Cybernotfall
Pillar-Ratgeber Datenpanne · Stand: Juni 2026

Bußgeld nach Datenpanne: Bemessung, Verteidigung, Selbstanzeige-Effekt

DSGVO-Bußgelder bis zu 20 Mio. Euro oder 4 % des weltweiten Jahresumsatzes machen die richtige Verteidigung zur Vorstandsangelegenheit. Bemessungsfaktoren, Verteidigungsstrategien und der Selbstanzeige-Effekt einer ordentlichen Meldung im strukturierten Überblick.

Der Bußgeldrahmen: zwei Stufen, ein Maximum

Art. 83 DSGVO unterscheidet zwei Sanktionsstufen. Verstöße gegen die formelle Pflichten — etwa Dokumentation, Auftragsverarbeitung, Datenschutzbeauftragter — sind mit Bußgeldern bis zu 10 Mio. Euro oder 2 % des weltweiten Jahresumsatzes bedroht. Verstöße gegen die materiellen Pflichten — Grundsätze der Verarbeitung, Rechte der Betroffenen, internationale Datentransfers — sind mit Bußgeldern bis zu 20 Mio. Euro oder 4 % bedroht. Maßgeblich ist jeweils der höhere Wert. Bei einer Datenpanne werden regelmäßig beide Stufen relevant: die unterlassene Meldung (Stufe 1) und der zugrunde liegende Verstoß gegen Art. 32 DSGVO (Stufe 2).

Bemessung nach Art. 83 Abs. 2 DSGVO

Die Aufsichtsbehörden bemessen Bußgelder nach einem Katalog von Faktoren: Schwere und Dauer des Verstoßes, Anzahl der Betroffenen und Umfang des Schadens, Verschuldensgrad, ergriffene Maßnahmen zur Schadensminderung, Grad der Verantwortung, frühere Verstöße, Kooperationsbereitschaft, Datenkategorien, Art der Bekanntwerdung des Verstoßes, Einhaltung von Maßnahmen nach Art. 58 DSGVO und Genehmigte Verhaltensregeln oder Zertifizierungen. Die EDPB hat 2023 Leitlinien zur Bußgeldberechnung veröffentlicht, die ein dreistufiges Modell vorsehen: Ermittlung des Grundbetrags, Anpassung nach erschwerenden und mildernden Umständen, Prüfung der gesetzlichen Maxima und der Verhältnismäßigkeit.

Der Selbstanzeige-Effekt einer Art-33-Meldung

Eine Meldung nach Art. 33 DSGVO ist im rechtstechnischen Sinne keine Selbstanzeige. In der Bußgeldpraxis hat sie aber eine ähnliche Wirkung. Sie zeigt Kooperationsbereitschaft, sie dokumentiert die Erfüllung der gesetzlichen Pflicht, und sie macht im Idealfall einen späteren Vorwurf der Vertuschung unmöglich. Die Aufsichtsbehörden honorieren eine schnelle und vollständige Meldung regelmäßig mit einer Bußgeldminderung von 10 bis 25 Prozent. Umgekehrt wirkt eine verspätete oder unvollständige Meldung als eigenständiger Verstoß und führt zu einer entsprechenden Bußgelderhöhung.

Verteidigung im Bußgeldverfahren

Die Verteidigung beginnt nicht im Bußgeldverfahren, sondern im Krisenstab. Wer dort die richtigen Entscheidungen trifft — frühzeitige Meldung, vollständige Dokumentation, schnelle Abhilfemaßnahmen, Sensibilisierung der Mitarbeiter — hat im späteren Verfahren die besten Argumente. Im Bußgeldverfahren selbst sind drei Phasen relevant: erstens die Anhörung der Aufsichtsbehörde, in der das Unternehmen die Gelegenheit hat, den Sachverhalt aus der eigenen Perspektive darzustellen; zweitens die mündliche Verhandlung (in einigen Bundesländern); drittens das gerichtliche Verfahren bei einem Einspruch gegen den Bußgeldbescheid. In jeder Phase ist die Wahl zwischen Kooperation und Verteidigung neu zu treffen, oft mit gravierenden Auswirkungen auf das Endergebnis.

Empfehlung: präventive Bußgeld-Verteidigung

Die wirksamste Bußgeldverteidigung ist die präventive: ein dokumentiertes Datenschutzmanagementsystem, eine geübte Meldekette, eine vollständige Vorfalldokumentation und eine kooperative Grundhaltung gegenüber der Aufsicht. Wer diese Bausteine vorhält, betritt das Bußgeldverfahren nicht als Verteidigender ohne Vorbereitung, sondern als kooperatives Unternehmen mit belastbarem Compliance-Setup — die mit Abstand bessere Ausgangslage. Vertieft im Beitrag Datenpannen-Dokumentation.

Häufige Fragen

Wie hoch kann ein DSGVO-Bußgeld sein?
Bis zu 20 Mio. Euro oder 4 % des weltweiten Jahresumsatzes — der höhere Wert ist maßgeblich. In der Praxis liegen die meisten Bußgelder im sechs- bis siebenstelligen Bereich.
Welche Faktoren wirken mildernd?
Kooperation mit der Aufsicht, schnelle Meldung und Benachrichtigung, ergriffene Schutzmaßnahmen, geringe Schwere des Verstoßes, fehlende Wiederholung, Implementierung weiterer Maßnahmen nach dem Vorfall.
Welche Faktoren wirken verschärfend?
Wiederholungstaten, Vorsatz, große Anzahl Betroffener, Sensibilität der Daten, fehlende oder unzureichende TOM, fehlende Dokumentation, mangelnde Kooperation.
Lohnt sich eine 'Selbstanzeige'?
Eine Meldung nach Art. 33 DSGVO ist keine Selbstanzeige im strafrechtlichen Sinne, sie hat aber eine ähnliche Wirkung: Sie zeigt Kooperationsbereitschaft, dokumentiert die Schadensminderungspflicht und wirkt bußgeldmindernd.
Kann die Geschäftsführung persönlich haften?
Daneben kann eine Innenhaftung gegenüber der eigenen Gesellschaft entstehen, wenn die Geschäftsführung ihre Organisationspflichten verletzt hat. Der Bußgeldbescheid selbst richtet sich gegen das Unternehmen.

Dieser Beitrag gibt den Rechtsstand Stand: Juni 2026 wieder und ersetzt keine Beratung im Einzelfall.

Google
4.7 ★★★★★
50 Bewertungen
ProvenExpert
4.78 ★★★★★
156 Bewertungen · 100% Empfehlungen
Der SpiegelTagesspiegelMannheimer MorgenAllgemeine ZeitungDarmstädter Echo
Thomas Kolb LL.M.
Über den Autor
Thomas Kolb LL.M.

Fachanwalt für Urheber- und Medienrecht, externer Datenschutzbeauftragter, CIPP/E. Partner bei Kolb Blickhan Partner Rechtsanwälte (Mannheim und Mainz).

Thomas Kolb begleitet Unternehmen seit über einem Jahrzehnt bei Cybervorfällen, einschließlich der Verhandlung mit Erpressern über Lösegeldforderungen, und berät zu NIS2, DSGVO-Meldepflichten und Geschäftsführerhaftung.

Zum vollständigen Autorenprofil