DSGVO-Bußgelder und Strafen erklärt: Berechnung, Durchsetzungstrends und Risikominimierung

Ihre Rechtsabteilung leitet Ihnen ein Schreiben einer Aufsichtsbehörde weiter. Eine Beschwerde einer betroffenen Person hat eine formelle Untersuchung ausgelöst. Ihr Unternehmen hat vor sechs Monaten personenbezogene Daten ohne gültige Rechtsgrundlage verarbeitet — eine Entscheidung, die ein Produktmanager getroffen hat, ohne die Datenschutzabteilung einzubinden. Nun droht ein potenzielles Bußgeld der Stufe 2, das bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes betragen kann — je nachdem, welcher Betrag höher ist. Sie haben dreißig Tage Zeit, um zu antworten.

Dieses Szenario ist nicht hypothetisch. Es ist das Muster hinter Hunderten von DSGVO-Durchsetzungsmaßnahmen jedes Jahr. Und die Kosten beschränken sich selten auf das Bußgeld allein: Es kommen die Dauer der Untersuchung, die Anwaltskosten, der Abhilfebescheid und das Reputationssignal gegenüber Unternehmenskunden hinzu, die bei Vertragsabschlüssen eine Due-Diligence-Prüfung Ihrer Compliance-Position vornehmen.

Zu verstehen, wie DSGVO-Bußgelder funktionieren — wie sie berechnet werden, was sie auslöst und wie das behördliche Ermessen in der Praxis ausgeübt wird — ist längst nicht mehr allein eine Angelegenheit der Rechtsabteilung. Es ist eine Governance-Frage, die 2026 auf Vorstandsebene angesiedelt ist, wo die kumulierten DSGVO-Strafen die Marke von 5,88 Milliarden Euro überschritten haben und sich die Durchsetzung nicht verlangsamt.

Kurzfassung

• DSGVO-Bußgelder funktionieren auf zwei Stufen: bis zu 10 Mio. Euro / 2 % des Umsatzes bei Verfahrensfehlern; bis zu 20 Mio. Euro / 4 % bei materiellen Verstößen.
• Aufsichtsbehörden berechnen Bußgelder anhand von zehn Faktoren gemäß Art. 83 Abs. 2 — Unternehmensgröße und Marktmacht wirken erschwerend, selbst wenn Verstöße unbeabsichtigt waren.
• Das 1,2-Milliarden-Euro-Bußgeld gegen Meta, die 530-Millionen-Euro-Strafe gegen TikTok und Dutzende Durchsetzungsmaßnahmen gegen mittelgroße Unternehmen haben eine gemeinsame Ursache: Governance-Lücken, die bereits vor der Beschwerde bestanden.
• KI-Verarbeitung, Einwilligungs-UX und Lieferantenmanagement sind die drei am schnellsten wachsenden Auslöser für Bußgelder in der zweiten Hälfte des Jahres 2026.
• Dokumentierte Governance-Infrastruktur reduziert das Bußgeldrisiko; punktuelle Compliance-Maßnahmen tun dies nicht.

Was sind DSGVO-Bußgelder?

DSGVO-Bußgelder sind Verwaltungssanktionen, die von nationalen Aufsichtsbehörden — den Datenschutzaufsichtsbehörden der EU-Mitgliedstaaten — verhängt werden, wenn festgestellt wird, dass eine Organisation gegen die Verordnung verstoßen hat. Sie sind nicht das einzige verfügbare Durchsetzungsinstrument: Aufsichtsbehörden können auch Verwarnungen, Rügen, vorübergehende Verarbeitungsverbote und Anordnungen zur Herstellung eines rechtskonformen Zustands erlassen. Bußgelder stehen am schärfsten Ende dieses Durchsetzungsspektrums und werden in der Regel mit einer oder mehreren dieser anderen Maßnahmen kombiniert.

Die Rechtsgrundlage für Bußgelder ist Artikel 83 der DSGVO, der sowohl die Höchstbeträge als auch die Faktoren festlegt, die Aufsichtsbehörden bei der Berechnung einer konkreten Strafe berücksichtigen müssen. Die Verordnung legt nur eine Obergrenze fest, keine Untergrenze. Ein Verstoß, der Stufe 2 auslöst, kann zu allem führen — von einigen tausend Euro bis zu Beträgen in Millionenhöhe. Derselbe Verstoß kann sehr unterschiedlich bewertet werden, je nachdem, wer der Verantwortliche ist, wie der Verstoß zustande kam und was das Unternehmen nach der Entdeckung unternommen hat.

Dieses Ermessen ist folgenreich. Die DSGVO-Durchsetzung im Jahr 2026 zeigt, dass Aufsichtsbehörden zunehmend bereit sind, den oberen Bereich der Befugnisse nach Artikel 83 auszuschöpfen — insbesondere gegenüber großen Technologieplattformen und Organisationen, die systemische statt isolierter Versäumnisse aufweisen.

Maximale DSGVO-Bußgeldbeträge: Aufschlüsselung nach Artikel 83

Stufe 1 — Bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes

Stufe-1-Bußgelder gelten für Verstöße gegen Verfahrenspflichten — die Infrastruktur der Compliance, nicht den Kern der Datenschutzrechte. Verstöße in dieser Stufe umfassen: das Versäumnis, Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen gemäß Artikel 25 umzusetzen; das Versäumnis, gemäß Artikel 30 angemessene Verarbeitungsverzeichnisse zu führen; das Versäumnis, einen Datenschutzbeauftragten zu benennen, wo dies erforderlich ist; das Versäumnis, Aufsichtsbehörden innerhalb von 72 Stunden über Datenpannen zu informieren; sowie Mängel in Datenverarbeitungsverträgen mit Dritten.

Diese gelten als weniger schwerwiegend, weil sie betroffene Personen nicht in gleicher Weise unmittelbar schädigen wie materielle Verstöße. Doch „weniger schwerwiegend" ist relativ — 2 Prozent des weltweiten Jahresumsatzes können bei einem multinationalen Konzern noch immer Dutzende oder Hunderte von Millionen Euro bedeuten, und diese Verstöße treten bei Untersuchungen häufig zusammen mit Stufe-2-Befunden auf.

Stufe 2 — Bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes

Stufe-2-Bußgelder gelten für die Grundprinzipien des Datenschutzes: Rechtsgrundlage, Einwilligungsanforderungen, Betroffenenrechte, internationale Datenübermittlungen und die Verarbeitung besonderer Datenkategorien. Dies sind die Verstöße, die Aufsichtsbehörden als unmittelbare Eingriffe in die Datenschutzrechte des Einzelnen betrachten, und sie ziehen die höchsten Strafen nach sich.

Die Obergrenze von 20 Millionen Euro gilt pro Verstoß, aber Aufsichtsbehörden können und verhängen im Rahmen derselben Untersuchung mehrere Bußgelder. Das 1,2-Milliarden-Euro-Bußgeld der irischen Datenschutzbehörde gegen Meta im Jahr 2023 wegen rechtswidriger Datenübermittlungen in die USA ist das bekannteste Beispiel — ein Verstoß der Stufe 2, der in einem Ausmaß geahndet wurde, das sowohl die Schwere der Verletzung als auch die Zahl der betroffenen Personen widerspiegelt.

Dieses Bußgeld hat zusammen mit anderen großen DSGVO-Durchsetzungsmaßnahmen einen Maßstab gesetzt, auf den Aufsichtsbehörden in Irland, Frankreich, Italien und Deutschland seither bei der Bemessung von Strafen für vergleichbare Verstöße verweisen. Unternehmensgröße spielt eine Rolle — aber ebenso das Verhaltensmuster, das der Untersuchung vorausging.

Wie DSGVO-Bußgelder berechnet werden

Artikel 83 Absatz 2 benennt zehn Faktoren, die Aufsichtsbehörden bei der Bestimmung des konkreten Bußgeldbetrags berücksichtigen müssen. Das Verständnis dieser Faktoren ist keine akademische Übung — es gibt unmittelbar Aufschluss darüber, welche Governance-Nachweise Ihre Organisation bei einer Untersuchung vorlegen können muss.

Zwei Punkte aus dieser Tabelle, die in den meisten Compliance-Leitfäden unterschätzt werden: Erstens belohnt der Faktor Dauer Organisationen, die Verstöße frühzeitig erkennen — was strukturell unmöglich ist ohne kontinuierliche Überwachungsinfrastruktur statt periodischer Audits. Zweitens schafft der Kooperationsfaktor einen direkten Compliance-Anreiz zur Selbstmeldung bei entdeckten Verstößen, anstatt zu hoffen, dass sie unentdeckt bleiben. Aufsichtsbehörden bemerken den Unterschied.

DER BERECHNUNGSASPEKT, DEN DIE MEISTEN ORGANISATIONEN ÜBERSEHEN: Aufsichtsbehörden berechnen Bußgelder nicht isoliert. Sie beginnen beim Höchstbetrag, der für den Verstoß gilt, und wenden dann mildernde und erschwerenden Umstände an. Eine Organisation ohne Verarbeitungsverzeichnis, ohne DSFA und ohne dokumentierte Prüfung der Rechtsgrundlage hat auf der Seite der Milderungsgründe null Punkte. Eine Organisation mit allen drei Nachweisen sowie Belegen für eine unverzügliche interne Eskalation hat einen dokumentierten Fall für eine erheblich reduzierte Strafe — selbst beim gleichen zugrundeliegenden Verstoß.

Die größten DSGVO-Bußgelder: Was sie über die Durchsetzungspraxis sagen

Die größten DSGVO-Bußgelder sind keine Ausreißer. Sie sind Fallstudien zu Governance-Versagensmustern, die sich branchenübergreifend und in Unternehmen aller Größen wiederholen. Die Höhe des Bußgelds wird durch die Unternehmensgröße bestimmt; der Auslöser ist fast immer operativer, nicht vorsätzlicher Natur.

Das praktische Argument für Automatisierung ist nicht, dass sie alle Verstöße verhindert — sondern dass sie die dokumentierte Compliance-Position schafft, die regulatorische Ergebnisse verändert, wenn Verstöße doch auftreten. Datenschutz-Governance-Software für Datenschutzbeauftragte, die kontinuierliche Prüfpfade pflegt, DSAR-Workflows automatisiert, die Einhaltung durch Lieferanten überwacht und strukturierte Nachweise für Anfragen von Aufsichtsbehörden generiert, ist zunehmend der Standard, den Aufsichtsbehörden von Organisationen jeder nennenswerten Größe erwarten.

Häufig gestellte Fragen

Was ist das bisher höchste DSGVO-Bußgeld?

Das bisher höchste DSGVO-Bußgeld ist die Strafe von 1,2 Milliarden Euro, die die irische Datenschutzbehörde im Mai 2023 gegen Meta Platforms wegen rechtswidriger Übermittlung von EU-Nutzerdaten in die USA verhängt hat. Das Bußgeld wurde im Rechtsmittelverfahren bestätigt und setzt einen neuen Maßstab für die Durchsetzung von Übermittlungsmechanismen durch alle EU-Aufsichtsbehörden.

Können kleine Unternehmen nach der DSGVO mit einem Bußgeld belegt werden?

Ja. Das Verhältnismäßigkeitsprinzip der DSGVO bedeutet, dass Bußgelder mit der Unternehmensgröße skalieren, aber es gibt keine KMU-Ausnahme. Aufsichtsbehörden verhängen regelmäßig fünf- und sechsstellige Bußgelder gegen kleine und mittelständische Unternehmen wegen Einwilligungsfehlern, mangelhaftem Umgang mit Datenpannen und unzureichenden Auftragsverarbeitungsverträgen. Der Schwellenwert für die DSGVO-Anwendbarkeit ist die Verarbeitung personenbezogener Daten von EU-Bürgern — nicht die Unternehmensgröße oder der Umsatz.

Werden DSGVO-Bußgelder auch gegen Unternehmen außerhalb der EU durchgesetzt?

Ja. Die DSGVO gilt extraterritorial für jede Organisation, die personenbezogene Daten von EU-Bürgern verarbeitet, unabhängig vom Unternehmenssitz. Die Bußgelder gegen TikTok und Meta — beides Unternehmen mit Hauptsitz außerhalb der EU — zeigen, dass Aufsichtsbehörden auch gegen ausländische Unternehmen vorgehen, die auf europäischen Märkten tätig sind. Durchsetzungsmechanismen umfassen Anordnungen gegen in der EU ansässige Tochtergesellschaften und zunehmend auch direkte grenzüberschreitende Regulierungszusammenarbeit.