Compliance · Kostenloses Tool
Schätzen Sie in wenigen Sekunden die Spanne eines möglichen Bußgelds nach Art. 83 DSGVO: Art des Verstoßes, Ihr Umsatz und die erschwerenden oder mildernden Faktoren, die die spanische Datenschutzbehörde (AEPD) vor ihrer Entscheidung berücksichtigt.
Voraussichtliches Ergebnis
Risiko mittel
—
—
—
So funktioniert es
01
Sie wählen, ob der Verstoß unter Art. 83.4 (Obergrenze 10 Mio. €/2 %) oder Art. 83.5 (Obergrenze 20 Mio. €/4 %) DSGVO fällt.
02
Das Tool berechnet die tatsächliche Obergrenze: den höheren Wert aus Festbetrag und Prozentsatz Ihres weltweiten Umsatzes.
03
Vorsatz, Wiederholung, Zusammenarbeit mit der AEPD und betroffene Datenkategorien erhöhen oder verringern die Schwere.
04
Diese Faktoren ordnen den Fall innerhalb der in Schritt 2 berechneten gesetzlichen Obergrenze niedrig, mittel oder hoch ein.
05
Angezeigt wird eine Spanne in Euro, nie ein exakter Betrag — die AEPD entscheidet nie mit einem automatischen Rechner.
DSGVO-Bußgelder in Spanien
Die Datenschutz-Grundverordnung (DSGVO) legt in Art. 83 zwei Obergrenzen für Bußgelder fest, je nach Schwere des Verstoßes. Verstöße nach Art. 83.4 — Pflichten des Verantwortlichen oder Auftragsverarbeiters, des Datenschutzbeauftragten (DSB) oder von Zertifizierungs- und Überwachungsstellen — sind auf 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes des Unternehmens begrenzt, je nachdem, welcher Betrag höher ist. Verstöße nach Art. 83.5 — grundlegende Verarbeitungsgrundsätze, Rechtsgrundlage, Rechte der betroffenen Personen oder internationale Datenübermittlungen — erhöhen die Obergrenze auf 20 Millionen Euro oder 4 % des weltweiten Umsatzes.
Diese Obergrenzen sind die Höchstgrenze, nicht der Betrag, den die AEPD in jedem konkreten Fall tatsächlich verhängt. Der tatsächliche Betrag jedes Bußgelds ergibt sich aus Art. 83.2 DSGVO, der die Aufsichtsbehörde verpflichtet, bis zu elf Kriterien abzuwägen, bevor sie das Bußgeld festsetzt: Art, Schwere und Dauer des Verstoßes; vorsätzlicher oder fahrlässiger Charakter; getroffene Maßnahmen zur Minderung des Schadens für die Betroffenen; Grad der Verantwortlichkeit des Verstoßenden unter Berücksichtigung der getroffenen technischen und organisatorischen Maßnahmen; Historie früherer Verstöße; Grad der Zusammenarbeit mit der Behörde zur Behebung des Verstoßes; betroffene Kategorien personenbezogener Daten (Gesundheits-, biometrische, weltanschauliche Daten oder Daten Minderjähriger verschärfen das Bußgeld); Art und Weise, wie die AEPD von dem Verstoß erfuhr; Einhaltung zuvor angeordneter Maßnahmen; Einhaltung genehmigter Verhaltensregeln; und jeder andere erschwerende oder mildernde Umstand, einschließlich erzielter finanzieller Vorteile oder vermiedener Verluste.
Der Europäische Datenschutzausschuss (EDSA) hat diesen Prozess in seinen Leitlinien 04/2022 zur Berechnung von Bußgeldern harmonisiert, die eine fünfstufige Methodik für alle europäischen Behörden, einschließlich der AEPD, festlegen. Dieser Rechner vereinfacht diese Kriterien auf vier praktische Faktoren — Vorsatz, Wiederholung, Zusammenarbeit und Datenkategorien —, um eine Größenordnung zu vermitteln, keinen offiziellen Wert.
2025 war seit Inkrafttreten der DSGVO das aktivste Jahr der AEPD bei der Verhängung von Bußgeldern: rund 31.000 eingegangene Beschwerden und knapp 48 Millionen Euro verhängte Bußgelder, bei mehr als 300 mit einem Bußgeld abgeschlossenen Sanktionsverfahren. Der Trend setzt sich 2026 fort, mit neuen Verfahren auch wegen missbräuchlicher Nutzung künstlicher Intelligenz. Wenn Ihr Unternehmen Daten von Kunden, Mitarbeitenden oder Nutzern verarbeitet — und das tun heute praktisch alle Unternehmen —, ist das Verständnis dafür, was die Höhe eines Bußgelds bestimmt, der erste Schritt, um es zu vermeiden.
Dieser Rechner ist ein guter Ausgangspunkt, ersetzt aber kein echtes Compliance-Audit. Wenn Sie im Detail verstehen möchten, welche DSGVO-Pflichten für Ihr Unternehmen gelten und wie Sie Bußgelder vermeiden, lesen Sie auch unseren vollständigen DSGVO-Leitfaden für Unternehmen.
Reale Fälle
10.043.002 €
Aena
Führte biometrische Gesichtserkennung beim Boarding an mehreren Flughäfen ein, ohne eine gültige Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 DSGVO.
6.000.000 €
CaixaBank
Übermittelte personenbezogene Daten an andere Konzerngesellschaften ohne gültige Rechtsgrundlage und ohne die Betroffenen ordnungsgemäß zu informieren. Der Betrag wurde später vom Nationalen Gerichtshof im Rechtsmittelverfahren auf 2 Mio. € reduziert.
Quelle: FACUA, zum AEPD-Verfahren
5.000.000 €
BBVA
Versandte Werbemitteilungen ohne gültige Einwilligungsgrundlage: Das Widerspruchskästchen entsprach keiner ordnungsgemäß eingeholten Einwilligung.
Häufige Fragen
Nein. Es handelt sich um eine indikative Schätzung auf Grundlage der wirtschaftlichen Stufen von Art. 83 DSGVO und einer vereinfachten Version der Faktoren aus Art. 83.2. Die AEPD folgt einem eigenen Verfahren und wendet die Leitlinien 04/2022 des EDSA zur Berechnung von Bußgeldern an, wobei jeder Fall individuell bewertet wird. Das Ergebnis dieses Tools ist weder offiziell noch verbindlich.
Art. 83.4 legt eine Obergrenze von 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes des Unternehmens fest, je nachdem, welcher Betrag höher ist. Art. 83.5 erfasst die schwerwiegendsten Verstöße (grundlegende Verarbeitungsgrundsätze, Rechte der betroffenen Personen oder internationale Übermittlungen) mit einer Obergrenze von 20 Millionen Euro oder 4 % des weltweiten Umsatzes, ebenfalls der höhere Betrag.
Art. 83.2 DSGVO nennt bis zu elf Kriterien: Art, Schwere und Dauer des Verstoßes; vorsätzlicher oder fahrlässiger Charakter; betroffene Kategorien personenbezogener Daten; Anzahl der betroffenen Personen; getroffene Maßnahmen zur Schadensminderung; Wiederholung; Grad der Zusammenarbeit mit der Behörde; Art und Weise, wie der Verstoß bekannt wurde; Einhaltung früherer Anordnungen; Einhaltung genehmigter Verhaltensregeln; sowie jeder andere erschwerende oder mildernde Umstand, einschließlich erzielter finanzieller Vorteile.
Ja. Die DSGVO schließt weder KMU noch Selbstständige aus, obwohl die AEPD in der Praxis dieser Kategorie tendenziell proportional geringere Bußgelder auferlegt. Das spanische Organgesetz 3/2018 (LOPDGDD) sieht bei geringfügigen Erstverstößen von Unternehmen mit weniger als 250 Mitarbeitenden oder geringem Umsatz eine Verwarnung anstelle eines Bußgelds vor, sofern kein Vorsatz oder Wiederholungsfall vorliegt.
Sie haben eine feste Frist zur Stellungnahme, in der Regel 10 Werktage ab Zustellung. Jetzt ist der Zeitpunkt, alle Unterlagen zusammenzustellen (Verzeichnis von Verarbeitungstätigkeiten, Folgenabschätzungen, Nachweise der angewandten Sicherheitsmaßnahmen) und gemeinsam mit einem Berater zu entscheiden, ob Sie den Verstoß anerkennen, Stellung nehmen oder Rechtsmittel einlegen. Frühzeitiges Handeln macht bei der endgültigen Höhe einen echten Unterschied.
Eine voraussichtliche Spanne ist ein Ausgangspunkt, keine Diagnose. Vereinbaren Sie eine kostenlose 30-minütige Sitzung, in der wir gemeinsam Ihr tatsächliches Risiko für DSGVO-Bußgelder prüfen und wie Sie es verringern können.
Stufen nach Art. 83 DSGVO und AEPD-Fälle aktualisiert am 16. Juli 2026 · Quellen bei jedem Fall angegeben.