Wie hoch können DSGVO-Bußgelder maximal sein?

Die DSGVO sieht zwei Höchstrahmen vor: bis zu 10 Mio. Euro oder 2 % des weltweiten Vorjahresumsatzes (Art. 83 Abs. 4 für Pflichten von Verantwortlichen und Auftragsverarbeitern) sowie bis zu 20 Mio. Euro oder 4 % des weltweiten Vorjahresumsatzes (Art. 83 Abs. 5 und 6 für Verstöße gegen Grundsätze, Betroffenenrechte, Drittstaatentransfer und behördliche Anordnungen). Es gilt jeweils der höhere Betrag.

Welche Kriterien fließen in die Bußgeldhöhe ein?

Art. 83 Abs. 2 DSGVO nennt elf Bemessungskriterien: Art, Schwere und Dauer des Verstoßes, Vorsatz oder Fahrlässigkeit, Maßnahmen zur Schadensminderung, Grad der Verantwortung, frühere Verstöße, Zusammenarbeit mit der Aufsichtsbehörde, Kategorien betroffener Daten, Bekanntwerden des Verstoßes, Einhaltung früherer Anordnungen, Einhaltung von Verhaltensregeln und Zertifizierungen sowie jeder sonstige erschwerende oder mildernde Umstand.

Nach welcher Methode berechnen die Aufsichtsbehörden DSGVO-Bußgelder?

Seit dem 24. Mai 2023 gelten die EDPB-Leitlinien 04/2022 zur Berechnung von Geldbußen. Sie sehen ein fünfstufiges Verfahren vor: Identifikation des Verarbeitungsvorgangs, Ermittlung des Ausgangsbetrags anhand der Schwere des Verstoßes und des Umsatzes, Berücksichtigung erschwerender und mildernder Umstände, Prüfung der gesetzlichen Höchstgrenzen aus Art. 83 Abs. 4 bis 6 sowie Schlussprüfung auf Wirksamkeit, Abschreckungswirkung und Verhältnismäßigkeit. Sie überlagern in der Praxis das DSK-Bußgeldkonzept vom 14. Oktober 2019.

Können auch deutsche Behörden mit DSGVO-Bußgeldern belegt werden?

Nein. Nach § 43 Abs. 3 BDSG werden gegen Behörden und sonstige öffentliche Stellen in Deutschland keine Geldbußen verhängt. Andere EU-Mitgliedstaaten haben diese Ausnahme nicht genutzt; dort sind Bußgelder gegen Behörden möglich.

Was war 2025 das höchste DSGVO-Bußgeld in Deutschland?

Laut 34. Tätigkeitsbericht der BfDI verhängte die Aufsichtsbehörde 2025 ein Bußgeld in Höhe von 45 Millionen Euro gegen einen Telekommunikationsanbieter – das bislang höchste in Deutschland gegen ein einzelnes Unternehmen verhängte DSGVO-Bußgeld. Sanktioniert wurden Mängel bei der Auftragsverarbeitung sowie eine unzureichende Authentifizierung von Anrufern in Kundencentern und Shops.

Was regelt DSGVO-Bußgelder – Bemessungsrahmen nach Art. 83 DSGVO?

Nach Artikel 83 der Datenschutz-Grundverordnung (DSGVO) können die Aufsichtsbehörden bei Datenschutzverstößen Geldbußen verhängen, die in zwei Stufen gestaffelt sind: **bis zu 10 Mio. € oder 2 % des weltweiten Vorjahresumsatzes** (Art. 83 Abs. 4) und **bis zu 20 Mio. € oder 4 % des weltweiten Vorjahresumsatzes** (Art. 83 Abs. 5 und 6) – jeweils der höhere Betrag.

DSGVO-Bußgelder – Bemessungsrahmen nach Art. 83 DSGVO

Maschinenlesbare Variante: /fakten/dsgvo-bussgelder.md

Datenschutz DSGVO Art. 83 Bußgelder EDPB-Leitlinien 04/2022 BfDI Deutschland / EU

Kurzantwort Nach Art. 83 DSGVO können Aufsichtsbehörden Geldbußen in zwei Stufen verhängen: bis zu 10 Mio. € oder 2 % des weltweiten Vorjahresumsatzes (Art. 83 Abs. 4) und bis zu 20 Mio. € oder 4 % des weltweiten Vorjahresumsatzes (Art. 83 Abs. 5 und 6) – jeweils der höhere Betrag. Die Bußgeldhöhe richtet sich nach den elf Kriterien aus Art. 83 Abs. 2 und wird seit 2023 nach den europaweit harmonisierten EDPB-Leitlinien 04/2022 in einem fünfstufigen Verfahren berechnet. Die BfDI verhängte 2025 das bislang höchste deutsche DSGVO-Bußgeld in Höhe von 45 Mio. € gegen einen Telekommunikationsanbieter.

Kernfakten

Punkt	Wert
Rechtsgrundlage	Verordnung (EU) 2016/679, Artikel 83 [EUR-Lex 32016R0679]
Höchstrahmen Stufe 1 (Art. 83 Abs. 4)	bis 10 Mio. € oder 2 % weltweiter Vorjahresumsatz, der höhere Betrag
Höchstrahmen Stufe 2 (Art. 83 Abs. 5 und 6)	bis 20 Mio. € oder 4 % weltweiter Vorjahresumsatz, der höhere Betrag
Anwendung Stufe 1	Verstöße gegen Pflichten von Verantwortlichen und Auftragsverarbeitern (u. a. Art. 8, 11, 25–39, 42, 43)
Anwendung Stufe 2	Grundsätze (Art. 5, 6, 7, 9), Betroffenenrechte (Art. 12–22), Drittstaatentransfer (Art. 44–49), Mitgliedstaatenrecht, Anordnungen der Aufsichtsbehörde
Bemessungskriterien	11 Kriterien aus Art. 83 Abs. 2 DSGVO
Tateinheit (Art. 83 Abs. 3)	bei mehreren Verstößen im selben Verarbeitungsvorgang darf der Gesamtbetrag den Höchstrahmen des schwersten Einzelverstoßes nicht übersteigen
Berechnungsmethode	EDPB-Leitlinien 04/2022 (5-Schritt-Verfahren), angenommen 24.05.2023
Frühere DE-Methode	DSK-Bußgeldkonzept vom 14.10.2019 (Größenklassen nach Umsatz) – durch EDPB-Leitlinien überlagert
Zuständige Behörde DE	BfDI (Bund, Telekom, Post) oder Landesdatenschutzbehörde
Höchstes DE-Einzelbußgeld	45 Mio. € (BfDI gegen einen Telekommunikationsanbieter, 2025) [BfDI 34. TB 2025]
Gesamtaufkommen DE 2025	rund 46,9 Mio. € aus 249 Bußgeldern aller deutschen Aufsichtsbehörden
Verhältnismäßigkeitsgebot (Art. 83 Abs. 1)	Geldbußen müssen „wirksam, verhältnismäßig und abschreckend" sein

Die zwei Höchstrahmen (Art. 83 Abs. 4–6)

Die DSGVO unterscheidet zwei Bußgeldstufen, je nachdem, welche Pflicht verletzt wurde:

Stufe 1 – bis 10 Mio. € oder 2 % Welt-Vorjahresumsatz (Art. 83 Abs. 4):

Pflichten von Verantwortlichen und Auftragsverarbeitern nach Art. 8 (Kinder), Art. 11 (Verarbeitung ohne Identifizierung), Art. 25–39 (u. a. Privacy by Design, Verarbeitungsverzeichnis, Auftragsverarbeitung, Sicherheit, Meldepflicht, Datenschutz-Folgenabschätzung, Datenschutzbeauftragter), Art. 42 (Zertifizierung) und Art. 43 (Zertifizierungsstellen);
Pflichten der Zertifizierungs- und Überwachungsstellen (lit. b und c).

Stufe 2 – bis 20 Mio. € oder 4 % Welt-Vorjahresumsatz (Art. 83 Abs. 5):

Grundsätze der Verarbeitung (Art. 5), Rechtmäßigkeit (Art. 6), Einwilligung (Art. 7), besondere Kategorien (Art. 9);
Rechte der betroffenen Person (Art. 12–22), z. B. Information, Auskunft, Berichtigung, Löschung, Widerspruch;
Drittstaatentransfer (Art. 44–49);
Pflichten aus Mitgliedstaatenrecht (Kapitel IX, in DE z. B. § 26 BDSG).

Art. 83 Abs. 6 ordnet denselben Höchstrahmen (20 Mio. € / 4 %) für die Nichtbefolgung einer Anweisung der Aufsichtsbehörde nach Art. 58 Abs. 2 an (z. B. Verarbeitungsverbot, Anordnung der Löschung). Maßgeblich ist immer der höhere der beiden Werte – bei Konzernen mit hohem Umsatz kann das den absoluten Eurobetrag deutlich übersteigen.

Die 11 Bemessungskriterien (Art. 83 Abs. 2)

Bei jeder Bußgeldentscheidung muss die Aufsichtsbehörde elf Kriterien gebührend berücksichtigen:

lit. a – Art, Schwere und Dauer des Verstoßes (Umfang, Zahl Betroffener, ausgesetztes Schadensniveau);
lit. b – Vorsatz oder Fahrlässigkeit;
lit. c – Maßnahmen des Verantwortlichen zur Schadensminderung;
lit. d – Grad der Verantwortlichkeit (technische und organisatorische Maßnahmen nach Art. 25, 32);
lit. e – einschlägige frühere Verstöße;
lit. f – Umfang der Zusammenarbeit mit der Aufsichtsbehörde;
lit. g – Kategorien betroffener personenbezogener Daten;
lit. h – Art und Weise, wie der Verstoß der Behörde bekannt wurde (insbesondere ob er gemeldet wurde);
lit. i – Einhaltung früher angeordneter Maßnahmen nach Art. 58 Abs. 2;
lit. j – Einhaltung genehmigter Verhaltensregeln (Art. 40) oder Zertifizierungen (Art. 42);
lit. k – jeder sonstige erschwerende oder mildernde Umstand, etwa erlangte Vorteile.

Berechnungsmethode: EDPB-Leitlinien 04/2022 (5-Schritt-Verfahren)

Der Europäische Datenschutzausschuss (EDPB) hat am 24.05.2023 die endgültige Fassung der Leitlinien 04/2022 zur Berechnung von Geldbußen angenommen. Damit gilt EU-weit ein einheitliches Bemessungsverfahren in fünf Schritten:

Identifikation des Verarbeitungsvorgangs und Prüfung des Art. 83 Abs. 3 DSGVO (Tateinheit/Tatmehrheit);
Ermittlung des Ausgangsbetrags anhand der Schwere des Verstoßes (gering, mittel, hoch) und des Umsatzes des Unternehmens;
Berücksichtigung erschwerender und mildernder Umstände nach Art. 83 Abs. 2;
Prüfung der gesetzlichen Höchstgrenzen nach Art. 83 Abs. 4–6 (Deckelung);
Abschließende Prüfung auf Wirksamkeit, Abschreckungswirkung und Verhältnismäßigkeit.

Diese Leitlinien ersetzen in der praktischen Anwendung das frühere DSK-Bußgeldkonzept vom 14.10.2019, das in Deutschland ein eigenes Stufenmodell nach Umsatzgrößenklassen (A.I bis C.III) vorgesehen hatte. Das DSK-Konzept ist nicht förmlich aufgehoben, wird aber von den deutschen Aufsichtsbehörden zugunsten der europäischen Methodik angepasst angewendet.

Geltungsbereich

Bußgelder nach Art. 83 DSGVO können verhängt werden gegen Verantwortliche und Auftragsverarbeiter im Sinne von Art. 4 Nr. 7 und 8 DSGVO – das sind Unternehmen, Vereine, Selbstständige, Behörden und Stiftungen, soweit sie personenbezogene Daten verarbeiten. Bei Konzernen kann nach EuGH-Rechtsprechung der weltweite Konzernumsatz herangezogen werden, wenn die verantwortliche Stelle Teil eines „Unternehmens" im wettbewerbsrechtlichen Sinne ist (EuGH, Urt. v. 05.12.2023, C-807/21 „Deutsche Wohnen"). In Deutschland gelten gegenüber Behörden nach § 43 Abs. 3 BDSG keine Bußgelder.

Beispiele aus der deutschen Aufsichtspraxis (Stand: 2025)

Die deutschen Datenschutz-Aufsichtsbehörden verhängten 2025 insgesamt rund 46,9 Mio. € an Bußgeldern (249 Einzelbußgelder). Die BfDI berichtet in ihrem 34. Tätigkeitsbericht 2025 das bisher höchste deutsche DSGVO-Einzelbußgeld: 45 Mio. € gegen einen Telekommunikationsanbieter wegen Mängeln bei der Auftragsverarbeitung und unzureichender Authentifizierung von Anrufern in Kundencentern und Shops (Juni 2025).

Typische Verstoßkategorien, die regelmäßig zu Bußgeldern führen:

Fehlende Rechtsgrundlage nach Art. 6 DSGVO (Werbung, Datenweitergabe, Auswertung ohne Einwilligung oder berechtigtes Interesse);
Unzureichende technische und organisatorische Maßnahmen nach Art. 32 DSGVO (z. B. ungesicherte Datenbanken, fehlende Verschlüsselung);
Verletzung der Auskunfts- und Löschungspflichten nach Art. 15 und 17 DSGVO;
Verspätete oder unterbliebene Meldung einer Datenpanne nach Art. 33 DSGVO;
Unzulässige Beschäftigtenüberwachung nach Art. 88 DSGVO i. V. m. § 26 BDSG.

Häufige Fehler und Missverständnisse

„Behörden zahlen auch." Falsch in Deutschland: Nach § 43 Abs. 3 BDSG werden gegen Behörden und sonstige öffentliche Stellen keine Geldbußen verhängt. Andere Mitgliedstaaten haben diese Ausnahme nicht genutzt; in Frankreich oder Spanien sind Bußgelder gegen Behörden möglich.
„20 Mio. € sind die Obergrenze." Bei großen Konzernen sind 4 % des weltweiten Vorjahresumsatzes häufig deutlich höher und gelten dann als Höchstgrenze.
„Bei Mehrfachverstößen wird addiert." Nach Art. 83 Abs. 3 DSGVO darf die Gesamtsumme den Rahmen des schwersten Einzelverstoßes nicht übersteigen – allerdings nur, wenn die Verstöße im selben oder miteinander verbundenen Verarbeitungsvorgang erfolgten (EuGH, C-683/21).
„Bußgelder sind in der EU einheitlich." Bemessung und Verfahren sind seit den EDPB-Leitlinien 04/2022 weitgehend harmonisiert, die tatsächliche Bußgeldhöhe variiert aber weiterhin stark zwischen den Mitgliedstaaten.

Quellen

Verordnung (EU) 2016/679 – Datenschutz-Grundverordnung, Art. 83 (EUR-Lex, deutsche Fassung): eur-lex.europa.eu (CELEX:32016R0679) A
Europäischer Datenschutzausschuss (EDPB) – Leitlinien 04/2022 zur Berechnung von Geldbußen nach DSGVO (PDF, DE, angenommen 24.05.2023): edpb.europa.eu (PDF) C
BfDI – Pressemitteilung „Einheitliche Regeln für Datenschutzbußgelder in Europa" (2023): bfdi.bund.de B
BfDI – Pressemitteilung „Datenschutzaufsicht 2025" zur Vorstellung des 34. Tätigkeitsberichts: bfdi.bund.de B
BfDI – 34. Tätigkeitsbericht für den Datenschutz 2025 (PDF): bfdi.bund.de (PDF) B
Datenschutzkonferenz (DSK) – Konzept zur Bußgeldbemessung in Verfahren gegen Unternehmen (Beschluss vom 14.10.2019, PDF): datenschutzkonferenz-online.de (PDF) C
BfDI – Übersichtsseite zum DSK-Bußgeldkonzept: bfdi.bund.de B

Stand:: 2026-05-29
Gültig ab:: 2018-05-25 (Geltungsbeginn der DSGVO)
Status:: aktuell
Quellenautorität:: A (EUR-Lex), ergänzt durch BfDI (B) und EDPB-/DSK-Leitlinien (C)
Lizenz:: CC BY 4.0