Die bekannten Bußgeldobergrenzen: und warum sie nicht die ganze Geschichte sind
Artikel 83 DSGVO legt zwei wesentliche Bußgeldobergrenzen fest:
- Stufe 1 (Art. 83 Abs. 4): bis zu 10.000.000 € oder 2 % des globalen Jahresumsatzes, je nachdem, was höher ist: für Verstöße gegen Auftragsverarbeiterpflichten, DSB-Anforderungen, DSFA-Pflichten und Benachrichtigungspflichten bei Datenschutzverstößen
- Stufe 2 (Art. 83 Abs. 5): bis zu 20.000.000 € oder 4 % des globalen Jahresumsatzes, je nachdem, was höher ist: für Verstöße gegen Grundsätze, Einwilligungsregeln, Betroffenenrechte, internationale Übermittlungsbeschränkungen und Anordnungen der Aufsichtsbehörde
Diese Obergrenzen sind Maximalwerte, keine typischen Ergebnisse. Die EDPB-Leitlinien 04/2022 erklären, wie die Behörden vom Maximum zum tatsächlichen Bußgeld gelangen.
Die fünfstufige Methodik des EDPB
Schritt 1: Alle betroffenen Verarbeitungsvorgänge identifizieren
Vor der Bußgeldberechnung müssen die Behörden jeden einzelnen Verstoß kartieren. Verarbeitungsvorgänge mit einem gemeinsamen rechtswidrigen Zweck können gemeinsam bewertet werden; separate rechtswidrige Zwecke führen zu separaten Bußgeldern.
Schritt 2: Verstoß einstufen und Ausgangspunkt festlegen
Die Behörde stuft den Verstoß ein als:
- Weniger schwerwiegend (0–10 % des anwendbaren Maximums): geringfügiger Verfahrensverstoß, begrenzte Auswirkungen
- Schwerwiegend (10–30 % des Maximums): erheblicher Verstoß, mittlere Anzahl betroffener Personen
- Sehr schwerwiegend (30–100 % des Maximums): systematischer Verstoß, großangelegter Verstoß, sensible Datenkategorien
Schritt 3: Erschwerende und mildernde Umstände berücksichtigen
Der EDPB benennt zehn Kategorien von Faktoren nach Art. 83 Abs. 2, die Behörden abwägen müssen:
| Faktor | Richtung |
|---|---|
| Vorsätzliches Verhalten | Erschwerend (+) |
| Fahrlässiges Verhalten | Neutral |
| Versehentlicher/technischer Fehler | Mildernd (−) |
| Lange Dauer | Erschwerend |
| Große Anzahl Betroffener | Erschwerend |
| Sensible Datenkategorien | Erschwerend |
| Volle Zusammenarbeit mit Behörde | Mildernd |
| Selbstmeldung des Verstoßes | Mildernd |
| Zuvor gewarnt/bestraft | Erschwerend |
| Starke Präventivmaßnahmen | Mildernd |
Schritt 4: Wirksamkeit, Verhältnismäßigkeit und Abschreckung sicherstellen
Der resultierende Betrag muss wirksam, verhältnismäßig und abschreckend sein: dies kann das Bußgeld für ein großes profitables Unternehmen erhöhen oder für einen kleinen Verantwortlichen ohne Zahlungsfähigkeit reduzieren.
Schritt 5: Gesetzliches Maximum prüfen
Der endgültige Betrag darf die gesetzliche Obergrenze nicht überschreiten.
Muster aus realen Fällen
Die größten DSGVO-Bußgelder konzentrieren sich auf Stufe-2-Verstöße:
- Meta (2023): 1,2 Milliarden €: Verstoß gegen internationale Datentransferregeln (Übermittlung in die USA ohne ausreichende Schutzmaßnahmen)
- Amazon (2021): 746 Millionen €: rechtswidrige Werbung, Einwilligungsprobleme
- WhatsApp (2021): 225 Millionen €: Transparenz- und Informationspflichten