DSGVO-Bußgeld berechnen

Auf dieser Seite können Sie den Rahmen für DSGVO-Bußgelder bei Datenschutzverstößen berechnen. Grundlage sind die Leitlinien 04/2022 (V 2.1) des Eurppäischen Datenschutzausschusses (EDSA).

Wie genau ist der Rechner?

Ziel dieses Rechners ist es, basierend auf den Leitlinien 02/2022 des EDSA den Rahmen, in dem sich ein DSGVO-Bußgeld bewegt, zu berechnen.

Gleichzeitig ist es nach Art. 83 Abs. 1 DSGVO Sache der jeweiligen Aufsichtsbehörde, sicherzustellen, dass ein Bußgeld in jedem Einzelfall wirksam, verhältnismäßig und abschreckend ist.

Deswegen handelt es sich bei der Berechnung nur um eine Annäherung, an die die jeweilige Aufsichtsbehörde nicht gebunden ist.

Mehr zur Berechnungsmethode →

Weitere Fragen?

In unseren Frequently Asked Questions zu DSGVO-Bußgeldern haben wir die häufigsten Antworten auf Fragen zu DSGVO-Verstößen zusammengestellt.

FAQ DSGVO-Bußgelder →

DSGVO-Bußgeldrechner:

1. Ermittlung der gesetzlichen Obergrenze

Vorjahres-Umsatz des Unternehmens (€):

Unter einem Unternehmen versteht sich jede wirtschaftliche Tätigkeit ausübende Einheit, unabhängig von ihrer Rechtsform und der Art ihrer Finanzierung. Es kann sich insbesondere auch um mehrere rechtlich selbstständige juristische Personen handeln. Der EuGH wendet im Rahmen der Bußgeldberechnung bei Art. 83 DSGVO den wettbewerbsrechlichen Unternehmensbegriff aus Art. 101, 102 AEUV an und nicht die Definition nach Art. 4 Nr. 18 DSGVO (EuGH, C-383/23, ECLI:EU:C:2025:84 – ILVA (Geldbuße wegen Verstoßes gegen die DSGVO), Rn. 36).

Art des Verstoßes

Verstöße nach Art. 83 Abs. 4 (formelle Verstöße)

Verstöße nach Art. 83 Abs. 5 (materielle Verstöße)

Verstöße nach Art. 83 Abs. 6 (Nichtbefolgung von Weisungen der Aufsichtsbehörden)

Erweiterte Ansicht

Gruppe I (Verstöße nach Art. 83 Abs. 4)

Art. 8 – Einwilligung von Kindern

Art. 11 – Verarbeitung, für die eine Identifizierung nicht erforderlich ist

Art. 25 – Datenschutz durch Technikgestaltung

Art. 26 – Gemeinsame Verantwortliche

Art. 27 – Vertreter von Unternehmen aus Drittstaaten

Art. 28 – Auftragsverarbeiter

Art. 29 – Verarbeitung nur auf Weisung des Verantwortlichen

Art. 30 – Verzeichnis der Verarbeitungstätigkeiten

Art. 31 – Zusammenarbeit mit Aufsichtsbehörde

Art. 32 – Sicherheit der Verarbeitung (TOM)

Art. 33 – Meldung von Datenschutzverstößen

Art. 34 – Benachrichtigung von Betroffenen

Art. 35 – Datenschutz-Folgenabschätzung (DSFA)

Art. 36 – Konsultation der Aufsichtsbehörde nach DSFA

Art. 37 – Benennung eines Datenschutzbeauftragten

Art. 38 – Stellung des Datenschutzbeauftragten

Art. 39 – Aufgaben des Datenschutzbeauftragten

Gruppe II (Verstöße nach Art. 83 Abs. 5)

Art. 5 – Verstoß die Grundsätze (Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung, Integrität und Vertraulichkeit)

Art. 6, 7 – Rechtmäßigkeit (z.B. fehlende Rechtsgrundlage)

Art. 9 – Rechtmäßigkeit besondere Kategorien

Art. 12 – Transparenz, Modalitäten Betroffenenrechte

Art. 13 – Information (Erhebung beim Betroffenen)

Art. 14 – Information (Erhebung bei Dritten)

Art. 15 – Auskunftsrecht

Art. 16 – Berichtigungsrecht

Art. 17 – Löschungsrecht

Art. 18 – Recht auf Einschränkung der Verarbeitung

Art. 19 – Mitteilungspflicht bei Berichtigung oder Löschung

Art. 20 – Recht auf Datenübertragbarkeit

Art. 21 – Widerspruchsrecht

Art. 22 – Automatisierte Entscheidungen

Art. 44–49 – Übermittlung in Drittland (z.B. fehlende geeignete Garantien)

Art. 85–91 – Verstoß gegen bestimmte nationale Vorschriften

Verstoß gegen bestimmte Weisungen der Aufsichtsbehörde oder Nichtgewährung von Zugang

Tatbestand III (Verstöße nach Art. 83 Abs. 6)

Verstoß gegen Weisungen der Aufsichtsbehörde nach Art. 58 Abs. 2 DSGVO

Gesetzliche Obergrenze:

0,00 €

2. Ermittlung der Schwere

Schweregrad des Verstoßes:

Der EDSA führt in seinen Leitlinien folgende Beispiele an:

Hoher Schweregrad (Beispiel 5a)

Nach Prüfung zahlreicher Beschwerden von Kunden eines Telefonunternehmens über unerbetene Anrufe stellte die zuständige Aufsichtsbehörde fest, dass das Telefonunternehmen ohne gültige Rechtsgrundlage die Kontaktdaten seiner Kunden für Telemarketing verwendete (Verstoß gegen Artikel 6 DSGVO). Insbesondere hatte die Telefongesellschaft die Namen und registrierten Telefonnummern ihrer Kunden Dritten zu Marketingzwecken angeboten. Die Telefongesellschaft handelte so, obwohl der Datenschutzbeauftragte davon abgeraten hatte, ohne sich darum zu bemühen, diese Praxis in irgendeiner Weise einzudämmen oder den Kunden die Möglichkeit zum Widerspruch zu geben. Tatsächlich gab es die Praxis seit Mai 2018 und sie war zum Zeitpunkt der Untersuchung noch nicht eingestellt worden. Die in Rede stehende Telefongesellschaft war landesweit tätig, und die Praxis betraf alle ihre vier Millionen Kunden. Die Aufsichtsbehörde stellte fest, dass alle diese Kunden regelmäßig unerbetenen Anrufen Dritter ausgesetzt waren, ohne dass ihnen wirksame Mittel zur Verfügung standen, den Anrufen ein Ende zu bereiten.

Der Aufsichtsbehörde oblag die Aufgabe, den Schweregrad dieses Falls zu beurteilen. Eingangs stellte die Aufsichtsbehörde fest, dass ein Verstoß gegen Artikel 6 DSGVO zu den in Artikel 83 Absatz 5 DSGVO aufgeführten Verstößen gehört und daher unter die übergeordnete Ebene von Artikel 83 DSGVO fällt. Zweitens prüfte die Aufsichtsbehörde die Umstände des Falles. Dabei maß die Aufsichtsbehörde der Art des Verstoßes erhebliches Gewicht bei, da auf der verletzten Bestimmung (Artikel 6 DSGVO) die Rechtmäßigkeit der Datenverarbeitung insgesamt beruht. Wird diese Bestimmung nicht eingehalten, verliert die gesamte Verarbeitung ihre Rechtmäßigkeit. Außerdem maß die Aufsichtsbehörde der Dauer des Verstoßes, die zum Zeitpunkt des Inkrafttretens der DSGVO begonnen hatte und zum Zeitpunkt der Untersuchung noch nicht beendet war, erhebliches Gewicht bei. Die Tatsache, dass die Telefongesellschaft landesweit tätig war, vergrößerte den Umfang der Verarbeitung. Die Zahl der betroffenen Personen wurde als sehr hoch angesehen (vier Millionen im Vergleich zu einer Gesamtbevölkerung von 14 Millionen), während der von ihnen erlittene Schaden als mäßig angesehen wurde (nichtmaterieller Schaden in Form von Belästigung). Bei der letztgenannten Bewertung wurden die betroffenen Datenkategorien (Name und Telefonnummer) berücksichtigt. Die Schwere des Verstoßes stieg jedoch aufgrund der Tatsache, dass der Verstoß entgegen einer Empfehlung des Datenschutzbeauftragten begangen wurde und daher als vorsätzlich angesehen wurde.

Unter Berücksichtigung der vorstehend angesprochenen Aspekte (schwerwiegend, lange Dauer, hohe Zahl betroffener Personen, landesweiter Anwendungsbereich, Vorsatz bei mäßigem Schaden) kam die Aufsichtsbehörde zu dem Schluss, der Verstoß sei als schwer einzustufen. Die Aufsichtsbehörde legt den Ausgangsbetrag für die weitere Berechnung bei einem Wert zwischen 20 % und 100 % des in Artikel 83 Absatz 5 DSGVO vorgesehenen gesetzlichen Höchstmaßes fest.

Mittlerer Schweregrad (Beispiel 5b)

Eine Aufsichtsbehörde erhielt von einem Krankenhaus eine Meldung einer Verletzung des Schutzes personenbezogener Daten. Dieser Meldung war zu entnehmen, dass mehrere Mitarbeiter in der Lage waren, Teile von Patientenakten einzusehen, die – aufgrund der Abteilung, in der sie tätig waren – für sie nicht hätten zugänglich sein sollen. Das Krankenhaus hatte Verfahren zur Regelung des Zugangs zu Patientenakten ausgearbeitet und strenge Maßnahmen für einen eingeschränkten Zugang ergriffen. Dies hatte zur Folge, dass das Personal einer Abteilung nur auf medizinische Informationen zugreifen konnte, die für diese spezifische Abteilung relevant waren. Darüber hinaus hatte das Krankenhaus in die Sensibilisierung seiner Mitarbeiter für den Schutz der Privatsphäre investiert. Es stellte sich jedoch heraus, dass es Probleme im Zusammenhang mit der Überwachung von Genehmigungen gab. Bedienstete, die in eine andere Abteilung versetzt worden waren, konnten noch immer von ihren „alten“ Abteilungen Zugang zu Patientenakten erhalten, und das Krankenhaus verfügte über keine Verfahren, um den jeweils aktuellen Arbeitsplatz des Mitarbeiters mit seiner Genehmigung in Einklang zu bringen. Die interne Untersuchung des Krankenhauses ergab, dass mindestens 150 Mitarbeiter (von 3500) nicht korrekte Genehmigungen hatten, von denen mindestens 20 000 der 95 000 Patientenakten betroffen waren. Das Krankenhaus konnte nachweisen, dass Mitarbeiter in mindestens 16 Fällen ihre Genehmigungen genutzt hatten, um Patientenakten einzusehen. Nach Auffassung der Aufsichtsbehörde liegt ein Verstoß gegen Artikel 32 DSGVO vor.

Bei der Beurteilung des Schweregrades des Falls stellte die Aufsichtsbehörde erstens fest, dass ein Verstoß gegen Artikel 32 DSGVO zu den in Artikel 83 Absatz 4 DSGVO aufgeführten Verstößen gehört und daher unter die untergeordnete Ebene von Artikel 83 DSGVO fällt. Zweitens prüfte die Aufsichtsbehörde die Umstände des Falles. In diesem Zusammenhang war die Aufsichtsbehörde der Ansicht, dass die Zahl der von der Verletzung betroffenen Personen zwar nur 16 betragen hatte, es unter den Umständen des vorliegenden Falles möglicherweise aber auch 20 000 und angesichts des systemischen Charakters des Problems sogar 95 000 hätten sein können. Darüber hinaus stufte die Aufsichtsbehörde den Verstoß als fahrlässig ein, allerdings in geringem Maße, was unter den Umständen des vorliegenden Falls als neutraler Faktor angesehen wurde, da das Krankenhaus keine Genehmigungsrichtlinien erlassen hatte, obwohl es dies eigentlich hätte tun müssen, ansonsten aber Schritte zur Durchführung strenger Maßnahmen zur Zugangsbeschränkung unternommen hatte. Keinen Einfluss auf diese Bewertung hatte die Tatsache, dass andere Datenschutz- und Sicherheitsmaßnahmen, wie in der DSGVO gefordert, erfolgreich umgesetzt worden waren. Schließlich maß die Aufsichtsbehörde der Tatsache erhebliches Gewicht bei, dass Patientenakten Gesundheitsdaten enthalten, bei denen es sich um besondere Kategorien von Daten gemäß Artikel 9 DSGVO handelt.

Unter Berücksichtigung all dessen (Art der Verarbeitung und besondere Datenkategorien im Verhältnis zur Zahl der tatsächlich und potenziell betroffenen Personen) kommt die Aufsichtsbehörde zu dem Schluss, der Verstoß sei als mittelschwer einzustufen. Die Aufsichtsbehörde legt den Ausgangsbetrag für die weitere Berechnung bei einem Wert zwischen 10 % und 20 % des in Artikel 83 Absatz 4 DSGVO vorgesehenen gesetzlichen Höchstmaßes fest.

Niedriger Schweregrad (Beispiel 5c)

Bei einer Aufsichtsbehörde gingen zahlreiche Beschwerden über den Umgang eines Internetshops mit dem Auskunftsrecht seiner betroffenen Personen ein. Den Beschwerdeführern zufolge dauerte die Bearbeitung ihrer Anträge auf Auskunft zwischen vier und sechs Monate, was außerhalb des nach der DSGVO zulässigen Zeitrahmens liegt. Die Aufsichtsbehörde prüft die Beschwerden und stellt fest, dass der Internetshop in 5 % der Fälle mit höchstens drei Monaten Verspätung auf Auskunftsanträge antwortet. Insgesamt gingen in dem Shop jährlich rund 1000 Auskunftsanträge ein, von denen 950 fristgerecht bearbeitet wurden. Darüber hinaus verfügte der Internetshop über Richtlinien, mit denen sichergestellt werden sollte, dass alle Auskunftsanträge korrekt und vollständig bearbeitet wurden. Dennoch kam die Aufsichtsbehörde zu dem Schluss, dass der Internetshop gegen Artikel 12 Absatz 3 DSGVO verstoßen hatte, und beschloss die Verhängung einer Geldbuße.

Im Zuge der Berechnung des Betrags der zu verhängenden Geldbuße oblag es der Aufsichtsbehörde, den Schweregrad des vorliegenden Falls zu beurteilen. Eingangs stellte die Aufsichtsbehörde fest, dass ein Verstoß gegen Artikel 12 DSGVO zu den in Artikel 83 Absatz 5 DSGVO aufgeführten Verstößen gehört und daher unter die übergeordnete Ebene von Artikel 83 DSGVO fällt. Zweitens prüfte die Aufsichtsbehörde die Umstände des Falles. In diesem Zusammenhang prüfte die Aufsichtsbehörde sorgfältig die Art des Verstoßes. Obwohl das Recht auf zeitnahe Auskunft über personenbezogene Daten einer der Eckpfeiler der Rechte der betroffenen Person ist, war die Aufsichtsbehörde der Auffassung, dass der Verstoß in dieser Hinsicht von begrenzter Schwere war, da letztendlich alle Anträge, wenn auch mit begrenzter Verzögerung, bearbeitet wurden. Bezüglich des Zwecks der Verarbeitung stellte die Aufsichtsbehörde fest, dass die Verarbeitung personenbezogener Daten nicht die Kerntätigkeit des Internetshops, wohl aber eine wichtige Nebentätigkeit bei der Verwirklichung seines Ziels des Verkaufs von Waren über das Internet war. Nach Auffassung der Aufsichtsbehörde erhöhte dies die Schwere des Verstoßes. Andererseits wurde der von den betroffenen Personen erlittene Schaden als minimal angesehen, da alle Auskunftsanträge innerhalb von sechs Monaten bearbeitet wurden.

Unter Berücksichtigung all dessen (Art des Verstoßes, Zweck der Verarbeitung und Ausmaß des Schadens) kommt die Aufsichtsbehörde zu dem Schluss, der Verstoß sei als gering einzustufen. Die Aufsichtsbehörde legt den Ausgangsbetrag für die weitere Berechnung bei einem Wert zwischen 0 % und 10 % des in Artikel 83 Absatz 5 DSGVO vorgesehenen gesetzlichen Höchstmaßes fest.

Ausgangsbetragsgrenzen (Unter- / Obergrenze):

0,00 € / 0,00 €

Zwischenbetragsgrenzen (Unter- / Obergrenze):

0,00 € / 0,00 €

3. Erhöhungen und Minderungen

Die bis hierhin ermittelten Zwischenbetragsgrenzen stellen grundsätzlich den Rahmen dar, in dem sich ein Bußgeld voraussichtlich bewegt. Nach Art. 83 Abs. 2 DSGVO sind bei der konkreten Zumessung eine Reihe von Faktoren zu berücksichtigen. Sie können diese Faktoren erfassen, um einen Eindruck davon zu gewinnen, wo im Bußgeldrahmen sich die Datenschutzbehörde bewegt.

Gleichzeitig handelt es sich bei der Bußgeldzumessung um keinen rein mathematischen Prozess. Die Aufsichtsbehörde muss in jedem Fall sicherstellen, dass ein Bußgeld wirksam, verhältnismäßig und abschreckend ist. Soweit das im Einzelfall notwendig ist, kann diese deswegen auch Bußgelder außerhalb der ermittelten Grenzen verhängen.

Faktoren erfassen

1. Wurden Maßnahmen zur Minderung des den Betroffenen entstandenen Schadens ergriffen? ?

Ergreift der Verantwortliche Maßnahmen, um den bei den Betroffenen entstandenen Schaden zu mindern, kann das als mildernder Umstand berücksichtigt werden. Werden solche Maßnahmen erst nach Beginn der Untersuchung durch die Aufsichtsbehörde ergriffen, wirkt sich das nicht zwangläufigs aus. (Leitlinien 04/2022, Rn. 73–76).

Ja Nein Nicht möglich/nötig

2. Grad der Verantwortung des Verantwortlichen oder des Auftragsverarbeiters: ?

Der Grad der Verantwortung wirkt wegen der hohen Rechenschaftspflichten der DSGVO in der Regel neutral oder verschärfend aus. Nur wenn der Verantwortliche bei seiner Sorgfalt deutlich über das erforderliche Maß hinausgegangen ist, kann das ausnahmsweise mildernd berücksichtigt werden. (Leitlinien 04/2022, Rn. 77–81)

Niedrig Mittel Hoch

3. Ist die Geldbuße wegen früherer Verstöße zu erhöhen? ?

Frühere Verstöße können sich verschärfend auswirken. Das gilt umso mehr es sich um (a) Verstöße handelt, die dem im Bußgeldverfahren betrachteten Verstoß ähnlich sind und (b) je weniger lang diese zurückliegen. Andersartige Verstöße können jedoch deswegen zu berücksichtigen sein, weil diese auf organisatorische Mängel beim Verantwortlichen deuten können. Je länger Verstöße zurückliegen, umso eher sind sie nicht mehr zu berücksichtigen. (Leitlinien 04/2022, Rn. 82-94)

Nein Leicht Mittel Stark

4. Wie wurde bezüglich des Verstoßes mit der Aufsichtsbehörde zusammengearbeitet? ?

Da der Verantwortliche zur Zusammenarbeit mit den Aufsichtsbehörden verpflichtet ist, wirkt sich diese Zusammenarbeit nur ausnahmsweise positiv aus, wenn durch diese Zusammenarbeit Schäden bei den Betroffenen vermieden werden konnten. Arbeitet der Verantwortliche nicht mit der Aufsichtsbehörde zusammen, so ist dies verschärfend zu berücksichtigen oder kann einen eigenständigen Verstoß (Nichtbeachtung von Weisungen) darstellen. (Leitlinien 04/2022, Rn. 95-97)

Nicht nötig Abgelehnt Normal Vorbildlich

5. Wie hat die Aufsichtsbehörde von dem Verstoß Kenntnis erlangt? ?

Erhält die Aufsichtsbehörde durch eine Beschwerde oder eigene Untersuchung Kenntnis von einem Verstoß, so wirkt sich dies neutral aus. Dasselbe gilt, wenn der Verantwortliche den Verstoß meldet und für diesen eine Meldepflicht besteht. Lediglich wenn die Aufsichtsbehörde durch den Verantwortlichen Kenntnis erhält, obwohl keine Meldepflicht besteht, kann sich dies mildernd auswirken. (Leitlinien 04/2022, Rn. 98-99)

Beschwerde oder Untersuchung Meldung (ohne Meldepflicht) Meldung (bei Meldepflicht)

6. Wurden früher von der Aufsichtsbehörde zu demselben Gegenstand angeordnete Maßnahmen eingehalten? ?

Hat die Aufsichtsbehörde in Bezug auf denselben Gegenstand bereits Anordnungen erlassen, so wirkt sich die Befolgung dieser Anordnungen neutral aus. Lediglich wenn der Verantwortliche ein verstärktes Engagement bei der Erfüllung der Anordnungen zeigt, kann das mildernd berücksichtigt werden. Erfüllt der Verantwortliche die Anordnungen nicht, so kann das entweder verschärfend wirken oder als eigenständiger Verstoß geahndet werden. (Leitlinien 04/2022, Rn. 100-103)

Keine Anordnungen Nein Ja Ja, übertroffen

7. Wurde durch den Datenschutzverstoß Gewinn erzielt? ?

Wurde mit dem Verstoß ein Gewinn erzielt, wird die Aufsichtsbehörde die Geldbuße regelmäßig so wählen, dass zumindest der Gewinn abgeschöpft wird. (Leitlinien 04/2022, Rn. 110, 111 Beispiel 7d)

Ja Nein

Mit dem Verstoß erzielter Gewinn (€):

Faktoren-Punktesumme:

0 Punkte

Hinweis: Das Bußgeld wird in der Regel mindestens den erzielten Gewinn betragen.

Endbetragsgrenzen (Bußgeldrahmen):

0,00 € / 0,00 €

Von Experten entwickelt

Der Bußgeld-Rechner wurden von Fabian Müller, M. Iur. entwickelt.
Über 3 Jahre Erfahrung im Datenschutzrecht.