Compliance-Bußgelder 2026 — der kompakte Atlas
Welche Bußgelder drohen bei Compliance-Verstößen 2026? Der Atlas zu DSGVO, NIS2, DORA, AI Act, HinSchG für DACH-KMU. Stand: 2026-05-16.
ComplyCheck-Redaktion · Stand: 2026-06-12
Compliance-Bußgelder 2026 — der kompakte Atlas
Stand: 2026-05-16 · ComplyCheck-Redaktion · Keine Rechtsberatung iSd RDG § 2.
Wie die EU Bußgeld-Obergrenzen konstruiert
Fast alle EU-Regimes (DSGVO, NIS2, AI Act, LkSG) verwenden die gleiche Logik: fixer Maximalbetrag ODER Prozentsatz vom weltweiten Konzernumsatz — der höhere Wert gilt. Für KMU greift in der Regel der fixe Betrag, für Konzerne der Prozentsatz. DORA bricht aus diesem Muster aus und sanktioniert pro Tag des Verstoßes — was bei Dauerverstößen schnell die fixen Obergrenzen übersteigt.
DSGVO — der Klassiker
Die DSGVO hat das EU-Bußgeld-Niveau radikal angehoben. Art. 83 DSGVO sieht zwei Bußgeld-Stufen vor:
Stufe 1 (Art. 83 Abs. 4 DSGVO)
Bei Verstößen gegen formale Pflichten:
- bis 10 Mio. € oder 2 % des weltweiten Jahresumsatzes — je nachdem, welcher Betrag höher ist
Typische Verstöße: fehlendes Verfahrensverzeichnis, mangelhafte technische und organisatorische Maßnahmen (TOMs), fehlende Auftragsverarbeitungsverträge.
Stufe 2 (Art. 83 Abs. 5 DSGVO)
Bei Verstößen gegen materielle Pflichten:
- bis 20 Mio. € oder 4 % des weltweiten Jahresumsatzes — je nachdem, welcher Betrag höher ist
Typische Verstöße: Verarbeitung ohne Rechtsgrundlage, Verletzung der Betroffenenrechte, internationale Datentransfers ohne Garantien.
Praxis 2024-2025
Die BfDI-Tätigkeitsberichte und die Berichte der Landesdatenschutzbehörden dokumentieren, dass Bußgelder im KMU-Bereich typischerweise im fünfstelligen Bereich angesiedelt sind. Sechs- und siebenstellige Bußgelder treffen vor allem Konzerne, große Online-Plattformen und Wiederholungstäter.
Bekannte Mega-Bußgelder europaweit (Auswahl, kumuliert über mehrere Jahre):
- Meta / Facebook: mehrere Bußgelder im Milliarden-Bereich
- Amazon: 746 Mio. € (Luxemburg, 2021)
- Google: mehrere dreistellige Millionen-Bußgelder (Frankreich)
NIS2 — neu seit 2024
Die NIS2-Richtlinie verlangt von Mitgliedstaaten, ein abgestuftes Sanktionsregime vorzusehen (Art. 34):
Wesentliche Einrichtungen
- bis 10 Mio. € oder 2 % des weltweiten Jahresumsatzes (höherer Wert)
Wichtige Einrichtungen
- bis 7 Mio. € oder 1,4 % des weltweiten Jahresumsatzes (höherer Wert)
Hinzu kommen:
- persönliche Haftung der Geschäftsleitung bei groben Pflichtverletzungen
- Berufsverbote für Leitungsorgane in besonders schweren Fällen
- Veröffentlichungs-Pflichten bei Verstößen
- Tätigkeitsbeschränkungen und temporäre Aussetzung von Zertifizierungen
Status in Deutschland 2026: Das NIS2UmsuCG ist am 6. Dezember 2025 in Kraft getreten (BGBl. 2025 I Nr. 396) und definiert die Sanktionsschwellen national. Die Umsetzung-Höhe entspricht weitgehend dem EU-Mindestrahmen.
DORA — Tagesumsatz-Basis
Die DORA-Verordnung hat eine ungewöhnliche Sanktionslogik. Art. 50-51 sehen vor:
Bußgelder
- bis 1 % des durchschnittlichen Tagesumsatzes je Tag des Verstoßes
- bei wiederholten oder schweren Verstößen können kumulative Tages-Strafen sich auf erhebliche Summen aufsummieren
Weitere Maßnahmen
- öffentliche Bekanntgabe der Verstöße (Naming and Shaming)
- temporäre Tätigkeitsbeschränkungen
- Entzug von Zulassungen in extremen Fällen
Spezifisch für kritische IKT-Drittanbieter (Art. 35 DORA): Lead Overseer kann Zwangsgelder verhängen, deren Höhe abhängig vom Umsatz des Drittanbieters ist.
HinSchG — überschaubarer Rahmen
Das Hinweisgeberschutzgesetz sanktioniert in § 40 HinSchG:
- bis 50.000 € bei Verstößen gegen die Pflicht zur Einrichtung eines internen Meldekanals
- bis 50.000 € bei Verstößen gegen Verbote von Repressalien
- bis 20.000 € bei wiederholten Verstößen gegen Vertraulichkeits-Pflichten
Ergänzend gibt es arbeitsrechtliche Konsequenzen: Beweislastumkehr zugunsten des Hinweisgebers in Kündigungs- oder Versetzungs-Streitigkeiten.
Praktisch sind HinSchG-Bußgelder bislang selten. Die Hauptrisiken liegen in Arbeitsgerichts-Verfahren und Reputationsschäden.
AI Act — neu und scharf
Der AI Act (Verordnung 2024/1689) hat ein dreistufiges Sanktions-System (Art. 99):
Verbotene KI-Praktiken
- bis 35 Mio. € oder 7 % des weltweiten Jahresumsatzes (höherer Wert)
Beispiele: Social Scoring, manipulative KI, biometrische Echtzeit-Identifizierung im öffentlichen Raum (mit Ausnahmen)
Hochrisiko-KI ohne Konformität
- bis 15 Mio. € oder 3 % des weltweiten Jahresumsatzes
Beispiele: Hochrisiko-Systeme nach Anhang III ohne CE-Konformität, ohne Transparenz, ohne Risiko-Management
Falsche Informationen an Behörden
- bis 7,5 Mio. € oder 1 % des weltweiten Jahresumsatzes
Beispiele: Falschangaben in Konformitätserklärungen, irreführende Informationen an Marktüberwachung
Die ersten Marktüberwachungs-Bußgelder sind ab 2. August 2025 möglich, der Vollbetrieb wird stufenweise bis 2027 ausgerollt.
Sektoral und ergänzend
Über die genannten Kern-Vorschriften hinaus gibt es sektorale Bußgeld-Regimes:
KWG / WpHG (Banken und Wertpapierhandel)
- bei einigen Verstößen bis 5 Mio. € oder 10 % des Konzernumsatzes
VAG (Versicherungen)
- Bußgelder bis zu 5 Mio. € je nach Pflichtverletzung
Produkthaftungs-Verordnung (neu in Kraft 2026)
- bei Verstößen gegen Sicherheits-Anforderungen: bis 20 Mio. € oder 4 % des Jahresumsatzes
Lieferkettensorgfaltspflichtengesetz (LkSG)
- bis 8 Mio. € oder 2 % des weltweiten Jahresumsatzes (bei Unternehmen ab 400 Mio. € Umsatz)
Wie Aufsichten Bußgelder bemessen
Die Behörden orientieren sich an den Art. 83 Abs. 2 DSGVO-Kriterien (oder vergleichbaren Sanktionsleitlinien):
- Art, Schwere und Dauer des Verstoßes
- Zahl der betroffenen Personen
- vorsätzlich oder fahrlässig
- Maßnahmen zur Schadens-Minderung
- frühere Verstöße
- Grad der Zusammenarbeit mit der Aufsicht
- Kategorien personenbezogener Daten
- wie der Verstoß bekannt wurde
In der Praxis sind Erstverstöße ohne grobe Fahrlässigkeit typischerweise an der unteren Bandbreite, Wiederholungstäter und Vorsatz im oberen Bereich.
Kumulationsrisiko — der gefährliche Teil
Ein einzelner Vorfall kann mehrere Bußgeld-Regimes gleichzeitig auslösen:
- Ein Cyberangriff mit Datenleck löst DSGVO-Verstoß (Art. 32, 33, 34) und NIS2-Meldepflicht-Verstoß aus
- Ein Whistleblower-Fall mit DSGVO-Bezug kann HinSchG-Repressalien-Bußgeld und DSGVO-Sanktion gleichzeitig nach sich ziehen
- Ein KI-System ohne Konformitätserklärung, das personenbezogene Daten verarbeitet, kann AI-Act- und DSGVO-Sanktion auslösen
Die Behörden koordinieren sich teilweise (im Rahmen des Europäischen Datenschutzausschusses oder über die ESAs), eine Anrechnung der Bußgelder ist aber nicht garantiert.
Ein Vorfall, mehrere Bußgelder
Das Kumulationsrisiko wird systematisch unterschätzt. Ein einziger Cyberangriff mit Datenleck löst typischerweise DSGVO-Verstoß (Art. 32, 33, 34) UND NIS2-Meldepflicht-Verstoß aus — beide Behörden können unabhängig sanktionieren. Eine Anrechnung der Bußgelder ist nicht garantiert. Plus: gegen die Geschäftsführung persönlich greift § 130 OWiG mit Bußgeldern bis 1 Mio. €. Wer nur „den größten Topf" einkalkuliert, plant zu knapp.
Versicherbarkeit
Bußgelder sind in Deutschland nicht versicherbar. Die deutschen Aufsichtsbehörden und die herrschende Meinung sehen darin einen Verstoß gegen das Verbot der Versicherbarkeit hoheitlicher Sanktionen (§ 1 Abs. 2 OWiG). Vollstreckungsversuche durch Cyber-Versicherungen wurden in der Praxis abgelehnt.
Was versicherbar ist:
- Anwalts- und Verteidigungs-Kosten
- Forensik-Kosten nach einem Vorfall
- Reputations-Management-Kosten
- IT-Wiederherstellungs-Kosten
- BU-Folgen (Betriebsunterbrechung)
Nicht versicherbar: das eigentliche Bußgeld der Behörde selbst.
Bußgeld-Reduktion durch kooperatives Verhalten
Reduktionen um 30-70 % sind realistisch — wenn die richtigen Schritte in der richtigen Reihenfolge erfolgen: (1) Schnelle Selbst-Anzeige innerhalb der gesetzlichen Fristen (24h NIS2, 72h DSGVO), (2) dokumentierte Korrekturmaßnahmen mit Zeitstempeln und Verantwortlichen, (3) aktive Zusammenarbeit mit der Aufsicht statt defensiver Anwaltsschriftsätze. Die Bemessungs-Kriterien aus Art. 83 Abs. 2 DSGVO honorieren genau dieses Verhalten — das sollte fester Bestandteil jedes Incident-Response-Plans sein.
FAQ
Werden Bußgelder wirklich verhängt oder nur theoretisch angedroht?
Verhängt. Im DSGVO-Bereich gab es allein in der EU bis 2025 mehrere tausend Bußgeld-Bescheide mit kumulativem Volumen im Milliardenbereich. NIS2- und DORA-Bußgelder sind noch jünger, aber erste Verfahren laufen. Die These "Wird schon nicht so schlimm" hält der Empirie nicht stand.
Trifft das auch KMU mit wenigen Mitarbeitenden?
Ja. Die Bußgeld-Höhe ist nicht direkt mit der Größe gekoppelt — die 4 %-Umsatz-Regel deckelt nur nach oben. Auch kleinere Unternehmen haben fünfstellige DSGVO-Bußgelder kassiert. Die Aufsichten priorisieren aber Konzerne und Wiederholungstäter — eine 100 %-Verfolgung aller Verstöße ist nicht das Aufsichts-Modell.
Was ist mit persönlicher Haftung der Geschäftsführung?
NIS2 sieht ausdrücklich persönliche Haftung der Leitungsorgane vor. Im DSGVO-Bereich greift § 130 OWiG (Aufsichtspflicht-Verletzung) — gegen die Geschäftsführung persönlich können Bußgelder bis 1 Mio. € verhängt werden. AI Act hat ähnliche Mechanismen.
Können Bußgelder durch Korrekturmaßnahmen reduziert werden?
Ja, deutlich. Schnelle Selbst-Anzeige, Zusammenarbeit mit der Aufsicht, dokumentierte Korrekturmaßnahmen und nachweisbare Verbesserungen werden in der Bußgeld-Bemessung berücksichtigt — Reduktionen um 30-70 % sind möglich.
Welche Versicherung deckt was?
Cyber-Versicherungen decken typischerweise: Forensik, Wiederherstellung, BU-Schaden, Krisen-Kommunikation, Verteidigungs-Kosten, Drittschadens-Haftung. Was sie typischerweise nicht decken: das eigentliche Bußgeld, vorsätzliche Pflichtverletzungen, Schäden aus nicht-gepatchten bekannten Schwachstellen.
Veröffentlicht durch die ComplyCheck-Redaktion. Veröffentlicht am 12. Juni 2026.
Verantwortlich i.S.d. § 18 MStV: siehe Impressum.
Fehler entdeckt oder ergänzende Erfahrung? korrektur@complycheck.de
Compliance-Updates ohne GRC-Bloat
NIS2-, DORA- und KRITIS-Hinweise für KMU: kurz, quellenbasiert und mit nächsten Schritten.
🎁 Gratis dazu: NIS2-Scope-Checkliste für KMU
Das könnte dich auch interessieren
Wann ist eine DSGVO-Folgenabschätzung (DPIA) Pflicht?
Wann ist eine DSGVO-Folgenabschätzung Pflicht? Entscheidungsbaum nach WP248, EDSA-Liste und BfDI-Hochrisiko-Katalog. Stand 2026-05-16.
Cybersicherheits-Hygiene nach NIS2: Was reicht für KMU?
Art. 21 Abs. 2 Lit. g NIS2 fordert grundlegende Cybersicherheits-Hygiene. Was Patch, Awareness, MFA und Backups konkret leisten müssen — KMU-tauglich erklärt.
DORA Incident-Reporting: wie läuft das in der Praxis?
DORA verlangt Initial-, Intermediate- und Final-Report bei schwerwiegenden IKT-Vorfällen. Klassifizierung, Fristen, ESMA-Templates — Stand: 2026-05-16.