Zum Hauptinhalt springen
Regulierung

DSGVO Bußgeld: Höhe, Haftung und Versicherbarkeit

Veröffentlicht: Aktualisiert:

Das Wichtigste in Kürze

  • Ein DSGVO Bußgeld kann bis zu 20 Mio. EUR oder 4 % des weltweiten Jahresumsatzes erreichen (Art. 83 Abs. 5 DSGVO).
  • Art. 83 unterscheidet zwei Stufen: 10 Mio. EUR bzw. 2 % für formale Pflichten, 20 Mio. EUR bzw. 4 % für Verstöße gegen Grundsätze und Betroffenenrechte.
  • Bußgelder selbst sind in Deutschland nicht versicherbar. Rechtsverteidigung, Forensik und Schadensersatz nach Art. 82 DSGVO lassen sich dagegen absichern.
  • Geschäftsführer haften nicht direkt für das Bußgeld, können aber über Regressansprüche und Art. 82 DSGVO persönlich belangt werden.
  • Eine Datenpanne mit Risiko für Betroffene ist binnen 72 Stunden an die zuständige Aufsichtsbehörde zu melden (Art. 33 DSGVO).

Ein DSGVO Bußgeld kann bis zu 20 Mio. EUR oder 4 Prozent des weltweiten Jahresumsatzes betragen, je nachdem welcher Betrag höher ist (Art. 83 Abs. 5 DSGVO). Das Bußgeld trifft das Unternehmen, doch die Geschäftsführung kann über Regress und über individuelle Schadensersatzklagen nach Art. 82 DSGVO persönlich in die Haftung geraten. Dieser Ratgeber erklärt den Bußgeldrahmen, wer wofür haftet und welche Kosten sich absichern lassen.

DSGVO Bußgeld und Haftung nach Art. 83 DSGVO im Überblick

Wie hoch ist ein DSGVO Bußgeld?

Die DSGVO (Datenschutz-Grundverordnung, das EU-weite Datenschutzrecht seit 2018) kennt zwei Bußgeldstufen. Welche greift, hängt davon ab, gegen welche Pflicht ein Unternehmen verstößt. Formale Pflichten wiegen leichter als Verstöße gegen die Grundsätze der Datenverarbeitung oder die Rechte Betroffener.

MerkmalKostenart / TatbestandArt. 83 Abs. 4Art. 83 Abs. 5
Maximales Bußgeld10 Mio. EUR oder 2 % Umsatz20 Mio. EUR oder 4 % Umsatz
Technische Maßnahmen (Art. 32)
Auftragsverarbeitung (Art. 28)
Datenschutzbeauftragter (Art. 37)
Grundsätze & Rechtsgrundlagen (Art. 5, 6)
Betroffenenrechte (Art. 12–22)
Drittlandsübermittlung (Art. 44 ff.)

Wovon hängt die Höhe im Einzelfall ab?

Die genannten Beträge sind Obergrenzen, keine Regelstrafen. Die Aufsichtsbehörde bemisst das Bußgeld innerhalb dieses Rahmens und wägt mehrere Kriterien ab:

  • Art, Schwere und Dauer des Verstoßes
  • Vorsatz oder Fahrlässigkeit
  • Maßnahmen zur Schadensminderung
  • frühere Verstöße desselben Unternehmens
  • Kooperation mit der Behörde während des Verfahrens
  • Kategorien der betroffenen Daten, etwa Gesundheitsdaten
  • Art der Aufdeckung, ob durch freiwillige Meldung oder durch Beschwerde

Rechenbeispiel für ein KMU

Ein Handelsunternehmen mit 2 Mio. EUR Jahresumsatz verschickt über Jahre Werbe-E-Mails ohne wirksame Einwilligung. Das ist ein Verstoß gegen die Rechtsgrundlagen (Art. 6 DSGVO) und fällt damit unter Art. 83 Abs. 5. Die umsatzbezogene Obergrenze liegt bei 4 Prozent, also 80.000 EUR. Bei diesem Umsatz greift jedoch die absolute Grenze von 20 Mio. EUR nicht, sodass die 4-Prozent-Schwelle den Rahmen bestimmt. Die tatsächliche Strafe legt die Behörde innerhalb dieses Rahmens fest.

Welche DSGVO-Verstöße kommen bei KMU am häufigsten vor?

1. Fehlende Rechtsgrundlage nach Art. 6 DSGVO

Jede Verarbeitung personenbezogener Daten braucht eine Rechtsgrundlage. Bei kleineren Betrieben fehlt sie oft genau dort, wo Daten beiläufig anfallen: bei Marketing-E-Mails ohne wirksame Einwilligung, bei Website-Tracking ohne Consent, bei Videoüberwachung ohne nachweisbares berechtigtes Interesse oder bei der Weitergabe von Kundendaten an Dritte ohne klare Grundlage.

2. Unzureichende technische Maßnahmen nach Art. 32 DSGVO

Art. 32 DSGVO verlangt Schutzmaßnahmen, die zum Risiko passen. In der Praxis scheitert es häufig an Grundlagen: keine oder schwache Verschlüsselung, zu weit gefasste Zugriffsrechte, ausstehende Sicherheitsupdates oder fehlende Backups. Genau diese Lücken nutzen auch Angreifer aus.

Zusammenhang mit Cyberversicherung

Technische Sicherheitsmaßnahmen schützen nicht nur vor DSGVO-Bußgeldern, sondern auch vor Cyberangriffen. Eine Cyberversicherung deckt die Folgekosten einer Datenpanne ab und unterstützt im Ernstfall mit Forensik und Krisenmanagement. Wie sich konkrete Bedrohungen für kleinere Betriebe verteilen, zeigt unser Überblick zu den Cyber-Risiken für KMU.

3. Verzögerte Meldung von Datenpannen

Eine meldepflichtige Datenpanne muss binnen 72 Stunden bei der Aufsichtsbehörde landen. Drei Muster führen regelmäßig zur Verspätung: Der Vorfall wird zu spät erkannt, das Unternehmen zögert aus Angst vor Konsequenzen, oder es ist unklar, ab wann eine Panne überhaupt meldepflichtig ist. Die Verspätung selbst kann ein eigenständiger Verstoß sein.

4. Fehlende Auftragsverarbeitungsverträge (AVV)

Wer einen Dienstleister mit der Datenverarbeitung beauftragt, etwa Cloud-Speicher, Newsletter-Tools oder HR-Software, braucht dafür einen Auftragsverarbeitungsvertrag (AVV, schriftliche Vereinbarung über Pflichten des Dienstleisters) nach Art. 28 DSGVO. Ohne diesen Vertrag haftet der Auftraggeber für die fremde Verarbeitung mit.

5. Unzureichende Informationspflichten

Die Datenschutzerklärung muss vollständig und verständlich sein. Beanstandet werden vor allem lückenhafte Angaben zu den Verarbeitungszwecken, fehlende Hinweise auf Übermittlungen in Drittländer und nicht genannte Rechtsgrundlagen.

Wer haftet bei DSGVO-Verstößen?

Haftung des Unternehmens

In erster Linie haftet das Unternehmen als Verantwortlicher. Die Aufsichtsbehörde verhängt das Bußgeld gegen die juristische Person, also die GmbH, UG oder AG, nicht gegen einzelne Beschäftigte.

Welche Aufsichtsbehörde ist zuständig?

Welche Behörde ein DSGVO Bußgeld verhängt, richtet sich nach dem Sitz des Unternehmens. Für nicht-öffentliche Stellen ist die Datenschutzaufsicht des jeweiligen Bundeslandes zuständig, etwa der Landesbeauftragte für den Datenschutz (LfDI) in Baden-Württemberg oder das Bayerische Landesamt für Datenschutzaufsicht (BayLDA). Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) ist nur für Telekommunikations- und Postdienste sowie Bundesbehörden zuständig. Bei grenzüberschreitenden Fällen greift das Verfahren der federführenden Behörde nach dem One-Stop-Shop-Prinzip.

Persönliche Haftung der Geschäftsführung

Die Geschäftsführung haftet nicht unmittelbar für das DSGVO-Bußgeld, das bleibt eine Sache des Unternehmens. Persönlich belangt werden kann sie auf drei Wegen: Das Unternehmen nimmt sie in Regress, wenn sie Organisationspflichten verletzt hat. Sie steht für Schadensersatz nach Art. 82 DSGVO ein, wenn Gerichte sie als Gesamtschuldner heranziehen. Und bei vorsätzlichen Verstößen kommt eine strafrechtliche Verantwortung hinzu. Eine eigene Haftungsstufe schafft daneben die NIS-2-Richtlinie, die die Geschäftsleitung direkt in die Pflicht nimmt.

Geschäftsführer-Haftung absichern

Eine D&O-Versicherung schützt Geschäftsführer vor Regressansprüchen des eigenen Unternehmens, auch im Zusammenhang mit DSGVO-Verstößen. Welche Haftungstatbestände aus dem GmbH-Recht hinzukommen, lesen Sie im Ratgeber zur Geschäftsführerhaftung.

Haftung des Datenschutzbeauftragten

Der Datenschutzbeauftragte (interne oder externe Aufsichtsperson für den Datenschutz) haftet nicht für DSGVO-Verstöße des Unternehmens. Seine Rolle ist beratend und überwachend. Für Entscheidungen der Geschäftsleitung trägt er keine Verantwortung.

Versicherungsschutz bei DSGVO-Verstößen

Was kann versichert werden?

Das Bußgeld selbst bleibt außen vor. Die Folgekosten eines Verstoßes lassen sich je nach Police über eine Cyberversicherung oder eine D&O-Versicherung auffangen. Die folgende Übersicht zeigt, wer welche Kostenart trägt.

MerkmalKostenartCyberversicherungD&O-Versicherung
DSGVO Bußgeld selbst
Rechtsverteidigungskosten
Schadensersatz an Betroffene (Art. 82)Teilweise
Benachrichtigungskosten
Forensik / Krisenmanagement
Regressansprüche gegen Geschäftsführer

Welche Police passt zu welchem Risiko?

Für wen ist DSGVO-Absicherung geeignet?

Geeignet für

  • KMU mit großen Mengen personenbezogener Kundendaten
  • Unternehmen, die Auftragsverarbeiter wie Cloud- oder Newsletter-Dienste nutzen
  • Geschäftsführer, die persönliche Regress- und Art.-82-Risiken absichern wollen
  • Betriebe ohne eigene IT-Forensik für den Ernstfall einer Datenpanne

Weniger geeignet für

  • Wer das Bußgeld selbst absichern möchte, denn das ist nicht versicherbar
  • Vorsätzliche Datenschutzverstöße, die der Versicherungsschutz ausschließt
  • Betriebe ohne jede personenbezogene Datenverarbeitung

Warum sind Bußgelder nicht versicherbar?

In Deutschland und vielen anderen Ländern gilt ein Bußgeld als nicht versicherbar. Der Grund ist seine Funktion: Es soll als Strafe abschrecken. Würde eine Versicherung den Betrag übernehmen, ginge diese präventive Wirkung verloren, weshalb eine solche Deckung als Verstoß gegen die öffentliche Ordnung (ordre public) gilt.

Achtung: Einige ausländische Versicherer bieten eine Bußgeld-Deckung an. Ob diese Policen in Deutschland durchsetzbar sind, ist rechtlich nicht abschließend geklärt. Verlassen Sie sich für die deutsche Praxis nicht darauf.

So minimieren Sie DSGVO-Risiken

Organisatorische Maßnahmen

  1. Datenschutz-Management-System aufbauen, das die Prozesse der Datenverarbeitung dokumentiert
  2. Verarbeitungsverzeichnis führen und alle Verarbeitungstätigkeiten erfassen
  3. Datenschutzbeauftragten benennen, sobald in der Regel mindestens 20 Personen ständig mit der Datenverarbeitung befasst sind
  4. Beschäftigte regelmäßig schulen, damit Datenschutz im Alltag ankommt
  5. Notfallplan für Datenpannen festlegen, bevor der Ernstfall eintritt

Technische Maßnahmen

Auf der technischen Seite gehören Verschlüsselung bei Übertragung und Speicherung, ein sauberes Berechtigungsmanagement, zeitnahe Sicherheitsupdates, eine getestete Backup-Strategie sowie Logging und Monitoring zur Pflichtausstattung nach Art. 32 DSGVO.

Versicherungsschutz

Zum Schutz vor den Folgekosten passt eine Cyberversicherung für Eigen- und Drittschäden bei Datenpannen, ergänzt um eine D&O-Versicherung für die persönliche Haftung der Geschäftsführung. Freiberufler und Selbstständige prüfen zusätzlich, ob ihre Berufshaftpflicht Datenschutzschäden einschließt.

Was tun bei einer Datenpanne? Die 72-Stunden-Checkliste

  1. Sofort handeln und den Schaden begrenzen, etwa kompromittierte Zugänge sperren
  2. Dokumentieren, was wann passiert ist und welche Daten betroffen sind
  3. Meldepflicht prüfen und das Risiko für die Betroffenen bewerten
  4. Melden, und zwar binnen 72 Stunden an die zuständige Aufsichtsbehörde (Art. 33 DSGVO)
  5. Betroffene informieren, sobald ein hohes Risiko besteht (Art. 34 DSGVO)
  6. Versicherung einschalten und die Cyberversicherung frühzeitig einbinden
  7. Ursachen beheben und die ausgenutzte Sicherheitslücke schließen

Gilt ein DSGVO Bußgeld auch für Privatpersonen?

Nein. Der Bußgeldrahmen aus Art. 83 DSGVO richtet sich an Unternehmen und Organisationen, die als Verantwortliche Daten verarbeiten. Eine rein private Datennutzung im persönlichen Umfeld fällt unter die Haushaltsausnahme (Art. 2 Abs. 2 DSGVO) und löst kein Bußgeld nach Art. 83 aus. Verarbeitet eine Privatperson Daten dagegen geschäftlich, etwa als Vermieter oder Influencer, gelten die Pflichten wie für jedes andere Unternehmen.

Art. 82 DSGVO: Schadensersatz neben dem Bußgeld

Ein DSGVO Bußgeld ist nicht das einzige finanzielle Risiko. Art. 82 DSGVO gibt jeder betroffenen Person einen direkten Anspruch auf Ersatz materieller und immaterieller Schäden. Gemeint ist damit auch der reine Kontrollverlust über die eigenen Daten, etwa nach einem Datenleck. Diese Ansprüche richten sich gegen den Verantwortlichen und laufen unabhängig von einem behördlichen Bußgeldverfahren.

Einzelne Ansprüche bewegen sich häufig zwischen rund 1.000 und 5.000 EUR. Sind von einer Datenpanne viele Personen betroffen, summieren sich die Forderungen. Der Europäische Gerichtshof hat in seinem Urteil vom 4. Mai 2023 (Rechtssache C-300/21, „Österreichische Post") klargestellt, dass ein Schadensersatzanspruch zwar einen tatsächlichen Schaden voraussetzt, dieser aber nicht erheblich sein muss. In Folgeentscheidungen wie der Rechtssache C-340/21 vom 14. Dezember 2023 hat das Gericht zudem bestätigt, dass bereits die begründete Befürchtung eines Datenmissbrauchs einen ersatzfähigen immateriellen Schaden darstellen kann. Für die Geschäftsführung kommt hinzu, dass deutsche Gerichte den Geschäftsführer in Einzelfällen gemeinsam mit der GmbH als Gesamtschuldner herangezogen haben.

Wie viele Bußgeldverfahren europaweit tatsächlich geführt werden, lässt sich nicht tagesaktuell beziffern. Der Europäische Datenschutzausschuss (EDPB, das Koordinierungsgremium der EU-Aufsichtsbehörden) veröffentlicht zur Bemessung von Geldbußen verbindliche Leitlinien, an denen sich die nationalen Behörden orientieren. Genaue Fallzahlen und Beträge nennt nur die jeweils zuständige Aufsichtsbehörde im Einzelfall.

Wie sich diese persönliche Haftung über eine D&O-Police absichern lässt, behandelt unser Ratgeber zur Geschäftsführerhaftung in der GmbH. Da ein Datenleck oft auf einen Cyberangriff zurückgeht, lohnt parallel der Blick auf die Pflichten aus der NIS-2-Richtlinie.

Fazit: DSGVO Bußgeld vermeiden und Folgekosten absichern

Das Bußgeld ist nicht versicherbar, die Folgekosten schon

Ein DSGVO Bußgeld trifft nicht nur Großkonzerne. Auch KMU und Freiberufler riskieren empfindliche Strafen, wenn sie Datenpannen nicht melden oder Betroffenenrechte ignorieren. Das Bußgeld selbst bleibt in Deutschland nicht versicherbar. Rechtsverteidigung, Benachrichtigung, Schadensersatz nach Art. 82 und IT-Forensik fängt dagegen eine Cyberversicherung für KMU auf. Für Regressansprüche gegen die Geschäftsführung greift die D&O-Versicherung. Freiberufler prüfen ergänzend ihre Berufshaftpflicht auf Datenschutzdeckung.

Der wirksamste Schutz bleibt sauberer Datenschutz von Anfang an: Verstöße dokumentieren, Datenpannen binnen 72 Stunden melden und technische Maßnahmen nach Art. 32 DSGVO umsetzen.

Art. 83 Abs. 5 DSGVO erlaubt bis zu 20 Mio. EUR oder 4 % des weltweiten Jahresumsatzes, je nachdem welcher Betrag höher ist. Für weniger schwere Verstöße gegen formale Pflichten gilt nach Art. 83 Abs. 4 ein Rahmen von 10 Mio. EUR oder 2 % des Umsatzes. Die Aufsichtsbehörde legt die konkrete Höhe innerhalb dieses Rahmens fest.

Nein. In Deutschland gilt ein Bußgeld als nicht versicherbar, weil es eine abschreckende Strafe sein soll. Eine Versicherung würde diese Wirkung untergraben. Versicherbar sind jedoch die Folgekosten: Anwalts- und Verteidigungskosten, IT-Forensik, Benachrichtigung Betroffener und Schadensersatz nach Art. 82 DSGVO.

Das Bußgeld trifft zunächst das Unternehmen als Verantwortlichen. Der Geschäftsführer kann aber über zwei Wege persönlich belangt werden: durch Regressansprüche des Unternehmens bei verletzten Organisationspflichten und durch Art. 82 DSGVO, nach dem Gerichte ihn als Gesamtschuldner für Schadensersatz heranziehen können.

Typisch sind eine fehlende Rechtsgrundlage nach Art. 6 DSGVO, schwache technische Sicherheitsmaßnahmen nach Art. 32, fehlende Auftragsverarbeitungsverträge nach Art. 28 sowie eine verspätete oder unterlassene Meldung von Datenpannen. Auch unvollständige Datenschutzerklärungen führen regelmäßig zu Beschwerden.

Stellt eine Datenpanne ein Risiko für die Rechte Betroffener dar, müssen Sie sie binnen 72 Stunden nach Bekanntwerden an die zuständige Aufsichtsbehörde melden (Art. 33 DSGVO). Bei hohem Risiko sind zusätzlich die Betroffenen direkt zu informieren (Art. 34). Eine verspätete Meldung kann selbst ein eigenständiger Verstoß sein.

Art. 82 DSGVO gibt Betroffenen einen direkten Anspruch auf Ersatz materieller und immaterieller Schäden, etwa für einen Kontrollverlust über die eigenen Daten. Einzelne Ansprüche bewegen sich häufig im Bereich von rund 1.000 bis 5.000 EUR, bei größeren Datenpannen summieren sie sich über viele Kläger.

Neben dem eigentlichen Bußgeld fallen Kosten für Anwälte, IT-Forensik, die Benachrichtigung Betroffener und mögliche Schadensersatzforderungen an. In der Praxis können auch kleinere Vorfälle bei KMU Gesamtkosten im Bereich von 20.000 bis 100.000 EUR verursachen.

Teilweise. Eine D&O-Versicherung deckt Regressansprüche gegen die Geschäftsführung, wenn dem Unternehmen durch mangelhaften Datenschutz ein Schaden entstanden ist, sowie die Verteidigungskosten. Das Bußgeld selbst bleibt nicht versicherbar.

Hinweis: Die Inhalte dieser Seite dienen der allgemeinen Information und stellen keine Rechts- oder individuelle Versicherungsberatung dar. Sie ersetzen keine Beratung durch einen zugelassenen Versicherungsvermittler oder eine Rechtsanwältin beziehungsweise einen Rechtsanwalt. Angaben zu Gesetzen und Urteilen ohne Gewähr.

Schutz bei Datenpannen

Eine Cyberversicherung hilft bei den Folgekosten von Datenpannen, von der Forensik bis zur Benachrichtigung Betroffener.

Zur Cyberversicherung