Suchen Kundenbereich

Compliance · Kostenloses Tool

Berechnen Sie Ihr voraussichtliches DSGVO-Bußgeld

Schätzen Sie in wenigen Sekunden die Spanne eines möglichen Bußgelds nach Art. 83 DSGVO: Art des Verstoßes, Ihr Umsatz und die erschwerenden oder mildernden Faktoren, die die spanische Datenschutzbehörde (AEPD) vor ihrer Entscheidung berücksichtigt.

1 · Kategorie des Verstoßes (Art. 83 DSGVO)

Gesamtumsatz der Unternehmensgruppe im Vorjahr — die DSGVO vergleicht den weltweiten Umsatz, nicht nur den in Spanien erzielten.

So funktioniert es

Eine transparente Berechnung in fünf Schritten

01

Kategorie des Verstoßes

Sie wählen, ob der Verstoß unter Art. 83.4 (Obergrenze 10 Mio. €/2 %) oder Art. 83.5 (Obergrenze 20 Mio. €/4 %) DSGVO fällt.

02

Maximale gesetzliche Obergrenze

Das Tool berechnet die tatsächliche Obergrenze: den höheren Wert aus Festbetrag und Prozentsatz Ihres weltweiten Umsatzes.

03

Faktoren nach Art. 83.2

Vorsatz, Wiederholung, Zusammenarbeit mit der AEPD und betroffene Datenkategorien erhöhen oder verringern die Schwere.

04

Risikostufe

Diese Faktoren ordnen den Fall innerhalb der in Schritt 2 berechneten gesetzlichen Obergrenze niedrig, mittel oder hoch ein.

05

Voraussichtliche Spanne

Angezeigt wird eine Spanne in Euro, nie ein exakter Betrag — die AEPD entscheidet nie mit einem automatischen Rechner.

DSGVO-Bußgelder in Spanien

Was DSGVO-Bußgelder sind und wie sie wirklich berechnet werden

Die Datenschutz-Grundverordnung (DSGVO) legt in Art. 83 zwei Obergrenzen für Bußgelder fest, je nach Schwere des Verstoßes. Verstöße nach Art. 83.4 — Pflichten des Verantwortlichen oder Auftragsverarbeiters, des Datenschutzbeauftragten (DSB) oder von Zertifizierungs- und Überwachungsstellen — sind auf 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes des Unternehmens begrenzt, je nachdem, welcher Betrag höher ist. Verstöße nach Art. 83.5 — grundlegende Verarbeitungsgrundsätze, Rechtsgrundlage, Rechte der betroffenen Personen oder internationale Datenübermittlungen — erhöhen die Obergrenze auf 20 Millionen Euro oder 4 % des weltweiten Umsatzes.

Diese Obergrenzen sind die Höchstgrenze, nicht der Betrag, den die AEPD in jedem konkreten Fall tatsächlich verhängt. Der tatsächliche Betrag jedes Bußgelds ergibt sich aus Art. 83.2 DSGVO, der die Aufsichtsbehörde verpflichtet, bis zu elf Kriterien abzuwägen, bevor sie das Bußgeld festsetzt: Art, Schwere und Dauer des Verstoßes; vorsätzlicher oder fahrlässiger Charakter; getroffene Maßnahmen zur Minderung des Schadens für die Betroffenen; Grad der Verantwortlichkeit des Verstoßenden unter Berücksichtigung der getroffenen technischen und organisatorischen Maßnahmen; Historie früherer Verstöße; Grad der Zusammenarbeit mit der Behörde zur Behebung des Verstoßes; betroffene Kategorien personenbezogener Daten (Gesundheits-, biometrische, weltanschauliche Daten oder Daten Minderjähriger verschärfen das Bußgeld); Art und Weise, wie die AEPD von dem Verstoß erfuhr; Einhaltung zuvor angeordneter Maßnahmen; Einhaltung genehmigter Verhaltensregeln; und jeder andere erschwerende oder mildernde Umstand, einschließlich erzielter finanzieller Vorteile oder vermiedener Verluste.

Der Europäische Datenschutzausschuss (EDSA) hat diesen Prozess in seinen Leitlinien 04/2022 zur Berechnung von Bußgeldern harmonisiert, die eine fünfstufige Methodik für alle europäischen Behörden, einschließlich der AEPD, festlegen. Dieser Rechner vereinfacht diese Kriterien auf vier praktische Faktoren — Vorsatz, Wiederholung, Zusammenarbeit und Datenkategorien —, um eine Größenordnung zu vermitteln, keinen offiziellen Wert.

Die Durchsetzungstätigkeit der AEPD in Zahlen

2025 war seit Inkrafttreten der DSGVO das aktivste Jahr der AEPD bei der Verhängung von Bußgeldern: rund 31.000 eingegangene Beschwerden und knapp 48 Millionen Euro verhängte Bußgelder, bei mehr als 300 mit einem Bußgeld abgeschlossenen Sanktionsverfahren. Der Trend setzt sich 2026 fort, mit neuen Verfahren auch wegen missbräuchlicher Nutzung künstlicher Intelligenz. Wenn Ihr Unternehmen Daten von Kunden, Mitarbeitenden oder Nutzern verarbeitet — und das tun heute praktisch alle Unternehmen —, ist das Verständnis dafür, was die Höhe eines Bußgelds bestimmt, der erste Schritt, um es zu vermeiden.

Dieser Rechner ist ein guter Ausgangspunkt, ersetzt aber kein echtes Compliance-Audit. Wenn Sie im Detail verstehen möchten, welche DSGVO-Pflichten für Ihr Unternehmen gelten und wie Sie Bußgelder vermeiden, lesen Sie auch unseren vollständigen DSGVO-Leitfaden für Unternehmen.

Reale Fälle

3 reale AEPD-Entscheidungen

10.043.002 €

Aena

Nov. 2025 · Verfahren EXP202304532 · Art. 83.5 DSGVO

Führte biometrische Gesichtserkennung beim Boarding an mehreren Flughäfen ein, ohne eine gültige Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 DSGVO.

Quelle: Berichterstattung zur AEPD-Entscheidung

6.000.000 €

CaixaBank

Jan. 2021 · Verf. PS/00477/2019 · Art. 6, 13, 14 DSGVO

Übermittelte personenbezogene Daten an andere Konzerngesellschaften ohne gültige Rechtsgrundlage und ohne die Betroffenen ordnungsgemäß zu informieren. Der Betrag wurde später vom Nationalen Gerichtshof im Rechtsmittelverfahren auf 2 Mio. € reduziert.

Quelle: FACUA, zum AEPD-Verfahren

5.000.000 €

BBVA

Dez. 2020 · Verf. PS/00070/2019 · Art. 6.1 DSGVO

Versandte Werbemitteilungen ohne gültige Einwilligungsgrundlage: Das Widerspruchskästchen entsprach keiner ordnungsgemäß eingeholten Einwilligung.

Quelle: AEPD-Entscheidung PS/00070/2019 (offizielles PDF)

Häufige Fragen

Häufige Fragen zu DSGVO-Bußgeldern

Ersetzt dieser Rechner eine offizielle Entscheidung der AEPD?

Nein. Es handelt sich um eine indikative Schätzung auf Grundlage der wirtschaftlichen Stufen von Art. 83 DSGVO und einer vereinfachten Version der Faktoren aus Art. 83.2. Die AEPD folgt einem eigenen Verfahren und wendet die Leitlinien 04/2022 des EDSA zur Berechnung von Bußgeldern an, wobei jeder Fall individuell bewertet wird. Das Ergebnis dieses Tools ist weder offiziell noch verbindlich.

Was ist der Unterschied zwischen Art. 83.4 und Art. 83.5 DSGVO?

Art. 83.4 legt eine Obergrenze von 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes des Unternehmens fest, je nachdem, welcher Betrag höher ist. Art. 83.5 erfasst die schwerwiegendsten Verstöße (grundlegende Verarbeitungsgrundsätze, Rechte der betroffenen Personen oder internationale Übermittlungen) mit einer Obergrenze von 20 Millionen Euro oder 4 % des weltweiten Umsatzes, ebenfalls der höhere Betrag.

Welche Faktoren berücksichtigt die AEPD bei der Festlegung der genauen Höhe eines Bußgelds?

Art. 83.2 DSGVO nennt bis zu elf Kriterien: Art, Schwere und Dauer des Verstoßes; vorsätzlicher oder fahrlässiger Charakter; betroffene Kategorien personenbezogener Daten; Anzahl der betroffenen Personen; getroffene Maßnahmen zur Schadensminderung; Wiederholung; Grad der Zusammenarbeit mit der Behörde; Art und Weise, wie der Verstoß bekannt wurde; Einhaltung früherer Anordnungen; Einhaltung genehmigter Verhaltensregeln; sowie jeder andere erschwerende oder mildernde Umstand, einschließlich erzielter finanzieller Vorteile.

Kann die AEPD Selbstständige und kleine Unternehmen mit Bußgeldern belegen?

Ja. Die DSGVO schließt weder KMU noch Selbstständige aus, obwohl die AEPD in der Praxis dieser Kategorie tendenziell proportional geringere Bußgelder auferlegt. Das spanische Organgesetz 3/2018 (LOPDGDD) sieht bei geringfügigen Erstverstößen von Unternehmen mit weniger als 250 Mitarbeitenden oder geringem Umsatz eine Verwarnung anstelle eines Bußgelds vor, sofern kein Vorsatz oder Wiederholungsfall vorliegt.

Was tun, wenn ich eine Aufforderung oder die Eröffnung eines Verfahrens der AEPD erhalten habe?

Sie haben eine feste Frist zur Stellungnahme, in der Regel 10 Werktage ab Zustellung. Jetzt ist der Zeitpunkt, alle Unterlagen zusammenzustellen (Verzeichnis von Verarbeitungstätigkeiten, Folgenabschätzungen, Nachweise der angewandten Sicherheitsmaßnahmen) und gemeinsam mit einem Berater zu entscheiden, ob Sie den Verstoß anerkennen, Stellung nehmen oder Rechtsmittel einlegen. Frühzeitiges Handeln macht bei der endgültigen Höhe einen echten Unterschied.

Wollen wir es gemeinsam prüfen?

Eine voraussichtliche Spanne ist ein Ausgangspunkt, keine Diagnose. Vereinbaren Sie eine kostenlose 30-minütige Sitzung, in der wir gemeinsam Ihr tatsächliches Risiko für DSGVO-Bußgelder prüfen und wie Sie es verringern können.

Stufen nach Art. 83 DSGVO und AEPD-Fälle aktualisiert am 16. Juli 2026 · Quellen bei jedem Fall angegeben.