Keine Bußgelder für Behörden nach DSGVO – deutsche Sonderregelung

1. Ausgangspunkt: Bußgelder in der DSGVO

Die Datenschutz-Grundverordnung (DSGVO) verfolgt das Ziel, den Schutz personenbezogener Daten europaweit einheitlich und wirksam durchzusetzen. Zentrales Instrument sind die in Art. 83 DSGVO vorgesehenen Geldbußen. Nach Abs. 1 müssen Sanktionen wirksam, verhältnismäßig und abschreckend sein.

In Abs. 4 bis 6 DSGVO werden die Bußgeldrahmen konkretisiert. Bei weniger gravierenden Verstößen können bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes eines Unternehmens verhängt werden, bei schwerwiegenden Verstößen bis zu 20 Millionen Euro oder 4 Prozent des Jahresumsatzes. Gerade international tätige Konzerne wie Google, Meta oder Amazon waren bereits mehrfach Adressaten solcher Rekordbußgelder. Die Höhe macht deutlich, dass es sich nicht nur um symbolische Sanktionen handelt, sondern um ein zentrales Steuerungsinstrument, das Unternehmen zwingt, den Datenschutz organisatorisch und technisch abzusichern.

2. Öffentliche Stellen im Fokus

Anders stellt sich die Situation bei öffentlichen Stellen dar. Nach Art. 83 Abs. 7 DSGVO können die Mitgliedstaaten selbst festlegen, ob und in welchem Umfang Geldbußen auch gegenüber Behörden verhängt werden. Der europäische Gesetzgeber hat damit bewusst einen Spielraum eingeräumt.

Dieser Spielraum wurde in den Mitgliedstaaten sehr unterschiedlich genutzt. Spanien und Österreich haben Geldbußen auch für Behörden ausdrücklich zugelassen. In Österreich wurden bereits Bußgelder gegen Gemeinden verhängt, wenn etwa Melderegister nicht ausreichend abgesichert waren. Deutschland hingegen hat sich für eine weitgehende Privilegierung entschieden und öffentliche Stellen grundsätzlich von Geldbußen ausgenommen.

3. Deutschland: § 43 Abs. 3 BDSG

Der deutsche Gesetzgeber hat in § 43 Abs. 3 Bundesdatenschutzgesetz (BDSG) klargestellt: „Gegen Behörden und sonstige öffentliche Stellen im Sinne des § 2 Absatz 1 werden keine Geldbußen verhängt.“

Öffentliche Stellen im Sinne des § 2 Abs. 1 BDSG sind die Behörden des Bundes und der Länder, Gemeinden, Gemeindeverbände und sonstige Organe der öffentlichen Verwaltung. Damit ist ein breiter Bereich der staatlichen Datenverarbeitung ausgenommen – von Schulen und Universitäten über Gesundheitsämter bis hin zu Meldebehörden.

Eine Ausnahme gilt nach § 2 Abs. 4 BDSG für öffentliche Einrichtungen, die als Unternehmen am Wettbewerb teilnehmen. Typische Beispiele sind Stadtwerke, kommunale Verkehrsbetriebe oder kommunale IT-Dienstleister. Gegen diese können – ebenso wie gegen private Unternehmen – Bußgelder verhängt werden.

4. Folgen bei Datenschutzverstößen von Behörden

Dass keine Bußgelder drohen, bedeutet nicht, dass Behörden völlig sanktionsfrei sind. Aufsichtsbehörden können nach Art. 58 Abs. 2 DSGVO Verwarnungen aussprechen, Verarbeitungen untersagen oder technische Nachrüstungen verlangen. Betroffene haben nach Art. 82 DSGVO einen Anspruch auf Schadensersatz. In Deutschland ergänzt das Amtshaftungsrecht, namentlich Art. 34 GG in Verbindung mit § 839 BGB, diese Regelung. Außerdem können Amtsträger disziplinarrechtlich belangt werden.

Die praktische Wirkung dieser Mechanismen ist jedoch begrenzt. Während ein Millionenbußgeld gegen ein Unternehmen sofort wirtschaftlichen Druck erzeugt, stellen Anordnungen gegenüber Behörden oft nur eine Verlängerung bereits bestehender Verwaltungsabläufe dar. Disziplinarmaßnahmen gegen Einzelpersonen sind selten und entfalten keine strukturelle Steuerungswirkung.

5. Strukturelles Ungleichgewicht und praktische Probleme

Die Privilegierung der öffentlichen Stellen führt zu einem deutlichen Ungleichgewicht. Private Unternehmen sind einem hohen finanziellen Risiko ausgesetzt, während Behörden nur organisatorische Auflagen zu erfüllen haben.

In der Praxis zeigt sich, dass gravierende Datenschutzprobleme gerade im öffentlichen Sektor auftreten. Ein Beispiel sind die zahlreichen Datenpannen bei Schul- und Lernplattformen in den Bundesländern während der Corona-Pandemie. Unverschlüsselte Übertragungen, mangelhafte Authentifizierungen und fehlende Zugriffskontrollen führten dazu, dass Schülerdaten im Internet offen zugänglich waren. Private Anbieter vergleichbarer Plattformen erhielten in ähnlichen Fällen Bußgelder in Millionenhöhe. Öffentliche Träger mussten dagegen lediglich technische Nachbesserungen umsetzen. Für die Betroffenen – Schülerinnen, Schüler und Eltern – war der Schaden jedoch identisch.

Auch in anderen Bereichen ist die Problematik sichtbar. Eine Untersuchung der Datenschutzkonferenz zeigte, dass ein erheblicher Teil der Webseiten von Bundes- und Landesbehörden Cookies oder Tracking-Dienste rechtswidrig einsetzt. Während Unternehmen für vergleichbare Verstöße mit hohen Bußgeldern rechnen müssen, blieb es im öffentlichen Bereich meist bei Beanstandungen.

6. Fazit

Die gesetzliche Begründung für den Ausschluss von Geldbußen lautet, dass Sanktionen lediglich Steuermittel von einer Kasse in eine andere verschieben würden. Dieses Argument erscheint jedoch wenig tragfähig. Auch andere Formen staatlicher Haftung – etwa Amtshaftungsansprüche nach Art. 34 GG – belasten den Haushalt und gelten dennoch als unverzichtbares Korrektiv.

Juristisch stellen sich drei wesentliche Probleme:

Erstens widerspricht die Privilegierung dem Grundsatz der Gleichbehandlung. Während private und öffentliche Stellen in der Sache dieselben Risiken für Betroffene verursachen, werden sie unterschiedlich streng sanktioniert. Das wirft Fragen im Hinblick auf Art. 3 Abs. 1 GG auf.

Zweitens steht der Ausschluss im Spannungsfeld mit dem unionsrechtlichen Effektivitätsgebot. Der EuGH betont regelmäßig, dass Sanktionen wirksam, verhältnismäßig und abschreckend sein müssen. Ein vollständiger Verzicht auf finanzielle Sanktionen schwächt die praktische Wirksamkeit der DSGVO erheblich.

Drittens entstehen praktische Defizite. In Deutschland wurden 2023 und 2024 allein gegen private Unternehmen Bußgelder in dreistelliger Millionenhöhe verhängt. Diese Einnahmen fließen teilweise in die Finanzierung der Aufsichtsbehörden und in Forschungsprojekte. Da Behörden ausgenommen sind, entsteht ein Ungleichgewicht auch bei der Ressourcenausstattung.

7. Eigene Bewertung 

Die deutsche Sonderregelung in § 43 Abs. 3 BDSG führt zu einer systematischen Schwächung der Datenschutzdurchsetzung im öffentlichen Bereich. Während Unternehmen empfindlich sanktioniert werden können, bleibt die öffentliche Verwaltung von finanziellen Sanktionen verschont. In der Praxis führt dies dazu, dass gravierende Datenschutzdefizite im öffentlichen Bereich ohne nennenswerte Konsequenzen bleiben.

Eine sachgerechte Lösung bestünde nicht in einem völligen Ausschluss, sondern in einer zweckgebundenen Ausgestaltung. Denkbar wäre, Bußgelder öffentlicher Stellen in spezielle Datenschutzfonds fließen zu lassen oder sie unmittelbar für die Verbesserung der IT-Sicherheit der betroffenen Behörde einzusetzen. So ließe sich der Umverteilungseffekt vermeiden und gleichzeitig die notwendige Abschreckungswirkung sicherstellen.

Im Ergebnis ist festzustellen, dass die Privilegierung öffentlicher Stellen weder unionsrechtlich noch rechtspolitisch überzeugend ist. Sie führt zu einer Ungleichbehandlung von Bürgerinnen und Bürgern je nachdem, ob ihre Daten von einer Behörde oder einem Unternehmen verarbeitet werden, und schwächt die Wirksamkeit des Datenschutzrechts insgesamt. Eine Reform erscheint daher geboten, um den Datenschutz im öffentlichen Bereich auf das gleiche Niveau wie im privaten Sektor zu heben.

Autorin des Beitrags

Anahita Lotfi
▪️Juristin
▪️Externe Datenschutzbeauftragte
▪️Fachexpertin auf dem Gebiet der Cyberkriminalität und KI
▪️Unternehmensberaterin für StartUp & KMU
▪️Gründerin von LEXAL LAW \ CONSULTINGS

Lesen Sie auch