Zuletzt aktualisiert am 7. April 2026

Bei einem Verstoß gegen die DSGVO fallen Bußgelder an. Diese fallen mangels einheitlicher Regelungen bisher sehr unterschiedlich aus. Mit der neuen Leitlinie 04/2022 stellt der Europäische Datenschutzausschuss (EDSA) ein mögliches europaweites Bußgeldmodell vor.

Alles wichtige zum neuen Busgeldmodell des EDSA erfahren Sie hier.

Bisherige Bußgelder

Bei einem Verstoß gegen die DSGVO können Bußgelder nach Art. 83 DSGVO anfallen. Es bestehen bereits Leitlinien dazu, in welchen Fällen Bußgelder zu verhängen sind („ob“). Bezüglich der Höhe der Bußgelder besteht europaweit Uneinigkeit, sodass die Höhe der Bußgelder in einigen europäischen Ländern grundsätzlich höher ausfällt als in anderen Ländern. Diese erheblichen Unterschiede in der Bußgeldpraxis nutzen Unternehmen bei ihrer Standortwahl zum Teil strategisch aus. Außerdem zeichnet sich die bisherige Bußgeldpraxis durch mangelnde Vorhersehbarkeit und Planbarkeit aus. Die Wertungskriterien, nach denen die Bußgelder festgelegt werden, sind meist kaum noch ersichtlich.

Das neue Bußgeldmodell

Nach dem neuen Berechnungsmodell des EDSA sollen Bußgelder in Zukunft in fünf Schritten berechnet werden.

Schritt 1: Bestimmung und Abgrenzung relevanter Datenverarbeitung

Zunächst ist zu untersuchen, welche Datenverarbeitung konkret gegen die DSGVO verstoßen hat. Dabei ist zu klären, ob es sich um eine oder mehrere Verarbeitungen handelt und ob diese in einem Konkurrenzverhältnis zueinander stehen (vgl. Art. 83 III DSGVO).

Schritt 2: Bestimmung der Ausgangsgröße für Bußgeldberechnung

Im zweiten Schritt wird die Ausgangsgröße des Bußgeldes bestimmt. Zunächst betrachtet man dafür die mögliche Reichweite (Minimal- und Höchstbetrag nach DSGVO). Innerhalb dieser Grenzen gibt es vier Kriterien zur genaueren Festsetzung der Höhe des Bußgeldes: Die Art des Verletzungstatbestandes (formal Art. 83 IV DSGVO oder materiell Art. 83 V und VI DSGVO), die Schwere der Verletzung, die subjektive Komponente (Vorsatz oder Fahrlässigkeit) und die betroffene Datenkategorie. Nach diesen Kriterien ist nach einer Gesamtschau und Gesamtbewertung eine Ausgangsgröße zu bestimmen. Je nach Umsatz des betroffenen Unternehmens soll zudem eine prozentuale Höchstgrenze für Bußgelder bestehen.

Schritt 3: Bewertung schärfender und mildernder Umstände

In einem dritten Schritt werden dann erhöhende und mindernde Faktoren untersucht. Die Leitlinie stellt dazu Interpretationshilfen für die in Art. 83 II lit. c-k DSGVO genannten Kriterien auf.

Schritt 4: Bestimmung Höchstgrenzen

Das neue Bußgeldmodell nimmt in einem vierten Schritt Bezug auf die Höchstgrenzen aus Art. 83 IV-VI DSGVO und die Deckelung auf bestimmte Prozentwerte des Umsatzes.

Schritt 5: Feinjustierung

Im letzten Schritt ist eine Feinjustierung vorzunehmen, die Wirksamkeit, Verhältnismäßigkeit und Abschreckung sicherstellen soll. Die Gesamtbestimmung berücksichtigt damit die Zielvorgaben gem. Art. 83 I DSGVO.

Bedeutung des Bußgeldmodells für die Praxis

Ziel des neuen Bußgeldmodells des EDSA ist es, Bußgelder zu vereinheitlichen und damit die Rechtspraxis zu erleichtern. Gleichzeitig soll aber der Aspekt der Abschreckung gewahrt werden. So werden vor allem Unternehmen mit hohen Umsätzen nach dem neuen Bußgeldmodell höhere Bußgelder zahlen müssen.

Nach der Leitlinie haften Unternehmen außerdem unmittelbar für das datenschutzrechtliche Fehlverhalten ihrer Mitarbeiter. Unternehmen sollten deshalb immer sicherstellen, dass ihre Mitarbeiter entsprechend geschult sind, um Risiken zu minimieren.

Aktuell befindet sich die Leitlinie noch im Konsultationsverfahren. Dass bedeutet, dass sie noch keine rechtliche Geltung hat, in naher Zukunft aber in nahezu dieser Fassung verabschiedet werden wird.

Benötigen Sie Unterstützung im Bereich Datenschutz in Ihrem Unternehmen, um Bußgeldern vorzubeugen? Unser Team an Experten hilft Ihnen gern weiter!

Auswirkungen auf kleine und mittlere Unternehmen

Das neue Bußgeldmodell des EDSA hat besondere Auswirkungen auf kleine und mittlere Unternehmen (KMU). Zwar berücksichtigt das Modell den Umsatz des betroffenen Unternehmens bei der Bemessung der Bußgeldhöhe, sodass KMU in der Regel niedrigere absolute Beträge zu erwarten haben als Großunternehmen. Dennoch können auch vergleichsweise niedrige Bußgelder für KMU existenzbedrohend sein.

Besonders problematisch ist für KMU die fehlende Vorhersehbarkeit der Bußgeldhöhe. Ohne spezialisierte Rechtsberatung oder einen qualifizierten Datenschutzbeauftragten fällt es vielen kleinen Unternehmen schwer, die Risiken eines möglichen Datenschutzverstoßes realistisch einzuschätzen. Ein externer Datenschutzbeauftragter kann hier Abhilfe schaffen und präventiv beraten.

Vergleich mit dem deutschen Bußgeldmodell

In Deutschland nutzen die Datenschutz-Aufsichtsbehörden bisher ein eigenes Bußgeldmodell, das sich an den Vorgaben der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) orientiert. Dieses Modell basiert ebenfalls auf dem Umsatz des betroffenen Unternehmens, setzt aber eigene Schwerpunkte bei der Bewertung der Schwere des Verstoßes.

Mit dem neuen Bußgeldmodell des EDSA wird eine europäische Harmonisierung angestrebt, die mittelfristig auch Auswirkungen auf das deutsche Modell haben wird. Unternehmen sollten sich darauf einstellen, dass die Bußgelder in Deutschland tendenziell steigen werden, da das EDSA-Modell insgesamt strengere Maßstäbe anlegt als die bisherige deutsche Praxis.

Mildernde Umstände in der Praxis

Für Unternehmen ist es wichtig zu verstehen, welche Faktoren bei der Bußgeldbemessung mildernd berücksichtigt werden können. Nach dem EDSA-Modell wirkt es sich positiv aus, wenn das Unternehmen den Verstoß selbst entdeckt und gemeldet hat, wenn es aktiv mit der Aufsichtsbehörde kooperiert und wenn es bereits Maßnahmen zur Schadensbegrenzung ergriffen hat.

Auch die Implementierung eines funktionierenden Datenschutz-Managementsystems kann mildernd berücksichtigt werden. Dazu gehören die Bestellung eines qualifizierten Datenschutzbeauftragten, regelmäßige Datenschutz-Schulungen der Mitarbeiter, ein aktuelles Verarbeitungsverzeichnis und dokumentierte technisch-organisatorische Maßnahmen. Unternehmen, die diese Grundlagen geschaffen haben, können im Fall eines Verstoßes mit deutlich niedrigeren Bußgeldern rechnen.

Präventive Maßnahmen gegen Bußgelder

Die beste Strategie gegen Bußgelder ist die Prävention. Unternehmen sollten regelmäßige Datenschutz-Audits durchführen, um potenzielle Schwachstellen frühzeitig zu erkennen und zu beheben. Ein strukturiertes Datenschutz-Management umfasst die laufende Überprüfung aller Verarbeitungstätigkeiten, die Aktualisierung der Datenschutzdokumentation und die Schulung aller Mitarbeiter, die mit personenbezogenen Daten umgehen.

Außerdem ist ein effektives Incident-Response-Verfahren nötig. Im Fall einer Datenschutzverletzung müssen Unternehmen innerhalb von 72 Stunden die zuständige Aufsichtsbehörde informieren (Art. 33 DSGVO). Ein schnelles und professionelles Reagieren kann nicht nur den Schaden begrenzen, sondern wirkt sich auch mildernd auf ein mögliches Bußgeld aus. Die Investition in einen kompetenten Datenschutzbeauftragten zahlt sich somit mehrfach aus.

Bußgelder in der Praxis: Aktuelle Beispiele

Die bisherige Bußgeldpraxis in Europa zeigt erhebliche Unterschiede zwischen den einzelnen Mitgliedstaaten. Während Luxemburg 2021 gegen Amazon ein Bußgeld von 746 Millionen Euro verhängte, liegen die Bußgelder in Deutschland typischerweise im sechs- bis siebenstelligen Bereich. Das höchste deutsche Bußgeld wurde 2020 gegen H&M in Höhe von 35,3 Millionen Euro verhängt, wegen umfangreicher Mitarbeiterüberwachung. Diese Unterschiede sollen durch das neue EDSA-Modell künftig harmonisiert werden.

Besonders häufig werden Bußgelder wegen fehlender oder unzureichender technisch-organisatorischer Maßnahmen, wegen unzureichender Rechtsgrundlagen für die Datenverarbeitung sowie wegen Verstößen gegen die Transparenzpflichten verhängt. Auch die verspätete oder unterlassene Meldung von Datenschutzverletzungen führt regelmäßig zu Bußgeldern. Unternehmen sollten diese häufigen Verstöße als Warnsignal verstehen und ihre eigenen Prozesse entsprechend überprüfen.

Die Rolle des Datenschutzbeauftragten bei der Bußgeldvermeidung

Der Datenschutzbeauftragte spielt eine zentrale Rolle bei der Vermeidung von Bußgeldern. Seine Aufgaben umfassen die laufende Überwachung der Einhaltung der DSGVO, die Beratung der Geschäftsleitung und der Mitarbeiter sowie die Zusammenarbeit mit der Aufsichtsbehörde. Ein qualifizierter Datenschutzbeauftragter erkennt potenzielle Risiken frühzeitig und kann Gegenmaßnahmen empfehlen, bevor ein Verstoß eintritt.

Außerdem kann der Datenschutzbeauftragte im Fall eines Verstoßes die Kommunikation mit der Aufsichtsbehörde übernehmen und dafür sorgen, dass die Meldepflichten fristgerecht erfüllt werden. Eine professionelle und kooperative Kommunikation mit der Aufsichtsbehörde wirkt sich erfahrungsgemäß positiv auf die Höhe des Bußgeldes aus. Die Investition in einen kompetenten Datenschutzbeauftragten ist daher nicht nur eine rechtliche Pflicht, sondern auch eine wirtschaftlich sinnvolle Maßnahme zur Risikominimierung.

Bußgeld und Schadensersatz: Doppeltes Risiko

Neben den Bußgeldern durch Aufsichtsbehörden drohen Unternehmen bei Datenschutzverstößen auch zivilrechtliche Schadensersatzansprüche der betroffenen Personen nach Art. 82 DSGVO. Diese Ansprüche können sowohl materielle als auch immaterielle Schäden umfassen. Die aktuelle Rechtsprechung des EuGH hat klargestellt, dass bereits ein Kontrollverlust über die eigenen Daten einen ersatzfähigen immateriellen Schaden darstellen kann.

Für Unternehmen bedeutet dies ein doppeltes Risiko: Neben dem Bußgeld der Aufsichtsbehörde können sie mit einer Vielzahl individueller Schadensersatzklagen konfrontiert werden. Insbesondere bei massenhaften Datenschutzverletzungen, etwa durch Hackerangriffe oder fehlerhafte Newsletter-Versendungen, können die kumulierten Schadensersatzansprüche die Höhe des Bußgeldes deutlich übersteigen. Ein vollständiges Datenschutz-Management ist daher wichtig.

Bußgeldrechner und Risikoeinschätzung

Mit dem neuen Bußgeldmodell des EDSA lässt sich die mögliche Höhe eines Bußgeldes genauer einschätzen als bisher. Einige Datenschutzbehörden und spezialisierte Kanzleien bieten bereits Online-Rechner an, die auf Basis der EDSA-Kriterien eine erste Orientierung geben. Unternehmen sollten diese Werkzeuge nutzen, um das finanzielle Risiko von Datenschutzverstößen realistisch einzuschätzen und entsprechende Rückstellungen zu bilden.

Eine professionelle Risikoeinschätzung durch einen erfahrenen Datenschutzbeauftragten geht jedoch weit über einen einfachen Bußgeldrechner hinaus. Sie umfasst die systematische Analyse aller Verarbeitungstätigkeiten, die Identifikation potenzieller Schwachstellen und die Bewertung der Wahrscheinlichkeit einer Entdeckung durch die Aufsichtsbehörde. Auf dieser Basis können gezielte Maßnahmen zur Risikominimierung entwickelt und priorisiert werden.

Zusammenfassung und Ausblick

Das neue Bußgeldmodell des EDSA markiert einen wichtigen Schritt hin zu einer europaweit einheitlichen Bußgeldpraxis. Für Unternehmen aller Größen bedeutet dies, dass sie ihre Datenschutz-Compliance ernstnehmen müssen, um empfindliche finanzielle Konsequenzen zu vermeiden. Die Kombination aus einem qualifizierten Datenschutzbeauftragten, regelmäßigen Audits und einer gelebten Datenschutzkultur bietet den besten Schutz vor Bußgeldern und Schadensersatzansprüchen.

Unternehmen sollten das neue Bußgeldmodell des EDSA zum Anlass nehmen, ihre eigene Datenschutz-Compliance kritisch zu überprüfen. Eine professionelle Bestandsaufnahme durch einen erfahrenen Datenschutzbeauftragten deckt Schwachstellen auf und zeigt konkrete Verbesserungsmöglichkeiten. So lassen sich Bußgeldrisiken nachhaltig minimieren und gleichzeitig das Vertrauen von Kunden und Geschäftspartnern stärken.