Zum Inhalt springen
compliance advisory
Erstgespräch vereinbaren
DSGVO-Bußgeld-Risiko: Score-Selbsttest | vsca
DatenschutzZuletzt aktualisiert: 2026-06-23

DSGVO-Bußgeld-Risikoscore: Wie verwundbar ist Ihr Unternehmen wirklich?

DSGVO-Bußgeld-Risikoscore

Wie hoch ist Ihr DSGVO-Bußgeldrisiko?

Beantworten Sie acht kurze Fragen zu den am häufigsten sanktionierten Schwachstellen. Ihr persönlicher Risikoscore erscheint sofort – ohne Anmeldung.

0 von 8 Fragen beantwortet

1.Art. 6 Ist für jede Verarbeitung personenbezogener Daten eine Rechtsgrundlage dokumentiert – und liegen, wo nötig, gültige Einwilligungen vor?
2.Art. 30 Führen Sie ein vollständiges, aktuelles Verzeichnis von Verarbeitungstätigkeiten (VVT)?
3.Art. 28 Haben Sie mit allen Dienstleistern, die Daten für Sie verarbeiten, einen Auftragsverarbeitungsvertrag (AVV) – und kontrollieren Sie diese auch?
4.Art. 32 Sind Ihre technischen und organisatorischen Maßnahmen (TOM) zum Schutz der Daten dokumentiert und werden sie gelebt?
5.Art. 12–22 Haben Sie einen eingeübten Prozess, um Auskunfts- und Löschanfragen fristgerecht (i. d. R. innerhalb eines Monats) zu beantworten?
6.Art. 5 & 17 Existiert ein Lösch- und Aufbewahrungskonzept, das festlegt, welche Daten wann gelöscht werden?
7.Art. 33/34 Ist ein Meldeprozess für Datenpannen eingeübt, mit dem Sie die 72-Stunden-Frist an die Aufsichtsbehörde einhalten können?
8.Art. 37 / TTDSG Ist – sofern pflichtig – ein Datenschutzbeauftragter benannt, und ist Ihr Cookie-Consent rechtskonform (gleichwertiger „Alle ablehnen“-Button)?

Orientierungshilfe, keine rechtsverbindliche Feststellung und keine Rechtsberatung. Stand der regulatorischen Angaben: 23.06.2026.

Zuletzt aktualisiert: 23.06.2026

Wie groß ist Ihr DSGVO-Bußgeldrisiko – und wo genau liegen die Lücken? Unser Risikoscore beantwortet diese Frage in wenigen Minuten: Sie durchlaufen acht kurze Fragen zu den am häufigsten sanktionierten Schwachstellen, und das Tool berechnet sofort Ihren persönlichen Score von 0 bis 16 Punkten. Sie sehen direkt auf dieser Seite, ob Ihr Risiko gering, mittel oder hoch ist, welche Punkte die größten Hebel sind und was als Nächstes ansteht – kostenlos, ohne Vorwissen und ohne Anmeldung für das Ergebnis. Das Tool ist von TÜV-zertifizierten Datenschutzbeauftragten konzipiert und prüft genau die Verstöße, die Aufsichtsbehörden in der Praxis am häufigsten ahnden.

Warum sich ein DSGVO-Risikocheck 2026 lohnt

Die DSGVO ist kein Papiertiger. Europaweit summieren sich die verhängten Bußgelder auf rund 6,1 Mrd. € (CMS Enforcement Tracker, 03/2026). Der deutsche Rekord liegt bei 45 Mio. € gegen Vodafone (BfDI, 2025) – unter anderem, weil Auftragsverarbeiter nicht ausreichend kontrolliert wurden (Art. 28). Das zeigt: Bußgelder entstehen selten aus exotischen Spezialfällen, sondern aus den immer gleichen, gut prüfbaren Grundpflichten.

Genau das ist die gute Nachricht für den Mittelstand: Das Risiko ist beherrschbar, wenn man weiß, wo man steht. Aufsichtsbehörden werden häufig durch Beschwerden Betroffener oder durch eine gemeldete Datenpanne aktiv – und prüfen dann zuerst die Basics: das Verarbeitungsverzeichnis, die Auftragsverarbeitungsverträge, die technischen Schutzmaßnahmen und den Umgang mit Betroffenenrechten. Wer hier sauber aufgestellt ist, senkt sein Bußgeldrisiko deutlich. Wer Lücken hat, erfährt es im schlechtesten Fall erst im Verfahren.

Der Risikoscore macht diese Selbsteinschätzung schnell und konkret. Er ersetzt kein Datenschutz-Audit, gibt Ihnen aber eine belastbare erste Orientierung – und die Grundlage, um gezielt dort anzusetzen, wo es am meisten bringt.

Was Ihnen der Risikoscore bringt

Das Tool ist bewusst schlank gehalten und liefert sofort verwertbare Ergebnisse, statt Sie mit Paragrafen zu überfordern.

  • Sofortiges Ergebnis on-page – Ihr Score von 0 bis 16 Punkten und die Einstufung gering / mittel / hoch erscheinen direkt nach der letzten Frage, ohne dass Sie Ihre E-Mail-Adresse angeben müssen.
  • Klare Priorisierung: Das Tool hebt genau die Fragen hervor, die Sie mit „Nein / unklar“ beantwortet haben – das sind Ihre größten Hebel.
  • Echter Bußgeldkontext statt abstrakter Drohung: Jede Schwachstelle ist mit dem Grund verknüpft, warum sie in der Praxis sanktioniert wird.
  • Optionales Maßnahmenblatt per E-Mail mit priorisierten nächsten Schritten – wenn Sie es vertiefen möchten.
  • Kostenlos und unverbindlich, präzise statt alarmistisch.

So funktioniert der Selbsttest

Der Risikoscore führt Sie durch acht Fragen zu den am häufigsten sanktionierten DSGVO-Schwachstellen. Für jede Frage wählen Sie zwischen „Ja, vollständig umgesetzt“ (0 Punkte), „Teilweise / in Arbeit“ (1 Punkt) und „Nein / unklar“ (2 Punkte). Die Summe ergibt Ihren Score:

  • 0–4 Punkte – geringes Risiko: Ihre Grundlagen sitzen weitgehend.
  • 5–9 Punkte – mittleres Risiko: Wesentliche Bausteine fehlen oder sind unvollständig.
  • 10–16 Punkte – hohes Risiko: Mehrere zentrale Pflichten sind ungeklärt.

Anschließend zeigt das Tool Ihre größten Hebel und den passenden Bußgeldkontext. Sie brauchen kein juristisches Vorwissen – nur einen ehrlichen Blick auf den Stand in Ihrem Unternehmen.

Die 8 Schwachstellen – und warum sie sanktioniert werden

Der Score prüft genau die Punkte, die in Aufsichtsverfahren regelmäßig zum Bußgeld führen:

  1. Rechtsgrundlage & Einwilligungen (Art. 6). Jede Verarbeitung personenbezogener Daten braucht eine dokumentierte Rechtsgrundlage. Fehlt sie – oder ist eine Einwilligung unwirksam eingeholt –, ist die Verarbeitung rechtswidrig. Das ist einer der am häufigsten geahndeten Verstöße überhaupt.
  2. Verzeichnis von Verarbeitungstätigkeiten (Art. 30). Das VVT ist die erste Unterlage, die Behörden anfordern. Wer es nicht vollständig und aktuell vorlegen kann, gerät schnell unter Generalverdacht – und die fehlende Dokumentation ist selbst ein eigenständiger Verstoß.
  3. Auftragsverarbeitung & Kontrolle (Art. 28). Mit jedem Dienstleister, der Daten für Sie verarbeitet (Cloud, IT, Lohnabrechnung, Marketing), brauchen Sie einen Auftragsverarbeitungsvertrag – und müssen ihn auch überwachen. Genau die fehlende Kontrolle war ein Kernpunkt des deutschen Rekordbußgelds gegen Vodafone (45 Mio. €, BfDI 2025). Eine saubere Vertragsbasis schaffen Sie mit unserem AVV-Musterpaket.
  4. Technische & organisatorische Maßnahmen (Art. 32). Datenschutz muss technisch und organisatorisch abgesichert und dokumentiert sein. Unzureichende oder nicht nachweisbare Maßnahmen führen besonders nach einer Datenpanne zu hohen Bußgeldern.
  5. Betroffenenrechte (Art. 12–22). Auskunfts- und Löschanfragen müssen fristgerecht – in der Regel innerhalb eines Monats – beantwortet werden. Verspätete oder unvollständige Antworten sind ein häufiger Beschwerdegrund, weil Betroffene sie direkt bei der Behörde melden.
  6. Lösch- & Aufbewahrungskonzept (Art. 5 & 17). Daten ohne definierte Löschfristen verstoßen gegen die Grundsätze der Speicherbegrenzung und das Recht auf Löschung. Ein dokumentiertes Konzept ist zugleich der beste Nachweis Ihrer Rechtskonformität.
  7. Datenpannen-Meldeprozess (Art. 33/34). Eine meldepflichtige Datenpanne müssen Sie binnen 72 Stunden an die Aufsichtsbehörde melden. Diese Frist wird ohne eingeübten Prozess regelmäßig verfehlt – und die verspätete Meldung wird eigenständig sanktioniert.
  8. Datenschutzbeauftragter & Cookie-Consent (Art. 37 / TTDSG). Wo ein Datenschutzbeauftragter pflichtig ist, muss er benannt sein. Und der Cookie-Consent auf Ihrer Website muss rechtskonform sein – mit einem gleichwertigen „Alle ablehnen“-Button. Beides ist für Behörden leicht prüfbar und gehört deshalb zu den häufigsten Beanstandungen bei KMU; das Cookie-Thema ist derzeit das heißeste Datenschutzthema im Mittelstand.

Ihr Ergebnis – und was es bedeutet

Auf Basis Ihrer Antworten ordnet das Tool Ihr Unternehmen einer von drei Risikostufen zu. Wichtig: Das Ergebnis ist eine Orientierung, keine rechtsverbindliche Feststellung.

Geringes Risiko (0–4 Punkte). Ihre DSGVO-Grundlagen sitzen weitgehend. Halten Sie das Niveau mit regelmäßigen Audits und aktueller Dokumentation – die schützen Sie auch im Beschwerdefall.

Mittleres Risiko (5–9 Punkte). Wesentliche Bausteine fehlen oder sind unvollständig. Hier lohnt es sich, die Lücken gezielt zu schließen, bevor eine Beschwerde oder Datenpanne den Druck erhöht.

Hohes Risiko (10–16 Punkte). Mehrere zentrale Pflichten sind ungeklärt. Das erhöht das Risiko von Beschwerden, behördlichen Verfahren und Bußgeldern spürbar. Wir empfehlen, zeitnah zu handeln – am besten mit einer strukturierten Bestandsaufnahme.

In allen drei Fällen zeigt Ihnen das Tool die konkreten Punkte, an denen Sie ansetzen sollten. Das ausführliche Maßnahmenblatt mit priorisierten nächsten Schritten erhalten Sie auf Wunsch per E-Mail.

Von der Selbsteinschätzung zur belastbaren Bestandsaufnahme

Der Score schafft Klarheit über das Wo – die strukturierte Behebung gehen wir gemeinsam an, risikobasiert statt formalistisch:

  1. Ergebnis besprechen: Im kostenlosen Erstgespräch validieren wir Ihren Score und klären offene Punkte.
  2. Status vertiefen: Ein Datenschutz-Audit macht aus der Selbsteinschätzung eine belastbare Gap-Analyse mit Nachweisen.
  3. Lücken schließen: Über unsere Datenschutzberatung bauen wir die fehlenden Bausteine auf – vom Verarbeitungsverzeichnis über die TOM bis zum Meldeprozess.
  4. Dauerhaft absichern: Wo ein Datenschutzbeauftragter pflichtig ist oder Sie Kapazität entlasten möchten, übernehmen wir die Rolle als externer Datenschutzbeauftragter – inklusive laufender Kontrolle Ihrer Auftragsverarbeiter.

Häufige Fragen zum DSGVO-Bußgeld-Risiko

Wie hoch können DSGVO-Bußgelder ausfallen? Die DSGVO sieht Bußgelder von bis zu 20 Mio. € oder 4 % des weltweiten Jahresumsatzes vor – maßgeblich ist der höhere Wert. In der Praxis summieren sich die verhängten Bußgelder europaweit auf rund 6,1 Mrd. € (CMS Enforcement Tracker, 03/2026). Der deutsche Rekord liegt bei 45 Mio. € gegen Vodafone (BfDI, 2025). Für die meisten KMU geht es jedoch weniger um Höchststrafen als um vermeidbare Verstöße bei den Grundpflichten – genau die prüft der Risikoscore.

Welche DSGVO-Verstöße werden am häufigsten sanktioniert? In der Praxis sind es vor allem fehlende oder unwirksame Rechtsgrundlagen (Art. 6), unzureichende technische und organisatorische Maßnahmen (Art. 32), Mängel bei der Auftragsverarbeitung und deren Kontrolle (Art. 28), versäumte Betroffenenrechte und verspätete Datenpannen-Meldungen (Art. 33/34). Nicht rechtskonformer Cookie-Consent ist derzeit das heißeste Beanstandungsthema bei kleineren Unternehmen. Der Score deckt diese acht Schwachstellen ab.

Wie genau ist der Risikoscore? Der Score liefert eine fundierte erste Orientierung anhand der wichtigsten, in der Praxis am häufigsten sanktionierten Kriterien. Er ist bewusst pragmatisch und ersetzt keine rechtliche Einzelfallprüfung. Für eine belastbare, dokumentierte Bestandsaufnahme empfehlen wir ein Datenschutz-Audit im Rahmen unserer Beratung.

Brauchen wir zwingend einen Auftragsverarbeitungsvertrag mit jedem Dienstleister? Ja, sobald ein Dienstleister personenbezogene Daten in Ihrem Auftrag verarbeitet (z. B. Cloud-Speicher, IT-Wartung, Lohnabrechnung, E-Mail-Marketing), verlangt Art. 28 DSGVO einen Auftragsverarbeitungsvertrag – und Sie müssen die Einhaltung auch kontrollieren. Genau diese fehlende Kontrolle war ein Kernpunkt des Vodafone-Bußgelds (BfDI, 2025). Eine geprüfte Vorlage bietet unser AVV-Musterpaket.

Was kostet der Risikoscore? Der Online-Score und das ausführliche Maßnahmenblatt sind kostenlos und unverbindlich, ebenso das anschließende Erstgespräch. Kosten entstehen erst, wenn Sie konkrete Umsetzungsbausteine beauftragen – passgenau auf Ihren Bedarf zugeschnitten.

Was passiert mit meinen Daten? Den Score berechnet das Tool direkt in Ihrem Browser; für das reine Ergebnis brauchen Sie keine E-Mail-Adresse anzugeben. Möchten Sie das ausführliche Maßnahmenblatt erhalten, verarbeiten wir Ihre Angaben ausschließlich zu diesem Zweck und – bei entsprechender Einwilligung – zur Kontaktaufnahme, im Double-Opt-in-Verfahren und ohne Weitergabe an Dritte. Details finden Sie in unseren Datenschutzhinweisen.

Jetzt Ihren DSGVO-Bußgeld-Risikoscore ermitteln

Klarheit in wenigen Minuten – ohne Vorwissen, kostenlos und unverbindlich. Erfahren Sie, wo Ihr Unternehmen beim Datenschutz steht und welche Schritte als Nächstes anstehen. Ihr Ergebnis validieren wir gern in einem kostenlosen Erstgespräch.

Ihr Kontakt: vsquadrat compliance advisory GmbH Kleiner Burstah 12, 20457 Hamburg Tabea Lehnert, Managing Director · tabea@vsquadrat.de · +49 151 40701461 Team Legal · legal@vsquadrat.dewww.vsquadrat.de

Mehr zum Thema: Datenschutzberatung für den Mittelstand · Datenschutz-Audit · Externer Datenschutzbeauftragter

Zuletzt aktualisiert: 23.06.2026. Alle regulatorischen Angaben auf dieser Seite geben den Stand vom 23.06.2026 wieder. Der Risikoscore liefert eine erste Orientierung und ersetzt keine individuelle Rechtsberatung.

Kostenloses Erstgespräch

Lassen Sie uns sprechen.

Unverbindlich, kostenfrei und konkret: Wir klären Ihren Bedarf und stellen die passenden Bausteine zusammen.

Antwort i. d. R. innerhalb von 24 Stunden. Keine Kosten, keine Verpflichtung.