Dieser Report bündelt die wesentlichen Daten und Rechtsgrundlagen, die Geschäftsleitungen, Datenschutzbeauftragte und Krisenstäbe vor und während eines DSGVO-Bußgeldverfahrens kennen müssen. Er greift auf öffentlich verfügbare Auswertungen (CMS Enforcement Tracker, DSK-Tätigkeitsberichte, EDPB-Leitlinien 04/2022) zurück und ergänzt sie um die juristische Bewertung aus der Beratungspraxis. Bandbreiten sind als solche gekennzeichnet; einzelne Bußgeldhöhen hängen stark vom Konzernumsatz und der Verstoßart ab.
1. Der Bußgeldrahmen: zwei Stufen, ein Maximum
Art. 83 DSGVO unterscheidet zwei Sanktionsstufen. Verstöße gegen formelle Pflichten (Dokumentation, Auftragsverarbeitung, Datenschutzbeauftragter) sind mit bis zu 10 Mio. Euro oder 2 Prozent des weltweiten Konzernumsatzes bedroht (Art. 83 Abs. 4 DSGVO). Verstöße gegen materielle Pflichten (Grundsätze der Verarbeitung, Betroffenenrechte, internationale Transfers) sind mit bis zu 20 Mio. Euro oder 4 Prozent bedroht (Art. 83 Abs. 5 DSGVO). Maßgeblich ist jeweils der höhere Wert. Nach einer Datenpanne werden regelmäßig beide Stufen relevant: die unterlassene Meldung (Stufe 1) und der zugrunde liegende Verstoß gegen Art. 32 DSGVO (Stufe 2).
| Stufe | Typische Verstöße | Obergrenze |
|---|---|---|
| Stufe 1 (Art. 83 Abs. 4) | Verzeichnis von Verarbeitungstätigkeiten, AV-Vertrag, DSB-Bestellung, Art. 33/34 (Meldepflicht) | 10 Mio. EUR oder 2 % weltweiter Konzernumsatz (höherer Wert) |
| Stufe 2 (Art. 83 Abs. 5) | Grundsätze Art. 5 DSGVO, Rechtsgrundlage Art. 6, Betroffenenrechte Art. 12 ff., Drittlandtransfers Kap. V | 20 Mio. EUR oder 4 % weltweiter Konzernumsatz (höherer Wert) |
Quelle: Art. 83 Abs. 4 und 5 DSGVO, EDPB-Leitlinien 04/2022 zur Bußgeldbemessung. Stand: Juni 2026.
2. Das EDPB-Berechnungsmodell 04/2022
Die European Data Protection Board (EDPB) hat 2022/2023 ein dreistufiges Berechnungsmodell veröffentlicht, das deutsche Aufsichtsbehörden in der Praxis regelmäßig anwenden: Im ersten Schritt wird der Grundbetrag bestimmt — aus der Einstufung der Verstoßschwere (gering, mittel, hoch) und dem Konzernumsatz als Skalierungsfaktor. Im zweiten Schritt erfolgt die Anpassung nach den mildernden und erschwerenden Umständen des Art. 83 Abs. 2 DSGVO. Im dritten Schritt wird die Einhaltung der gesetzlichen Maxima und der Verhältnismäßigkeit geprüft.
3. Bandbreiten nach Unternehmensgröße
Die folgende Tabelle bündelt typische Bußgeldbandbreiten aus der deutschen Aufsichtspraxis 2023 bis 2025. Sie ist als Orientierung gedacht, nicht als Berechnungsformel. Maßgeblich ist im Einzelfall der Konzernumsatz, die Verstoßart und das Verhalten im Verfahren.
| Unternehmensgröße | Typische Bußgeldbandbreite | Spitzenfall |
|---|---|---|
| KMU (bis 50 MA) | 5.000 — 80.000 EUR | bis 500.000 EUR |
| Mittelstand (50 — 500 MA) | 50.000 — 750.000 EUR | bis 5 Mio. EUR |
| Großunternehmen (über 500 MA) | 500.000 — 10 Mio. EUR | über 35 Mio. EUR (Konzern) |
| Konzern (über 1 Mrd. EUR Umsatz) | 5 Mio. — 200 Mio. EUR | über 1 Mrd. EUR (DPC Irland, Meta/TikTok) |
Quelle: Auswertung CMS Enforcement Tracker 2023–2025, DSK-Tätigkeitsberichte, Beratungspraxis. Bandbreiten ohne Gewähr für den Einzelfall. Stand: Juni 2026.
4. Mildernde und erschwerende Faktoren
Art. 83 Abs. 2 DSGVO listet die elf Bemessungsfaktoren auf. In der Praxis sind drei davon ausschlaggebend: die Schwere und Dauer des Verstoßes, das Verschulden und die Kooperationsbereitschaft. Die folgende Tabelle ordnet die typischen Stellschrauben ein.
| Faktor | Wirkung | Bandbreite |
|---|---|---|
| Fristgerechte Art-33-Meldung | mildernd | −10 bis −25 % |
| Aktive Kooperation mit Aufsicht | mildernd | −5 bis −20 % |
| Sofortige Abhilfemaßnahmen | mildernd | −10 bis −20 % |
| Zertifizierung / Verhaltensregeln | mildernd | −5 bis −15 % |
| Verspätete / unterlassene Meldung | erschwerend | +10 bis +30 % |
| Vorsatz statt Fahrlässigkeit | erschwerend | +25 bis +100 % |
| Sensible Daten (Art. 9 DSGVO) | erschwerend | +20 bis +50 % |
| Wiederholungstat | erschwerend | +30 bis +100 % |
Quelle: Art. 83 Abs. 2 DSGVO, EDPB-Leitlinien 04/2022, Beratungspraxis. Wirkung in Prozentpunkten vom Grundbetrag — Orientierungswerte. Stand: Juni 2026.
5. Verteidigungsstrategie im Bußgeldverfahren
Die Verteidigung beginnt nicht im Bußgeldverfahren, sondern im Krisenstab. Wer dort die richtigen Entscheidungen trifft — frühzeitige Meldung, vollständige Dokumentation, schnelle Abhilfemaßnahmen — hat im späteren Verfahren die besten Argumente. Im Bußgeldverfahren selbst sind drei Phasen relevant: die Anhörung der Aufsichtsbehörde, die mündliche Verhandlung in einigen Bundesländern und das gerichtliche Verfahren bei Einspruch gegen den Bescheid (in Deutschland zuständig: das Landgericht, § 41 BDSG i. V. m. § 68 OWiG). Vertiefend siehe Bußgeld nach Datenpanne.
6. Geschäftsführerhaftung neben dem Unternehmensbußgeld
Der DSGVO-Bußgeldbescheid richtet sich gegen die Gesellschaft als verantwortliche Stelle. Daneben kommt eine Innenhaftung der Geschäftsleitung nach § 43 GmbHG bzw. § 93 AktG in Betracht, wenn der Verstoß auf einer Organisationspflichtverletzung beruht: keine dokumentierte DSGVO-Compliance, keine TOM nach Art. 32 DSGVO, keine geübte Meldekette. Die D&O-Police deckt diese Innenhaftung nur, wenn die Sorgfaltspflichten dokumentiert wurden — fehlt die Dokumentation, fehlt die Deckung. Vertiefend siehe Geschäftsführerhaftung bei Cybervorfällen.
7. Empfehlung: vom Audit zur Verteidigungsakte
Die wirksamste Bußgeldverteidigung ist die präventive: ein dokumentiertes Datenschutzmanagementsystem, eine geübte Meldekette, eine vollständige Vorfalldokumentation und eine kooperative Grundhaltung gegenüber der Aufsicht. Wer diese Bausteine vorhält, betritt das Bußgeldverfahren nicht als Verteidigender ohne Vorbereitung, sondern als kooperatives Unternehmen mit belastbarem Compliance-Setup — die mit Abstand bessere Ausgangslage.
Zitierhinweis
Empfohlene Zitation: Kolb Blickhan Partner Rechtsanwälte, DSGVO-Bußgeld-Report 2026, Stand Juni 2026, abrufbar unterhttps://cyberangriff-soforthilfe.de/ratgeber/datenpanne-bussgeld-report-2026. Bei Übernahme einzelner Zahlen bitte die jeweils angegebene Originalquelle (CMS Enforcement Tracker, EDPB, DSK) mitzitieren.
Häufige Fragen
- Wie hoch ist das maximale DSGVO-Bußgeld?
- Bis zu 20 Mio. Euro oder 4 Prozent des weltweiten Konzernumsatzes des vorangegangenen Geschäftsjahres — der jeweils höhere Betrag ist maßgeblich (Art. 83 Abs. 5 DSGVO). Für formelle Pflichtverletzungen liegt die Obergrenze bei 10 Mio. Euro oder 2 Prozent (Art. 83 Abs. 4 DSGVO).
- Wie berechnen Aufsichtsbehörden ein Bußgeld konkret?
- Nach den EDPB-Leitlinien 04/2022 in drei Stufen: Ermittlung des Grundbetrags anhand von Schwere und Umsatz, Anpassung nach mildernden und erschwerenden Umständen (Art. 83 Abs. 2 DSGVO), Prüfung der gesetzlichen Maxima und der Verhältnismäßigkeit.
- Welcher Verstoß führt am häufigsten zu Bußgeldern?
- Auswertungen des CMS Enforcement Tracker zeigen für 2024/2025 drei Spitzenreiter: unzureichende Rechtsgrundlage der Verarbeitung (Art. 6 DSGVO), Verletzung der Informationspflichten (Art. 13/14 DSGVO) und unzureichende technisch-organisatorische Maßnahmen (Art. 32 DSGVO) — letzteres regelmäßig nach Datenpannen.
- Wirkt eine Art-33-Meldung tatsächlich bußgeldmindernd?
- Ja. Eine fristgerechte, vollständige und kooperative Meldung fließt nach Art. 83 Abs. 2 lit. c und f DSGVO als mildernder Umstand in die Bemessung ein. In der Praxis sind Minderungen zwischen 10 und 25 Prozent dokumentiert. Eine unterlassene oder verspätete Meldung wirkt als eigenständiger Verstoß.
- Wie lange dauert ein Bußgeldverfahren?
- Von der Einleitung bis zum Bußgeldbescheid vergehen typischerweise 12 bis 36 Monate. Bei Einspruch und gerichtlicher Klärung können weitere 24 bis 48 Monate hinzukommen. Großverfahren wie das Meta-Verfahren der irischen DPC haben über fünf Jahre gedauert.
- Trifft Bußgelder die Gesellschaft oder die Geschäftsführung?
- Der DSGVO-Bußgeldbescheid richtet sich gegen die Gesellschaft als verantwortliche Stelle. Daneben kommt eine Innenhaftung der Geschäftsleitung nach § 43 GmbHG bzw. § 93 AktG in Betracht, wenn der Verstoß auf einer Organisationspflichtverletzung beruht. Die D&O-Deckung greift hier nur bei sauberer Dokumentation der Sorgfalt.
Bußgeldverfahren angekündigt oder eingeleitet? Über die Kontaktseite erreichen Sie uns für eine strukturierte Erstbewertung. Bei akuter Lage zusätzlich die 24/7-Notfallnummer für Unternehmen: +49 171 5160827.
Dieser Beitrag gibt den Rechtsstand Stand: Juni 2026 wieder und ersetzt keine Beratung im Einzelfall.
