestellung eines DSB, da dies die Verantwortlichkeitskette stärkt. Der DSB muss jedoch über die notwendigen Ressourcen verfügen, um handeln zu können: direkten Zugang zur Geschäftsleitung, ein Budget, Unabhängigkeit und die Möglichkeit zur Projektbeteiligung. Mehrere Sanktionen der letzten Zeit richteten sich gezielt gegen Unternehmen, die lediglich einen formalen DSB bestellt hatten.

Unterdimensionierte technische Sicherheit

Dies hat sich zum Hauptgrund für empfindliche Sanktionen entwickelt. Im Jahr 2025 betrafen 29 % der europäischen Bußgelder unzureichende technische und organisatorische Maßnahmen. Der Fall Free und Free Mobile, der im Januar 2026 mit einer Gesamtstrafe von 42 Millionen Euro geahndet wurde, verdeutlicht dies eindrucksvoll: Fehlende Zwei-Faktor-Authentifizierung beim VPN-Zugang und die Ineffektivität von Systemen zur Erkennung von Datenabfluss wurden als schwerwiegende Verstöße eingestuft, nachdem ein Einbruch 24 Millionen Verträge kompromittiert hatte.

Um diese Dimension zu strukturieren, Viqtors GDPR-Governance-Modul bietet einen direkt anwendbaren operativen Rahmen von biblischer Einfachheit.