Skip to content
KundenreferenzPreiseSicherheitVergleichBlog

Europe

Americas

Oceania

Daten8 min Lesezeit

Compliance-Bussgelder: Was Aufsichtsbehoerden pro Branche verhaengen

Ueberblick ueber Compliance-Bussgelder nach Branche in Deutschland: BaFin, Datenschutzbehoerden, Bundesbank. Reale Betraege, Trends und Praevention.

Dr. Katrin Hoffmann, Expertin für regulatorische Compliance
Dr. Katrin Hoffmann, Expertin für regulatorische Compliance·
Illustration for Compliance-Bussgelder: Was Aufsichtsbehoerden pro Branche verhaengen — Daten

Diesen Artikel zusammenfassen mit

ChatGPTChatGPTClaudeClaudePerplexityPerplexityGeminiGeminiGrokGrok

Die BaFin verhaengte im Februar 2025 gegen die Deutsche Bank Bussgelder in Hoehe von insgesamt 23,05 Millionen Euro fuer drei separate Verstoesse. Der Hamburgische Beauftragte fuer Datenschutz belegte H&M mit einem Bussgeld von 35,3 Millionen Euro -- dem hoechsten DSGVO-Bussgeld in Deutschland. Dieser Artikel analysiert die tatsaechlichen Betraege, die deutsche Aufsichtsbehoerden pro Branche verhaengen, die zugrunde liegenden Verstoesse und die Entwicklungen fuer 2026.

Deutsche Aufsichtsbehoerden und ihre Zustaendigkeiten

Deutschland verfuegt ueber ein vielschichtiges Aufsichtssystem, in dem mehrere Behoerden Sanktionen fuer Compliance-Verstoesse verhaengen. Die Zustaendigkeiten verteilen sich auf Bundes- und Landesebene.

Die BaFin beaufsichtigt Banken, Versicherungen, Wertpapierdienstleistungsunternehmen und Zahlungsinstitute. Die 16 Landesdatenschutzbehoerden sowie der Bundesbeauftragte fuer den Datenschutz setzen die DSGVO durch. Die Bundesbank unterstuetzt die Bankenaufsicht.

Aufsichtsbehoerde Ueberwachte Branchen Maximales Bussgeld Rechtsgrundlage
BaFin Banken, Versicherungen, Wertpapierunternehmen, Zahlungsinstitute, Krypto-Verwahrer 5 M EUR oder 10 % des Jahresumsatzes GwG, KWG, WpHG
Landesdatenschutzbehoerden Alle Branchen (personenbezogene Daten) 20 M EUR oder 4 % des weltweiten Jahresumsatzes DSGVO, BDSG
FIU Deutschland Alle Verpflichteten (Geldwaesche-Meldungen) Kein direktes Sanktionsrecht GwG
IHK / Aufsichtsbehoerden der Laender Gueterhaendler, Immobilienmakler Bis zu 150 K EUR (Ordnungswidrigkeiten) GwG

Eine Besonderheit des deutschen Systems ist die dezentrale Datenschutzaufsicht. Jedes der 16 Bundeslaender hat eine eigene Datenschutzbehoerde, was zu unterschiedlichen Bussgeldpraktiken fuehren kann. Der Hamburgische Datenschutzbeauftragte hat sich als besonders aktiv erwiesen, waehrend andere Behoerden zurueckhaltender agieren.

BaFin-Sanktionen: der Finanzsektor im Fokus

Die BaFin hat ihre Durchsetzungstaetigkeit in den letzten Jahren deutlich verstaerkt. Im Februar 2025 verhaengte sie gegen die Deutsche Bank Bussgelder in Hoehe von insgesamt 23,05 Millionen Euro fuer drei separate Verstoesse (BaFin, Deutsche Bank Sanktion).

Die Aufschluesselung zeigt die Bandbreite der sanktionierten Verstoesse: 14,8 Millionen Euro fuer den Vertrieb von Waehrungsderivaten in Spanien, 4,6 Millionen Euro fuer die Postbank-Einheit wegen unzureichender Dokumentation der Anlageberatung und 3,65 Millionen Euro wegen Verzoegerungen beim Kontowechselservice.

Jahr Institut Betrag Verstoss
2025 Deutsche Bank (3 Verfahren) 23,05 M EUR Derivatevertrieb, Anlageberatung, Kontowechsel
2024 Solaris SE 6,5 M EUR Verspaetete Verdachtsmeldungen (GwG)
2023 Deutsche Bank 170 K EUR Verstoesse gegen Meldepflichten
2022 N26 (Sonderbeauftragter) Keine Geldbusse Schwere GwG-Maengel, Wachstumsbeschraenkung
2021 Wirecard (Insolvenz) BaFin-Untersuchung Bilanzbetrug, Aufsichtsversagen

Der Fall N26 verdient besondere Beachtung. Die BaFin verhaengte 2022 keine Geldbusse, setzte aber einen Sonderbeauftragten ein und beschraenkte das Kundenwachstum auf 50.000 Neukunden pro Monat -- eine Massnahme, die fuer ein Wachstumsunternehmen wirtschaftlich gravierender sein kann als ein Bussgeld. 2024 belegte die BaFin Solaris SE mit einem Bussgeld von 6,5 Millionen Euro wegen verspaeteter Verdachtsmeldungen (VinciWorks, BaFin Enforcement 2025).

DSGVO-Bussgelder: Deutschlands dezentrales Durchsetzungsmodell

Deutschland verhaengt einige der hoechsten DSGVO-Bussgelder in der EU, obwohl die dezentrale Struktur zu unterschiedlichen Durchsetzungspraktiken fuehrt. Das hoechste Bussgeld wurde vom Hamburgischen Beauftragten fuer Datenschutz gegen H&M verhaengt.

Im Oktober 2020 erhielt H&M ein Bussgeld von 35,3 Millionen Euro wegen systematischer Ueberwachung von Mitarbeitern in einem Servicezentrum in Nuernberg (EDPB, H&M-Sanktion). Vorgesetzte hatten in sogenannten "Welcome Back Talks" nach Krankheits- oder Urlaubsabwesenheiten systematisch private Informationen ueber Mitarbeiter erfasst und auf einem Netzlaufwerk gespeichert.

Branche Typische Bussgeldspanne Haeufigste Verstoesse
Einzelhandel / Mode 10 K - 35,3 M EUR Mitarbeiterueberwachung, unzureichende Einwilligung
Telekommunikation 50 K - 1,2 M EUR Unerlaubte Werbung, Datenweitergabe
Gesundheitswesen 10 K - 300 K EUR Unbefugter Zugriff auf Patientendaten
Immobilien 14 K - 14,5 M EUR (Deutsche Wohnen) Ueberlange Datenspeicherung, fehlende Loeschkonzepte
Finanzdienstleistungen 50 K - 500 K EUR Datenpannen, unzureichende TOM

Der Fall Deutsche Wohnen ist ebenfalls bemerkenswert. Die Berliner Datenschutzbehoerde verhaengte 2019 ein Bussgeld von 14,5 Millionen Euro wegen ueberlanger Speicherung von Mieterdaten. Das Verfahren durchlief mehrere Instanzen, bevor das Bussgeld 2023 auf 1,1 Millionen Euro reduziert wurde. Dieser Fall zeigt die Komplexitaet des deutschen Rechtswegs bei DSGVO-Bussgeldverfahren.

Versicherungsbranche: BaFin verstaerkt die Aufsicht

Die Versicherungsbranche unterliegt der BaFin-Aufsicht sowohl in prudentieller Hinsicht (Solvabilitaet) als auch hinsichtlich der Geschaeftsfuehrung. Geldwaesche-Pflichten gelten insbesondere fuer Lebensversicherungen und anlagegebundene Produkte.

Die BaFin hat ihre Auslegungs- und Anwendungshinweise zum Geldwaeschegesetz 2024 aktualisiert (Bird & Bird, BaFin AML-Hinweise 2024). Diese praezisieren die Anforderungen an die Kundenidentifizierung, die Ueberwachung von Geschaeftsbeziehungen und die Verdachtsmeldungen fuer den Versicherungssektor.

Die haeufigsten Maengel im Versicherungssektor betreffen unzureichende Kundenidentifizierung bei Vertragsabschluss, fehlende Aktualisierung von Kundendossiers und Luecken bei der Erkennung ungewoehnlicher Transaktionen, insbesondere bei Policenrueckkaeufen und Auszahlungen an Dritte.

Immobilien und Gueterhaendler: neue Verpflichtete

Seit der Novelle des Geldwaeschegesetzes unterliegen Immobilienmakler und Gueterhaendler verschaerften Sorgfaltspflichten. Die Aufsicht wird von den Laenderbehoerden und teilweise von den IHK-Kammern wahrgenommen.

Immobilienmakler muessen bei Transaktionen ab 10.000 Euro eine Kundenidentifizierung durchfuehren, den wirtschaftlich Berechtigten identifizieren und Verdachtsmeldungen an die FIU erstatten. Gueterhaendler sind ab Bargeldtransaktionen von 10.000 Euro verpflichtet.

Die praktische Umsetzung dieser Pflichten ist in vielen kleinen und mittleren Unternehmen noch lueckenhaft. Die Dokumentenverifikation bei der Kundenidentifizierung stellt fuer viele Makler eine besondere Herausforderung dar. Haeufige Verstoesse umfassen die fehlende Identifizierung des wirtschaftlich Berechtigten, unvollstaendige Kundendossiers und die unterlassene Meldung verdaechtiger Transaktionen.

Die Laenderbehoerden haben in den letzten Jahren ihre Kontrolltaetigkeit intensiviert. Stichprobenkontrollen bei Immobilienmaklern ergeben regelmaessig erhebliche Compliance-Luecken, insbesondere bei kleineren Unternehmen ohne dedizierte Compliance-Abteilung. Die Ordnungswidrigkeitsverfahren fuehren zu Bussgeldern, die zwar unter den BaFin-Sanktionen liegen, aber fuer die betroffenen Unternehmen dennoch empfindlich sein koennen.

Mit der AMLD6 wird der Schwellenwert fuer den wirtschaftlich Berechtigten von 25 % auf 15 % gesenkt, und professionelle Fussballvereine sowie Sportagenten werden erstmals als Verpflichtete erfasst.

Freie Berufe: Rechtsanwaelte, Steuerberater und Wirtschaftspruefer

Rechtsanwaelte, Steuerberater und Wirtschaftspruefer sind GwG-Verpflichtete, wenn sie bestimmte Taetigkeiten ausueben, insbesondere bei der Begleitung von Immobilientransaktionen, der Gruendung von Gesellschaften oder der Verwaltung von Treuhandvermoegen.

Die Rechtsanwaltskammern und die Steuerberaterkammern uebernehmen die Aufsicht. Die Einhaltungsquote in diesen Berufsgruppen ist nach wie vor unbefriedigend. Viele Kanzleien und Praxen verfuegen nicht ueber dokumentierte Verfahren zur Kundenidentifizierung und Risikobewertung.

Die haeufigsten Maengel betreffen die fehlende oder unvollstaendige Identifizierung des wirtschaftlich Berechtigten, die ausbleibende Aktualisierung von Kundendaten bei langfristigen Mandatsbeziehungen und die Nichtabgabe von Verdachtsmeldungen. Die Kammeraufsicht hat zwar Sanktionsmoeglichkeiten, setzt diese aber bislang zurueckhaltend ein.

Mit der Harmonisierung durch die AMLD6 und die direkte Anwendbarkeit der AMLR wird sich der Durchsetzungsdruck auf diese Berufsgruppen erhoehen. Kanzleien und Praxen sollten ihre Compliance-Strukturen fruehzeitig anpassen, um Sanktionen zu vermeiden.

Drei Entwicklungen praegen die deutsche Sanktionslandschaft. Erstens verstaerkt die BaFin ihren Durchsetzungsansatz gegenueber digitalen Finanzdienstleistern. Die Faelle N26 und Solaris SE zeigen, dass Wachstum keine Entschuldigung fuer Compliance-Maengel ist.

Zweitens harmonisiert das EU-AML-Paket (AMLD6 + AMLR) die Sanktionsmaxima auf europaeischer Ebene. Die AMLA in Frankfurt wird ab 2028 die direkte Aufsicht ueber 40 Hochrisiko-Institute uebernehmen -- eine fundamentale Veraenderung fuer den deutschen Finanzsektor.

Drittens nimmt die Koordination zwischen BaFin und den Datenschutzbehoerden zu. Ein Compliance-Verstoss, der von einer Behoerde festgestellt wird, kann Ermittlungen einer anderen ausloesen. Unternehmen, die in robuste Anti-Geldwaesche-Compliance und Dokumentenpruefung investieren, reduzieren ihr Risiko ueber alle regulatorischen Kontaktpunkte hinweg.

Praevention: wie Unternehmen ihr Bussgeldrisiko senken

Die wirksamste Strategie zur Vermeidung von Compliance-Bussgeldern besteht aus drei Elementen. Erstens muessen Unternehmen dokumentierte Verfahren zur Kundenidentifizierung und Risikobewertung implementieren, die den aktuellen aufsichtsrechtlichen Anforderungen entsprechen. Diese Verfahren muessen regelmaessig aktualisiert und an neue regulatorische Entwicklungen angepasst werden.

Zweitens reduziert die Automatisierung von Kontrollprozessen menschliche Fehler und beschleunigt die Erkennung von Anomalien. Automatisierte Dokumentenpruefung, Transaktionsmonitoring und Sanktionslistenabgleiche sind keine optionalen Ergaenzungen, sondern zentrale Bestandteile eines wirksamen Compliance-Systems.

Drittens ist die kontinuierliche Schulung der Mitarbeiter unverzichtbar. Die BaFin prueft bei Inspektionen nicht nur das Vorhandensein von Verfahren, sondern auch deren tatsaechliche Anwendung durch die Mitarbeiter. Fehlende oder veraltete Schulungen sind ein wiederkehrender Kritikpunkt in Sanktionsentscheidungen.

Haeufig gestellte Fragen

Wie hoch ist das hoechste DSGVO-Bussgeld in Deutschland?

Das hoechste verhaengte DSGVO-Bussgeld in Deutschland betraegt 35,3 Millionen Euro, ausgesprochen vom Hamburgischen Beauftragten fuer Datenschutz gegen H&M im Oktober 2020. Der Verstoss betraf die systematische Ueberwachung von Mitarbeitern in einem Servicezentrum in Nuernberg.

Kann die BaFin neben Geldstrafen auch andere Massnahmen ergreifen?

Ja. Die BaFin kann Sonderbeauftragte einsetzen (wie bei N26), das Geschaeftswachstum beschraenken, Lizenzen entziehen und oeffentliche Verwarnungen aussprechen. In vielen Faellen sind diese Massnahmen wirtschaftlich einschneidender als Geldbussen.

Sind KMU von GwG-Bussgeldrisiken betroffen?

Ja. Immobilienmakler, Gueterhaendler, Steuerberater und Rechtsanwaelte sind unabhaengig von ihrer Groesse GwG-Verpflichtete. Die Bussgelder werden zwar nach dem Proportionalitaetsgrundsatz bemessen, die Pflichten gelten jedoch ungekuerzt. Fehlende Kundenidentifizierung oder ausbleibende Verdachtsmeldungen werden sanktioniert.

Was aendert sich durch die AMLD6 fuer deutsche Unternehmen?

Die AMLD6 erhoeht die Sanktionsmaxima auf 10 Millionen Euro oder 10 % des Jahresumsatzes, senkt die UBO-Schwelle auf 15 % und erweitert den Kreis der Verpflichteten um Krypto-Dienstleister, Fussballvereine und Sportagenten. Die AMLA wird ab 2028 die direkte Aufsicht ueber ausgewaehlte Hochrisiko-Institute in Deutschland uebernehmen.

Wo finde ich Informationen zu verhaengten Sanktionen?

Die BaFin veroeffentlicht ihre Sanktionsentscheidungen auf ihrer Website. Die Landesdatenschutzbehoerden publizieren ihre Bussgeldentscheidungen jeweils auf ihren eigenen Internetauftritten. Eine konsolidierte EU-weite Uebersicht bietet der GDPR Enforcement Tracker.

Fuer tiefere Einblicke in die Betrugsmuster, die diesen Sanktionen zugrunde liegen, lesen Sie unseren Leitfaden zu Betrugs-Daten. Konsultieren Sie auch unseren Anti-Geldwaesche-Compliance-Leitfaden und die neuen Pflichten gemaess der AMLD6 fuer verpflichtete Unternehmen. Erfahren Sie, wie CheckFile.ai Compliance-Prozesse unterstuetzt, oder besuchen Sie unsere Preisseite.

Thema vertiefen

Entdecken Sie unsere Praxisleitfäden und Ressourcen zur Dokumenten-Compliance.

Verwandte Artikel

Daten10 min

Dokumentenbetrug und Prüfkosten: Die Zahlen 2026

Dokumentenbetrug in Deutschland: Zahlen, Kosten manueller Prüfung und ROI der Automatisierung. Studien, Statistiken und Datenanalyse. Übersicht 2026.

Lesen
Daten8 min

KI vs manuelle Dokumentenprüfung: ROI-Vergleich mit konkreten Zahlen

Detaillierter ROI-Vergleich zwischen KI-gestützter und manueller Dokumentenprüfung. Kosten pro Prüfung, Fehlerquoten, Betrugserkennungsraten und 12-Monats-Berechnungsmodell mit realen Zahlen.

Lesen
Daten9 min

Dokumentenbetrug Statistiken und Trends 2026: Deutsche Daten und Analyse

Dokumentenbetrug kostet deutsche Unternehmen 1,9 Milliarden EUR in 2026. Daten von BKA, BaFin und GDV. Deepfake-Trends, Branchenanalyse und 5-Jahres-Entwicklung.

Lesen