---
title: DSGVO-Bußgelder – Bemessungsrahmen nach Art. 83 DSGVO
slug: dsgvo-bussgelder
topic: datenschutz
legal_status: in_force
valid_from: 2018-05-25
valid_to: null
last_reviewed: 2026-05-29
status: aktuell
authority_level: A
license: CC-BY-4.0
url: https://nexvyra.de/fakten/dsgvo-bussgelder.md
wikidata_subjects: [Q1172506, Q1243001, Q1005821]
factcheck_status: ok
---

# DSGVO-Bußgelder – Bemessungsrahmen nach Art. 83 DSGVO

## Kurzantwort

Nach Artikel 83 der Datenschutz-Grundverordnung (DSGVO) können die Aufsichtsbehörden bei Datenschutzverstößen Geldbußen verhängen, die in zwei Stufen gestaffelt sind: **bis zu 10 Mio. € oder 2 % des weltweiten Vorjahresumsatzes** (Art. 83 Abs. 4) und **bis zu 20 Mio. € oder 4 % des weltweiten Vorjahresumsatzes** (Art. 83 Abs. 5 und 6) – jeweils der höhere Betrag. Die Bußgeldhöhe richtet sich nach den elf Kriterien aus Art. 83 Abs. 2 DSGVO und wird seit 2023 nach den europaweit harmonisierten **EDPB-Leitlinien 04/2022** in einem fünfstufigen Verfahren berechnet. Die deutsche BfDI verhängte 2025 im Telekommunikationsbereich eine Geldbuße von **45 Mio. €** – das bislang höchste in Deutschland gegen ein einzelnes Unternehmen verhängte DSGVO-Bußgeld.

## Kernfakten

| Punkt | Wert |
|---|---|
| Rechtsgrundlage | Verordnung (EU) 2016/679, Artikel 83 [EUR-Lex 32016R0679] |
| Höchstrahmen Stufe 1 (Art. 83 Abs. 4) | bis 10 Mio. € **oder** 2 % weltweiter Vorjahresumsatz, der höhere Betrag |
| Höchstrahmen Stufe 2 (Art. 83 Abs. 5 und 6) | bis 20 Mio. € **oder** 4 % weltweiter Vorjahresumsatz, der höhere Betrag |
| Anwendung Stufe 1 | Verstöße gegen Pflichten von Verantwortlichen und Auftragsverarbeitern (u. a. Art. 8, 11, 25–39, 42, 43) [Art. 83 Abs. 4 lit. a] |
| Anwendung Stufe 2 | Verstöße gegen Grundsätze (Art. 5, 6, 7, 9), Betroffenenrechte (Art. 12–22), Drittstaatentransfer (Art. 44–49), Mitgliedstaatenrecht (Kap. IX) und Anordnungen der Aufsichtsbehörde (Art. 83 Abs. 6) |
| Bemessungskriterien | 11 Kriterien aus Art. 83 Abs. 2 DSGVO (u. a. Art, Schwere, Dauer, Vorsatz/Fahrlässigkeit, Schaden, Vorgeschichte, Zusammenarbeit, Datenkategorien) |
| Tateinheit (Art. 83 Abs. 3) | Bei mehreren Verstößen im selben Verarbeitungsvorgang darf der Gesamtbetrag den Höchstrahmen des schwersten Einzelverstoßes nicht übersteigen |
| Berechnungsmethode | EDPB-Leitlinien 04/2022 (5-Schritt-Verfahren), angenommen 24.05.2023 [EDPB] |
| Frühere DE-Methode | DSK-Bußgeldkonzept vom 14.10.2019 (Größenklassen nach Umsatz) – durch EDPB-Leitlinien überlagert |
| Zuständige Behörde DE | je nach Sachverhalt BfDI (Bund, Telekom, Post) oder Landesdatenschutzbehörde |
| Höchstes DE-Einzelbußgeld | 45 Mio. € (BfDI gegen einen Telekommunikationsanbieter, 2025) [BfDI 34. TB 2025] |
| Gesamtaufkommen DE 2025 | rund 46,9 Mio. € aus 249 Bußgeldern aller deutschen Aufsichtsbehörden |
| Verfahrensgarantien | wirksamer gerichtlicher Rechtsbehelf, faires Verfahren (Art. 83 Abs. 8 DSGVO) |
| Verhältnismäßigkeitsgebot | Geldbußen müssen „wirksam, verhältnismäßig und abschreckend" sein (Art. 83 Abs. 1) |

## Die zwei Höchstrahmen (Art. 83 Abs. 4–6)

Die DSGVO unterscheidet zwei Bußgeldstufen, je nachdem, welche Pflicht verletzt wurde:

**Stufe 1 – bis 10 Mio. € oder 2 % Welt-Vorjahresumsatz (Art. 83 Abs. 4):**
- Pflichten von Verantwortlichen und Auftragsverarbeitern nach Art. 8 (Kinder), Art. 11 (Verarbeitung ohne Identifizierung), Art. 25–39 (Pflichten wie Privacy by Design, Verarbeitungsverzeichnis, Auftragsverarbeitung, Sicherheit, Meldepflicht, Datenschutz-Folgenabschätzung, Datenschutzbeauftragter), Art. 42 (Zertifizierung) und Art. 43 (Zertifizierungsstellen);
- Pflichten der Zertifizierungs- und Überwachungsstellen (lit. b und c).

**Stufe 2 – bis 20 Mio. € oder 4 % Welt-Vorjahresumsatz (Art. 83 Abs. 5):**
- Grundsätze der Verarbeitung (Art. 5), Rechtmäßigkeit (Art. 6), Einwilligung (Art. 7), besondere Kategorien (Art. 9);
- Rechte der betroffenen Person (Art. 12–22), z. B. Information, Auskunft, Berichtigung, Löschung, Widerspruch;
- Drittstaatentransfer (Art. 44–49);
- Pflichten aus Mitgliedstaatenrecht (Kapitel IX, in DE z. B. § 26 BDSG).

**Art. 83 Abs. 6** ordnet denselben Höchstrahmen (20 Mio. € / 4 %) für die Nichtbefolgung einer Anweisung der Aufsichtsbehörde nach Art. 58 Abs. 2 an (z. B. Verarbeitungsverbot, Anordnung der Löschung).

Maßgeblich ist immer der **höhere** der beiden Werte – bei Konzernen mit hohem Umsatz kann das den absoluten Eurobetrag deutlich übersteigen.

## Die 11 Bemessungskriterien (Art. 83 Abs. 2)

Bei jeder Bußgeldentscheidung muss die Aufsichtsbehörde elf Kriterien gebührend berücksichtigen:

- **lit. a** – Art, Schwere und Dauer des Verstoßes (Umfang, Zahl Betroffener, ausgesetztes Schadensniveau);
- **lit. b** – Vorsatz oder Fahrlässigkeit;
- **lit. c** – Maßnahmen des Verantwortlichen zur Schadensminderung;
- **lit. d** – Grad der Verantwortlichkeit (technische und organisatorische Maßnahmen nach Art. 25, 32);
- **lit. e** – einschlägige frühere Verstöße;
- **lit. f** – Umfang der Zusammenarbeit mit der Aufsichtsbehörde;
- **lit. g** – Kategorien betroffener personenbezogener Daten;
- **lit. h** – Art und Weise, wie der Verstoß der Behörde bekannt wurde (insbesondere ob er gemeldet wurde);
- **lit. i** – Einhaltung früher angeordneter Maßnahmen nach Art. 58 Abs. 2;
- **lit. j** – Einhaltung genehmigter Verhaltensregeln (Art. 40) oder Zertifizierungen (Art. 42);
- **lit. k** – jeder sonstige erschwerende oder mildernde Umstand, etwa Vorteile, die unmittelbar oder mittelbar erlangt wurden.

## Berechnungsmethode: EDPB-Leitlinien 04/2022 (5-Schritt-Verfahren)

Der Europäische Datenschutzausschuss (EDPB) hat am 24.05.2023 die endgültige Fassung der **Leitlinien 04/2022 zur Berechnung von Geldbußen** angenommen. Damit gilt EU-weit ein einheitliches Bemessungsverfahren in fünf Schritten:

1. **Identifikation des Verarbeitungsvorgangs** und Prüfung des Art. 83 Abs. 3 DSGVO (Tateinheit/Tatmehrheit);
2. **Ermittlung des Ausgangsbetrags** anhand der Schwere des Verstoßes (gering, mittel, hoch) und des Umsatzes des Unternehmens;
3. **Berücksichtigung erschwerender und mildernder Umstände** nach Art. 83 Abs. 2;
4. **Prüfung der gesetzlichen Höchstgrenzen** nach Art. 83 Abs. 4–6 (Deckelung);
5. **Abschließende Prüfung** auf Wirksamkeit, Abschreckungswirkung und Verhältnismäßigkeit.

Diese Leitlinien ersetzen in der praktischen Anwendung das frühere **DSK-Bußgeldkonzept vom 14.10.2019**, das in Deutschland ein eigenes Stufenmodell nach Umsatzgrößenklassen (A.I bis C.III) vorgesehen hatte. Das DSK-Konzept ist nicht förmlich aufgehoben, wird aber von den deutschen Aufsichtsbehörden zugunsten der europäischen Methodik angepasst angewendet.

## Geltungsbereich

Bußgelder nach Art. 83 DSGVO können verhängt werden gegen **Verantwortliche** und **Auftragsverarbeiter** im Sinne von Art. 4 Nr. 7 und 8 DSGVO – das sind Unternehmen, Vereine, Selbstständige, Behörden und Stiftungen, soweit sie personenbezogene Daten verarbeiten. Bei Konzernen kann nach EuGH-Rechtsprechung der weltweite Konzernumsatz herangezogen werden, wenn die verantwortliche Stelle Teil eines „Unternehmens" im wettbewerbsrechtlichen Sinne ist (EuGH, Urt. v. 05.12.2023, C-807/21 „Deutsche Wohnen"). In Deutschland gelten gegenüber Behörden nach § 43 Abs. 3 BDSG **keine** Bußgelder.

## Beispiele aus der deutschen Aufsichtspraxis (Stand: 2025)

Die deutschen Datenschutz-Aufsichtsbehörden verhängten 2025 insgesamt rund 46,9 Mio. € an Bußgeldern (249 Einzelbußgelder). Die BfDI berichtet in ihrem 34. Tätigkeitsbericht 2025 das bisher höchste deutsche DSGVO-Einzelbußgeld: **45 Mio. €** gegen einen Telekommunikationsanbieter wegen Mängeln bei der Auftragsverarbeitung und unzureichender Authentifizierung von Anrufern in Kundencentern und Shops (Juni 2025).

Typische Verstoßkategorien, die regelmäßig zu Bußgeldern führen:

- **Fehlende Rechtsgrundlage** nach Art. 6 DSGVO (Werbung, Datenweitergabe, Auswertung ohne Einwilligung oder berechtigtes Interesse);
- **Unzureichende technische und organisatorische Maßnahmen** nach Art. 32 DSGVO (z. B. ungesicherte Datenbanken, fehlende Verschlüsselung);
- **Verletzung der Auskunfts- und Löschungspflichten** nach Art. 15 und 17 DSGVO;
- **Verspätete oder unterbliebene Meldung** einer Datenpanne nach Art. 33 DSGVO;
- **Unzulässige Beschäftigtenüberwachung** nach Art. 88 DSGVO i. V. m. § 26 BDSG.

## Häufige Fehler und Missverständnisse

- **„Behörden zahlen auch."** Falsch in Deutschland: Nach § 43 Abs. 3 BDSG werden gegen Behörden und sonstige öffentliche Stellen keine Geldbußen verhängt. Andere Mitgliedstaaten haben diese Ausnahme nicht genutzt; in Frankreich oder Spanien sind Bußgelder gegen Behörden möglich.
- **„20 Mio. € sind die Obergrenze."** Bei großen Konzernen sind 4 % des weltweiten Vorjahresumsatzes häufig deutlich höher und gelten dann als Höchstgrenze.
- **„Bei Mehrfachverstößen wird addiert."** Nach Art. 83 Abs. 3 DSGVO darf die Gesamtsumme den Rahmen des schwersten Einzelverstoßes nicht übersteigen – allerdings nur, wenn die Verstöße im **selben** oder **miteinander verbundenen** Verarbeitungsvorgang erfolgten (EuGH, C-683/21).
- **„Bußgelder sind in der EU einheitlich."** Bemessung und Verfahren sind seit den EDPB-Leitlinien 04/2022 weitgehend harmonisiert, die tatsächliche Bußgeldhöhe variiert aber weiterhin stark zwischen den Mitgliedstaaten.

## Quellen

- Verordnung (EU) 2016/679 – Datenschutz-Grundverordnung, Art. 83 (EUR-Lex, deutsche Fassung):
  https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32016R0679
- Europäischer Datenschutzausschuss (EDPB) – Leitlinien 04/2022 zur Berechnung von Geldbußen nach DSGVO (PDF, DE, angenommen 24.05.2023):
  https://www.edpb.europa.eu/system/files/2024-01/edpb_guidelines_042022_calculationofadministrativefines_de_0.pdf
- BfDI – Pressemitteilung „Einheitliche Regeln für Datenschutzbußgelder in Europa" (gemeinsame Pressemitteilung 2023):
  https://www.bfdi.bund.de/SharedDocs/Pressemitteilungen/DE/2023/gemeinsame-PM-Bu%C3%9Fgeld-Leitlinien.html
- BfDI – Pressemitteilung „Datenschutzaufsicht 2025" zur Vorstellung des 34. Tätigkeitsberichts:
  https://www.bfdi.bund.de/SharedDocs/Pressemitteilungen/DE/2026/06_TB34.html
- BfDI – 34. Tätigkeitsbericht für den Datenschutz 2025 (PDF):
  https://www.bfdi.bund.de/SharedDocs/Downloads/DE/Taetigkeitsberichte/34.TB/34TB_25.pdf
- Datenschutzkonferenz (DSK) – Konzept zur Bußgeldbemessung in Verfahren gegen Unternehmen (Beschluss vom 14.10.2019, PDF):
  https://www.datenschutzkonferenz-online.de/media/ah/20191016_bu%C3%9Fgeldkonzept.pdf
- BfDI – Übersichtsseite zum DSK-Bußgeldkonzept:
  https://www.bfdi.bund.de/SharedDocs/Downloads/DE/DSK/DSKBeschluessePositionspapiere/DSK_20191016_Konzept_Bussgeldbemessung.html

## Änderungsverlauf

- 2026-05-29: Erstveröffentlichung der Faktenseite, Quellen-URLs gegen amtliche Stellen gegengeprüft, Frontmatter-Felder gesetzt (legal_status, authority_level, wikidata_subjects).

## Stand

- Stand: 2026-05-29
- Gültig ab: 2018-05-25 (Geltungsbeginn der DSGVO)
- Status: aktuell
- Quellenautorität: A (EUR-Lex), ergänzt durch BfDI (B), EDPB- und DSK-Leitlinien (C)
- Lizenz: CC BY 4.0