Ratgeber / DSGVO-Bußgelder (Art. 83)

DSGVO-Bußgelder: das Zweistufenmodell nach Art. 83 DSGVO

Wann verhängt die Aufsichtsbehörde ein Bußgeld, wie hoch kann es werden und was bestimmt die Höhe im Einzelfall? Hier findest du das Zweistufenmodell, die Alternativformel und die 11 Zumessungskriterien des Art. 83 DSGVO — jede Aussage mit Fundstelle.

Das Zweistufenmodell: Art. 83 Abs. 4 und 5 DSGVO

In Datenschutz-Fachforen und Unternehmens-Compliance-Kanälen tauchen immer wieder dieselben Fragen auf: „Gilt das wirklich auch für uns als kleines Unternehmen?", „Wer bekommt eigentlich das Geld?" oder „Wie kommt die Behörde auf den Betrag?" — qualitative Signale aus der Praxis, die zeigen, wie wenig das Sanktionssystem der DSGVO im Detail bekannt ist. Art. 83 DSGVO beantwortet diese Fragen mit einem klar strukturierten Zweistufenmodell.

Art. 83 Abs. 1 DSGVO legt den Rahmen fest: Jede Aufsichtsbehörde muss sicherstellen, dass Geldbußen „wirksam, verhältnismäßig und abschreckend" sind. Entscheidend ist dabei, welche Norm verletzt wurde — denn davon hängt ab, welcher Bußgeldrahmen gilt.

10 Mio €
oder 2 % Jahresumsatz (Art. 83 Abs. 4)
20 Mio €
oder 4 % Jahresumsatz (Art. 83 Abs. 5)
11
Zumessungskriterien (Art. 83 Abs. 2 lit. a–k)

Stufe 1 — Art. 83 Abs. 4: bis zu 10 Mio. EUR oder 2 %

Die untere Stufe erfasst vor allem technisch-organisatorische und prozessuale Verstöße. Sie gilt für Verletzungen der Art. 8, 11, 25–39, 42 und 43 DSGVO. Darunter fallen unter anderem fehlende oder mangelhafte Auftragsverarbeitungsverträge nach Art. 28, ein fehlendes Verzeichnis von Verarbeitungstätigkeiten nach Art. 30, Mängel beim Datenschutz durch Technik (Art. 25), fehlende Sicherheitsmaßnahmen nach Art. 32 oder eine unterlassene Meldung einer Datenpanne an die Aufsichtsbehörde nach Art. 33.

Stufe 2 — Art. 83 Abs. 5: bis zu 20 Mio. EUR oder 4 %

Die obere Stufe gilt für materiell schwerwiegendere Verletzungen. Sie erfasst Verstöße gegen die Grundsätze der Verarbeitung (Art. 5), die Rechtsgrundlagen (Art. 6, 7, 9), die Betroffenenrechte (Art. 12–22) und die Regeln zur Drittlandübermittlung (Art. 44–49) sowie Vorschriften der Mitgliedstaaten nach Kapitel IX DSGVO. Die Einstufung macht Sinn: Wer personenbezogene Daten ohne jede Rechtsgrundlage verarbeitet oder systematisch Betroffenenrechte verweigert, greift in den Kern des Datenschutzrechts ein.

Art. 83 Abs. 6 DSGVO: Die Nichtbefolgung einer Anweisung der Aufsichtsbehörde gemäß Art. 58 Abs. 2 DSGVO — etwa eine Verarbeitungsuntersagung oder eine Berichtigungs­anweisung — ist ebenfalls mit dem Rahmen der zweiten Stufe bewehrt: bis zu 20 Mio. EUR oder 4 % des weltweiten Jahresumsatzes. „Anweisung" ist der amtliche Rechtsbegriff in Art. 83 Abs. 6 DSGVO.

Die Alternativformel: „je nachdem, welcher der Beträge höher ist"

Art. 83 Abs. 4 und 5 DSGVO verwenden durchgehend die Formulierung „bis zu X EUR oder im Fall eines Unternehmens bis zu Y Prozent seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs, je nachdem, welcher der Beträge höher ist". Für kleine Unternehmen bedeutet dies in der Praxis: Da der Jahresumsatz oft deutlich unter der Schwelle liegt, die den Prozentwert über den Fixbetrag hebt, gilt regelmäßig der fixe Höchstbetrag als Obergrenze. Bei umsatzstarken Konzernen hingegen kann der Prozentwert das fixe Maximum überschreiten — dann bildet er die Obergrenze.

Wichtig zu verstehen: Der Bußgeldrahmen ist eine Obergrenze, kein Standardbetrag. Die tatsächlich verhängte Geldbuße liegt in aller Regel deutlich darunter und richtet sich nach den elf Kriterien des Art. 83 Abs. 2 DSGVO.

Die 11 Zumessungskriterien nach Art. 83 Abs. 2 DSGVO

Die Aufsichtsbehörde bestimmt die Höhe der Geldbuße anhand der folgenden elf Kriterien (Art. 83 Abs. 2 lit. a–k DSGVO):

Lit. Kriterium Richtung
aArt, Schwere, Dauer des Verstoßes; Zahl betroffener Personen; Ausmaß des Schadenserschwerend/mildernd
bVorsätzlichkeit oder Fahrlässigkeiterschwerend (Vorsatz)
cMaßnahmen zur Schadensminderungmildernd
dGrad der Verantwortung — getroffene TOM nach Art. 25 und 32mildernd bei guter TOM
eEinschlägige frühere Verstößeerschwerend
fUmfang der Zusammenarbeit mit der Aufsichtsbehördemildernd
gKategorien der betroffenen Daten (z. B. besondere Kategorien nach Art. 9)erschwerend bei sensiblen Daten
hWie der Verstoß bekannt wurde; eigene Meldung des Verantwortlichen?mildernd bei Selbstanzeige
iEinhaltung früher angeordneter Maßnahmen nach Art. 58 Abs. 2erschwerend bei Nichtbefolgung
jEinhaltung genehmigter Verhaltensregeln (Art. 40) oder Zertifizierungen (Art. 42)mildernd
kSonstige Umstände, einschließlich finanzieller Vorteile oder vermiedener Verlusteerschwerend bei Gewinnorientierung

Kriterium d) ist für die Prüfungsvorbereitung besonders relevant: Wer nachweisen kann, dass er angemessene technische und organisatorische Maßnahmen nach Art. 25 und 32 DSGVO getroffen hat, mindert damit den Grad seiner Verantwortung und damit auch das potenzielle Bußgeld. Das Verzeichnis von Verarbeitungstätigkeiten und ein vollständiger AVV sind dabei hilfreiche Belege.

Tatmehrheit: Deckelung beim schwerwiegendsten Verstoß (Art. 83 Abs. 3)

Verstößt ein Verantwortlicher oder Auftragsverarbeiter bei gleichen oder miteinander verbundenen Verarbeitungsvorgängen vorsätzlich oder fahrlässig gegen mehrere Bestimmungen der DSGVO, so bestimmt Art. 83 Abs. 3 DSGVO: Der Gesamtbetrag der Geldbuße übersteigt nicht den Betrag für den schwerwiegendsten Verstoß. Ein Vorfall, der zugleich einen fehlenden AVV (Stufe 1) und eine rechtsgrundlagenlose Verarbeitung (Stufe 2) aufdeckt, führt also nicht zur Addition beider Höchstbeträge — maßgeblich ist die höhere Stufe 2.

EuGH-Urteil C-807/21 vom 5. Dezember 2023: direkte Unternehmenshaftung

EuGH · Az. C-807/21 · 5. Dezember 2023 · Deutsche Wohnen SE / Staatsanwaltschaft Berlin

Der EuGH hat klargestellt, dass eine Geldbuße nach Art. 83 DSGVO unmittelbar gegen eine juristische Person verhängt werden kann — es muss nicht zuvor der Verstoß einer identifizierten natürlichen Person zugerechnet worden sein. Entscheidend ist allein, ob der Verstoß der juristischen Person selbst vorsätzlich oder fahrlässig zuzurechnen ist. Eine automatische Erfolgshaftung ohne Verschulden lässt die DSGVO hingegen nicht zu.

Für die Praxis bedeutet dies: Der Einwand, es sei keine handelnde natürliche Person namentlich zu benennen, entbindet ein Unternehmen nicht von der Geldbuße. Gleichzeitig kann sich ein Unternehmen damit verteidigen, dass ihm das Verhalten seiner Mitarbeiter unter keinem Gesichtspunkt vorsätzlich oder fahrlässig zugerechnet werden kann — etwa weil es alle zumutbaren Compliance-Maßnahmen ergriffen hatte.

Abgrenzung: Art. 82 und Art. 83 DSGVO

Ein verbreitetes Missverständnis in der Community: Viele nehmen an, das Bußgeld nach Art. 83 DSGVO fließe an die geschädigte Person. Das ist nicht der Fall — es fließt in den Haushalt des Mitgliedstaats (in Deutschland für private Unternehmen in den Landeshaushalt, da die zuständigen Datenschutz-Aufsichtsbehörden Landesbehörden sind; Rechtsgrundlage: § 26 Abs. 3 OWiG). Wer als betroffene Person Schadensersatz geltend machen möchte, muss den zivilrechtlichen Anspruch nach Art. 82 DSGVO verfolgen. Beide Instrumente können nebeneinander bestehen: Ein Verstoß kann zugleich eine behördliche Geldbuße nach Art. 83 und einen Schadensersatzanspruch der betroffenen Person nach Art. 82 auslösen.

Der strukturelle Unterschied: Art. 82 DSGVO ist ein privatrechtlicher Ausgleichsanspruch — er setzt einen konkreten Schaden bei der betroffenen Person voraus und wird vor Zivilgerichten durchgesetzt. Art. 83 DSGVO ist eine öffentlich-rechtliche Sanktion — die Aufsichtsbehörde handelt im öffentlichen Interesse, nicht im Auftrag der Geschädigten.

Behörden und öffentliche Stellen (Art. 83 Abs. 7 DSGVO)

Art. 83 Abs. 7 DSGVO räumt den Mitgliedstaaten die Möglichkeit ein, Regeln für die Verhängung von Geldbußen gegen Behörden und öffentliche Stellen zu erlassen. Deutschland hat von dieser Öffnungsklausel in § 43 Abs. 3 BDSG Gebrauch gemacht: Gegen Behörden und öffentliche Stellen, die in Bundesländern oder beim Bund angesiedelt sind, können Geldbußen nach DSGVO nicht verhängt werden. Die Aufsichtsbehörden können dann stattdessen andere Abhilfemaßnahmen wie Beanstandungen oder Verarbeitungsuntersagungen einsetzen.

Häufige Fragen

Gilt Art. 83 DSGVO auch für kleine Unternehmen?

Ja. Art. 83 DSGVO gilt für alle Verantwortlichen und Auftragsverarbeiter, unabhängig von Größe und Branche. Die Alternativformel (fixer Betrag oder Umsatzprozent — je nach dem höheren Wert) sorgt dafür, dass kleine Unternehmen nicht auf einen prozentualen Wert verwiesen werden, der ihren finanziellen Möglichkeiten nicht entspricht. Zudem wirken die Verhältnismäßigkeit nach Art. 83 Abs. 1 und die Zumessungskriterien des Art. 83 Abs. 2 dämpfend auf die tatsächlich verhängte Höhe.

Kann die Aufsichtsbehörde ein Bußgeld oder eine andere Maßnahme wählen?

Ja. Nach Art. 83 Abs. 2 DSGVO können Geldbußen zusätzlich zu oder anstelle von anderen Abhilfemaßnahmen nach Art. 58 Abs. 2 DSGVO verhängt werden. Die Behörde kann also auch eine Verwarnung, eine Verarbeitungsuntersagung oder eine Anordnung zur Löschung wählen — oder mehrere Maßnahmen kombinieren.

Schützt eine DSGVO-Zertifizierung vor Bußgeldern?

Nicht automatisch, aber sie wirkt sich auf die Bemessung aus. Nach Art. 83 Abs. 2 lit. j DSGVO ist die Einhaltung genehmigter Zertifizierungsverfahren nach Art. 42 DSGVO ein Zumessungskriterium, das mildernd berücksichtigt werden kann. Eine Zertifizierung belegt, dass der Verantwortliche proaktiv Datenschutzstandards eingehalten hat — und stärkt damit die Verteidigung gegenüber der Aufsichtsbehörde. Weitere Aspekte der Zertifizierung erklärt der Artikel zur Fachkunde des Datenschutzbeauftragten.

Art. 83 DSGVO sicher beherrschen

Übe Bußgeldrahmen, Zumessungskriterien und alle weiteren Prüfungsthemen mit adaptiver Prüfungssimulation — Vorbereitung auf die Zertifizierung zum Datenschutzbeauftragten (TÜV / DEKRA).

Kostenlos registrieren