Bußgelder nach der Datenschutz-Grundverordnung (GDPR): Was sollten Sie erwarten?

Die General Data Protection Regulation (GDPR) ist ein globaler Standard, der den Datenschutzbehörden mehr Durchsetzungskraft verleiht, als sie unter der vorherigen Datenschutzrichtlinie 95/46/EG (DPD) hatten, sowie die Befugnis, erhebliche Bußgelder zu verhängen. Während die DPD keinen genauen Betrag für Verwaltungsstrafen bei Nichteinhaltung festlegte, können die Höchststrafen für Verstöße gegen die GDPR bis zu 20 Millionen Euro oder 4% des weltweiten Jahresumsatzes der Organisation aus dem vorangegangenen Geschäftsjahr erreichen. Diese Strafen sind wesentlich höher als die für jeden anderen aktuellen Standard (z.B. HIPAA, GLBA oder SOX).

Obwohl die GPDR noch nicht in Kraft getreten ist, stehen Organisationen bereits vor Problemen, da sie nicht nachweisen können, dass sie den Standard einhalten. Jüngste Beispiele sind Flybe und Honda, die von der Information Commissioner’s Office wegen Verstoßes gegen die Regeln für Marketing-E-Mails mit Geldstrafen belegt wurden. Beide Unternehmen versuchten, die GDPR einzuhalten und im Voraus die Zustimmung der Kunden einzuholen, indem sie E-Mails verschickten, um zu fragen, ob die Menschen Marketinginformationen von ihnen erhalten möchten. Dabei verstießen sie jedoch gegen die britischen Datenschutzvorschriften für elektronische Kommunikation (PECR), die solche E-Mails ohne die richtige Zustimmung verbieten, da sie als Marketingmaterialien angesehen werden.

In diesem Blogbeitrag gibt Netwrix Antworten auf die häufigsten Fragen zu GDPR-Strafen, um Ihnen zu helfen, besser zu verstehen, wie Bußgelder festgelegt werden und welche Anforderungen die höchsten Strafen nach sich ziehen.

Wie werden Bußgelder festgelegt?

Gemäß Artikel 83 der DSGVO haben Aufsichtsbehörden (SAs) oder andere unabhängige öffentliche Stellen, die für den Schutz der Rechte natürlicher Personen verantwortlich sind, das Recht, Geldbußen gegen jede Organisation zu verhängen, die nicht nachweisen kann, dass sie die GDPR compliance einhält. Diese Geldbußen müssen „wirksam, verhältnismäßig und abschreckend“ sein. Es gibt mehrere Kriterien, die den SAs dabei helfen zu bestimmen, ob eine Organisation eine Geldbuße zahlen muss oder nicht, und wie hoch diese Geldbuße sein muss:

• Art des Verstoßes — Die Anzahl der betroffenen Personen und der ihnen entstandene Schaden; die Art, Schwere und Dauer des Verstoßes; sowie der Zweck der Datenverarbeitung
• Absicht — Ob die Verletzung vorsätzlich oder fahrlässig war
• Milderung — Welche Maßnahmen wurden vom Datenverantwortlichen oder -verarbeiter ergriffen, um den Schaden für die betroffenen Personen zu minimieren
• Präventive Maßnahmen — Das Maß an Verantwortung des Verantwortlichen und des Auftragsverarbeiters, sowie welche technischen und organisatorischen Maßnahmen die Organisation ergriffen hat, um Nichtkonformität zu verhindern
• Geschichte — Jegliche relevante frühere Verstöße durch den Verantwortlichen oder den Auftragsverarbeiter
• Zusammenarbeit — Wie bereit das Unternehmen war, mit der SA zusammenzuarbeiten, um den Verstoß zu beheben und seine möglichen Auswirkungen zu mildern
• Datentyp — Welche Kategorien personenbezogener Daten von der Verletzung betroffen sind
• Benachrichtigung — Ob der Verantwortliche oder der Auftragsverarbeiter den Verstoß proaktiv gemeldet hat
• Zertifizierung — Ob das Unternehmen Zertifizierungen erhalten oder sich an anerkannte Verhaltenskodizes gehalten hat
• Sonstige — Sonstige erschwerende oder mildernde Umstände, die für den Sachverhalt des Falles zutreffen, z. B. finanzielle Vorteile oder vermiedene Verluste

Was sind die Bußgeldstufen der DSGVO?

Artikel 83 beschreibt auch zwei Stufen von Bußgeldern, denen Organisationen gegenüberstehen können, wenn sie nicht nachweisen können, dass sie die DSGVO einhalten. Die Stufen basieren in erster Linie darauf, welche Anforderung verletzt wurde.

Stufe Eins. Auf dieser Stufe stehen Organisationen Strafen von bis zu 10 Millionen Euro oder 2% ihres weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres bevor. Stufe Eins gilt für Verstöße gegen die folgenden Anforderungen:

• Pflichten des Verantwortlichen und des Auftragsverarbeiters — Einer der größten Abschnitte der DSGVO widmet sich den Verantwortlichkeiten der Datenverantwortlichen und Auftragsverarbeiter für eine ordnungsgemäße Datenverarbeitung und -schutz. Dies umfasst den Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen (Artikel 25), Regeln in Bezug auf die Sicherheit der Verarbeitung (Artikel 32) und die rechtzeitige Benachrichtigung über eine data breach an die Aufsichtsbehörden (Artikel 33) und die betroffenen Personen (Artikel 34). Außerdem sind sowohl Verantwortliche als auch Auftragsverarbeiter verpflichtet, Datenschutz-Folgenabschätzungen (Artikel 35) durchzuführen, um Sicherheitsrisiken im Zusammenhang mit der Datenverarbeitung zu identifizieren und zu mindern.
• Benachrichtigung über Datenpannen (Artikel 33-34) — Artikel 33 der DSGVO verpflichtet Datenverantwortliche, Aufsichtsbehörden im Falle einer Verletzung des Schutzes personenbezogener Daten unverzüglich und spätestens 72 Stunden, nachdem sie Kenntnis von der Datenpanne erlangt haben, zu benachrichtigen, es sei denn, die Verletzung ist voraussichtlich nicht geeignet, die Rechte und Freiheiten natürlicher Personen zu gefährden. Artikel 34 behandelt die Benachrichtigung von betroffenen Personen über Datenpannen und spezifiziert die Details, die Organisationen bereitstellen müssen (einschließlich der Art der Verletzung, einer Kontaktstelle und der wahrscheinlichen Folgen).
• Verpflichtungen der Überwachungsstelle (Artikel 41) — Artikel 41 behandelt die Überwachung genehmigter Verhaltenskodizes, die von einer Stelle mit entsprechender Expertise durchgeführt werden sollte und die zu diesem Zweck von einer zuständigen Aufsichtsbehörde akkreditiert ist.
• Verpflichtungen der Zertifizierungsstelle (Artikel 42 und 43) — Gemäß Artikel 42 sollen Mitgliedstaaten und Aufsichtsbehörden die Einrichtung von Datenschutzzertifizierungsmechanismen fördern, um Datenverantwortlichen und -verarbeitern zu helfen, die Einhaltung der DSGVO nachzuweisen. Zertifizierungen können entweder von einer akkreditierten Zertifizierungsstelle oder vom Europäischen Datenschutzausschuss ausgestellt werden. Artikel 43 besagt, dass eine Akkreditierung für eine Zertifizierungsstelle nur unter bestimmten Umständen verfügbar ist, z. B., wenn die Stelle bestimmte Unabhängigkeit und Fachkenntnis nachweist oder Verfahren zur Bearbeitung von Beschwerden über Verstöße etabliert.

Level Two. At this higher tier, fines are assessed for more serious infringements by controllers and processors, such as violation of a data subject’s rights or conditions of consent. Fines at this level are 20 million euros or 4% of the company’s global annual turnover for the preceding financial year. Level two includes violations of the following provisions of the GDPR:

• Grundprinzipien für die Datenverarbeitung — Dies umfasst allgemeine Regeln für die Datenverarbeitung (Artikel 5), Rechtmäßigkeit der Verarbeitung (Artikel 6), Bedingungen für die Einwilligung (Artikel 7 und 8) und die Verarbeitung besonderer Kategorien sensibler Daten (Artikel 9–11).
• Data subjects’ rights (Articles 12–22) — The articles define multiple rights of data subjects that significantly affect the way organizations can store and process personal data. Examples include the right to confirm whether personal data is being processed (Article 15), the right to rectify inaccurate personal data (Article 16), the right to be forgotten (Article 17), the right to restriction of processing (Article 18), the right to easily transmit data to other controllers (Article 20) and the right to object to data processing activities (Article 21).
• Transfers of personal data (Articles 44–50) — Chapter 5 governs data transfers to third countries or international organizations. This includes the general principles of data transfers (Article 44), transfers or disclosures not authorized by EU law (Article 48), and rules about international cooperation for the protection of personal data (Article 50).
• Orders from supervisory authorities — Finally, organizations can face level two fines if they fail to comply with an order by a Supervisory Authority to limit or suspend the processing of data (Article 58).

View infographic (click on the image to open a high resolution version in a new tab)

Is there any additional compensation for data subjects?

Similar to the DPD, the GDPR allows data subjects to seek monetary damages in court from controllers and processors who violate their rights. This includes cases when organizations are liable for a data breach, violate the processor-specific provisions of the GDPR, or act outside a controller’s lawful instruction (Articles 79 and 82).

Summary

Apart from imposing fines, supervisory authorities have other corrective powers in case of non-compliance, which include issuing warnings and reprimands, and — in extreme cases — banning the organization from processing personal data (Article 58). Therefore, organizations need to ensure that they have effective policies and procedures in place to ensure explicit consent, identify and report breaches, and comply with other GDPR provisions. It’s wise to start by paying attention to the areas that impose the highest penalties, by following basic rules for proper data processing and making sure that they do not violate the rights of data subjects.

FAQ

How are GDPR fines calculated?

GDPR fines follow a two-tier structure that can hit hard: administrative fines of up to €10 million or 2% of global annual turnover for lesser violations, and up to €20 million or 4% of global turnover for more serious breaches. But here’s what matters more than the maximums – regulators consider ten specific factors when calculating your actual penalty, including the nature and severity of the infringement, whether it was intentional or negligent, and most importantly, the technical and organizational measures you had in place to prevent it.

The calculation isn’t arbitrary. Authorities evaluate your cooperation during the investigation, whether you’ve notified them promptly about breaches, and if you’ve taken steps to mitigate damage to affected individuals. Companies that demonstrate robust identity and access controls, proper data classification, and clear breach response procedures typically see significantly reduced penalties. Data security that starts with identity isn’t just good practice – it’s your best defense against maximum fines when things go wrong.

What is the maximum GDPR fine?

The maximum GDPR fine is €20 million or 4% of your organization’s total global annual turnover from the preceding financial year, whichever is higher. This tier applies to the most serious violations like inadequate legal basis for processing, violating data protection principles, or failing to implement proper technical and organizational security measures.

The €10 million or 2% threshold applies to “lesser” violations such as not maintaining proper records, failing to conduct impact assessments, or not appointing a Data Protection Officer when required. But don’t let the word “lesser” fool you – these fines can still devastate most organizations. The key insight? Regulators consistently reduce penalties for companies that can demonstrate proactive security measures, especially identity-based controls that show you’re serious about preventing unauthorized access to personal data.

How to avoid GDPR fines?

Avoiding GDPR fines starts with getting identity right. Most penalties stem from unauthorized access to personal data, which means your first line of defense is implementing least privilege access controls and maintaining clear visibility into who can access what data, when, and why. You can’t secure what you can’t see, and you can’t control what you don’t monitor.

Build your defense strategy around three pillars: technical security measures (encryption, access controls, monitoring), organizational processes (staff training, incident response plans, regular audits), and documentation that proves compliance. When breaches happen – and they will – having automated breach detection and response capabilities can mean the difference between a minor penalty and a maximum fine. Regulators look favorably on organizations that can demonstrate they’ve invested in proper security infrastructure and can respond quickly to contain damage.

The most effective approach connects identity management to data protection. Implement role-based access controls, regular access reviews, and automated provisioning that ensures people only have access to the personal data they need for their job. This isn’t just about compliance – it’s about building security that actually works in practice, not just on paper.

What fines can be imposed under GDPR?

GDPR allows regulators to impose administrative fines across two tiers, but the regulation gives them significant discretion in how they apply penalties. Tier 1 violations can result in fines up to €10 million or 2% of global annual turnover and typically involve procedural failures like inadequate record-keeping, missing privacy notices, or failure to conduct required impact assessments.

Tier 2 violations carry the headline-grabbing penalties of up to €20 million or 4% of global turnover and focus on fundamental data protection failures: processing without legal basis, violating core data protection principles, or implementing inadequate technical and organizational security measures. But here’s what the headlines miss – regulators also consider corrective measures like temporary processing bans, audit requirements, and certification mandates that can be just as disruptive to your business.

The real enforcement trend shows regulators increasingly focus on technical security failures, particularly around access controls and breach response. Organizations that can demonstrate comprehensive identity and access management programs, with clear audit trails and automated response capabilities, consistently receive lower penalties even when violations occur. The message is clear: invest in proper security infrastructure that starts with identity, and regulators will notice.

What is the fine for not complying with GDPR?

Non-compliance with GDPR can trigger the full range of penalties: fines up to €20 million or 4% of global turnover, processing bans that shut down business operations, mandatory audits that consume resources for months, and corrective orders that force expensive system overhauls. But the financial penalty is often just the beginning – the real cost comes from business disruption, reputation damage, and the operational overhead of remediation.

Recent enforcement data shows that “non-compliance” isn’t binary. Regulators distinguish between organizations that make good-faith efforts to comply and those that ignore their obligations entirely. Companies with documented security programs, even imperfect ones, typically face corrective measures rather than maximum fines. Those without basic technical safeguards – proper access controls, breach detection, or incident response capabilities – get hit with the full penalty structure.

The practical reality is that compliance isn’t about perfection; it’s about demonstrating systematic effort to protect personal data through appropriate technical and organizational measures. Regulators consistently reward organizations that can show they’ve implemented identity-based security controls, maintain proper audit trails, and respond quickly when issues arise. Data security that starts with identity isn’t just compliance theater – it’s the foundation of a defensible GDPR program.