Zum Inhalt springen
Sorrel
← Blog

20. Mai 2026 · Marie Heller

DSGVO-Bußgelder verstehen: Wie sich Sanktionen nach Art. 83 berechnen

DSGVO-Bußgelder nach Art. 83 reichen bis 20 Mio Euro oder 4 % des weltweiten Jahresumsatzes. So bemessen Aufsichtsbehörden die Höhe und so senken Sie Ihr Risiko.

bussgelddsgvoart-83

DSGVO-Bußgelder werden nach Art. 83 DSGVO bemessen und reichen je nach Verstoß bis zu 20 Millionen Euro oder 4 % des gesamten weltweiten Jahresumsatzes des Vorjahres - je nachdem, welcher Betrag höher ist. Die konkrete Höhe ergibt sich aus einem Katalog von Kriterien wie Schwere, Dauer und Vorsatz. Die Sanktion soll in jedem Einzelfall „wirksam, verhältnismäßig und abschreckend" sein.

Die zwei Bußgeldstufen des Art. 83

Die DSGVO kennt zwei Obergrenzen, abhängig von der Art des Verstoßes:

  • Bis 10 Mio € oder 2 % des weltweiten Jahresumsatzes (Art. 83 Abs. 4): bei Verstößen gegen formale Pflichten, etwa fehlende technisch-organisatorische Maßnahmen, mangelhafte Auftragsverarbeitung oder Versäumnisse bei der Verzeichnisführung.
  • Bis 20 Mio € oder 4 % des weltweiten Jahresumsatzes (Art. 83 Abs. 5): bei Verstößen gegen die Grundprinzipien, fehlende Rechtsgrundlage, Missachtung von Betroffenenrechten oder unzulässige Drittlandübermittlungen.

Maßgeblich ist stets der höhere der beiden Werte. Bei einem Konzern mit Milliardenumsatz greift also der prozentuale Wert, bei kleinen Betrieben die feste Summe.

Welche Kriterien die Höhe bestimmen

Art. 83 Abs. 2 listet die Faktoren auf, die eine Behörde bei der Bemessung berücksichtigen muss. Die wichtigsten:

Schwere und Dauer des Verstoßes

Wie viele Personen sind betroffen, wie sensibel sind die Daten, wie lange bestand der Mangel? Ein über Jahre laufender Tracker ohne Einwilligung wiegt schwerer als ein einmaliges Versehen.

Vorsatz oder Fahrlässigkeit

Wurde der Verstoß bewusst in Kauf genommen oder beruhte er auf Nachlässigkeit? Vorsatz erhöht das Bußgeld deutlich.

Maßnahmen zur Schadensbegrenzung

Hat das Unternehmen den Schaden für Betroffene aktiv gemindert, etwa durch schnelle Information und Abstellung des Mangels?

Kooperation mit der Aufsichtsbehörde

Wer offen und kooperativ mit der Behörde zusammenarbeitet, wird milder behandelt als ein blockierendes Unternehmen.

Bisherige Verstöße

Wiederholungstäter zahlen mehr. Ein sauberes Compliance-Vorleben wirkt mildernd.

Das deutsche Berechnungsmodell

Die deutschen Aufsichtsbehörden nutzen ein gestuftes Konzept, das beim Jahresumsatz ansetzt: Daraus wird ein Tagessatz abgeleitet, der mit einem Faktor für die Schwere des Verstoßes multipliziert und anschließend anhand der Einzelfallkriterien angepasst wird. So fließt die Unternehmensgröße systematisch ein - ein identischer Verstoß kostet ein Großunternehmen mehr als einen Soloselbstständigen.

Der Europäische Datenschutzausschuss (EDSA) hat dieses Vorgehen mit eigenen Leitlinien harmonisiert, damit Bußgelder in den Mitgliedstaaten vergleichbarer ausfallen. Die Methodik bleibt aber ein Orientierungsrahmen: Die Behörde muss jeden Einzelfall eigenständig würdigen und das Ergebnis am Maßstab „wirksam, verhältnismäßig und abschreckend" überprüfen.

Wichtig: Bußgelder sind nicht die einzige Folge. Betroffene können nach Art. 82 DSGVO Schadenersatz verlangen, und Mitbewerber mahnen Verstöße zunehmend wettbewerbsrechtlich ab.

Die häufigsten Bußgeld-Auslöser auf Websites

In der Praxis betreffen viele Verfahren vergleichsweise einfach vermeidbare Website-Fehler:

  • Tracking ohne wirksame Einwilligung (Verstoß gegen Art. 6 DSGVO und § 25 TTDSG).
  • Unzulässiger US-Datentransfer ohne Rechtsgrundlage nach Schrems II (EuGH C-311/18).
  • Von Google-Servern geladene Schriftarten, die ungefragt IP-Adressen übertragen.
  • Fehlende oder unvollständige Datenschutzerklärung.

Diese Risiken lassen sich automatisiert aufspüren. Starten Sie einen kostenlosen Scan Ihrer Website und sehen Sie, wo Sie konkret nachbessern sollten. Den vollen Prüfumfang zeigt die Seite Funktionen.

So senken Sie Ihr Bußgeldrisiko

  1. Rechtsgrundlage klären. Für jede Datenverarbeitung muss eine Grundlage nach Art. 6 DSGVO bestehen.
  2. Consent sauber umsetzen. Nutzen Sie unsere Consent-Banner-Checkliste.
  3. Dokumentieren. Verarbeitungsverzeichnis und Einwilligungs-Logs erfüllen die Rechenschaftspflicht aus Art. 5 Abs. 2 DSGVO.
  4. Regelmäßig prüfen. Eine fortlaufende Überwachung beugt schleichenden Verstößen vor - siehe unsere Tarife.

Häufige Fragen

Können auch kleine Unternehmen ein DSGVO-Bußgeld erhalten?

Ja. Die DSGVO macht keine Ausnahme für kleine Betriebe. Allerdings fließt die Unternehmensgröße in die Bemessung ein, sodass kleinere Verstöße bei kleineren Unternehmen tendenziell niedriger ausfallen. Ein Bußgeld muss verhältnismäßig sein.

Droht beim ersten Verstoß sofort die Höchststrafe?

In der Regel nicht. Aufsichtsbehörden verhängen den gesetzlichen Höchstbetrag nur bei schwersten, vorsätzlichen oder wiederholten Verstößen. Bei einem ersten, kooperativ behobenen Mangel sprechen sie häufig zunächst eine Verwarnung oder ein moderates Bußgeld aus.

Hilft ein Compliance-Nachweis bei der Bußgeldhöhe?

Ja. Dokumentierte technisch-organisatorische Maßnahmen und ein Nachweis der Sorgfalt wirken nach Art. 83 Abs. 2 mildernd. Regelmäßige Scans und Audit-Protokolle belegen, dass Sie Ihre Pflichten ernst nehmen. Eine vollständige Übersicht bietet die DSGVO-Website-Checkliste 2026.