DSGVO Bußgeld – Berechnung & rechtliche Grundlagen

Einleitung

Seit Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) am 25. Mai 2018 schrecken insbesondere hohe Bußgelder Unternehmen auf. Eine hilfreiche Übersicht von aktuellen Bußgeldern finden Sie hier. Aber wie genau werden diese Bußgelder berechnet, was ist der Ablauf eines Bußgeldverfahrens und was passiert mit den eingenommenen Bußgeldern? Im folgenden Artikel klären wir Sie verständlich und präzise auf, sodass der Umgang mit Bußgeldern gelingt.

Unsicher im Datenschutz?

Risiko vermeiden, Zeit sparen & Kunden überzeugen durch die Bestellung des ext. Datenschutzbeauftragten.

Rechtsgrundlagen für DSGVO-Bußgelder

Die Rechtsgrundlage für die Verhängung von Bußgeldern bei Datenschutzverstößen ergibt sich aus Art. 83 DSGVO:

83 Abs. 1 DSGVO verlangt, dass Geldbußen wirksam, verhältnismäßig und abschreckend sein müssen.
Gemäß Art. 83 Abs. 5 DSGVO können Bußgelder bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes betragen, je nachdem, welcher Betrag höher ist.

Gemäß Art. 83 Abs. 4 und 5 DSGVO sind die Sanktionen bei Datenschutzverstößen in zwei Kategorien eingeteilt:

Bei Verstößen gegen grundlegende Pflichten der Verantwortlichen oder Auftragsverarbeiter, etwa bezüglich technischer und organisatorischer Maßnahmen oder Dokumentationspflichten, können Bußgelder von bis zu 10 Millionen Euro oder bis zu 2 % des weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres verhängt werden.
Hingegen drohen bei schwerwiegenderen Verstößen, beispielsweise gegen die Grundsätze der Verarbeitung personenbezogener Daten, Rechte betroffener Personen oder bei Missachtung von Anordnungen der Aufsichtsbehörden, deutlich höhere Bußgelder von bis zu 20 Millionen Euro oder bis zu 4 % des weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres.

In Deutschland konkretisiert das Bundesdatenschutzgesetz (BDSG) die DSGVO teilweise, besonders in Bezug auf Verfahren und Zuständigkeiten (§§ 41 ff. BDSG).

Berechnung von DSGVO-Bußgeldern

Um Datenschutzverstöße EU-weit klar, einheitlich und wirksam zu sanktionieren, dürfen alle Datenschutzbehörden empfindliche Geldbußen verhängen. Die DSGVO regelt klar, welche Verstöße sanktioniert werden und wie hoch diese Strafen maximal sein dürfen. Dabei entscheidet die Behörde im Einzelfall, wie hoch die Geldbuße konkret ausfällt. Ausschlaggebend sind unter anderem Art, Schwere und Dauer des Verstoßes sowie dessen Folgen. Auch, welche Maßnahmen das Unternehmen unternommen hat, um den Schaden zu begrenzen oder Regeln künftig besser einzuhalten, spielt eine wichtige Rolle.

Berechnung nach den EDSA-Leitlinien

Die genaue Berechnung der Bußgeldhöhe erfolgt nach klaren und verbindlichen Leitlinien des Europäischen Datenschutzausschusses (EDSA). Der EDSA ist ein unabhängiges europäisches Gremium, das im Rahmen der DSGVO eingerichtet wurde. Er besteht aus Vertretern der nationalen Datenschutzbehörden der EU-Mitgliedstaaten und des Europäischen Datenschutzbeauftragten. Folgende 3 Schritte werden durch den Leitfaden konkretisiert:

Ermittlung des Ausgangsbetrags

Die Aufsichtsbehörde berücksichtigt den Jahresumsatz des Unternehmens (§ 41 Abs. 2 Satz 2 BDSG).
Dieser Ausgangsbetrag richtet sich nach der Schwere des Verstoßes und wird nach Art. 83 Abs. 2 lit. a) DSGVO bestimmt.

Anpassung nach Kriterien

Die Höhe des Bußgelds wird anschließend gemäß Art. 83 Abs. 2 DSGVO nach mehreren Kriterien angepasst:

Art, Schwere und Dauer des Verstoßes (Art. 83 Abs. 2 lit. a DSGVO)
Vorsätzlichkeit oder Fahrlässigkeit des Verstoßes (Art. 83 Abs. 2 lit. b DSGVO)
Maßnahmen zur Schadensminderung (Art. 83 Abs. 2 lit. c DSGVO)
Frühere relevante Verstöße des Unternehmens (Art. 83 Abs. 2 lit. e DSGVO)
Kooperationsbereitschaft des Unternehmens (Art. 83 Abs. 2 lit. f DSGVO)
Art der Meldung an die Behörde (Art. 33 und 34 DSGVO)

Prüfung der Verhältnismäßigkeit

Schließlich prüft die Aufsichtsbehörde, ob das errechnete Bußgeld tatsächlich verhältnismäßig ist, also wirksam, aber nicht unangemessen belastend. Die Höhe der Geldbuße soll ebenfalls andere Unternehmen davon abhalten, ähnliche Verstöße zu begehen (Generalprävention), aber auch das betroffene Unternehmen selbst (Spezialprävention). Das heißt: Die Strafe soll wirken – aber sie darf kein „Exempel“ sein, das die wirtschaftliche Existenz eines Unternehmens bedroht, wenn mildere Mittel ausreichen.

Praxisbeispiel: Die komplexe Berechnung eines DSGVO-Bußgeldes

Nehmen wir ein fiktives, aber realistisches Szenario an:

Ein Unternehmen veröffentlicht versehentlich personenbezogene Kundendaten öffentlich zugänglich (Art. 32 DSGVO – Verstoß gegen die Vertraulichkeit aufgrund unzureichender Maßnahmen). Die Datenschutzaufsichtsbehörde setzt einen Ausgangsbetrag gemäß dem vorangegangenen Jahresumsatz des Unternehmens fest (100 Mio. € Umsatz x 2 % = 2 Mio. € Bußgeld).

Anpassung aufgrund folgender Umstände nach Art. 83 Abs. 2 DSGVO

Erschwerend: Fahrlässigkeit, da Sicherheitslücken bekannt waren und eine Implementierung geeigneter Maßnahmen unterlassen worden ist.

Mildernd: Sofortige Meldung des Vorfalls (Art. 33 DSGVO), schnelle Behebung der Sicherheitslücke, umfassende Kooperation (Art. 83 Abs. 2 lit. f) DSGVO) und keine vorherigen Verstöße des Unternehmens vorliegend.

Ergebnis der Behörde

Die Behörde reduziert aufgrund der mildernden Faktoren den Betrag erheblich. Schließlich prüft sie nochmals die Verhältnismäßigkeit (Art. 83 Abs. 1 DSGVO), um sicherzustellen, dass das Bußgeld nicht unangemessen belastend wirkt, gleichzeitig aber abschreckend genug bleibt. Der Bußgeldbescheid weist ein Bußgeld in Höhe von 200.000 € auf.

Was kostet zuverlässiger Datenschutz?

Erhalten Sie in wenigen Schritten eine passgenaue Kostenübersicht.

Gerichtliche Zuständigkeiten bei DSGVO-Bußgeldern

Nach Erhalt eines Bußgeldes aufgrund von Verstößen gegen den Datenschutz stellt sich die Frage, wie damit umgegangen wird. Wenn ein Unternehmen gegen einen Bußgeldbescheid der Datenschutzbehörde vorgehen möchte, entscheidet das zuständige Amtsgericht (§ 68 OWiG). Dies ergibt sich aus dem Ordnungswidrigkeitengesetz (OWiG):

Der Einspruch muss innerhalb von zwei Wochen (§ 67 OWiG) zugehen.
Das Amtsgericht am Sitz der Datenschutzbehörde (§§ 68, 69 OWiG) ist zuständig.

In gewissen Fällen ist das Amtsgericht nicht zuständig:

Bei rein verwaltungsrechtlichen Anordnungen (z. B. Untersagungsverfügungen nach Art. 58 Abs. 2 lit. f) DSGVO) sind ausschließlich die Verwaltungsgerichte zuständig (§ 20 Abs. 1 VwGO).
Bei Verdacht auf Straftaten (z. B. § 202a StGB – Ausspähen von Daten) ist die Zuständigkeit bei den Strafgerichten (nach der Strafprozessordnung).

Verwendung der DSGVO-Bußgelder

Anders als oft vermutet, profitieren Datenschutzaufsichtsbehörden nicht direkt von den verhängten Bußgeldern. Dies ist wichtig, um einen Interessenkonflikt zu vermeiden und die vollständige Unabhängigkeit der Aufsichtsbehörde zu erhalten. Vielmehr gilt:

Bußgelder fließen grundsätzlich in den allgemeinen Haushalt der Bundesländer oder des Bundes, je nach Zuständigkeit der Behörde (§ 105 OWiG, § 65 BHO bzw. Landeshaushaltsordnung).
Dies vermeidet Interessenkonflikte und garantiert die Unabhängigkeit der Datenschutzbehörden nach Art. 52 DSGVO.

Natürlich steht es jedem Haushalt frei, gewisse Projekte & Maßnahmen zu finanzieren, welche mittelbar eine Auswirkung auf den Datenschutz haben. Eine explizite Zweckbindung für Datenschutzprojekte ist nicht verpflichtend, aber theoretisch möglich, soweit dies vom jeweiligen Gesetzgeber vorgesehen wäre.

Fazit

Die detaillierte und rechtlich genau definierte Berechnung eines DSGVO-Bußgeldes zeigt klar, dass Bußgelder keinesfalls willkürlich vergeben werden, sondern auf nachvollziehbaren Kriterien beruhen. Insofern herrscht Rechtssicherheit durch transparente Bußgeldverfahren. Für Unternehmen ist eine umfassende Compliance-Strategie essenziell:

Sorgen Sie für präventive Maßnahmen, um Verstöße zu vermeiden (Art. 32 DSGVO).
Reagieren Sie schnell, transparent und kooperativ, wenn Verstöße auftreten.
Beachten Sie den korrekten Rechtsweg bei Einsprüchen (Amtsgericht oder Verwaltungsgericht).

Unternehmen, die diese Punkte berücksichtigen, senken ihr Risiko deutlich und schaffen zugleich Rechtssicherheit. Wenn Sie unsicher im Umgang mit DSGVO-Bußgeldern sind, melden Sie sich gerne bei uns.

Alle Themen im Datenschutz verstehen

Inhaltsverzeichnis

Autor

Nils Möllers

externer Datenschutzbeauftragter

Akzeptieren
Name	YouTube
Anbieter	Google LLC
Zweck	Diese Webseite verwendet Youtube zu Marketingzwecken. Die Daten werden an einen Server in den USA übertragen und dort gespeichert. Die personenbezogenen Daten werden auf Grundlage des Art. 46 und/oder Art. 49 Abs. 1 lit. a) DSGVO übermittelt.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://policies.google.com/privacy

Akzeptieren
Name	LinkedIn
Anbieter	LinkedIn Corporation
Zweck	LinkedIn Analytics verwendet „Cookies“, die auf Ihrem Computer gespeichert werden und die eine Analyse der Benutzung der Website durch Sie ermöglichen. LinkedIn nutzt diese Informationen, um Ihre Nutzung der Website auszuwerten, um Reports über die Websiteaktivitäten für die Websitebetreiber zusammenzustellen und um weitere mit der Websitenutzung und der Internetnutzung verbundene Dienstleistungen zu erbringen.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://www.linkedin.com/legal/privacy-policy

Akzeptieren
Name	Facebook Connect
Anbieter	Meta Platforms Ireland Ltd.
Zweck	Facebook Connect nutzt im Rahmen des Webtrackings Cookies, die auf Ihrem Computer gespeichert werden und die eine Analyse der Benutzung unserer Webseite und Ihres Surfverhaltens ermöglichen (sogenanntes tracken).
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://www.facebook.com/about/privacy

Akzeptieren
Name	Google Adsense
Anbieter	Google LLC
Zweck	Wir haben auf dieser Website Google AdSense integriert. Google AdSense ist ein Online-Dienst, über welchen eine Vermittlung von Werbung auf Drittseiten ermöglicht wird.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://policies.google.com/privacy

Akzeptieren
Name	Google Double Click
Anbieter	Google LLC
Zweck	Diese Webseite setzt Google Double Click ein, um für die Nutzer relevante Anzeigen zu schalten, die Berichte zur Kampagnenleistung zu verbessern oder um zu vermeiden, dass ein Nutzer die gleichen Anzeigen mehrmals sieht. Die Daten werden an einen Server von Google in den USA übertragen und dort gespeichert. Die personenbezogenen Daten werden auf Grundlage des Art. 46 und/oder Art. 49 Abs. 1 lit. a) DSGVO übermittelt.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://policies.google.com/privacy

Akzeptieren
Name	Cloudflare
Anbieter	CloudFlare Inc.
Zweck	Der Betreiber dieser Web-Seite nutzt die Funktionen von CloudFlare. Anbieter ist die CloudFlare, Inc. 665 3rd St. 200, San Francisco, CA 94107, USA. CloudFlare bietet ein sog. weltweit verteiltes Content Delivery Network mit DNS an. Die personenbezogenen Daten werden auf Grundlage des Art. 46 DSGVO übermittelt.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://www.cloudflare.com/de-de/gdpr/introduction/

Akzeptieren
Name	Salesviewer
Anbieter	SalesViewer® GmbH, Bongardstraße 29, 44787 Bochum, Deutschland.
Zweck	Auf dieser Webseite werden mit der SalesViewer®-Technologie der SalesViewer® GmbH, Bongardstraße 29, 44787 Bochum, auf Grundlage einer Einwilligung & berechtigter Interessen des Webseitenbetreibers Daten zu Marketing-, Marktforschungs- und Optimierungszwecken gesammelt und gespeichert. Hierzu wird ein javascript-basierter Code eingesetzt, der zur Erhebung unternehmensbezogener Daten und der entsprechenden Nutzung dient. Die mit dieser Technologie erhobenen Daten werden über eine nicht rückrechenbare Einwegfunktion (sog. Hashing) verschlüsselt. Die Daten werden unmittelbar pseudonymisiert und nicht dazu benutzt, den Besucher dieser Webseite persönlich zu identifizieren.
Laufzeit
Weiterführende Infos	https://www.salesviewer.com/de/datenschutzerklaerung/
Opt-Out Link	https://www.salesviewer.com/de/opt-out/

Akzeptieren
Name	hellotrust
Anbieter	Keyed GmbH
Zweck	hellotrust speichert den Zustimmungsstatus des Benutzers für Cookies auf der aktuellen Domain.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://hellotrust.de/datenschutz

Akzeptieren
Name	Matomo / Piwik
Anbieter	Piwik PRO GmbH
Zweck	Unsere Webseite verwendet Matomo (ehemals Piwik), eine Open-Source-Software zur statistischen Auswertung der Besucherzugriffe. Anbieter ist die Piwik PRO GmbH, Lina-Bommer-Weg 6, 51149 Köln.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://matomo.org/docs/privacy/

Akzeptieren
Name	Google Analytics
Anbieter	Google LLC
Zweck	Diese Webseite verwendet Google Analytics zur Analyse der Websitebenutzung durch Nutzer. Die Daten werden an einen Server von Google in den USA übertragen und dort gespeichert. Die personenbezogenen Daten werden auf Grundlage des Art. 46 und/oder Art. 49 Abs. 1 lit. a) DSGVO übermittelt.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden. In der Regel werden die Cookies von Google für eine Dauer von 2 Jahren gespeichert.
Weiterführende Infos	https://policies.google.com/privacy

Akzeptieren
Name	Hubspot
Anbieter	Hubspot Ltd.
Zweck	Hierbei handelt es sich um eine integrierte Software-Lösung, mit der wir verschiedene Aspekte unseres Online Marketings abdecken. Dazu zählen unter anderem: E-Mail-Marketing (Newsletter sowie automatisierte Mailings, bspw. zur Bereitstellung von Downloads), Social Media Publishing & Reporting, Reporting (z.B. Traffic-Quellen, Zugriffe, etc. …), Kontaktmanagement (z.B. Nutzersegmentierung & CRM), Landing Pages und Kontaktformulare.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://legal.hubspot.com/privacy-policy