Auf dieser Seite erläutern wir, wie Datenschutzbehörden Bußgelder für DSGVO-Verstöße entsprechend der Leitlinien 04/2022 des Europäischen Datenschutzausschusses (EDSA) berechnen. Die Leitlinien des EDSA ersetzen dabei seit dem 24. Mai 2023 das Bußgeldkonzept der Datenschutzkonferenz.
1. Bestimmung der gesetzlichen Obergrenze
Als ersten Schritt ermittelt die zuständige Datenschutzbehörde die jeweils relevante gesetzliche Obergrenze für Bußgelder wegen des betreffenden Verstoßes.
Formeller Verstoß (Art. 83 Abs. 4 DSGVO)
Hat ein Verantwortlicher gegen eine der in Art. 83 Abs. 4 DSGVO genannten Vorschriften (z. B. fehlender Auftragsverarbeitungsvertrag) verstoßen, liegt diese bei Unternehmen, die im Vorjahr unter 500.000.000 Euro umgesetzt haben, bei 10.000.000 Euro, ansonsten bei 2 % des Vorjahresumsatzes.
Materieller Verstoß (Art. 83 Abs. 5, 6 DSGVO)
Hat der Verantwortliche gegen eine der in Art. 83 Abs. 5 DSGVO genannten Vorschriften (z. B. Nichtbeantwortung von Auskunftsersuchen nach Art. 15 DSGVO) verstoßen oder nach Art. 83 Abs. 6 DSGVO eine Weisung der Aufsichtsbehörde nicht beachtet, dann liegt die Obergrenze bei Unternehmen mit einem Vorjahresumsatz von unter 500.000.000 Euro bei 20.000.000 Euro, ansonsten bei 4 % des Vorjahresumsatzes.
2. Bestimmung der Schwere des Verstoßes
Ist die jeweilige gesetzliche Obergrenze als Bezugsgröße bestimmt, muss anschließend die Schwere des Verstoßes ermittelt werden. Die Leitlinien unterscheiden dabei zwischen gering, mittel und hoch.
Je nach Schwere gilt dann ein Bruchteil der gesetzlichen Obergrenze als Ausgangsbetrag:
Geringer Verstoß: 0–10 %
Mittlerer Verstoß: 10–20 %
Schwerer Verstoß: 20–100 %
Beispiele aus den Leitlinien:
3. Bestimmung der Unternehmensgröße
Abhängig vom Vorjahresumsatz des betreffenden Unternehmens bildet schließlich ein Bruchteil des Ausgangsbetrags den grundsätzlichen Bußgeldrahmen.
Für die Berechnung von Bußgeldern gilt dabei der wettbewerbsrechtliche Unternehmensbegriff aus Art. 101, 102 AEUV und nicht die Definition nach Art. 4 Nr. 18 DSGVO (EuGH, C-383/23, ECLI:EU:C:2025:84 – ILVA, Rn. 36).
Unter einem Unternehmen versteht sich jede wirtschaftliche Tätigkeit ausübende Einheit, unabhängig von ihrer Rechtsform und der Art ihrer Finanzierung. Es kann sich insbesondere auch um mehrere rechtlich selbstständige juristische Personen handeln.
| Jahresumsatz in Mio. € | Bruchteil des Ausgangsbetrags |
|---|---|
| ≤ 2 | 0,2–0,4 % |
| 2–10 | 0,3–2 % |
| 10–50 | 1,5–10 % |
| 50–100 | 8–20 % |
| 100–250 | 15–50 % |
| 250–500 | 40–100 % |
| >500 | 100 % |
4. Erhöhungen und Minderungen
Nach Art. 83 Abs. 2 S. 2 DSGVO hat die Aufsichtsbehörde bei der Festsetzung der Geldbuße einige Kriterien zu berücksichtigen:
Maßnahmen zur Schadensminderung
Ergreift der Verantwortliche selbstständig Maßnahmen, um durch die bei Betroffenen durch den Datenschutzverstoß entstehenden Schäden zu mindern, so kann dies mildernd berücksichtigt werden.
Frühere Verstöße
Nach Ansicht des EDSA können auch frühere Datenschutzverstöße für die Bußgeldzumessung relevant sein. Je ähnlicher und je weniger weit zurückliegend ein früherer Verstoß ist, desto mehr wirkt dieser verschärfend.
Andersartige Verstöße können auch verschärfend wirken, da diese ggf. auf Mängel der Datenschutzorganisation des Verantwortlichen hindeuten.
Gewinn durch den Datenschutzverstoß
Damit ein Bußgeld wirksam und abschreckend ist, wird die Datenschutzbehörde einen etwaigen durch den Verstoß erzielten Gewinn berücksichtigen. Ein Bußgeld wird dann regelmäßig den Gewinn übersteigen.
Zusammenarbeit mit der Aufsichtsbehörde
Da der Verantwortliche zur Zusammenarbeit mit der Aufsichtsbehörde verpflichtet ist, wirkt sich die Zusammenarbeit mit der Aufsichtsbehörde nur ausnahmsweise positiv aus. Nämlich dann, wenn durch die besonders gute Zusammenarbeit konkrete Schäden bei den Betroffenen verhindert oder gemindert werden können.
Unterlässt der Verantwortliche die Zusammenarbeit, so kann sich dies verschärfend auswirken oder einen eigenständig zu sanktionierenden Verstoß darstellen.
Meldung bei der Aufsichtsbehörde
Erlangt die Aufsichtsbehörde durch eine Beschwerde oder durch eine Untersuchung Kenntnis von dem Datenschutzverstoß, so wirkt sich dies neutral aus. Dasselbe gilt, wenn der Verantwortliche aufgrund einer Meldepflicht den Datenschutzverstoß selbst meldet.
Lediglich wenn der Verantwortliche der Aufsichtsbehörde einen nicht meldepflichtigen Verstoß meldet, kann sich dies mildernd auswirken.
Beachtung von Anordnungen der Datenschutzbehörde
Hat der Verantwortliche vorher zu demselben Gegenstand erlassene Anordnungen der Aufsichtsbehörde beachtet, so wirkt sich dies nicht aus. Hat der Verantwortliche bei der Umsetzung dieser Anordnungen ein verstärktes Engagement gezeigt, so kann dies ausnahmsweise mildernd zu berücksichtigen sein.
Die Nichtbeachtung wirkt verschärfend oder ist als eigenständiger Verstoß zu sanktionieren.
5. Abschließende Festsetzung
Gemäß Art. 83 Abs. 2 S. 1 DSGVO haben die Datenschutzbehörden sicherzustellen, dass Bußgelder in jedem Einzelfall wirksam, verhältnismäßig und abschreckend sind. Daraus ergibt sich, dass die Bußgeldbestimmung kein streng mathematischer Prozess ist.
Anhand der oben erläuterten Kriterien kann die Datenschutzbehörde einen Rahmen ermitteln, in dem sich ein Bußgeld bewegt. Die Kriterien zur Erhöhung und Minderung vermitteln dabei einen Eindruck davon, wo sich ein konkretes Bußgeld innerhalb des zuvor ermittelten Rahmens bewegen könnte.
Gleichzeitig kann es im Einzelfall geboten sein, dass die Datenschutzbehörde ein Bußgeld außerhalb dieses Rahmens verhängt, damit die Geldbuße wirksam, verhältnismäßig und abschreckend ist.
