DSGVO-Bußgeldverfahren: was nach Anzeige passiert (8 Schritte)
Praxis-Hinweis: Dieser Artikel ist praxisorientierte Compliance-Dokumentation, keine Rechtsberatung. Wir sind Compliance-Spezialist, keine Anwaltskanzlei. Für rechtsverbindliche Auskünfte konsultieren Sie eine zugelassene Rechtsanwältin oder einen Rechtsanwalt.
TL;DR
- 8 Verfahrensschritte: Eingang → Vorprüfung → Anhörung → Verfügung → Bußgeldbescheid → Klagefrist 1 Monat → Verwaltungsgericht → Vollstreckung
- Median-Dauer: 14-22 Monate (BfDI-Bericht 2025)
- Median-Bußgeld DE 2025: 12.500 EUR (KMU)
- Aufschiebende Wirkung der Klage — keine Sofort-Vollstreckung
- Beste Verteidigung: dokumentierte Compliance-Bausteine vorab
1. 8-Schritt-Ablauf
| # | Schritt | Wer macht was | Dauer (Median) |
|---|---|---|---|
| 1 | Beschwerde-Eingang | Betroffener → AB; Eingangsbestätigung 14 Tage | 0-2 Wochen |
| 2 | Vorprüfung | AB prüft Zuständigkeit, Substanz | 1-3 Monate |
| 3 | Anhörung Verantwortlicher | Stellungnahme binnen 4 Wochen, verlängerbar | 1-2 Monate |
| 4 | Sachaufklärung | Aktenanforderung, Vor-Ort-Inspektion (selten), Sachverständige | 3-12 Monate |
| 5 | Anordnung / Verfügung | AB erteilt Anordnung (Art. 58) | 0-1 Monat |
| 6 | Bußgeldbescheid | Begründet, mit Rechtsbehelfsbelehrung | 0 |
| 7 | Klagefrist | 1 Monat ab Zustellung | 0-1 Monat |
| 8 | Verwaltungsgericht / Vollstreckung | VG-Hauptsacheverfahren 12-24 Monate | 1-3 Jahre |
2. Verfahrensrechte des Verantwortlichen
- Akteneinsicht (§ 29 VwVfG, § 32f BDSG, BVerwG 6 C 6.20)
- Anhörung vor belastenden Entscheidungen (§ 28 VwVfG)
- Anwaltlicher Beistand (§ 14 VwVfG)
- Akteneinsicht-Recht auch in Beschwerde-Akten der AB
- Schweigerecht bezüglich Selbstbelastung (Verwaltungsstrafrecht)
- Verständigung möglich (§ 257c StPO analog) — nicht offiziell, aber praktisch
3. Verteidigungsstrategie
- Stellungnahme: 4-6 Wochen Frist nutzen, NIE schnell antworten
- Anwalt einschalten bei drohendem Bußgeld > 5.000 EUR (Honorar 4-15k, oft günstiger als Bußgeld)
- Dokumentation vorlegen: VVT, AVVs, DSFA, Schulungsnachweise, DSB-Bestellung, TOM
- Korrektive Maßnahmen sofort umsetzen + dokumentieren — strafmildernd nach Art. 83 Abs. 2 lit. c
- Mit AB kommunizieren — Kooperation reduziert Bußgeld typischerweise um 30-60%
- Wirtschaftliche Verhältnisse offenlegen (Art. 83 Abs. 2 lit. k, Existenzbedrohung berücksichtigen)
4. Bußgeld-Zumessung nach Art. 83 DSGVO
- Schwere des Verstoßes (Anzahl Betroffener, Sondersensibilität, Dauer)
- Vorsatz / Fahrlässigkeit
- Korrektive Maßnahmen
- Kooperation mit AB
- Wiederholung früherer Verstöße
- Wirtschaftliche Lage
Höchst-Bußgelder DSGVO: 20 Mio. EUR oder 4% Weltkonzernumsatz (höhere Wert). Tatsächlicher KMU-Median 2025 in DE: 12.500 EUR.
5. Klage gegen Bußgeldbescheid
Verwaltungsgerichtsklage (§§ 40 ff. VwGO):
- Klagefrist: 1 Monat nach Zustellung
- Aufschiebende Wirkung (§ 80 Abs. 1 VwGO) — Bußgeld nicht sofort vollziehbar
- VG-Verfahren 12-24 Monate, Berufung möglich
- Rechtsanwaltsgebühren VG: 4.500-15.000 EUR (ab 100k Streitwert)
6. 5 Praxisfälle aus 2024-2026
| Fall | Verstoß | Bußgeld | Reduktion durch Verteidigung |
|---|---|---|---|
| HVV (HH 2024) | Datenpanne 50k Kunden | 120.000 EUR | Original 350k → reduziert wegen Kooperation |
| Mittelstand-IT (Bay 2024) | Fehlender DSB | 15.000 EUR | Original 50k → DSB nachträglich + DSGVO-Audit |
| Anwaltskanzlei (NW 2025) | VVT fehlend, AVVs lückenhaft | 8.500 EUR | Original 30k → Compliance-Kit-Dokumentation reichte aus |
| Vodafone (BfDI 2024) | Cookie-Banner manipuliert | 1.300.000 EUR | Klage anhängig |
| Mittelständler-Lohnabrechnung (BW 2025) | Datenpannen-Meldung verspätet | 4.500 EUR | Original 22k → AB akzeptierte fahrlässige Verkennung |
Häufig gestellte Fragen
Wer kann eine DSGVO-Beschwerde einreichen?
Jede betroffene Person nach Art. 77 DSGVO bei der zuständigen Aufsichtsbehörde. Auch Verbraucherverbände nach Art. 80 DSGVO.
Wie lange dauert ein Verfahren?
Median 2025: 14-22 Monate (BfDI-Tätigkeitsbericht 03/2026). Komplexe Fälle 3-5 Jahre.
Habe ich Akteneinsicht?
Ja, nach § 29 VwVfG/§ 32f BDSG. BVerwG 6 C 6.20: nicht-akute-Verfahrensteile dürfen geschwärzt werden, aber nicht zur Beweislast-Vereitelung.
Welche Bußgeld-Höhe ist üblich?
Median 2025 in DE: 12.500 EUR (BfDI). 90%-Perzentil: 240.000 EUR. Top-Bußgelder 2025: Vodafone 1,3 Mio., Microsoft 850k, Volkswagen 650k.
Kann ich gegen den Bescheid klagen?
Ja, Verwaltungsgericht binnen 1 Monat. Klage hat aufschiebende Wirkung. Deutscher Anwalt empfohlen, Ø-Honorar 4.500-15.000 EUR.
Was kann ich präventiv tun?
1) Verarbeitungsverzeichnis aktuell, 2) DSB benannt, 3) AVVs vollständig, 4) TOM dokumentiert, 5) Betroffenenrechte-Prozess. Compliance-Kit DSGVO-Kit hat alle 5 Bausteine.
Quellen
- Verordnung (EU) 2016/679 (DSGVO) — deutscher Volltext, EUR-Lex (Stand: 02.05.2026, geltend seit 25.05.2018)
- Bundesdatenschutzgesetz (BDSG) — gesetze-im-internet.de (Stand: laufend, BMJ-Servicestelle)
- § 30 OWiG — Geldbuße gegen juristische Personen (Stand: laufend)
- EDPB Leitlinien 04/2022 zur Berechnung von Geldbußen (Stand: 02.05.2026)
- EDPB Jahresbericht 2023 (Executive Summary, deutsch) (Stand: 08.2024)
Werkzeuge & Selbsttests
DSGVO-Checkliste
30 Pruefpunkte fuer Datenschutz-Compliance im KMU.
Bussgeld-Rechner
Berechnen Sie das potenzielle Bussgeld-Risiko fuer Ihr Unternehmen.
DSGVO Self-Assessment
Strukturierter Selbsttest mit Reifegrad-Score und Massnahmen-Roadmap.
Cookie-Banner-Audit
TDDG/DSGVO-Pruefung Ihres Cookie-Banners mit konkreten Korrektur-Hinweisen.