Die Schlagzeilen über Bußgelder nach einer Datenpanne reißen nicht ab. Auch in Deutschland verhängen die Aufsichtsbehörden hohe Bußgelder nach DSGVO. Doch die genaue Höhe der Bußgelder mag überraschen. Wie berechnen die Aufsichtsbehörden eigentlich die Bußgeldhöhe? Und was kann man tun, um das Bußgeld so gering wie möglich zu halten? Neue, einheitliche Regeln liefen Einblicke.
Der beste Weg, um hohe Bußgelder nach DSGVO zu minimieren oder gar zu vermeiden, sind wirksame Datenschutzmaßnahmen.
(Bild: vladischern - stock.adobe.com)
Ohne Frage gehören die hohen Bußgelder zu den Gründen, warum der Datenschutz mit Anwendbarkeit der Datenschutz-Grundverordnung (DSGVO) nochmals deutlich an Gewicht gewonnen hat, wenn es um die Bewertung von Risiken in einem Unternehmen geht.
Wenn man sich Beispiele für Bußgelder ansieht, die deutsche Datenschutzaufsichtsbehörden in den letzten Monaten und Jahren verhängt haben, findet man mehrere Sanktionen, die sehr spürbar für die betroffenen Unternehmen waren: 900.000 Euro Bußgeld gegen ein Kreditinstitut wegen Profilbildung zu Werbezwecken, 1,1 Millionen Euro Bußgeld gegen Volkswagen wegen Datenschutzverstößen im Rahmen von Forschungsfahrten, 1,9 Millionen Euro gegen die die Brebau GmbH, alles Beträge, die niemand „in der Portokasse“ hätte.
Aber es ist gewollt, dass die Bußgelder spürbar sind. So sagt die DSGVO: Sanktionen müssen wirksam, verhältnismäßig und abschreckend sein.
DSGVO nennt keine genauen Formeln
Wie aber kommt es zu den genauen Beträgen für die Geldbußen? Anders als zum Beispiel in der Straßenverkehrsordnung gibt es keinen Bußgeldkatalog in der DSGVO, in dem man nachschauen kann, was beispielsweise die Sanktion sein könnte, wenn eine Ransowmare-Attacke Erfolg hat und keine Backups zur Wiederherstellung der personenbezogenen Daten vorhanden sind.
Stattdessen sagen die sogenannten Erwägungsgründe zur DSGVO: Die Geldbußen sind von der zuständigen Aufsichtsbehörde in jedem Einzelfall festzusetzen, unter Berücksichtigung aller besonderen Umstände und insbesondere der Art, Schwere und Dauer des Verstoßes und seiner Folgen sowie der Maßnahmen, die ergriffen worden sind, um die Einhaltung der aus der DSGVO erwachsenden Verpflichtungen zu gewährleisten und die Folgen des Verstoßes abzuwenden oder abzumildern.
Es findet also jedes Mal eine Einzelfallprüfung statt.
Wie die Aufsichtsbehörden die Bußgeldhöhen begründen
Es ist instruktiv zu lesen, wie die verschiedenen Aufsichtsbehörden jeweils die Höhe des verhängten Bußgeldes erläutern. Das bietet nicht nur Einblicke in Prozesse und Entscheidungen bei den Datenschutzaufsichtsbehörden, sondern es zeigt auch, was sich konkret mindernd auf die Bußgeldhöhe nach DSGVO auswirken kann.
Bei dem Kreditinstitut, das Profile zu Werbezwecken erstellt hatte, wirkte sich laut Aufsichtsbehörde auf das Bußgeld mindernd aus, dass das Unternehmen die Ergebnisse seiner Auswertungen nicht weiterverwendet habe. Zudem habe sich das Unternehmen im gesamten Verfahren kooperativ gezeigt.
Im Fall der Forschungsfahrten von Volkswagen waren vier Verstöße mit jeweils niedrigem Schweregrad Gegenstand des Bußgeldbescheides. Volkswagen hatte die Mängel, die in keinem Bezug zu Serienfahrzeugen standen, im Rahmen des vorangegangenen Prüfverfahrens unverzüglich abgestellt. „Die eigentlichen Forschungsfahrten waren datenschutzrechtlich nicht zu beanstanden“, sagte die Landesdatenschutzbeauftragte von Niedersachsen Barbara Thiel. „Gegen die dabei anfallende Erhebung und Weiterverarbeitung personenbezogener Daten bestehen von unserer Seite keine Bedenken.“ Berücksichtigt wurde dabei insbesondere, dass die Verarbeitung dazu diente, ein Fahrassistenzsystem zur Verhinderung von Unfällen zu optimieren und so die Sicherheit im Straßenverkehr zu erhöhen.
Die nach Artikel 83 DSGVO verhängte Geldbuße gegen die Brebau GmbH belief sich auf rund 1,9 Millionen Euro. Der außerordentlichen Tiefe der Verletzung des Grundrechts auf Datenschutz wäre eine deutlich höhere Geldbuße angemessen gewesen, so die bremische Landesbeauftragte für Datenschutz und Informationsfreiheit. Weil das Unternehmen aber im datenschutzrechtlichen Aufsichtsverfahren umfassend kooperierte, sich um Schadensminderung, eigene Aufklärung des Sachverhalts und darum bemühte, dass entsprechende Verstöße sich nicht wiederholen, konnte die Höhe der Geldbuße erheblich reduziert werden.
Es zeigt sich also, dass Kooperation mit der Aufsichtsbehörde, eigene Gegenmaßnahmen und Aufklärungsarbeit und umgehende Einstellung des bemängelten Verfahrens die Höhe des Bußgeldes beeinflussen können. Wie aber rechnen nun die Datenschutzaufsichtsbehörden genau?
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Einheitliche Regeln für die Bußgeldzumessung
Es gibt inzwischen einheitliche Leitlinien zur Bußgeldzumessung des Europäischen Datenschutzausschusses (EDSA). Damit erfolgt die Bußgeldpraxis der Datenschutzaufsichtsbehörden in Europa nun nach einheitlichen Maßstäben, so die Repräsentantinnen und Repräsentanten der deutschen Datenschutzaufsicht.
Die Leitlinien sehen ein aus fünf Schritten bestehendes Zumessungsverfahren vor, dass insbesondere die Art und Schwere der Verstöße sowie den Umsatz der betreffenden Unternehmen berücksichtigt.
Meike Kamp, Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI), erklärte: „Durch die europäischen Leitlinien zur Bußgeldzumessung wird das Vorgehen der Aufsichtsbehörden bei der Sanktionierung von Datenschutzverstößen transparenter. Das Fünf-Schritte-Verfahren gibt klare Regeln für die Zumessung von Geldbußen vor und trägt somit zu einem nachvollziehbareren Verwaltungshandeln bei.“
Prof. Dr. Alexander Roßnagel, Hessischer Beauftragter für Datenschutz und Informationsfreiheit (HBDI), ergänzte: „Mithin wird nun die erforderliche Transparenz der Bußzumessung gewährleistet, die der immensen Höhe der Bußgelder Rechnung trägt.“
Prof. Ulrich Kelber, Bundesbeauftragter für den Datenschutz und die Informationsfreiheit (BfDI), fasst zusammen: „Eine Entscheidung, auf die sehr viele Stellen schon lange mit Spannung gewartet haben. Historisch haben wir nun erstmals eine Vereinheitlichung der Bußgeldpraxis von Datenschutzbehörden in unterschiedlichen Mitgliedsstaaten. Die Leitlinien sind damit der konsequente nächste Schritt in der europäischen Integration und können künftig auch Vorbild und Orientierung für die Durchsetzung anderer EU-Gesetze sein.“
Der Prozess der Bußgeldbestimmung
Wie die Leitlinien zeigen, gehen die Aufsichtsbehörden so vor: Die Verarbeitungsvorgänge, die bemängelt werden, werden identifiziert. Eine Bewertung der Einstufung des Verstoßes in der DSGVO, eine Beurteilung der Schwere des Verstoßes im Hinblick auf die Umstände des Einzelfalls und eine Bewertung des Umsatzes des Unternehmens finden statt. Dann werden erschwerende und mildernde Umstände im Zusammenhang mit dem früheren oder gegenwärtigen Verhalten des Verantwortlichen/Auftragsverarbeiters beurteilt, mit entsprechender Erhöhung oder Herabsetzung der Geldbuße. Eine vorgenommene Erhöhung darf den Höchstbetrag nach DSGVO aber nicht überschreiten. Abschließend wird geprüft, ob der berechnete Endbetrag den Anforderungen an Wirksamkeit, Abschreckung und Verhältnismäßigkeit genügt. Das Bußgeld kann weiterhin entsprechend angepasst werden, jedoch ohne die jeweilige gesetzliche Höchstgrenze zu überschreiten.
Offensichtlich ist auch das kein Bußgeldkatalog wie in der Straßenverkehrsordnung, doch der Prozess, wie die Aufsichtsbehörden vorgehen wird sichtbar und ist einheitlich in der EU. Nicht zuletzt sollten Unternehmen an die mildernden Umstände denken, die nicht nur die Bußgeldhöhe beeinflussen können.
Vielmehr sind es solche Maßnahmen, die die Bußgeldhöhe senken können, die die Schäden durch den aktuellen Fall der Datenschutzverletzung senken können und die dabei helfen, dies in Zukunft zu vermeiden. Der beste Weg, um Sanktionen nach DSGVO zu minimieren oder gar zu vermeiden, sind wirksame Datenschutzmaßnahmen, das klingt wie eine Binsenweisheit, sollte aber trotzdem nicht vergessen werden, denn das Ziel ist es ja nicht, Bußgelder klein zu halten, sondern Daten zu schützen.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/38/e2/38e2ebee9ca6d8252e67f88dab72cdd3/0129125696v2.jpeg "Der Cybersecurity Report 2026 zeigt: E-Mail-Malware stieg um 131 Prozent, KI-gestütztes Phishing wird zur Hauptbedrohung und Resilienz entscheidet über Handlungsfähigkeit bei Angriffen. (Bild: © putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/30/27/3027664b0fb0bc9c398378e320ef390b/0128993714v2.jpeg "Cyberkriminelle sind aktiver denn je. Diese deutschen Unternehmen sind ihnen 2026 bereits zum Opfer gefallen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/1d/db/1ddbdc9047cbd3cd27d7cb0efca62bc4/0128713610v2.jpeg "Am 25. Dezember 2025 griffen mutmaßlich japanische Cyberkriminelle Adobe-ColdFusion-Server, mit dem Ziel, Zugriffe zu kapern, um diese dann zu verkaufen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/3c/5c/3c5c6e99bcdad07637fea060dc2eab27/0127436898v1.jpeg "Der Autor: Alexander Waldmann ist Vice President bei Applause (Bild: Applause)")
:quality(80)/p7i.vogel.de/wcms/22/5d/225d1d7930c9090fe8fbf68e9d3465c2/0129163513v2.jpeg "Betroffen von der kritischen Schwachstelle EUVD-2026-4712 / CVE-2026-24858 sind die Produkte FortiOS, FortiManager, FortiAnalyzer, FortiProxy und FortiWeb. Die Sicherheitslücke erlaubt es Angreifern, sich über die FortiCloud-SSO-Anmeldung auf anderen Geräten unautorisiert anzumelden. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/24/aa/24aad994e872a642db8ce5e566b2ff5a/0128652115v2.jpeg "Mit Agentic AI wollen Cyberkriminelle Angriffe effizienter durchführen, um ihren ROI zu erhöhen. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/e3/48/e348498d4582bb6d2bd6993b70462a5b/0129264709v2.jpeg "Bei der Microsoft-365-Security gibt es viele blinde Flecken, auf die IT-Verantwortlichen in Unternehmen achten müssen. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/9a/22/9a22abecd3b81745aafb5167c9a4eed5/0129101394v1.jpeg "OPSI wird nach dem WSUS-Ende zur Open-Source-Alternative und verwaltet Windows, Linux und macOS zentral mit automatischen Updates und Echtzeit-Status. Mehr in Text, Bildergalerie und Video (Tool-Tipp 38). (Bild: © Irene Kulinchyk - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/46/86/4686355223b7afc15b0ec2dcc54a5e58/0128882706v1.jpeg "Die Risiken der digitalen Erpressbarkeit: Genügt ein Klick, um Europa ins digitale Dunkel zu führen? (Bild: frei lizenziert Pete Linforth)")
:quality(80)/p7i.vogel.de/wcms/c6/7e/c67ee3c3d518dfe5a48378e20a95fde5/0129075400v1.jpeg "Clickjacking nutzt Autofill aus um an Zugangsdaten zu gelangen, aber die Deaktivierung der Funktion sorgt eher für mehr Probleme! Endpoint-Security, MFA und URL-Abgleich schützen wirksamer. (Bild: © Montri - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2c/7f/2c7f325ab87e8cde7456fb75e3fd2e0b/0128865641v2.jpeg "Die Code-Injection-Sicherheitslücke in PowerPoint von 2009 ermöglicht es Angreifern, durch speziell gestaltete PowerPoint-Dateien beliebigen Code auszuführen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/63/db/63dbd1915b7af/2023-fastlta-logo-square-positive.jpeg "2023-fastlta-logo-square-positive (FAST LTA GmbH)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/7d/de/7dde4303ee2028c8baac0e3119cb724f/0109199656.jpeg "Aus Fehlern lernt man. Deshalb lohnt es sich für Unternehmen und Behörden, jetzt zum Jahresbeginn 2023 auf die größten Datenpannen aus 2022 zu blicken. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3d/b3/3db3b3ca88f8308df633d9f97dcd5d3b/0128598788v2.jpeg "Die deutschen Aufsichten verhängten 2025 Millionenbußgelder – von fehlenden Partnerkontrollen bis zu WhatsApp-Datenlecks und Blackbox-Automatisierung. (Bild: © Westlight - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b7/b8/b7b85f23fc336975db9560ff55870967/0125054400v2.jpeg "Die Bundesdatenschutzbehörde hat ihr bisher höchste Bußgeld gegen Vodafone verhängt. (©alfexe - stock.adobe.com)")