Ein Blick auf die Datenschutzverletzungen in 2023 zeigt in Deutschland noch deutlichen Handlungsbedarf, auch wenn Datenpannen in anderen EU-Ländern weitaus mehr Schlagzeilen machten. Wir geben einen Überblick über akute Datenschutz-Probleme, die deutsche Aufsichtsbehörden beanstandet haben. Die Höhe der Bußgelder ist dabei nur ein Indiz für die weiterhin bestehenden Herausforderungen im Datenschutz und bei der Umsetzung der DSGVO (Datenschutz-Grundverordnung).
2023 waren die häufigsten digitalen Datenpannen in Deutschland der offene E-Mail-Verteiler, das Abhandenkommen von Datenträgern durch Einbruch oder Diebstahl und das Abgreifen personenbezogener Daten durch Cyberkriminalität.
(Bild: Bernulius - stock.adobe.com)
Wenn man sich als Unternehmen Beispiele für Datenschutzverletzungen ansieht, kommen meist zuerst die Bußgelder und deren Höhe in den Blick. Das ist einerseits verständlich, denn die Bußgelder nach DSGVO können wirklich „schmerzhaft“ sein, und sie sollen es auch. Immerhin fordert die DSGVO, dass die Sanktionen wirksam, verhältnismäßig und abschreckend sein müssen.
Beispiele für hohe Bußgelder findet man in vielen EU-Ländern: Gegen Meta Platforms Ireland Limited (Meta IE) wurde eine Geldstrafe in Höhe von 1,2 Milliarden Euro verhängt. Die französische Aufsicht verhängte gegen CRITEO eine Geldstrafe von 40 Millionen Euro wegen unzulässiger personalisierter Werbung. Die portugiesische Aufsichtsbehörde verhängte gegen das portugiesische Statistikamt (INE) eine Geldstrafe von 4,3 Millionen Euro. Clubhouse wurde von der italienischen Aufsichtsbehörde mit einer Geldstrafe von zwei Millionen Euro belegt.
Doch die Aufsichtsbehörden für den Datenschutz haben nicht den Wunsch, möglichst oft zu Bußgeldern und anderen Sanktionsmöglichkeiten zu greifen. „Guter Datenschutz reagiert nicht in erster Linie mit harten Sanktionen auf spektakuläre Datenschutzverletzungen, sondern versucht, zu deren Vermeidung anzuleiten. Ein zentrales Instrument ist dabei die Vermittlung von Wissen“, erklärt der Bayerische Landesbeauftragte für den Datenschutz.
Die Aufsichtsbehörden wollen mit den Unternehmen kooperieren. „Wenn wir datenschutzrechtliche Herausforderungen gemeinsam in den Blick nehmen und Lösungen entwickeln, profitieren alle davon“, so der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz.
Wenn nun also Beispiele für Datenschutz-Mängel und Bußgelder in Deutschland betrachtet werden, sollte man als Unternehmen immer überlegen, ob dies im eigenen Betrieb hätte auch passieren können und dann, wie sich dies im Unternehmen vermeiden lässt.
Cyberattacken sind zentrale Datenschutz-Probleme, aber nicht die einzigen
Wie in den Jahren zuvor waren die häufigsten Datenpannen der Fehlversand und der Verlust von postalischen Unterlagen, der offene E-Mail-Verteiler, das Abhandenkommen von Datenträgern durch Einbruch oder Diebstahl und das Abgreifen personenbezogener Daten durch Cyberkriminalität, wie zum Beispiel die Datenschutzaufsicht in Sachsen darlegt.
Man muss aber auch nicht lange suchen, um Sanktionen wegen einer unzulässigen Videoüberwachung in den Berichten der Aufsichtsbehörden zu finden. Die Sächsische Datenschutz- und Transparenzbeauftragte (SDTB) Dr. Juliane Hundert hat sich unter anderem mit der Videoüberwachung in Spielhallen, im Kleingartenverein und auf Privatwegen auseinander gesetzt.
„Wer unzulässig eine Kamera betreibt, für den kann das zu einer kostspieligen Angelegenheit werden. Zum einen sprechen Zivilgerichte Betroffenen auch Schadenersatzansprüche zu. Zum anderen droht ein Bußgeld meiner Behörde“, so Dr. Juliane Hundert. Unerlaubte Videoüberwachung bildete demnach erneut den größten Anteil der Ordnungswidrigkeitenverfahren im nichtöffentlichen Bereich. Etwa zwei Drittel der Anzeigen bezogen sich auf die Anfertigung von Videoaufnahmen.
Cyberattacken und Videoüberwachung sind aber nicht immer getrennte Datenschutz-Problemfelder. Die Landesbeauftragte für den Datenschutz und für das Recht auf Akteneinsicht Brandenburg hatte einen gravierenden Fall zu bearbeiten, bei dem Live-Bilder der Videoüberwachung eines Kreditinstituts im Internet auftauchten. Die eingesetzte Kamera richtete sich auf das Foyer einer Filiale mitsamt Eingangsbereich, Kontoauszugsdrucker und Geldautomaten sowie auch auf den Gehweg und die Parkplätze vor der Filiale.
Unbekannte Dritte kompromittierten die Videokamera und stellten die Echtzeitbilder für jedermann abrufbar ins Netz. In begrenztem Umfang war es sogar möglich, die Kamera zu steuern. Das Kreditinstitut hatte es versäumt, geeignete technisch-organisatorische Maßnahmen umzusetzen, um dies zu verhindern. Außerdem fehlte ein Auftragsverarbeitungsvertrag mit den Dienstleistungsunternehmen. Schließlich hätte die Kamera weder den Gehweg noch die Parkplätze erfassen dürfen. Für diese Verstöße setzte die Aufsichtsbehörde insgesamt eine Geldbuße im oberen fünfstelligen Bereich fest.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Beispiel: Hacking im Gesundheitswesen und bei IT-Dienstleistern
Ein weiteres Beispiel aus Brandenburg, ein Hackerangriff auf die Webseite eines Verbandes der Gesundheitsbranche. Der Verband bietet unter anderem Fahrdienste für Krankenbeförderung an. Die hier notwendigen Datensätze der Kundinnen und Kunden gaben Beschäftigte im passwortgeschützten, internen Bereich der Webseite ein. Die Webseite des Verbandes war aber aufgrund einer technischen Schwachstelle über mehrere Tage angreifbar.
Dies führte dazu, dass sie auch tatsächlich kompromittiert und die Inhalte der Datenbank ausgelesen wurden, immerhin 89.000 Datensätze, die teilweise Rückschlüsse auf den Gesundheitszustand der betroffenen Personen zuließen. Dem Vorfall lagen mehrere datenschutzrechtliche Verstöße zugrunde, die Geldbuße war im fünfstelligen Bereich.
Dabei liegen die IT-Sicherheitsmängel oftmals nicht nur bei der internen IT. Eine erhebliche Anzahl der gemeldeten Datenschutzverletzungen ist das Ergebnis von Hacking-Angriffen auf externe Dienstleistungsunternehmen, so zum Beispiel die Einschätzung der Datenschutzaufsicht von Brandenburg.
Vor dem Hintergrund zunehmend komplexer Datenverarbeitungsprozesse und gleichzeitig reduzierter Ressourcen nimmt die Tendenz zu, Datenverarbeitungen an externe Unternehmen auszulagern – von einzelnen Verarbeitungsschritten bis hin zu einem kompletten Outsourcing der gesamten IT-Landschaft in die Cloud. Viele Verantwortliche meinen, sie könnten sich auf diese Weise auch ihrer datenschutzrechtlichen Pflichten entledigen. Diese Schlussfolgerung ist jedoch unzutreffend: Aus datenschutzrechtlicher Sicht bleibt ein Dienstleistungsunternehmen weisungsgebunden.
Insbesondere ist der Verantwortliche verpflichtet, die Auftragsausführung zu kontrollieren. Dagmar Hartge, die Landesbeauftragte für den Datenschutz und für das Recht auf Akteneinsicht Brandenburg, machte entsprechend deutlich: „Behörden, Unternehmen und Vereine sind aufgefordert, dauerhaft eigene personelle, finanzielle und zeitliche Ressourcen auf den Gebieten des Datenschutzes und der Informationssicherheit bereitzuhalten“.
IT-Sicherheit für Datenschutz essenziell
Die Datenschutzaufsichtsbehörden weisen auf die zunehmende Intensität der Cyber-Angriffe hin, die teilweise tief in die IT-Systeme eindringen und Organisationen über einen langen Zeitraum schaden können. „IT-Sicherheit bleibt ein hoch relevantes Thema. Auch Einrichtungen, die nicht zur kritischen Infrastruktur gehören, müssen auf hohe Sicherheitsstandards Wert legen, um ihre Systeme und personenbezogenen Daten zu schützen,“ so Thomas Fuchs, der Hamburgische Beauftragten für Datenschutz und Informationsfreiheit.
Datenschutz braucht die IT-Sicherheit, und wir Menschen als Betroffene brauchen den Datenschutz. Deshalb sollte die Vielzahl der Datenpannen immer auch ein Ansporn für die IT-Sicherheit sein, den Datenschutz und damit eines der Menschenrechte zu unterstützen.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/96/c3/96c3f0eef0140714a3397057a1ac1bb4/0129321130v2.jpeg "Die Werkstatt Bremen betreut als Dienstleister die Computertechnik der Beweisstückstelle der Polizei. Glücklicherweise hat der Ransomware-Angriff keine Auswirkungen auf die reguläre Arbeit der Polizei. (Bild: James Thew - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c8/bb/c8bbb90768f2d69adb08e0d58bb90645/0128934085v1.jpeg "Beim DNS-Tunneling wird legitimer Namensauflösungsverkehr genutzt, um Daten verdeckt durch bestehende Netzwerkverbindungen zu übertragen. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/57/cc/57cc4ad7badd6e36300bf10fcda97eac/0129117117v2.jpeg "Microsoft reagiert mit außerplanmäßigen Updates auf eine Sicherheitsanfälligkeit in Office 2016 bis 2024 und Office 365-Apps und stellt derzeit im Eiltempo Notfall-Patches bereit, um schwerwiegende Angriffe durch das Umgehen von Sicherheitsfunktionen zu verhindern. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/7c/51/7c51f12b88847cbe6b67250785911120/0129310016v2.jpeg "Cybersecurity zog sich als roter Faden durch Debatten über KI, Robotik, den Schutz verteilter IoT-Endpunkte und kritischer Infrastrukturen – sowohl auf den Bühnen des WebSummit 2025 in Lissabon, als auch hinter den Kulissen. (Bild: Web Summit)")
:quality(80)/p7i.vogel.de/wcms/4f/74/4f74da1ef2b573b35e8193c1279bfa5e/0129308675v1.jpeg "Tool-Silos und Schatten-KI machen Unternehmen 2026 haftbar – NIS-2, DORA und CRA fordern Konsolidierung, Identitätsmanagement und Enterprise-Browser für Compliance. (Bild: © DAYA-DAKSH - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/33/0b/330b92560794343f3b2e72a6c0201cfe/0129212056v2.jpeg "Ivanti Endpoint Manager Mobile ist erneut unter Beschuss: Zwei Zero-Day-Sicherheitslücken sollten sofort gepatcht werden. (Bild: Ar_TH - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/64/fd/64fd8544c5bdcae13f66e439f609d03f/0128874380v1.jpeg "Anwendungen, die auf asymmetrischer Kryptografie basieren, müssen auf Post-Quanten-Kryptografie-Verfahren umgestellt werden. (Bild: Achelos GmbH/ Canva)")
:quality(80)/p7i.vogel.de/wcms/d8/3f/d83fb3f1382c7a4597fac1bfcfc5087b/0129166059v2.jpeg "Nach diversen Spionage-Aktivitäten gegen WhatsApp-Nutzer führt der Anbieter mit den „strengen Kontoeinstellungen“ neue Sicherheitsfunktionen ein. (Bild: © ra2 studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/84/2b/842b3ec97d08ff445b7e2ee1c2c20166/0129087831v2.jpeg "Die Command-Injection-Schwachstelle EUVD-2026-3437 / CVE-2026-22844 gilt als leicht auszunutzen, das sie keine speziellen Berechtigungen oder Benutzerinteraktionen erfordert, um beliebigen Code auszuführen. (Logo:Zoom)")
:quality(80)/p7i.vogel.de/wcms/d8/46/d8461a6f3d03070ca78af2eeb81aa7a0/0129133031v2.jpeg "Bei einem Cyberangriff auf die Stadt Schorndorf wurden mutmaßlich Anmeldedaten der „Forscherfabrik Schorndorf“ gestohlen. (Bild: StockUp - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/39/a9/39a9c9edbf9edbcfdf7e01d87104b924/0129255851v2.jpeg "Auch 2025 fand die European Identity and Cloud Conference in Berlin statt und brachte Experten aus dem Bereich Identity and Access Management zusammen. (Bild: mail@nicolas~det.eu)")
:quality(80)/p7i.vogel.de/wcms/1d/db/1ddbdc9047cbd3cd27d7cb0efca62bc4/0128713610v2.jpeg "Am 25. Dezember 2025 griffen mutmaßlich japanische Cyberkriminelle Adobe-ColdFusion-Server, mit dem Ziel, Zugriffe zu kapern, um diese dann zu verkaufen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/68/2d/682dd583dcc4c/fsas-afc-horizontal-2-positive-rgb-nov24.png "fsas-afc-horizontal-2-positive-rgb-nov24 (Fsas)")
:fill(fff,0)/p7i.vogel.de/companies/63/db/63dbd1915b7af/2023-fastlta-logo-square-positive.jpeg "2023-fastlta-logo-square-positive (FAST LTA GmbH)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/8b/36/8b367fb79d91b869c7bcbb43197bc2b4/0114153072.jpeg "So kompliziert die DSGVO auch erscheinen mag, wer die Grundsätze für die Verarbeitung personenbezogener Daten als Grundprinzipien beachtet, hat schon sehr viel erreicht. (Bild: Azar - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3d/b3/3db3b3ca88f8308df633d9f97dcd5d3b/0128598788v2.jpeg "Die deutschen Aufsichten verhängten 2025 Millionenbußgelder – von fehlenden Partnerkontrollen bis zu WhatsApp-Datenlecks und Blackbox-Automatisierung. (Bild: © Westlight - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b7/b8/b7b85f23fc336975db9560ff55870967/0125054400v2.jpeg "Die Bundesdatenschutzbehörde hat ihr bisher höchste Bußgeld gegen Vodafone verhängt. (©alfexe - stock.adobe.com)")