DSGVO-Bußgelder: Ein wachsendes Risiko für Unternehmen
Seit Inkrafttreten der DSGVO am 25. Mai 2018 haben europäische Datenschutzbehörden Bußgelder in Milliardenhöhe verhängt. Allein in Deutschland haben die Landesdatenschutzbehörden ihre Bußgeldpraxis in den letzten Jahren deutlich verschärft. Für Anwälte im IT-Recht bedeutet das: Die realistische Einschätzung des Bußgeldrisikos gehört heute zur Kernkompetenz der datenschutzrechtlichen Beratung.
Dieser Artikel erläutert die Bemessungskriterien nach Art. 83 DSGVO, die EDPB-Bußgeld-Leitlinien und die aktuelle Praxis der deutschen Aufsichtsbehörden — und zeigt, wie Justitia Anwälte bei der Bußgeldeinschätzung unterstützt.
Rechtsgrundlage: Art. 83 DSGVO
Die Bußgeldtatbestände
Art. 83 DSGVO unterscheidet zwei Bußgeldstufen:
| Stufe | Maximales Bußgeld | Betroffene Verstöße (Auswahl) |
|---|---|---|
| Art. 83 Abs. 4 | 10 Mio. EUR oder 2 % des weltweiten Jahresumsatzes | Verstöße gegen Pflichten des Verantwortlichen/Auftragsverarbeiters (Art. 8, 11, 25–39, 42, 43) |
| Art. 83 Abs. 5 | 20 Mio. EUR oder 4 % des weltweiten Jahresumsatzes | Verstöße gegen Grundsätze (Art. 5–7, 9), Betroffenenrechte (Art. 12–22), Übermittlung in Drittländer (Art. 44–49) |
Maßgeblich ist jeweils der höhere Betrag — bei großen Konzernen kann das Bußgeld daher ein Vielfaches von 20 Mio. EUR betragen.
Der Unternehmensbegriff
Seit der Entscheidung des EuGH in der Rechtssache C-807/21 (Deutsche Wohnen) vom 05.12.2023 steht fest: Für die Berechnung des umsatzabhängigen Bußgeldes ist der unionsrechtliche Unternehmensbegriff maßgeblich. Das bedeutet: Bei Konzernen wird der Gesamtumsatz der wirtschaftlichen Einheit herangezogen, nicht nur der Umsatz der unmittelbar verantwortlichen Gesellschaft.
Die Bemessungskriterien im Detail
Art. 83 Abs. 2 DSGVO — der Kriterienkatalog
Art. 83 Abs. 2 DSGVO enthält einen nicht abschließenden Katalog von Kriterien, die bei der Bußgeldbemessung zu berücksichtigen sind:
a) Art, Schwere und Dauer des Verstoßes
Die Behörde prüft: Wie viele Betroffene sind betroffen? Welcher Schaden ist entstanden? Wie lange hat der Verstoß angedauert? Welche Kategorien personenbezogener Daten sind betroffen (besondere Kategorien nach Art. 9 DSGVO wiegen schwerer)?
b) Vorsätzlichkeit oder Fahrlässigkeit
Vorsätzliche Verstöße werden deutlich strenger sanktioniert als fahrlässige. Die Abgrenzung folgt den allgemeinen Grundsätzen: Vorsatz liegt vor, wenn der Verantwortliche den Verstoß kannte und billigend in Kauf nahm. Fahrlässigkeit bedeutet, dass die erforderliche Sorgfalt außer Acht gelassen wurde.
c) Maßnahmen zur Minderung des Schadens
Hat das Unternehmen nach Bekanntwerden des Verstoßes umgehend Gegenmaßnahmen ergriffen? Wurden Betroffene informiert? Wurde der Verstoß abgestellt? Kooperatives Verhalten wirkt sich bußgeldmindernd aus.
d) Grad der Verantwortlichkeit unter Berücksichtigung der TOM
Welche technischen und organisatorischen Maßnahmen nach Art. 25 und Art. 32 DSGVO hatte das Unternehmen zum Zeitpunkt des Verstoßes implementiert? Ein hoher Schutzstandard kann bußgeldmindernd wirken.
e) Frühere Verstöße
Wiederholungstäter müssen mit höheren Bußgeldern rechnen. Die Behörde prüft, ob gegen den Verantwortlichen bereits zuvor Maßnahmen wegen Datenschutzverstößen ergriffen wurden.
f) Zusammenarbeit mit der Aufsichtsbehörde
Kooperatives Verhalten — insbesondere die unverzügliche und vollständige Beantwortung von Anfragen — wird positiv berücksichtigt.
g) Kategorien betroffener Daten
Verstöße, die besondere Kategorien personenbezogener Daten betreffen (Art. 9 DSGVO: Gesundheitsdaten, biometrische Daten, religiöse Überzeugungen etc.), werden regelmäßig strenger geahndet.
h) Meldung des Verstoßes
Hat das Unternehmen den Verstoß selbst gemeldet (Art. 33 DSGVO)? Eine proaktive Meldung wird als kooperatives Verhalten gewertet und kann das Bußgeld reduzieren.
EDPB-Bußgeld-Leitlinien (Guidelines 04/2022)
Das Fünf-Schritte-Modell
Der Europäische Datenschutzausschuss (EDPB) hat mit den Guidelines 04/2022 ein einheitliches Berechnungsmodell für DSGVO-Bußgelder veröffentlicht. Das Modell folgt fünf Schritten:
| Schritt | Beschreibung |
|---|---|
| 1. Identifikation der Verarbeitungsvorgänge | Welche Verstöße liegen vor? Handelt es sich um einen oder mehrere Verstöße? |
| 2. Ausgangsbetrag | Ermittlung des Ausgangsbetrags anhand der Schwere des Verstoßes und des Unternehmensumsatzes |
| 3. Erschwerungs- und Milderungsgründe | Anpassung anhand der Kriterien aus Art. 83 Abs. 2 DSGVO |
| 4. Obergrenzenprüfung | Einhaltung der gesetzlichen Höchstgrenzen (2 % / 4 % des Jahresumsatzes) |
| 5. Effektivität und Verhältnismäßigkeit | Abschließende Prüfung, ob das Bußgeld wirksam, verhältnismäßig und abschreckend ist |
Umsatzabhängige Einordnung
Die EDPB-Leitlinien ordnen Unternehmen anhand ihres Jahresumsatzes in Größenklassen ein, die den Ausgangsbetrag beeinflussen:
| Umsatzklasse | Jahresumsatz |
|---|---|
| Mikro | bis 2 Mio. EUR |
| Klein | 2–10 Mio. EUR |
| Mittel | 10–50 Mio. EUR |
| Groß | 50–250 Mio. EUR |
| Sehr groß | über 250 Mio. EUR |
Der Ausgangsbetrag wird als Prozentsatz des Jahresumsatzes innerhalb der jeweiligen Bußgeldstufe ermittelt — je schwerer der Verstoß, desto höher der Prozentsatz.
Aktuelle Bußgeldpraxis in Deutschland
Die Landesdatenschutzbehörden
In Deutschland sind die 17 Landesdatenschutzbehörden (16 Bundesländer + BfDI für Bundesbehörden und Telekommunikation) für die Verhängung von DSGVO-Bußgeldern zuständig. Die Praxis variiert zwischen den Behörden erheblich:
- Berlin (BlnBDI): Bekannt für hohe Bußgelder, insbesondere gegen Immobilienunternehmen
- Hamburg (HmbBfDI): Aktiv bei Verstößen internationaler Unternehmen mit Sitz in Hamburg
- Baden-Württemberg (LfDI BW): Pionier beim Bußgeldmodell, hat ein eigenes Berechnungskonzept entwickelt
- Niedersachsen (LfD NDS): Fokus auf Videoüberwachung und Beschäftigtendatenschutz
Typische Bußgeldhöhen
Die folgende Tabelle zeigt typische Bußgeldbereiche nach Verstoßart (basierend auf veröffentlichten Entscheidungen):
| Verstoßart | Typische Höhe | Beispiel |
|---|---|---|
| Fehlende oder mangelhafte Datenschutzerklärung | 5.000–50.000 EUR | Unvollständige Informationspflichten nach Art. 13/14 DSGVO |
| Unzureichende TOM | 10.000–500.000 EUR | Fehlende Verschlüsselung, veraltete Systeme |
| Unrechtmäßige Datenübermittlung in Drittländer | 50.000–mehrere Mio. EUR | Nutzung von US-Tools ohne angemessene Garantien |
| Verstoß gegen Betroffenenrechte | 10.000–200.000 EUR | Verspätete oder unvollständige Auskunft nach Art. 15 |
| Fehlende Auftragsverarbeitungsverträge | 5.000–100.000 EUR | Keine AVV nach Art. 28 DSGVO |
| Verstoß gegen Art. 6 DSGVO (keine Rechtsgrundlage) | 50.000–mehrere Mio. EUR | Datenverarbeitung ohne Einwilligung oder berechtigtes Interesse |
Gerichtliche Überprüfung
Bußgeldbescheide nach Art. 83 DSGVO können vor den ordentlichen Gerichten angefochten werden (§41 BDSG). Zuständig sind die Amtsgerichte, in der Berufungsinstanz die Oberlandesgerichte. Die gerichtliche Praxis hat in mehreren Fällen Bußgelder deutlich reduziert — eine sorgfältige Prüfung des Bußgeldbescheids lohnt sich daher immer.
So unterstützt Justitia bei der Bußgeldeinschätzung
Die Einschätzung des Bußgeldrisikos erfordert die Kenntnis der EDPB-Leitlinien, der nationalen Behördenpraxis und der einschlägigen Gerichtsentscheidungen. Justitia hilft Ihnen, alle relevanten Faktoren systematisch zu erfassen und eine fundierte Einschätzung zu erstellen.
Justitia-Prompt: „Mein Mandant (mittelständisches E-Commerce-Unternehmen, Jahresumsatz 35 Mio. EUR) hat personenbezogene Daten von ca. 12.000 Kunden aufgrund einer Sicherheitslücke offengelegt. Der Verstoß wurde nach 3 Tagen bemerkt und der Aufsichtsbehörde gemeldet. Welches Bußgeld ist realistisch? Berücksichtige Art. 83 Abs. 2 DSGVO und die EDPB-Leitlinien."
Justitia analysiert den Sachverhalt anhand der Bemessungskriterien, ordnet das Unternehmen in die richtige Umsatzklasse ein und liefert eine Einschätzung mit Verweis auf vergleichbare Bußgeldentscheidungen.
Praxisbeispiel: Bußgeldverteidigung nach Datenpanne
Sachverhalt: Das Unternehmen U (SaaS-Anbieter, 80 Mio. EUR Jahresumsatz) erleidet eine Datenpanne: Durch einen Konfigurationsfehler sind Kundendaten (Name, E-Mail, Telefonnummer) von 45.000 Nutzern über einen Zeitraum von 6 Wochen öffentlich abrufbar. U meldet den Vorfall nach Entdeckung innerhalb von 24 Stunden an den LfDI und informiert die Betroffenen. Die Behörde leitet ein Bußgeldverfahren ein.
Analyse der Bemessungskriterien:
- Schwere: Mittlerer Schweregrad — keine besonderen Kategorien, aber hohe Betroffenenzahl
- Dauer: 6 Wochen — erhöhend
- Verschulden: Fahrlässigkeit (Konfigurationsfehler) — nicht vorsätzlich
- TOM: U hatte grundsätzlich angemessene Sicherheitsmaßnahmen implementiert, der Fehler war ein Einzelfall
- Kooperation: Proaktive Meldung, schnelle Benachrichtigung der Betroffenen — mildernd
- Frühere Verstöße: Keine — mildernd
- Umsatzklasse: Groß (50–250 Mio. EUR)
Einschätzung: Nach den EDPB-Leitlinien und vergleichbaren Entscheidungen ist ein Bußgeld im Bereich von 150.000–400.000 EUR realistisch. Die proaktive Meldung und Kooperation wirken deutlich mildernd.
Häufig gestellte Fragen (FAQ)
Wie hoch kann ein DSGVO-Bußgeld maximal sein?
Das maximale Bußgeld beträgt 20 Mio. EUR oder 4 % des weltweiten Jahresumsatzes — je nachdem, welcher Betrag höher ist (Art. 83 Abs. 5 DSGVO). Bei einem Konzern mit 10 Mrd. EUR Umsatz wären das theoretisch 400 Mio. EUR.
Wer verhängt die Bußgelder in Deutschland?
Die Landesdatenschutzbehörden des jeweiligen Bundeslandes, in dem das Unternehmen seinen Sitz hat. Für Telekommunikationsunternehmen und Bundesbehörden ist der BfDI zuständig.
Kann ein Bußgeld auch gegen den Geschäftsführer persönlich verhängt werden?
DSGVO-Bußgelder richten sich grundsätzlich gegen das Unternehmen, nicht gegen natürliche Personen. Allerdings kann nach §130 OWiG (Aufsichtspflichtverletzung) ein separates Bußgeld gegen die Leitungsebene verhängt werden.
Lohnt sich der Einspruch gegen einen Bußgeldbescheid?
In vielen Fällen ja. Die gerichtliche Praxis hat gezeigt, dass Bußgelder im Gerichtsverfahren teilweise erheblich reduziert werden. Voraussetzung ist eine sorgfältige Analyse des Bescheids und der Bemessungskriterien.
Welche Rolle spielt die Unternehmensgröße?
Eine zentrale Rolle. Die EDPB-Leitlinien verwenden den Jahresumsatz als primären Bemessungsfaktor. Ein Bußgeld, das für ein Großunternehmen angemessen ist, wäre für ein Kleinunternehmen unverhältnismäßig — und umgekehrt.
Muss ich eine Datenpanne immer der Aufsichtsbehörde melden?
Nach Art. 33 DSGVO muss eine Datenpanne innerhalb von 72 Stunden gemeldet werden, es sei denn, die Verletzung führt voraussichtlich nicht zu einem Risiko für die Betroffenen. Im Zweifel empfiehlt sich die Meldung — auch weil die unterlassene Meldung selbst einen bußgeldbewehrten Verstoß darstellt.
Fazit
Die Einschätzung von DSGVO-Bußgeldern ist 2026 komplexer denn je. Die EDPB-Leitlinien haben zwar mehr Transparenz geschaffen, die praktische Anwendung erfordert jedoch die Kenntnis zahlreicher Faktoren — von der Umsatzklasse über die Verstoßschwere bis zur Behördenpraxis im jeweiligen Bundesland. Justitia unterstützt Anwälte dabei, alle Bemessungskriterien systematisch auszuwerten und eine fundierte Bußgeldeinschätzung zu erstellen — für eine überzeugende Mandantenberatung und eine wirksame Bußgeldverteidigung.