MünchenBerlinMo–Fr 08:30–18:30
DE / EN
Wirtschaftskanzlei
für den Mittelstand
StartseiteInsightsGewerblicher Rechtsschutz, IT-Recht & Datenschutz
Gewerblicher Rechtsschutz, IT & Datenschutz · Rechtsgebiet 5

DSGVO-Bußgeld abwehren – anwaltliche Beratung

DSGVO-Bußgeld abwehren: Rechtslage, Fristen und anwaltliche Begleitung für den Mittelstand – BRANDT & FALK, München & Berlin.

Ein Schreiben der Datenschutzbehörde liegt auf dem Tisch – Bußgeldankündigung oder Einleitungsbescheid. Für viele Geschäftsführer im Mittelstand ist dieser Moment unvorbereitet. Die Frage ist dann nicht mehr, ob ein Verstoß im Raum steht, sondern wie Sie die Situation rechtlich bewältigen, die Höhe eines möglichen Bußgelds begrenzen und Ihr Unternehmen handlungsfähig halten.

Nach Art. 83 DSGVO können Datenschutzbehörden Bußgelder von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes verhängen – je nachdem, welcher Betrag höher ist. Für mittelständische Unternehmen ist entscheidend, dass ein Bußgeld in vielen Fällen abgewehrt, erheblich reduziert oder prozessual angefochten werden kann. Die Chancen hängen von der Qualität der anwaltlichen Intervention und dem Zeitpunkt ab, zu dem professionelle Unterstützung eingebunden wird.

Dieser Beitrag legt den Rechtsrahmen dar, erläutert die Verteidigungsstrategien und zeigt die konkreten Handlungsschritte, die Geschäftsführern im Verfahren vor der Datenschutzbehörde zur Verfügung stehen.

Rechtsgrundlage: Was Art. 83 DSGVO für den Mittelstand bedeutet

Art. 83 DSGVO bildet die zentrale Bußgeldnorm des europäischen Datenschutzrechts. Er legt nicht nur den Bußgeldrahmen fest, sondern definiert auch die Kriterien, anhand derer Behörden das Bußgeld bemessen. Diese Kriterien sind zugleich die Ansatzpunkte jeder anwaltlichen Verteidigung.

Höchstbetrag nach Art. 83 Abs. 5 DSGVO: bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes – für Verstöße gegen Grundprinzipien, Betroffenenrechte oder Übermittlungsvorschriften. Für weniger schwere Verstöße, etwa bei technisch-organisatorischen Maßnahmen oder der Pflicht zur Führung eines Verzeichnisses von Verarbeitungstätigkeiten, greift der niedrigere Rahmen von Art. 83 Abs. 4 DSGVO: bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes.

In der Mandatspraxis sehen wir, dass Behörden den Umsatzrahmen bei Mittelstandsunternehmen häufig als Ausgangspunkt wählen – nicht den nominalen Höchstbetrag in Euro. Das schützt kleine Betriebe aber nur bedingt: Bei einem Jahresumsatz von 50 Millionen Euro ergibt 4 % immer noch ein theoretisches Bußgeld von 2 Millionen Euro. Entscheidend ist daher die Auseinandersetzung mit den behördeninternen Bemessungsfaktoren.

Art. 83 Abs. 2 DSGVO listet zehn Kriterien für die Bußgeldbemessung, darunter: Art, Schwere und Dauer des Verstoßes, Vorsatz oder Fahrlässigkeit, ergriffene Maßnahmen zur Minderung des Schadens, Grad der Verantwortung sowie frühere einschlägige Verstöße. Jedes dieser Kriterien lässt sich anwaltlich adressieren – durch Sachverhaltsaufbereitung, Dokumentation von Compliance-Maßnahmen und gezielten Vortrag im Behördenverfahren.

Wann muss ein Bußgeld nicht bezahlt werden – und wann ist Anfechtung sinnvoll?

Nicht jede Bußgeldankündigung führt zwingend zur Zahlung. Die Verteidigung im DSGVO-Bußgeldverfahren folgt einer klaren Logik: erst das Verfahren auf formale und materielle Fehler prüfen, dann sachlich zur Bußgeldhöhe vortragen, und erst nach Ausschöpfung der behördlichen Instanz gegebenenfalls den Verwaltungsrechtsweg beschreiten.

Formale Angriffspunkte betreffen häufig Zuständigkeitsfragen, Verjährungsfristen oder Verfahrensfehler bei der Anhörung. Materiell-rechtlich steht im Mittelpunkt, ob der Verstoß tatsächlich vorliegt, in welchem Umfang das Unternehmen Verantwortung trägt und ob Mitverschulden Dritter – etwa eines Auftragsverarbeiters – mindernd berücksichtigt werden muss.

Nach unserer Erfahrung reduzieren sich Bußgelder in Verfahren, in denen das Unternehmen frühzeitig kooperiert, vollständige Dokumentation vorlegt und nachweislich Abhilfemaßnahmen ergriffen hat, gegenüber dem behördlichen Ausgangsentwurf regelmäßig erheblich. Das ist kein Selbstläufer – es setzt eine strukturierte Kommunikation mit der Behörde voraus, die durch eine begleitende Kanzlei koordiniert wird.

Auf Verwaltungsebene ist die Anfechtung eines DSGVO-Bußgelds – je nach Landesrecht und Rechtsform – vor den Verwaltungsgerichten oder (in Deutschland für Unternehmen) nach den Vorschriften des Ordnungswidrigkeitengesetzes (OWiG) vor den ordentlichen Gerichten möglich. Die Wahl des richtigen Rechtswegs ist eine der ersten strategischen Entscheidungen, die anwaltlich getroffen werden muss.

Welche Fristen gelten nach Eingang einer behördlichen Maßnahme?

Das DSGVO-Bußgeldverfahren läuft in zeitlich eng getakteten Phasen. Wer die behördlichen Fristen versäumt, verliert Verteidigungsrechte oder nimmt eine faktische Schlechterstellung in Kauf.

Nach Einleitung eines Verfahrens erhalten Unternehmen in der Regel eine Anhörungsfrist, innerhalb derer sie Stellung nehmen können. Diese Frist variiert je nach Behörde und Verfahrensstadium, beträgt aber häufig nur zwei bis vier Wochen. Wer in dieser Phase schweigt, gibt die erste – und oft wichtigste – Möglichkeit zur Sachverhaltsgestaltung preis.

Wurde bereits ein Bußgeldbescheid erlassen, ist die Anfechtungsfrist einzuhalten. Im deutschen OWiG-Verfahren beträgt die Einspruchsfrist gegen einen Bußgeldbescheid zwei Wochen ab Zustellung (§ 67 OWiG). Diese Frist ist starr; eine Wiedereinsetzung ist nur in engen Ausnahmen möglich. Für den Geschäftsführer bedeutet das: Sofortiges anwaltliches Handeln ab Zugang des Bescheids ist keine Option, sondern eine Notwendigkeit.

Parallel ist zu beachten: Soweit der Datenschutzverstoß mit einer Datenpanne zusammenhängt, ist die Meldepflicht gegenüber der Aufsichtsbehörde nach Art. 33 DSGVO binnen 72 Stunden ab Kenntnisnahme zu erfüllen. Eine verspätete oder unvollständige Meldung kann selbst Grundlage eines eigenständigen Bußgeldvorwurfs werden und die Verteidigungsposition im laufenden Verfahren schwächen.

Die Verteidigungsstrategie: Schritt für Schritt zum Verfahren

Jede wirksame Bußgeldabwehr beginnt mit einer nüchternen Bestandsaufnahme. Das Ziel ist nicht, den Sachverhalt zu beschönigen, sondern ihn in einem Rahmen darzustellen, der die behördliche Würdigung sachlich steuert.

Schritt 1 – Sofortmaßnahmen: Zunächst ist der vollständige behördliche Schriftverkehr zu sichern, interne Kommunikation zum Vorfall einzufrieren und ein anwaltliches Beratermandat einzurichten. Eigene Stellungnahmen des Unternehmens gegenüber der Behörde werden bis zur anwaltlichen Abstimmung zurückgehalten.

Schritt 2 – Sachverhaltsanalyse: Die Kanzlei analysiert, welcher Verstoßtatbestand nach Art. 83 DSGVO im Raum steht, welche Unterlagen die Behörde bereits hat und welche Verteidigungsargumente realistisch tragen. Dabei wird auch die Verhältnismäßigkeit des angedrohten Bußgelds anhand der Art. 83 Abs. 2 DSGVO-Kriterien bewertet.

Schritt 3 – Anhörungsschreiben: Das anwaltliche Anhörungsschreiben ist der zentrale Hebel im Verfahren. Es enthält eine vollständige Sachverhaltsdarstellung aus Unternehmenssicht, Rechtsvortrag zur Norm, Dokumentation ergriffener Abhilfemaßnahmen sowie qualifizierten Vortrag zu Zumessungsgesichtspunkten. In der Mandatspraxis sehen wir regelmäßig, dass bereits gut vorgetragene Anhörungsschreiben zu einer Einstellung des Verfahrens oder einer deutlichen Bußgeldreduzierung führen.

Schritt 4 – Laufende Behördenkommunikation: Datenschutzbehörden haben das Recht, weitere Auskünfte zu verlangen. Die anwaltliche Begleitung stellt sicher, dass Auskünfte vollständig, aber strategisch klug erteilt werden. Keine unnötigen Selbstbezichtigungen; keine Lücken, die das Bild verzerren.

Schritt 5 – Entscheidung Einspruch/Anfechtung: Ergeht ein Bußgeldbescheid, wird anhand des Bescheidinhalts die Erfolgsaussicht einer Anfechtung bewertet. Konstellation A: Bußgeld im vertretbaren Rahmen, Verfahren ohne Aussicht auf Erfolg → Zahlung und Dokumentation der Compliance-Verbesserung. Konstellation B: Bußgeld überhöht oder Verfahrensfehler → Einspruch mit Begründung fristwahrend einlegen, anschließend gerichtliche Auseinandersetzung prüfen. Konstellation C: Datenschutzrechtliche Verantwortlichkeit streitig → Anfechtung mit Sachvortrag zur Verantwortungsabgrenzung, ggf. Regressvorbereitung gegenüber Auftragsverarbeiter.

Interne Compliance als Verteidigungsressource – was Geschäftsführer jetzt prüfen sollten

Die beste Verteidigung gegen ein hohes DSGVO-Bußgeld ist eine dokumentierbare Compliance-Grundlage, die zum Zeitpunkt des Verstoßes bereits bestand. Das klingt banal; die Umsetzung scheitert im Mittelstand jedoch häufig an fehlender Systematik.

Welche Dokumente braucht ein Unternehmen, um vor der Datenschutzbehörde standzuhalten? Mindestens: ein vollständiges Verzeichnis von Verarbeitungstätigkeiten (Art. 30 DSGVO), aktuelle Datenschutzfolgenabschätzungen für risikobehaftete Verarbeitungen (Art. 35 DSGVO), wirksam abgeschlossene Auftragsverarbeitungsverträge (Art. 28 DSGVO) sowie Nachweise über Schulungen und technisch-organisatorische Maßnahmen.

In der Mandatspraxis sehen wir, dass Unternehmen, die diese Dokumentation bei Verfahrensbeginn vorlegen können, strukturell besser dastehen – unabhängig davon, ob der Verstoß selbst abgestritten oder eingeräumt wird. Die Behörde nimmt einen nachweislich compliance-orientierten Verantwortlichen anders wahr als einen, der keine Unterlagen vorlegen kann.

Für Geschäftsführer persönlich ist relevant: Das DSGVO-Bußgeld richtet sich nach deutschem Recht grundsätzlich gegen das Unternehmen als juristische Person. Eine persönliche Haftung des Geschäftsführers kann sich jedoch aus dem GmbH-Gesetz ergeben, wenn er Datenschutzpflichten als Teil seiner Legalitätspflicht vernachlässigt hat. Diese Überschneidung ist ein eigenständiges Beratungsfeld, das anwaltlich klar vom behördlichen Bußgeldverfahren getrennt behandelt werden sollte.

Aus der Mandatspraxis: Mittelständisches Unternehmen im Einzelhandel

In einem aktuellen Mandat beriet die Kanzlei ein inhabergeführtes Handelsunternehmen, das infolge einer Datenpanne – unbefugter Zugriff auf Kundenstammdaten durch einen ehemaligen Mitarbeiter – ein behördliches Bußgeldverfahren wegen unzureichender Zugriffskontrollen und verspäteter Meldung nach Art. 33 DSGVO erhalten hatte. Ausgangslage: Der behördliche Anhörungsentwurf nannte einen Bußgeldrahmen im mittleren fünfstelligen Bereich; das Unternehmen hatte zum Zeitpunkt der Panne weder ein vollständiges Verarbeitungsverzeichnis noch dokumentierte Schulungsnachweise. Vorgehen: Die Kanzlei erstellte binnen kurzer Frist eine vollständige Schadensanalyse, dokumentierte nachträgliche Abhilfemaßnahmen (Zugriffsprotokollierung, Schulung aller Mitarbeiter, Überarbeitung der IT-Sicherheitskonzeption) und trug im Anhörungsschreiben zur Verhältnismäßigkeit sowie zum fehlenden Vorsatz vor. Ergebnis: Das Verfahren endete mit einem deutlich reduzierten Bußgeld; die Behörde würdigte die glaubhaften Compliance-Nachbesserungen ausdrücklich im Bescheid. Ohne Erfolgsversprechen: Jedes Verfahren hängt vom Einzelsachverhalt ab.

Schnittstelle Auftragsverarbeitung: Wenn der Verstoß beim Dienstleister liegt

Ein häufig unterschätztes Szenario in der Praxis: Der datenschutzrechtliche Verstoß liegt nicht im eigenen Betrieb, sondern beim beauftragten IT-Dienstleister, Cloud-Anbieter oder Marketingpartner – und dennoch richtet sich das Bußgeld gegen das verantwortliche Unternehmen als Auftraggeber.

Art. 28 DSGVO verpflichtet den Verantwortlichen, Auftragsverarbeiter sorgfältig auszuwählen, vertraglich zu binden und regelmäßig zu kontrollieren. Fehlt ein ordnungsgemäßer Auftragsverarbeitungsvertrag (AVV) oder sind die darin vereinbarten Weisungen nicht nachweisbar umgesetzt worden, besteht in aller Regel eine eigenständige Grundlage für ein Bußgeld – unabhängig davon, wer den konkreten Fehler gemacht hat.

Liegt ein wirksamer AVV vor und hat der Auftragsverarbeiter nachweislich gegen seine vertraglichen Pflichten verstoßen, eröffnet das eine Regressperspektive. Diese muss frühzeitig gesichert werden: Beweise sichern, Fristenprüfung, ggf. Mahnung oder Streitverkündung. Die Bußgeldabwehr und die zivilrechtliche Rückforderung vom Dienstleister sind zwei Verfahrensstränge, die von Beginn an koordiniert geführt werden sollten.

Verwandte Leistungen

Häufige Fragen zum DSGVO-Bußgeldverfahren

Kann ein DSGVO-Bußgeld vollständig verhindert werden?

In bestimmten Konstellationen ja – etwa wenn der Verstoß nicht nachgewiesen werden kann, die Behörde verfahrensfehlerhaft vorgegangen ist oder der Sachverhalt bereits im Anhörungsverfahren überzeugend aufgeklärt wird. In anderen Fällen ist die Reduzierung des Bußgelds das realistische Ziel. Welches Ergebnis erreichbar ist, hängt vom konkreten Sachverhalt, der Dokumentationslage und dem Zeitpunkt der anwaltlichen Mandatierung ab. Erfolgsversprechen sind in jedem Fall unangebracht und werden von BRANDT & FALK nicht gemacht.

An wen richtet sich ein DSGVO-Bußgeld – das Unternehmen oder den Geschäftsführer persönlich?

Nach deutschem Recht richtet sich das DSGVO-Bußgeld grundsätzlich gegen das Unternehmen als juristische oder natürliche Person. Eine unmittelbare persönliche Bußgeldhaftung des Geschäftsführers aus der DSGVO selbst ist nach herrschender Auffassung in Deutschland systemfremd. Gleichwohl kann die persönliche Haftung des Geschäftsführers im Innenverhältnis über gesellschaftsrechtliche Regeln entstehen, wenn er seine Datenschutz-Legalitätspflichten verletzt hat. Beide Ebenen sollten anwaltlich separat bewertet werden.

Wann sollte anwaltliche Unterstützung eingebunden werden?

So früh wie möglich – idealerweise bevor das Unternehmen erstmals selbst gegenüber der Datenschutzbehörde Stellung nimmt. Jede Eigenkommunikation mit der Behörde vor anwaltlicher Abstimmung kann die Verteidigungsposition beeinflussen, auch wenn sie gut gemeint ist. Wer nach Eingang des Anhörungsschreibens sofort eine Kanzlei mandatiert, behält die Deutungshoheit über den Sachverhalt und gewinnt Handlungsspielraum.

Was kostet ein DSGVO-Bußgeldverfahren anwaltlich?

Die anwaltlichen Kosten richten sich nach dem Umfang der Mandatierung, der Komplexität des Verfahrens und der gewählten Vergütungsform (Stundenhonorar, Pauschalhonorar oder Vergütungsvereinbarung nach § 3a RVG). Im Verhältnis zum drohenden Bußgeld und dem Reputationsrisiko ist die anwaltliche Begleitung regelmäßig wirtschaftlich sinnvoll. Für eine transparente Kostendarstellung sprechen Sie uns an – wir erläutern die Optionen offen zu Beginn des Mandats.

Welche Rolle spielt die 72-Stunden-Meldepflicht im Bußgeldverfahren?

Nach Art. 33 DSGVO muss eine Datenschutzverletzung binnen 72 Stunden nach Kenntnisnahme an die zuständige Aufsichtsbehörde gemeldet werden. Eine verspätete, unvollständige oder unterlassene Meldung stellt einen eigenständigen Verstoß dar und kann als erschwerender Umstand in die Bußgeldbemessung nach Art. 83 DSGVO einfließen. Umgekehrt kann eine vollständige, fristgerechte Meldung die behördliche Bewertung positiv beeinflussen.

Gibt es Unterschiede bei der Behördenzuständigkeit je nach Bundesland?

Ja. In Deutschland sind die Landesdatenschutzbehörden für private Unternehmen zuständig; die Wahl richtet sich nach dem Sitz des Unternehmens. Bei grenzüberschreitender Datenverarbeitung gilt das Kohärenzverfahren der DSGVO (One-Stop-Shop). Behörden unterscheiden sich in ihrer Praxis – sowohl hinsichtlich der Verfahrensintensität als auch der Bußgeldpraxis. Dieses Wissen ist Teil der anwaltlichen Lagebewertung zu Beginn des Mandats.

Die vorstehende Darstellung betrifft die Regelfälle des DSGVO-Bußgeldverfahrens. Ihr konkreter Fall erfordert die Prüfung Ihrer Unterlagen, der einschlägigen Fristen und der behördlichen Verfahrensakte. Für eine fachliche Einschätzung Ihrer Situation schreiben Sie an info@brandtfalk.com.

Über BRANDT & FALK Rechtsanwälte

BRANDT & FALK Rechtsanwälte ist eine unabhängige Wirtschaftskanzlei mit Sitz in München und Berlin. Die Kanzlei berät den deutschen Mittelstand bundesweit in datenschutzrechtlichen Fragestellungen, insbesondere bei der Abwehr von DSGVO-Bußgeldern, der Gestaltung von Auftragsverarbeitungsverträgen und der Begleitung behördlicher Verfahren. Bei grenzüberschreitenden Sachverhalten arbeiten wir mit qualifizierten Berufsträgern in der jeweiligen Jurisdiktion zusammen. Die Beratungspraxis umfasst Unternehmen aller Größenordnungen, von inhabergeführten Betrieben bis zum wachstumsstarken Mittelständler. Kontakt: info@brandtfalk.com.

Verfasst von Dr. Philipp Sander · fachlich geprüft von Stephan Köhler

Dieser Beitrag dient ausschließlich der allgemeinen Information und stellt keine Rechtsberatung im Einzelfall dar. Er ersetzt nicht die anwaltliche Prüfung Ihres konkreten Sachverhalts. Für eine auf Ihre Situation zugeschnittene Beratung wenden Sie sich an info@brandtfalk.com.

Sprechen wir über Ihren Fall

Für eine erste Einschätzung schreiben Sie an info@brandtfalk.com.

Fall schildern

Dieser Beitrag ist eine allgemeine Information und stellt keine Rechtsberatung dar. Für eine Prüfung Ihres Falls kontaktieren Sie info@brandtfalk.com.