„Was kann das im schlimmsten Fall kosten?“ – diese Frage höre ich in Erstgesprächen fast so oft wie die nach der Bestellpflicht. Die Schlagzeilen über Millionenstrafen gegen große Konzerne tragen ihren Teil zur Verunsicherung bei. Sie zeichnen aber ein verzerrtes Bild davon, was ein mittelständisches Unternehmen aus dem Neckar-Alb-Raum tatsächlich erwartet.
In diesem Ratgeber erkläre ich, wie das Bußgeldsystem der DSGVO aufgebaut ist, welche Kriterien die Aufsichtsbehörden bei der Bemessung anlegen und welche Verstöße in der Praxis am häufigsten geahndet werden. Vor allem aber zeige ich, warum ein funktionierendes Datenschutzmanagement die beste und günstigste Versicherung gegen ein Bußgeld ist.
Das zweistufige Bußgeldsystem der DSGVO
Die DSGVO kennt in Artikel 83 zwei Bußgeldrahmen. Welcher gilt, hängt davon ab, gegen welche Pflicht verstoßen wurde. Verstöße gegen eher formale, organisatorische Vorgaben fallen in die niedrigere Stufe, Verstöße gegen die Grundprinzipien der Verarbeitung in die höhere.
Wichtig zu verstehen: Die genannten Beträge sind Höchstgrenzen, keine Regelstrafen. Bei Unternehmen gilt jeweils der höhere der beiden Werte – also entweder der feste Eurobetrag oder der Prozentsatz vom weltweiten Jahresumsatz. Für einen Konzern ist der Umsatzanteil oft schmerzhafter, für ein kleines Unternehmen meist der Eurobetrag die theoretische Obergrenze.
| Bußgeldstufe | Höchstgrenze | Typische Verstöße |
|---|---|---|
| Untere Stufe (Art. 83 Abs. 4) | bis 10 Mio. € oder 2 % des weltweiten Jahresumsatzes | Fehlendes Verarbeitungsverzeichnis, kein AV-Vertrag, nicht benannter Datenschutzbeauftragter, verspätete oder fehlende Datenpannen-Meldung, mangelhafte technisch-organisatorische Maßnahmen |
| Obere Stufe (Art. 83 Abs. 5) | bis 20 Mio. € oder 4 % des weltweiten Jahresumsatzes | Verarbeitung ohne Rechtsgrundlage, Missachtung von Betroffenenrechten, unzulässige Drittlandübermittlung, Verstoß gegen die Verarbeitungsgrundsätze, Ignorieren einer Behördenanordnung |
Diese Tabelle zeigt einen wichtigen Punkt: Mancher Verstoß, den Unternehmen für ein reines Formthema halten – etwa ein fehlender AV-Vertrag –, fällt zwar in die untere Stufe, ist aber durchaus bußgeldbewehrt. Die untere Stufe ist nicht die harmlose Stufe.
Welche Kriterien die Behörde bei der Bemessung anlegt
Eine Aufsichtsbehörde greift nicht zur Höchststrafe, sobald sie einen Verstoß feststellt. Artikel 83 Abs. 2 gibt einen ganzen Katalog von Kriterien vor, die in die Bemessung einfließen. Das ist gut zu wissen, denn auf viele dieser Punkte hat ein Unternehmen selbst Einfluss.
Schwere und Dauer des Verstoßes
Wie viele Personen sind betroffen, welche Datenkategorien, über welchen Zeitraum? Ein einmaliger Fehler bei wenigen Datensätzen wiegt anders als eine über Jahre laufende, systematische Verarbeitung ohne Rechtsgrundlage. Besonders sensibel wird es, wenn besondere Kategorien personenbezogener Daten betroffen sind – etwa Gesundheitsdaten.
Vorsatz oder Fahrlässigkeit
Es macht einen erheblichen Unterschied, ob ein Verstoß vorsätzlich begangen wurde oder fahrlässig passiert ist. Wer nachweislich versucht hat, die Vorgaben einzuhalten, und trotzdem einen Fehler gemacht hat, steht deutlich besser da als jemand, der die Pflichten bewusst ignoriert hat.
Kooperation und Eigeninitiative
Ob ein Unternehmen mit der Aufsichtsbehörde kooperiert, einen Vorfall selbst meldet und aktiv an der Aufklärung mitwirkt, wirkt strafmildernd. Wer mauert, Fristen verstreichen lässt oder Auskünfte verweigert, verschlechtert seine Lage. Ich erlebe immer wieder, dass gerade die Kooperationsbereitschaft am Ende den entscheidenden Unterschied macht.
Frühere Verstöße und getroffene Maßnahmen
Hat es in der Vergangenheit bereits Beanstandungen gegeben? Und welche technischen und organisatorischen Maßnahmen waren zum Zeitpunkt des Verstoßes vorhanden? Ein Unternehmen, das ein dokumentiertes Datenschutzmanagement vorweisen kann, demonstriert, dass es seine Pflichten ernst nimmt – auch wenn im Einzelfall etwas schiefgelaufen ist.
Diese Kriterien sind keine theoretische Spielerei. Ich erlebe in der Praxis, dass Behörden sehr genau hinschauen, ob ein Unternehmen Strukturen vorweisen kann oder nicht. Wer nach einem Vorfall die Akten lückenlos vorlegt, ein gepflegtes Verarbeitungsverzeichnis zeigt und belegt, dass Mitarbeiter geschult wurden, signalisiert: Hier wurde Datenschutz nicht ignoriert, sondern ernst genommen. Das verändert den Ton eines Verfahrens spürbar. Umgekehrt verhärtet sich die Haltung der Behörde, wenn auf jede Nachfrage Schweigen oder Ausreden folgen. Die Bußgeldhöhe ist also kein reiner Würfelwurf, sondern in weiten Teilen das Ergebnis dessen, wie ein Unternehmen vor und nach dem Vorfall agiert hat.
Die realistische Perspektive für kleine und mittlere Unternehmen
Ich will hier weder beschwichtigen noch Panik schüren. Beides hilft nicht. Die ehrliche Einordnung lautet: Für ein typisches KMU aus Tübingen, Reutlingen oder dem Zollernalbkreis sind die spektakulären Millionenbeträge praktisch nie das Thema. Die Behörden bemessen verhältnismäßig, und der wirtschaftliche Rahmen eines kleinen Unternehmens spielt dabei eine Rolle.
Real sind aber Bußgelder im vier- bis fünfstelligen Bereich – und die treffen ein kleines Unternehmen empfindlich. Hinzu kommt: Ein Bußgeld ist selten der einzige Schaden. Reputationsverlust, der Aufwand für die Aufarbeitung und mögliche zivilrechtliche Schadensersatzansprüche Betroffener kommen obendrauf. Der häufigste Auslöser für ein behördliches Verfahren ist übrigens nicht die anlasslose Kontrolle, sondern die Beschwerde einer betroffenen Person – eines verärgerten Kunden, eines ehemaligen Mitarbeiters, eines Bewerbers.
Die Verstöße, die in der Praxis am häufigsten auffallen
Aus meiner Arbeit mit über hundert Unternehmen kenne ich die Schwachstellen, die immer wieder zu Beanstandungen führen. Sie sind selten exotisch.
- Fehlende Rechtsgrundlage: Daten werden verarbeitet, ohne dass eine saubere Grundlage nach Art. 6 DSGVO dokumentiert wäre – etwa Newsletter-Versand ohne wirksame Einwilligung.
- Unzureichende technisch-organisatorische Maßnahmen: Die TOMs sind nicht oder nur auf dem Papier umgesetzt. Offene Zugriffsrechte, fehlende Verschlüsselung, keine Löschkonzepte.
- Verspätete Datenpannen-Meldung: Die 72-Stunden-Frist wird gerissen, weil im Unternehmen niemand weiß, wann und wie zu melden ist. Wie das richtig läuft, erkläre ich im Ratgeber Datenpanne melden.
- Fehlende AV-Verträge: Dienstleister verarbeiten Daten im Auftrag, ohne dass ein Vertrag nach Art. 28 DSGVO geschlossen wurde. Details dazu im Ratgeber Auftragsverarbeitung.
- Missachtung von Betroffenenrechten: Auskunfts- oder Löschanträge bleiben unbeantwortet oder werden zu spät bearbeitet.
Das Tückische an dieser Liste: Keiner dieser Punkte erfordert Spezialwissen, um ihn zu beheben. Es sind organisatorische Grundlagen, die einfach nicht erledigt wurden.
Wie ein Verfahren überhaupt ins Rollen kommt
Viele Unternehmer stellen sich die Aufsichtsbehörde als eine Art Streife vor, die anlasslos Betriebe abklappert. So läuft es in den seltensten Fällen. Der weitaus häufigste Auslöser ist die Beschwerde einer betroffenen Person. Ein Bewerber, der keine Antwort auf seinen Auskunftsantrag bekommt. Ein Kunde, der trotz Abmeldung weiter Newsletter erhält. Ein ehemaliger Mitarbeiter, der sich über die Aufbewahrung seiner Daten ärgert. Solche Beschwerden sind in wenigen Minuten online eingereicht, und die Behörde ist verpflichtet, ihnen nachzugehen.
Daneben gibt es die Meldung einer Datenpanne, die ein Verfahren auslösen kann, sowie Hinweise aus der Presse oder von Wettbewerbern. Wer das verinnerlicht, erkennt: Der beste Schutz vor einem Verfahren ist nicht Unauffälligkeit, sondern zufriedene Betroffene, deren Rechte zügig und korrekt bearbeitet werden. Genau deshalb ist ein sauberer Umgang mit Auskunfts- und Löschanträgen so viel wert – er verhindert die Beschwerde, bevor sie entsteht. Auch eine solide Datenschutzberatung setzt hier an: bei den alltäglichen Prozessen, nicht bei abstrakten Paragrafen.
Ein funktionierendes Datenschutzmanagement ist die beste Versicherung
Wenn ich Mandanten eines mitgebe, dann das: Der wirksamste Schutz vor einem Bußgeld ist nicht die Hoffnung, übersehen zu werden, sondern ein nachweisbar funktionierendes Datenschutzmanagement. Es wirkt gleich doppelt.
Erstens verhindert es Verstöße im Vorfeld. Wer ein gepflegtes Verarbeitungsverzeichnis führt, seine AV-Verträge geschlossen hat und seine Mitarbeiter regelmäßig schult, läuft schlicht in deutlich weniger Fallen.
Zweitens wirkt es im Ernstfall strafmildernd. Sollte trotz aller Sorgfalt etwas passieren, kann ich gegenüber der Behörde belegen, dass das Unternehmen seine Pflichten ernst genommen hat. Genau das ist eines der Kriterien aus Art. 83, das die Bußgeldhöhe nach unten zieht.
Als externer Datenschutzbeauftragter baue ich genau dieses Management mit meinen Mandanten auf – pragmatisch, an die Größe und Branche des Unternehmens angepasst und ohne bürokratischen Selbstzweck. Im Rahmen eines Datenschutz-Audits identifizieren wir zunächst die größten Risiken und schließen sie der Reihe nach. Das nimmt die diffuse Angst vor dem Bußgeld und ersetzt sie durch Klarheit über den eigenen Stand.
Fazit: Risiko ernst nehmen, ohne sich verrückt zu machen
Das DSGVO-Bußgeld ist ein reales Risiko, aber kein Schreckgespenst, das man nicht beherrschen könnte. Wer die häufigen Verstöße kennt, seine organisatorischen Grundlagen erledigt und im Ernstfall kooperiert, hat die Bußgeldhöhe weitgehend selbst in der Hand. Die Höchststrafen aus den Schlagzeilen sind für den Mittelstand die absolute Ausnahme, nicht die Regel.
Wenn Sie wissen möchten, wo Ihr Unternehmen aktuell steht und welche der typischen Schwachstellen bei Ihnen offen sind, lassen Sie uns sprechen. In einem unverbindlichen Erstgespräch ordne ich Ihr Risiko ehrlich ein und zeige Ihnen die nächsten sinnvollen Schritte. Nehmen Sie Kontakt auf – das ist deutlich günstiger als jedes Bußgeld.