DSGVO-Bußgelder und Strafen: Vollständiger Leitfaden (2026)

Artikel 83 der DSGVO sieht zwei Bußgeldstufen vor: bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes für organisatorische Verstöße sowie bis zu 20 Millionen Euro oder 4 % für Verstöße gegen zentrale Verarbeitungsgrundsätze, Betroffenenrechte oder Übermittlungsvorschriften, je nachdem, welcher Betrag höher ist.
Die DSGVO verleiht den europäischen Datenschutzbehörden die Befugnis, gegen Organisationen, die gegen ihre Bestimmungen verstoßen, erhebliche Bußgelder zu verhängen. Seit die Verordnung am 25. Mai 2018 in Kraft trat, haben die Aufsichtsbehörden in der gesamten EU mehr als 2.800 Bußgelder mit einer Gesamtsumme von über 7,1 Milliarden Euro verhängt.
Dieser Leitfaden erläutert die Bußgeldstruktur im Detail, beschreibt die EDSA-Methodik zur Bußgeldberechnung, analysiert das wegweisende Urteil im Fall Deutsche Wohnen zur Unternehmenshaftung, listet die höchsten Bußgelder mit ihrem aktuellen Status auf und behandelt Folgen jenseits von Bußgeldern, einschließlich zivilrechtlicher Schadensersatzansprüche nach Artikel 82. Einen Überblick über die Verordnung selbst finden Sie in unserem Leitfaden Was ist die DSGVO.
Dieser Artikel dient ausschließlich Informationszwecken und stellt keine Rechtsberatung dar. Wenden Sie sich für eine auf Ihre Situation zugeschnittene Beratung an eine qualifizierte Fachperson für Datenschutzrecht.
Kurzantwort: Welche Bußgelder sieht die DSGVO vor?
DSGVO-Bußgelder gliedern sich nach Artikel 83 in zwei Stufen.
Bei den schwerwiegenderen Verstößen (Verletzungen zentraler Verarbeitungsgrundsätze, der Betroffenenrechte, der Einwilligungsvorschriften und der Vorschriften für internationale Datenübermittlungen) beträgt das Höchstmaß 20 Millionen Euro oder 4 % des gesamten weltweiten Jahresumsatzes der Organisation, je nachdem, welcher Betrag höher ist.
Bei organisatorischen und verfahrensbezogenen Verstößen (fehlendes Verarbeitungsverzeichnis, unterlassene Bestellung eines Datenschutzbeauftragten trotz Pflicht, unzureichende Meldung von Datenschutzverletzungen) beträgt das Höchstmaß 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist.
Bei großen multinationalen Konzernen übersteigt der prozentuale Höchstsatz den festen Eurobetrag bei weitem. Ein Unternehmen mit 30 Milliarden Euro Jahresumsatz sieht sich in der 4-%-Stufe einer möglichen Obergrenze von 1,2 Milliarden Euro gegenüber, genau dem Betrag, der Meta 2023 auferlegt wurde.
Über Bußgelder hinaus können Behörden Verarbeitungen untersagen, die Löschung von Daten anordnen, Abhilfemaßnahmen verhängen und internationale Datenübermittlungen aussetzen. Betroffene können zudem direkt von Verantwortlichen und Auftragsverarbeitern Schadensersatz für materielle und immaterielle Schäden nach Artikel 82 verlangen.

Die zweistufige Bußgeldstruktur nach Artikel 83
Artikel 83 der DSGVO legt den zweistufigen Bußgeldrahmen fest. Welche Stufe zur Anwendung kommt, hängt allein davon ab, gegen welche Bestimmung verstoßen wurde.
Untere Stufe: Bis zu 10 Millionen Euro oder 2 % des weltweiten Umsatzes
Die untere Stufe gilt für Verstöße gegen die Pflichten von Verantwortlichen und Auftragsverarbeitern nach den Artikeln 8, 11, 25 bis 39, 42 und 43. Dabei handelt es sich vorrangig um organisatorische und verfahrensbezogene Anforderungen:
- Fehlendes Verzeichnis von Verarbeitungstätigkeiten (Artikel 30)
- Unterlassene, aber erforderliche Datenschutz-Folgenabschätzung (Artikel 35)
- Unterlassene Bestellung eines Datenschutzbeauftragten trotz bestehender Pflicht (Artikel 37)
- Mangelhafte Verfahren zur Meldung von Datenschutzverletzungen (Artikel 33)
- Verstöße von Zertifizierungs- und Überwachungsstellen
Diese Verstöße sind ernst zu nehmen, gelten jedoch als weniger schwerwiegend als Verletzungen der Grundprinzipien, die den Umgang mit personenbezogenen Daten regeln.
Obere Stufe: Bis zu 20 Millionen Euro oder 4 % des weltweiten Umsatzes
Die obere Stufe gilt für Verstöße gegen die Bestimmungen im Kern des Datenschutzrahmens der DSGVO:
- Die Grundsätze der Verarbeitung und die Voraussetzungen für eine rechtmäßige Verarbeitung (Artikel 5, 6, 7, 9)
- Betroffenenrechte: Auskunft, Berichtigung, Löschung, Einschränkung, Übertragbarkeit und Widerspruch (Artikel 12 bis 22)
- Vorschriften für internationale Datenübermittlungen (Artikel 44 bis 49)
- Vorschriften des nationalen Rechts nach Kapitel IX
- Nichtbefolgung einer verbindlichen Anordnung einer Aufsichtsbehörde
Es gilt stets der höhere Betrag innerhalb der jeweiligen Stufe. Bei einem Unternehmen mit 10 Milliarden Euro weltweitem Jahresumsatz ergeben 4 % eine Obergrenze von 400 Millionen Euro, zwanzigmal so viel wie der feste Höchstbetrag von 20 Millionen Euro.
Das Verschuldenserfordernis: Das Urteil im Fall Deutsche Wohnen
Eine zentrale Frage in der frühen Durchsetzungspraxis der DSGVO war, ob Bußgelder gegen Unternehmen verschuldensunabhängig verhängt werden können oder nur dann, wenn der Verstoß vorsätzlich oder fahrlässig begangen wurde.
Der EuGH klärte diese Frage mit seinem Urteil vom 5. Dezember 2023 in der Rechtssache C-807/21 (Deutsche Wohnen). Der Fall betraf ein Bußgeld in Höhe von 14,5 Millionen Euro, das die Berliner Datenschutzbehörde gegen ein Immobilienunternehmen verhängt hatte, weil dieses Mieterdaten aufbewahrt hatte, obwohl sie nicht mehr benötigt wurden.
Der EuGH traf drei bedeutsame Feststellungen.
Erstens gilt ein Verschuldenserfordernis: DSGVO-Bußgelder dürfen nur verhängt werden, wenn der Verstoß vorsätzlich oder fahrlässig begangen wurde. Eine verschuldensunabhängige Haftung ist mit Artikel 83 unvereinbar. Damit ist das Argument hinfällig, Unternehmen könnten für Verstöße mit Bußgeldern belegt werden, die sie mit zumutbaren Mitteln weder erkennen noch verhindern konnten.
Zweitens ist keine identifizierte natürliche Person erforderlich: Behörden müssen den Verstoß vor Verhängung eines Bußgelds gegen die juristische Person nicht einer bestimmten, namentlich benannten Person innerhalb der Organisation zuordnen. Ein Unternehmen kann unmittelbar aufgrund des Verhaltens seiner Organe, Beschäftigten oder Beauftragten mit einem Bußgeld belegt werden, ohne dass es einer gesonderten Feststellung gegen eine namentlich benannte Person bedarf.
Drittens werden Unternehmen als wirtschaftliche Einheit belangt: Für die Berechnung der Bußgeldobergrenze wird ein Verantwortlicher als "Unternehmen" im kartellrechtlichen Sinne behandelt. Das bedeutet, die Obergrenze wird anhand des weltweiten Umsatzes der gesamten wirtschaftlichen Einheit berechnet, nicht nur anhand der Tochtergesellschaft oder Stelle, die unmittelbar Verantwortlicher war. Umsätze der Muttergesellschaft werden mit einbezogen.
Das Urteil ist in der Praxis bedeutsam, weil es sowohl das Vorgehen der Behörden bei Bußgeldverfahren als auch die Verteidigungsmöglichkeiten der Unternehmen prägt. Der Nachweis, dass ein Verstoß nicht fahrlässig war (durch dokumentierte, angemessene Compliance-Bemühungen), ist inzwischen eine tragfähige Verteidigungsstrategie.

Wie DSGVO-Bußgelder berechnet werden: EDSA-Leitlinien 04/2022
Die Leitlinien 04/2022 des EDSA zur Berechnung von Bußgeldern legen eine fünfstufige Methodik fest, der die Aufsichtsbehörden aller EU-Mitgliedstaaten folgen. Die Leitlinien wurden im Juni 2023 nach einer öffentlichen Konsultation endgültig verabschiedet.
Die Methodik ist keine automatisierte Formel. Innerhalb der einzelnen Schritte bleibt den Aufsichtsbehörden ein Ermessensspielraum, doch der Rahmen sorgt für Einheitlichkeit über die Rechtsordnungen hinweg.
Schritt 1: Verarbeitungsvorgänge und einschlägige Bestimmungen identifizieren
Die Behörde bestimmt, welche Verarbeitungsvorgänge betroffen sind und gegen welche DSGVO-Bestimmungen verstoßen wurde. Ergeben sich mehrere Verstöße aus demselben Bündel von Verarbeitungsvorgängen, gilt Artikel 83 Absatz 3: Es wird ein einziges Bußgeld für den schwerwiegendsten Verstoß verhängt, nicht mehrere gesonderte Bußgelder für jeden einzelnen Verstoß. Dies verhindert die künstliche Vervielfachung von Sanktionen für ein Verhalten, das funktional einen einheitlichen Vorgang darstellt.
Schritt 2: Den Ausgangsbetrag bestimmen
Der Ausgangsbetrag spiegelt drei Variablen wider.
Art des Verstoßes: Welche Stufe des Artikels 83 kommt zur Anwendung? Betrifft die verletzte Bestimmung den Kern der Grundrechte der Betroffenen, oder handelt es sich um ein organisatorisches Verfahren?
Schwere: Wie schwerwiegend ist der Verstoß konkret, gemessen an der Zahl der betroffenen Personen, der Sensibilität der betroffenen Daten (besondere Kategorien personenbezogener Daten wie Gesundheits- oder biometrische Daten werden strenger behandelt), dem entstandenen finanziellen oder sonstigen Schaden sowie der geografischen Reichweite.
Dauer: Wie lange bestand der Verstoß fort? Ein innerhalb weniger Tage entdeckter und behobener Verstoß wird anders behandelt als einer, der sich über Jahre hinzog.
Der Ausgangsbetrag wird zudem am Umsatz des Unternehmens ausgerichtet. Ein Bußgeld, das für ein kleines oder mittleres Unternehmen abschreckend wirken würde, wäre für einen multinationalen Konzern unerheblich, weshalb sich der absolute Betrag an der Größe der Organisation orientiert.
Schritt 3: Erschwerende und mildernde Umstände bewerten
Artikel 83 Absatz 2 nennt konkrete Faktoren, die Behörden abwägen müssen. Sie erhöhen oder verringern den berechneten Betrag:
| Faktor | Erschwerend | Mildernd |
|---|---|---|
| Vorsatz | Vorsätzlicher Verstoß | Fahrlässiges Versehen |
| Abhilfemaßnahmen | Keine ergriffen | Schnelle, wirksame Abhilfe |
| Bisheriges Verhalten | Frühere DSGVO-Verstöße | Unbelastete Vorgeschichte |
| Kooperation | Behinderung der Untersuchung | Vollständige, proaktive Zusammenarbeit |
| Datenkategorien | Besondere Kategorien oder Daten von Kindern | Nicht sensible allgemeine Daten |
| Selbstanzeige | Behörde deckte den Verstoß auf | Organisation meldete sich selbst |
| Zertifizierungen | Keine Verhaltensregeln vorhanden | Genehmigte Verhaltensregeln oder Zertifizierungen befolgt |
| Schaden | Erheblicher Schaden für Betroffene | Geringer oder kein tatsächlicher Schaden |
Die Kooperation ist einer der praktisch bedeutsamsten Faktoren. Organisationen, die transparent handeln, zügig Abhilfe schaffen und Auskunftsersuchen vollständig beantworten, erhalten durchweg niedrigere Bußgelder als solche, die verzögern oder blockieren.
Schritt 4: Die gesetzliche Obergrenze anwenden
Der berechnete Betrag wird mit der geltenden Obergrenze der jeweiligen Stufe abgeglichen. Das Bußgeld darf die Obergrenze unabhängig von der Schwere der Umstände nicht überschreiten.
Schritt 5: Wirksamkeit, Verhältnismäßigkeit und Abschreckung prüfen
Der endgültige Betrag muss drei Anforderungen aus Artikel 83 Absatz 1 erfüllen: wirksam (geeignet, die Einhaltung sicherzustellen), verhältnismäßig (nicht übermäßig im Verhältnis zum Verstoß und den Umständen der Organisation) und abschreckend (geeignet, künftige Verstöße zu verhindern). Die Behörde kann den Betrag anpassen, wenn er nicht alle drei Anforderungen erfüllt.
Die Aufhebung des Amazon-Bußgelds im März 2026 verdeutlicht die Bedeutung dieses Schritts: Das luxemburgische Gericht stellte fest, dass die CNPD die Verhältnismäßigkeitsprüfung übersprungen hatte, was allein ausreichte, um das Bußgeld vollständig aufzuheben.
Artikel 83 Absatz 2: Die vollständige Liste der Faktoren
Artikel 83 Absatz 2 nennt elf Faktoren, die Aufsichtsbehörden berücksichtigen müssen. Diese entsprechen genau dem, was Organisationen dokumentieren können:
- Art, Schwere und Dauer des Verstoßes
- Ob der Verstoß vorsätzlich oder fahrlässig begangen wurde
- Ergriffene Maßnahmen zur Schadensminderung
- Grad der Verantwortung unter Berücksichtigung der technischen und organisatorischen Maßnahmen nach den Artikeln 25 und 32
- Einschlägige frühere Verstöße des Verantwortlichen oder Auftragsverarbeiters
- Grad der Zusammenarbeit mit der Aufsichtsbehörde
- Betroffene Kategorien personenbezogener Daten
- Wie die Behörde von dem Verstoß Kenntnis erlangte (Selbstanzeige oder Entdeckung durch Beschwerde)
- Ob zuvor Maßnahmen nach Artikel 58 Absatz 2 gegen denselben Verantwortlichen angeordnet wurden
- Einhaltung genehmigter Verhaltensregeln (Artikel 40) oder Zertifizierungsmechanismen (Artikel 42)
- Jeder weitere anwendbare erschwerende oder mildernde Faktor

Die höchsten DSGVO-Bußgelder und ihr aktueller Status
Die folgende Tabelle zeigt die zehn höchsten bislang verhängten DSGVO-Bußgelder. Der Rechtsmittelstatus ist mit Stand Mai 2026 geprüft.
| Rang | Unternehmen | Bußgeld | Behörde | Jahr | Verstoß | Status |
|---|---|---|---|---|---|---|
| 1 | Meta (Facebook) | 1,2 Mrd. Euro | Irische DPC | 2023 | EU-US-Datenübermittlungen ohne angemessene Garantien | Bußgeld bleibt bestehen; Berufung vor dem Gericht der EU anhängig |
| 2 | Amazon | 746 Mio. Euro | Luxemburgische CNPD | 2021 | Unwirksame Rechtsgrundlage für verhaltensbasierte Werbung | Im März 2026 aufgehoben; Fall an die CNPD zurückverwiesen |
| 3 | TikTok | 530 Mio. Euro | Irische DPC | 2025 | Übermittlung von EWR-Nutzerdaten nach China | Bußgeld verhängt; Berufung beim irischen High Court; Aussetzung der Übermittlung ausgesetzt |
| 4 | Meta (Instagram) | 405 Mio. Euro | Irische DPC | 2022 | Verarbeitung von Kinderdaten ohne angemessenen Schutz | Rechtskräftig |
| 5 | Meta (Facebook/Instagram) | 390 Mio. Euro | Irische DPC | 2023 | Keine gültige Rechtsgrundlage für verhaltensbasierte Werbung | Rechtskräftig |
| 6 | TikTok | 345 Mio. Euro | Irische DPC | 2023 | Kinderdaten und Standard-Datenschutzeinstellungen | Rechtskräftig |
| 7 | 310 Mio. Euro | Irische DPC | 2024 | Unwirksame Einwilligung und Rechtsgrundlagen für verhaltensbasierte Werbung | Berufung beim irischen High Court eingelegt | |
| 8 | Uber | 290 Mio. Euro | Niederländische AP | 2024 | Übermittlung von EU-Fahrerdaten in die USA ohne Garantien | Berufung eingelegt; Verfahren kann bis zu vier Jahre dauern |
| 9 | Meta (Facebook) | 265 Mio. Euro | Irische DPC | 2022 | Sicherheitsmängel, die das Scraping von 533 Millionen Datensätzen ermöglichten | Rechtskräftig |
| 10 | Meta (Facebook) | 251 Mio. Euro | Irische DPC | 2024 | Sicherheitsverletzung mit Auswirkungen auf 29 Millionen Konten weltweit | Rechtskräftig |
Wichtige Fallnotizen
Meta, 1,2 Milliarden Euro (Mai 2023). Die irische DPC verhängte dieses Rekordbußgeld nach einem verbindlichen Beschluss des EDSA. Meta übermittelte Daten von EU-Facebook-Nutzern anhand von Standardvertragsklauseln in die USA, doch der EDSA stellte fest, dass diese angesichts der US-Überwachungsgesetze keinen angemessenen Schutz für EU-Daten gewährleisten konnten. Meta legte Berufung beim Gericht der EU ein; die Berufung wurde nach einer verfahrensrechtlichen Entscheidung des EuGH Anfang 2026 formell freigegeben und ist weiterhin anhängig. Meta hat das EU-US-Datenschutzrahmenwerk künftig als Übermittlungsmechanismus übernommen, was den historischen Verstoß jedoch nicht rückwirkend heilt.
Amazon, 746 Millionen Euro (2021, im März 2026 aufgehoben). Die luxemburgische CNPD verhängte dieses Bußgeld, weil Amazon "berechtigte Interessen" als Rechtsgrundlage für verhaltensbasierte Werbung heranzog. Am 12. März 2026 hob das luxemburgische Verwaltungsgericht das Bußgeld auf. Das Gericht stellte fest, dass die CNPD die nach Deutsche Wohnen erforderliche Verschuldensprüfung unterlassen und die Verhältnismäßigkeit nicht ordnungsgemäß geprüft hatte, insbesondere ob eine weniger einschneidende Maßnahme angemessen gewesen wäre. Das Gericht bestätigte die materielle Feststellung, dass Amazons Rechtsgrundlage unwirksam war. Der Fall wurde an die CNPD zurückverwiesen. Amazon kann nach einer erneuten, rechtskonformen Prüfung weiterhin mit einem neuen Bußgeld belegt werden.
TikTok, 530 Millionen Euro (2. Mai 2025). Die irische DPC verhängte gegen TikTok ein Bußgeld von 45 Millionen Euro, weil das Unternehmen EWR-Nutzer nicht über den möglichen Zugriff auf ihre Daten aus China informiert hatte (Verstoß gegen Artikel 13), sowie ein Bußgeld von 485 Millionen Euro für die Übermittlung von EWR-Nutzerdaten nach China ohne wirksame Garantien nach Artikel 46. Die DPC ordnete zudem an, dass TikTok die Übermittlungen innerhalb von sechs Monaten einstellen müsse. TikTok legte im Mai 2025 Berufung beim irischen High Court ein. Im November 2025 setzte das Gericht die Anordnung zur Aussetzung der Datenübermittlung bis zum Abschluss der Berufung aus, sodass TikTok die China-Übermittlungen während des laufenden Verfahrens nicht einstellen muss. Das Bußgeld von 530 Millionen Euro selbst wurde nicht ausgesetzt.
LinkedIn, 310 Millionen Euro (Oktober 2024). Die irische DPC stellte fest, dass LinkedIn sich für verhaltensbasierte Analysen und Werbung auf eine unwirksame Einwilligung, unzulässige berechtigte Interessen und eine unzulässige vertragliche Erforderlichkeit als Rechtsgrundlagen stützte. LinkedIn legte Berufung beim High Court ein und machte geltend, das Bußgeld sei unverhältnismäßig. Die Berufung ist anhängig.
Uber, 290 Millionen Euro (August 2024). Die niederländische AP verhängte gegen Uber ein Bußgeld, weil das Unternehmen über zwei Jahre lang Daten von EU-Fahrern (einschließlich Vorstrafendaten, medizinischer Daten und Standortdaten) ohne jeden Übermittlungsmechanismus an die US-Zentrale von Uber übermittelt hatte. Uber hat Berufung eingelegt; das Verfahren kann bis zu vier Jahre dauern.
Warum Irland bei den höchsten Bußgeldern dominiert
Sechs der zehn höchsten Bußgelder wurden von der irischen Datenschutzbehörde verhängt. Der One-Stop-Shop-Mechanismus der DSGVO weist die federführende Zuständigkeit der Behörde des Mitgliedstaats zu, in dem ein Unternehmen seine EU-Hauptniederlassung hat. Meta, Google, Apple, TikTok, LinkedIn und Microsoft haben sich allesamt für Dublin entschieden, wodurch die irische DPC zu ihrer federführenden Behörde wurde. Das Tempo der Durchsetzung durch die DPC beschleunigte sich nach 2022 infolge anhaltenden Drucks des EDSA und anderer EU-Behörden, die eine aus ihrer Sicht unzureichende Durchsetzung gegenüber großen Technologiekonzernen kritisierten.

Folgen jenseits von Bußgeldern
Bußgelder sind das sichtbarste Durchsetzungsinstrument der DSGVO, doch Aufsichtsbehörden verfügen nach Artikel 58 Absatz 2 über ein breites Instrumentarium an Abhilfebefugnissen, und Betroffene haben nach Artikel 82 eigenständige zivilrechtliche Schadensersatzansprüche.
Abhilfebefugnisse nach Artikel 58 Absatz 2
Aufsichtsbehörden können, getrennt von oder zusätzlich zu einem Bußgeld, unter anderem Folgendes verhängen:
- Verwarnungen und Rügen: Bei weniger schwerwiegenden Verstößen oder Erstverstößen
- Anordnungen zur Herstellung der Rechtmäßigkeit: Verpflichtung des Verantwortlichen oder Auftragsverarbeiters, die Verarbeitung binnen einer festgelegten Frist mit der DSGVO in Einklang zu bringen
- Vorübergehende oder endgültige Verarbeitungsverbote: Untersagung bestimmter Verarbeitungstätigkeiten
- Löschungsanordnungen: Verpflichtung zur Löschung personenbezogener Daten, die unter Verstoß gegen die DSGVO erhoben wurden
- Aussetzung von Datenübermittlungen: Untersagung der Übermittlung personenbezogener Daten in ein Drittland
- Anordnungen zur Benachrichtigung Betroffener: Verpflichtung zur Benachrichtigung von Personen, wenn der Verantwortliche dies unterlassen hat
Verarbeitungsverbote und die Aussetzung von Datenübermittlungen können für Unternehmen, deren Geschäft von den betroffenen Tätigkeiten abhängt, existenzbedrohend sein. TikTok erwirkte eine gerichtliche Aussetzung der Übermittlungsstopp-Anordnung der irischen DPC gerade deshalb, weil die Einstellung der China-Übermittlungen als operativ schädlicher galt als das Bußgeld von 530 Millionen Euro. Bei dieser Anordnung ging es nicht um Geld; es war die operative Folge, die den Rechtsstreit antrieb.
Zivilrechtlicher Schadensersatz nach Artikel 82
Artikel 82 gibt jeder Person, der infolge eines DSGVO-Verstoßes ein materieller oder immaterieller Schaden entstanden ist, das Recht, Schadensersatz vom verantwortlichen Verantwortlichen oder Auftragsverarbeiter zu verlangen. Verantwortlicher und beteiligter Auftragsverarbeiter haften gesamtschuldnerisch; ein Auftragsverarbeiter kann sich der Haftung nur entziehen, wenn er nachweist, dass ihn kein Verschulden trifft.
Der EuGH klärte den Anwendungsbereich von Artikel 82 mit seinem Urteil vom Mai 2023 in der Rechtssache C-300/21 (Österreichische Post). Daraus ergaben sich drei Grundsätze.
Es müssen alle drei Voraussetzungen erfüllt sein: ein Verstoß gegen die DSGVO, ein tatsächlich entstandener Schaden und ein ursächlicher Zusammenhang zwischen Verstoß und Schaden. Ein Verstoß ohne nachgewiesenen Schaden begründet keinen Schadensersatzanspruch.
Keine Mindestschwelle für die Erheblichkeit immaterieller Schäden: Artikel 82 verlangt nicht, dass seelisches Leid oder Angst eine bestimmte Schwere erreichen müssen, um einen Schadensersatzanspruch zu begründen. Mitgliedstaaten dürfen keine eigene Erheblichkeitsschwelle einführen.
Die Höhe des Schadensersatzes richtet sich nach nationalem Recht, vorbehaltlich der unionsrechtlichen Grundsätze der Äquivalenz und Effektivität. Die zugesprochenen Beträge variieren zwischen den Mitgliedstaaten erheblich.
In der Praxis werden Ansprüche nach Artikel 82 neben behördlichen Durchsetzungsmaßnahmen geltend gemacht, im Wege von Verbandsklagen oder in eigenständigen zivilrechtlichen Verfahren. Behördliche Bußgelder und zivilrechtliche Schadensersatzansprüche können gleichzeitig verfolgt werden, wodurch für denselben DSGVO-Verstoß eine doppelte Haftungsspur entsteht.
Durchsetzungstrends: 2024 bis 2026
Statistiken 2025 und Jahresbericht des EDSA
Der EDSA veröffentlichte seinen Jahresbericht 2025 im April 2026. Die nationalen Datenschutzbehörden verhängten 2025 insgesamt Bußgelder in Höhe von 1,15 Milliarden Euro, was fast vollständig auf die TikTok-Entscheidung der irischen DPC zurückzuführen ist. Die Gesamtsumme seit Mai 2018 hat 7,1 Milliarden Euro bei mehr als 2.800 Bußgeldern überschritten.
Die koordinierte Durchsetzungsmaßnahme des EDSA (Coordinated Enforcement Framework, CEF) 2025 konzentrierte sich auf das Recht auf Löschung nach Artikel 17. Zweiunddreißig Datenschutzbehörden beteiligten sich und untersuchten 764 Verantwortliche in ganz Europa, von kleinen und mittleren Unternehmen bis zu Großkonzernen und öffentlichen Stellen.
Die CEF-2026-Maßnahme richtet sich auf die Transparenz- und Informationspflichten nach den Artikeln 13 und 14 und untersucht, ob Organisationen Betroffenen klare, vollständige und leicht zugängliche Datenschutzhinweise zur Verfügung stellen. Organisationen mit generischen oder unvollständigen Datenschutzerklärungen sehen sich 2026 verstärkter Prüfung ausgesetzt.
Schwerpunkte der Durchsetzung
Mehrere Muster prägen die Durchsetzung zwischen 2024 und 2026.
Internationale Datenübermittlungen bleiben der risikoreichste Bereich. Alle drei höchsten Bußgelder betreffen Übermittlungen personenbezogener Daten in Länder ohne Angemessenheitsbeschluss. Das im Juli 2023 verabschiedete EU-US-Datenschutzrahmenwerk bietet zertifizierten Unternehmen einen rechtlichen Mechanismus, seine Gültigkeit wird jedoch weiterhin vor EU-Gerichten angefochten. Für Übermittlungen nach China und in andere Länder existiert kein Angemessenheitsbeschluss, und die Prüfung ist entsprechend streng.
Verhaltensbasierte Werbung und unwirksame Rechtsgrundlagen. Die Feststellung, dass "berechtigte Interessen" und "vertragliche Erforderlichkeit" verhaltensbasiertes Profiling und gezielte Werbung nicht tragen können, hat inzwischen erhebliche Bußgelder gegen Meta, Amazon, LinkedIn und andere nach sich gezogen. Unternehmen, deren Geschäftsmodell auf verhaltensbasierter Werbung beruht, bleiben einem anhaltenden Risiko ausgesetzt, sofern sie keine spezifische, wirksame Einwilligung einholen.
KI und Datenverarbeitung. Die Stellungnahme des EDSA vom April 2025 stellte klar, dass große Sprachmodelle nur selten eine DSGVO-konforme Anonymisierung erreichen. Verantwortliche, die KI-Werkzeuge von Drittanbietern einsetzen, die personenbezogene Daten verarbeiten, müssen ihre Rechtsgrundlage prüfen und, soweit einschlägig, eine Interessenabwägung dokumentieren.
Strukturelle Mängel statt nur konkreter Vorfälle. Die Durchsetzung hat sich verstärkt auf die Ahndung struktureller Defizite verlagert (fehlende Verschlüsselung, mangelhaftes Lieferantenmanagement, unzureichende Zugriffskontrollen), unabhängig davon, ob es tatsächlich zu einer Datenschutzverletzung gekommen ist.
DSGVO-Omnibus IV: Vorgeschlagene Reformen
Im November 2025 veröffentlichte die Europäische Kommission das Omnibus-IV-Paket, das gezielte Änderungen zur Verringerung des Verwaltungsaufwands vorschlägt. Zu den zentralen Vorschlägen zählen die Ausweitung der Ausnahmen von der Dokumentationspflicht nach Artikel 30 auf Organisationen mit weniger als 750 Beschäftigten (derzeit 250) sowie die Ausweitung KMU-spezifischer Regelungen auf sogenannte "kleine Unternehmen mittlerer Kapitalisierung".
Der EDSA und der EDSB begrüßten einzelne Aspekte, forderten jedoch Klarstellungen. Mit einer förmlichen Verabschiedung des Pakets wird frühestens Ende 2026 gerechnet. Die Bußgeldstruktur nach Artikel 83 bleibt von den derzeitigen Vorschlägen unberührt.
Wie sich das Risiko von DSGVO-Bußgeldern verringern lässt
Aufsichtsbehörden berücksichtigen bei der Bußgeldbemessung die Compliance-Haltung, die Kooperationsbereitschaft und die Abhilfemaßnahmen. Die folgenden Schritte beugen Verstößen vor und verringern zugleich das Bußgeldrisiko, sollte es dennoch zu einem Verstoß kommen.
Alles dokumentieren
Der Rechenschaftspflicht-Grundsatz der DSGVO (Artikel 5 Absatz 2) verlangt von Organisationen, die Einhaltung der Vorschriften nachzuweisen, nicht nur einzuhalten. Führen Sie Verzeichnisse der Verarbeitungstätigkeiten, abgeschlossene Datenschutz-Folgenabschätzungen, Prüfungen der Rechtsgrundlage, Schulungsnachweise, Lieferantenverträge mit Klauseln nach Artikel 28 sowie aktuelle Datenschutzerklärungen. Dokumentation belegt guten Glauben und wirkt unmittelbar mildernd.
Sofort auf Vorfälle reagieren
Kommt es zu einer Datenschutzverletzung oder einem Compliance-Versagen, zählt Geschwindigkeit. Die 72-Stunden-Frist zur Meldung von Datenschutzverletzungen ist eine gesetzliche Pflicht, doch auch eine rasche Reaktion wirkt mildernd. Sofortige Abhilfe, zügige Meldung an die Aufsichtsbehörde und transparente Kommunikation wirken allesamt zugunsten der Organisation. Den vollständigen Meldeprozess finden Sie in unserem Leitfaden zur 72-Stunden-Meldepflicht der DSGVO.
Mit Untersuchungen der Aufsichtsbehörde kooperieren
Organisationen, die zügig auf Auskunftsersuchen reagieren, Zugang für Prüfungen gewähren und empfohlene Änderungen umsetzen, erhalten durchweg niedrigere Bußgelder als solche, die verzögern oder bei jedem Schritt den Rechtsweg beschreiten. Die vollständige Kooperation ist in Artikel 83 Absatz 2 Buchstabe f ausdrücklich als mildernder Faktor genannt.
Internationale Datenübermittlungen prüfen
Da die drei höchsten DSGVO-Bußgelder allesamt grenzüberschreitende Übermittlungen betreffen, gehört die Erfassung sämtlicher ausgehender Datenflüsse und die Überprüfung wirksamer Übermittlungsmechanismen zu den vorrangigen Compliance-Aufgaben. Standardvertragsklauseln müssen für Übermittlungen in Länder ohne Angemessenheitsbeschluss von einer Transferfolgenabschätzung begleitet werden.
Rechtsgrundlagen für Werbung und Analyse überprüfen
Die Welle von Bußgeldern gegen Meta, Amazon, LinkedIn und andere wegen unwirksamer Rechtsgrundlagen bei verhaltensbasierter Werbung zeigt, dass berechtigte Interessen kein sicherer Hafen für Profiling und gezielte Werbung sind. Organisationen, die sich für Analyse- oder Werbezwecke auf diese Rechtsgrundlage stützen, sollten ihre Prüfung von einer mit der DSGVO-Durchsetzung vertrauten Rechtsberatung überprüfen lassen.
In Schulungen und Datenschutz durch Technikgestaltung investieren
Viele Verstöße gehen auf Fehler von Mitarbeitenden oder auf Produkte zurück, die ohne den Grundsatz der Datenminimierung entwickelt wurden. Regelmäßige, dokumentierte Schulungen und eine Überprüfung neuer Produkte und Funktionen nach dem Prinzip des Datenschutzes durch Technikgestaltung verringern sowohl die Wahrscheinlichkeit von Verstößen als auch die Feststellung von Fahrlässigkeit, die ein Bußgeld nach Deutsche Wohnen erschweren würde.
Die DSGVO-Compliance-Checkliste nutzen
Unsere DSGVO-Compliance-Checkliste deckt alle wesentlichen Pflichten in strukturierter Form ab. Organisationen mit dokumentierten Compliance-Programmen sind besser aufgestellt, um die von den Aufsichtsbehörden geforderte Rechenschaftspflicht nachzuweisen.
Weitere DSGVO-Leitfäden
- Was ist die DSGVO für einen umfassenden Überblick über die Verordnung und ihren Anwendungsbereich
- DSGVO-Compliance-Checkliste für eine schrittweise Anleitung zur Einhaltung für Organisationen
- Betroffenenrechte nach der DSGVO für alle acht individuellen Rechte und den Umgang mit entsprechenden Anfragen
- Einwilligungsanforderungen der DSGVO für die Voraussetzungen einer gültigen Einwilligung nach Artikel 7
- 72-Stunden-Meldepflicht der DSGVO für Meldepflichten und Fristen bei Datenschutzverletzungen
- DSGVO für kleine Unternehmen für KMU-spezifische Compliance-Hinweise
- EU-Datenschutzrecht für einen vollständigen Überblick über den EU-Datenschutzrahmen
Frequently Asked Questions
Was ist das Höchstmaß für ein DSGVO-Bußgeld?
Das Höchstmaß für ein DSGVO-Bußgeld beträgt 20 Millionen Euro oder 4 % des gesamten weltweiten Jahresumsatzes der Organisation im vorangegangenen Geschäftsjahr, je nachdem, welcher Betrag höher ist. Diese obere Stufe gilt für Verstöße gegen zentrale Verarbeitungsgrundsätze, Betroffenenrechte, Einwilligungsvorschriften und internationale Übermittlungsvorschriften nach Artikel 83 Absatz 5. Für Verstöße der unteren Stufe, etwa fehlende Dokumentation oder unterlassene Bestellung eines Datenschutzbeauftragten, beträgt das Höchstmaß 10 Millionen Euro oder 2 % des weltweiten Umsatzes.
Was ist das höchste jemals verhängte DSGVO-Bußgeld?
Das höchste bestätigte DSGVO-Bußgeld beträgt 1,2 Milliarden Euro und wurde im Mai 2023 von der irischen Datenschutzbehörde gegen Meta Platforms Ireland Limited verhängt, weil das Unternehmen Daten von EU-Facebook-Nutzern ohne angemessene Garantien in die Vereinigten Staaten übermittelt hatte. Das Bußgeld beruhte auf einem verbindlichen Beschluss des EDSA. Meta hat Berufung beim Gericht der EU eingelegt; die Berufung ist Stand 2026 weiterhin anhängig. Das zuvor zweithöchste Bußgeld gegen Amazon in Höhe von 746 Millionen Euro wurde im März 2026 von einem luxemburgischen Gericht aufgehoben und zur erneuten Prüfung an die Behörde zurückverwiesen. Amazon kann weiterhin mit einem neuen Bußgeld belegt werden.
Kann ein Unternehmen nach der DSGVO ohne jede Verstoßabsicht mit einem Bußgeld belegt werden?
Nein. Der EuGH bestätigte in seinem Urteil vom Dezember 2023 im Fall Deutsche Wohnen (Rechtssache C-807/21), dass DSGVO-Bußgelder voraussetzen, dass der Verstoß vorsätzlich oder fahrlässig begangen wurde. Eine verschuldensunabhängige Haftung ist mit Artikel 83 unvereinbar. Fahrlässigkeit stellt jedoch eine niedrige Schwelle dar: Das Unterlassen zumutbarer Compliance-Maßnahmen erfüllt sie in der Regel bereits. Eine Organisation, die sich ernsthaft und dokumentiert um Compliance bemüht, aber dennoch einen Fehler macht, hat gute Argumente für ein reduziertes Bußgeld.
Wie werden DSGVO-Bußgelder berechnet?
Aufsichtsbehörden folgen den EDSA-Leitlinien 04/2022, die ein fünfstufiges Verfahren festlegen: Verstöße identifizieren und Artikel 83 Absatz 3 bei mehreren Verstößen prüfen; einen Ausgangsbetrag anhand von Art, Schwere und Dauer sowie dem Umsatz der Organisation bestimmen; erschwerende und mildernde Faktoren bewerten, einschließlich Vorsatz, Kooperation, früherer Verstöße, betroffener Datenkategorien und Abhilfemaßnahmen; die gesetzliche Obergrenze der jeweiligen Stufe anwenden; und prüfen, ob der endgültige Betrag wirksam, verhältnismäßig und abschreckend ist.
Können DSGVO-Bußgelder auch Unternehmen außerhalb der EU treffen?
Ja. Die DSGVO gilt für jede Organisation weltweit, die personenbezogene Daten von Personen in der EU verarbeitet, und Bußgelder gelten gleichermaßen für Unternehmen außerhalb der EU. TikTok (chinesisches Unternehmen, 530 Millionen Euro über die irische DPC), Amazon (US-Unternehmen, 746 Millionen Euro über die luxemburgische CNPD, inzwischen in der Berufung aufgehoben) und Uber (US-Unternehmen, 290 Millionen Euro über die niederländische AP) haben trotz Hauptsitz außerhalb der EU allesamt bedeutende Bußgelder erhalten.
Was ist mit dem Bußgeld von 746 Millionen Euro gegen Amazon passiert?
Das 2021 von der luxemburgischen CNPD verhängte Bußgeld gegen Amazon in Höhe von 746 Millionen Euro wegen der Nutzung einer unwirksamen Rechtsgrundlage für verhaltensbasierte Werbung wurde am 12. März 2026 vom luxemburgischen Verwaltungsgericht aufgehoben. Das Gericht stellte fest, dass die CNPD nicht geprüft hatte, ob Amazon vorsätzlich oder fahrlässig gehandelt hatte, dem vom EuGH in Deutsche Wohnen aufgestellten Verschuldenserfordernis, und die Verhältnismäßigkeit einer weniger einschneidenden Maßnahme nicht geprüft hatte. Die materielle Feststellung, dass Amazons Rechtsgrundlage unwirksam war, wurde bestätigt. Der Fall wurde zur erneuten Prüfung an die CNPD zurückverwiesen; Amazon kann weiterhin mit einem neuen Bußgeld belegt werden.
Können Einzelpersonen wegen DSGVO-Verstößen klagen?
Ja. Artikel 82 gibt Betroffenen das Recht, von Verantwortlichen oder Auftragsverarbeitern Schadensersatz für materielle und immaterielle Schäden zu verlangen, die durch einen DSGVO-Verstoß verursacht wurden. Der EuGH bestätigte im Fall Österreichische Post (C-300/21, Mai 2023), dass es keine Mindestschwelle für die Erheblichkeit gibt: Jedes nachgewiesene Leid kann einen Schadensersatzanspruch begründen. Kläger müssen jedoch einen tatsächlichen Verstoß, einen tatsächlichen Schaden und einen ursächlichen Zusammenhang nachweisen. Behördliche Durchsetzung und zivilrechtliche Klagen können gleichzeitig verfolgt werden.
Welches EU-Land verhängt die meisten DSGVO-Bußgelder?
Die spanische Agencia Española de Protección de Datos (AEPD) verhängt die höchste Anzahl einzelner Bußgelder, seit 2018 über 1.000, meist kleinere Sanktionen gegen inländische Unternehmen. Die irische Datenschutzbehörde führt mit insgesamt über 4 Milliarden Euro bei der Gesamtsumme der Bußgelder, weil große Technologieunternehmen wie Meta, TikTok, LinkedIn, Google und Apple ihre europäische Hauptniederlassung in Dublin haben, wodurch die irische DPC im Rahmen des One-Stop-Shop-Mechanismus zu ihrer federführenden Aufsichtsbehörde wird.
Was sind die häufigsten DSGVO-Verstöße, die zu Bußgeldern führen?
Die häufigsten Verstöße, die zu Bußgeldern führen, sind: die Verarbeitung von Daten ohne gültige Rechtsgrundlage nach Artikel 6; unzureichende technische Sicherheitsmaßnahmen, die zu Datenschutzverletzungen führen; rechtswidrige internationale Datenübermittlungen ohne angemessene Garantien; die Nichtbeantwortung von Anfragen zu Betroffenenrechten innerhalb der gesetzlichen Fristen; und unzureichende Transparenz in Datenschutzerklärungen. Die höchsten Bußgelder konzentrieren sich auf internationale Übermittlungen und unwirksame Rechtsgrundlagen für verhaltensbasierte Werbung.
Sources and References
- Vollständiger Text der DSGVO — Artikel 83 und 82(eur-lex.europa.eu).gov
- EDSA-Leitlinien 04/2022 zur Berechnung von Bußgeldern (endgültige Fassung, Juni 2023)(edpb.europa.eu).gov
- EDSA — Bußgeld von 1,2 Milliarden Euro gegen Facebook (verbindlicher Beschluss, Mai 2023)(edpb.europa.eu).gov
- EDSA — Irische Aufsichtsbehörde verhängt Bußgeld von 530 Millionen Euro gegen TikTok (Mai 2025)(edpb.europa.eu).gov
- Irische DPC — Entscheidung gegen TikTok über 530 Millionen Euro (Mai 2025)(dataprotection.ie).gov
- Niederländische AP — Bußgeld von 290 Millionen Euro gegen Uber (August 2024)(autoriteitpersoonsgegevens.nl).gov
- Irische DPC — Bußgeld von 310 Millionen Euro gegen LinkedIn (Oktober 2024)(dataprotection.ie).gov
- EuGH — Urteil C-807/21 Deutsche Wohnen (Dezember 2023)(curia.europa.eu).gov
- EuGH — Urteil C-300/21 Österreichische Post (Mai 2023)(curia.europa.eu).gov
- EDSA CEF 2026 — Koordinierte Durchsetzungsmaßnahme zur Transparenz(edpb.europa.eu).gov
- Europäische Kommission — Erläuterung zu Durchsetzung und Sanktionen(commission.europa.eu).gov
- Stellungnahme von EDSA und EDSB zu den Vereinfachungsvorschlägen des DSGVO-Omnibus IV (2025)(edpb.europa.eu).gov
- GDPR Enforcement Tracker — Live-Datenbank der Bußgelder(enforcementtracker.com)
- DLA Piper GDPR Fines and Data Breach Survey, Januar 2026(dlapiper.com)