DSGVO für Kleinunternehmen: Die 5 häufigsten Fehler

Das Wichtigste in Kürze
- Die teuersten DSGVO-Fehler von Kleinunternehmen sitzen fast immer auf der Website: dynamisch von Google geladene Schriften, eine unvollständige Datenschutzerklärung und ein wirkungsloser Cookie-Banner.
- Seit drei BGH-Urteilen vom 27. März 2025 können Datenschutzverstöße direkt von Mitbewerbern wettbewerbsrechtlich abgemahnt werden — das Risiko ist nicht mehr nur die Aufsichtsbehörde.
- Auch das Verarbeitungsverzeichnis (VVT), fehlende Auftragsverarbeitungsverträge und unbeantwortete Auskunftsanfragen werden unterschätzt; die „unter 250 Mitarbeiter“-Ausnahme ist in der Praxis fast immer eine Illusion.
- Mit lokalem Hosting, sauberem Consent und einer zu den eingesetzten Tools passenden Datenschutzerklärung lassen sich die meisten Risiken mit überschaubarem Aufwand beseitigen — bei SiteFlat ist all das ab Werk eingebaut.
Die DSGVO klingt für viele Selbständige nach einem Bürokratie-Monster. In der Praxis sind es aber meist nur eine Handvoll konkreter Fehler, die kleine Unternehmen angreifbar machen — und die sich mit überschaubarem Aufwand beheben lassen. Dieser Ratgeber zeigt die fünf häufigsten, was sie 2026 so gefährlich macht und wie Sie sie dauerhaft abstellen. Wenn Sie ohnehin gerade über eine neue Website nachdenken, lohnt vorab auch der Blick auf Website mieten oder kaufen — denn beide Modelle bringen eigene Datenschutzpflichten mit.
2025 hat sich die Risikolage grundlegend geändert
Früher drohte bei Datenschutzverstößen vor allem ein Bußgeld der Aufsichtsbehörde. Seit den BGH-Urteilen vom 27. März 2025 können Datenschutzverstöße zusätzlich von direkten Konkurrenten abgemahnt und von Verbraucherschutzverbänden verfolgt werden. Damit ist aus einem theoretischen Behördenrisiko ein sehr reales Kostenrisiko im Alltag geworden.
Die neue Bedrohungslage: Abmahnung durch Mitbewerber
Lange war umstritten, ob Wettbewerber DSGVO-Verstöße abmahnen dürfen. Der Europäische Gerichtshof öffnete mit dem Urteil vom 4. Oktober 2024 (Rs. C-21/23, „Lindenapotheke“) die Tür, indem er klarstellte, dass die DSGVO nationale Durchsetzungswege nicht sperrt. Darauf aufbauend beendete der Bundesgerichtshof am 27. März 2025 in drei Grundsatzurteilen (u. a. Az. I ZR 222/19 und I ZR 223/19) den jahrelangen Streit: DSGVO-Verstöße sind nach § 3a UWG abmahnfähig, soweit die verletzte Norm eine Marktverhaltensregel ist.
Als solche Marktverhaltensregeln gelten ausdrücklich die Bedingungen für die Einwilligung (Art. 7 DSGVO), das Verbot der Verarbeitung sensibler Daten ohne ausdrückliche Einwilligung (Art. 9 DSGVO) sowie die Transparenz- und Informationspflichten (Art. 12 und 13 DSGVO). Ein abmahnfähiger Nachteil liegt bereits dann vor, wenn sich ein Unternehmen durch die Missachtung der DSGVO einen Wettbewerbsvorteil verschafft — etwa durch den Verzicht auf ein lästiges Cookie-Banner, um Registrierungsraten künstlich zu erhöhen.
Schon der bloße Kontrollverlust kostet
Der BGH stellte am 18. November 2024 (Az. VI ZR 10/24) fest, dass bereits der immaterielle Kontrollverlust über personenbezogene Daten einen Schadensersatzanspruch nach Art. 82 DSGVO begründet — ein Nachweis von Missbrauch ist nicht nötig. Mit einem Richtwert von rund 100 € pro betroffener Person summiert sich das bei einer Datenpanne schnell zu existenzbedrohenden Summen. Allein 2024 wurden in Deutschland 266 DSGVO-Bußgelder registriert.
— BGH, Az. VI ZR 10/24 (2024); ODC Legal, DSGVO-Bußgelder 2025
DACH im Vergleich: Deutschland, Österreich, Schweiz
Die DSGVO gilt EU-weit einheitlich — die Durchsetzung und die nationalen Zusatzgesetze unterscheiden sich jedoch erheblich. Wer im gesamten DACH-Raum tätig ist, sollte die wichtigsten Unterschiede kennen.
| Kriterium | Deutschland | Österreich | Schweiz (nDSG) |
|---|---|---|---|
| Primäres Risiko | Bußgeld, Schadensersatz, Abmahnung durch Mitbewerber | Bußgeld, Schadensersatz, strafrechtliche Delikte | Strafbussen gegen verantwortliche Personen |
| Abmahnung durch Konkurrenten | Ja (§ 8 Abs. 3 i. V. m. § 3a UWG) | Nicht als systematischer Hebel etabliert | Nicht anwendbar |
| Sanktionshöhe | Bis 20 Mio. € oder 4 % des Jahresumsatzes | Bis 20 Mio. € oder 4 % des Jahresumsatzes | Bussen bis 250 000 CHF bei Vorsatz |
| Cookie-Banner Pflicht | Ja (DSGVO + TDDDG) | Ja (DSGVO + TKG) | Keine gesetzliche Pflicht |
| VVT-Pflicht für KMU | Praktisch immer (enge Ausnahmen) | Praktisch immer (enge Ausnahmen) | Befreiung unter 250 MA möglich |
Fehler 1: Google Fonts und Drittdienste dynamisch laden
Die Unternehmenswebsite ist der häufigste Auslöser für kostspielige Abmahnungen. Das prominenteste Beispiel: dynamisch eingebundene Google Fonts. Wird eine Schriftart live von Google-Servern in den USA nachgeladen, wandert die IP-Adresse jedes Besuchers ohne Einwilligung in ein Drittland. Das Landgericht München I stufte das bereits im Januar 2022 als DSGVO-Verstoß ein und sprach dem Nutzer Schadensersatz zu.
Dasselbe Problem betrifft eingebettete YouTube-Videos ohne erweiterten Datenschutzmodus, Google Maps, Schriften-CDNs oder externe Analyse-Skripte. Die Lösung ist in allen Fällen identisch: Externe Ressourcen lokal auf dem eigenen Server hosten oder erst nach aktiver Einwilligung laden. Vorsicht bei kostenlosen Online-Font-Checkern — sie prüfen meist nur eine einzelne Seite und übersehen Drittdienste auf Unterseiten.
Lokal hosten in Kürze
Google Fonts herunterladen, nicht benötigte Schriftschnitte und Zeichensätze entfernen, die .woff2-Dateien auf den eigenen Server legen und in der CSS-Datei per @font-face relativ einbinden. Danach lädt keine Schrift mehr von externen Servern — und die häufigste Abmahnursache ist beseitigt.
Fehler 2: Unvollständige Datenschutzerklärung und wirkungsloser Cookie-Banner
Viele Kleinunternehmen kopieren ihre Datenschutzerklärung aus dem Netz oder lassen sie einmalig generieren — und vergessen sie danach. Eine solche Erklärung spiegelt die tatsächlichen Datenflüsse fast nie korrekt wider. Sobald sie Tracking-Tools verschweigt, falsche Speicherfristen nennt oder Drittdienste auslässt, liegt eine irreführende geschäftliche Handlung nach § 5a UWG vor — und damit ein Abmahngrund.
Genauso kritisch ist der Cookie-Banner: Analytics- und Marketing-Tools dürfen erst nach aktiver, freiwilliger Einwilligung laden. Ein Banner, der Tracking schon vor dem Klick startet oder bei dem „Alle ablehnen“ schwerer erreichbar ist als „Alle akzeptieren“, ist wirkungslos — und nach der BGH-Rechtsprechung sogar abmahnfähig.
- Kontaktformulare ohne klaren Hinweis auf die Datenverarbeitung
- Eingebundene YouTube-Videos ohne erweiterten Datenschutzmodus
- Tracking, das schon vor der Einwilligung startet
- Eine Datenschutzerklärung, die nicht zu den real eingesetzten Tools passt
Fehler 3: Die KMU-Ausnahme beim Verarbeitungsverzeichnis falsch verstehen
Hartnäckig hält sich der Irrglaube, Unternehmen mit weniger als 250 Mitarbeitern seien generell von der Pflicht zum Verzeichnis von Verarbeitungstätigkeiten (VVT, Art. 30 DSGVO) befreit. Tatsächlich greift die Ausnahme nur, wenn die Verarbeitung kein Risiko birgt, keine sensiblen Daten betrifft und ausschließlich gelegentlich erfolgt. Genau diese „Gelegentlichkeit“ ist in der digitalen Praxis fast nie erfüllt.
Sobald Sie eine Kundendatenbank pflegen, monatlich Löhne abrechnen, ein CRM nutzen oder einen Newsletter versenden, liegt eine dauerhafte, systematische Verarbeitung vor — die VVT-Pflicht greift. Da Aufsichtsbehörden bei Prüfungen zuerst das VVT anfordern, führt sein Fehlen sofort zu einer Verletzung der Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO).
| Pflichtangabe | Was hineingehört |
|---|---|
| Verantwortliche Stelle | Name und Kontaktdaten, ggf. des Datenschutzbeauftragten |
| Zweck | Wofür die Daten verarbeitet werden (CRM, Lohn, Newsletter …) |
| Betroffene & Datenarten | Kunden, Beschäftigte, Interessenten; Stamm-, Kontakt-, Nutzungsdaten |
| Empfänger | Steuerberater, IT-Dienstleister, Cloud-Anbieter, Lohnbüro |
| Drittlandtransfers | Datenflüsse außerhalb der EU samt Garantien (SCC, EU-US DPF) |
| Löschfristen & TOM | Aufbewahrungsfristen und technisch-organisatorische Maßnahmen |
Datenschutz, um den Sie sich nicht kümmern müssen
Bei SiteFlat ist DSGVO-Konformität ab Werk eingebaut: lokale Schriften, datensparsame Analytics ohne Cookies, ein sauberer Consent und eine Datenschutzerklärung, die zu Ihren Tools passt. Sie bekommen sogar einen Auftragsverarbeitungsvertrag inklusive.
Fehler 4: Fehlende Auftragsverarbeitungsverträge (AVV)
Wer personenbezogene Daten von externen Dienstleistern weisungsgebunden verarbeiten lässt, braucht zwingend einen Auftragsverarbeitungsvertrag nach Art. 28 DSGVO. Typische Fälle: Cloud-Speicher, externe IT-Dienstleister mit Fernzugriff, Newsletter-Tools, Hosting-Anbieter. Das Fehlen eines AVV ist ein eigenständiger formaler Verstoß — unabhängig davon, ob jemals Daten abhandenkommen.
Das Steuerberater-Paradoxon
Viele Unternehmen drängen ihren Steuerberater zum Abschluss eines AVV — das ist falsch. Nach § 11 StBerG ist der Steuerberater eigenständig Verantwortlicher, nicht Auftragsverarbeiter; ein AVV ist hier unzulässig. Anders bei den genutzten Plattformen (z. B. DATEV): Dort liegt eine klassische Auftragsverarbeitung vor und ein AVV ist Pflicht.
— § 11 StBerG; Steuerberaterkammer München
Fehler 5: Keine Prozesse für Betroffenenrechte und Datenpannen
Das Auskunftsrecht nach Art. 15 DSGVO wird zunehmend strategisch eingesetzt — von unzufriedenen Kunden oder ehemaligen Mitarbeitern als Druckmittel. Geht eine Anfrage ein, müssen Sie innerhalb eines Monats vollständig und strukturiert Auskunft erteilen. Wer Daten erst aus E-Mail-Postfach, CRM, Buchhaltung und Backup zusammensuchen muss, reißt die Frist regelmäßig — und auch eine verspätete Auskunft ist seit März 2025 abmahnfähig.
Ebenso unvorbereitet treffen Datenpannen viele Betriebe: Schwerwiegende Vorfälle müssen nach Art. 33 DSGVO binnen 72 Stunden an die Aufsichtsbehörde gemeldet werden. Ohne vorbereiteten Ablauf verstreicht dieses Fenster ungenutzt — was das Bußgeld bei späterer Aufdeckung deutlich erhöht. Legen Sie daher vorab fest, wer im Ernstfall was tut und wo welche Daten liegen.
Soforthilfe: Was tun bei einer DSGVO-Abmahnung?
Eine Abmahnung im Briefkasten ist unangenehm — Panik ist aber der schlechteste Ratgeber. Diese fünf Schritte schützen vor teuren Fehlern:
- 1Ruhe bewahren. Den gegnerischen Anwalt nicht direkt kontaktieren — er vertritt ausschließlich die Gegenseite.
- 2Fristen dokumentieren. Die gesetzten (meist kurzen) Fristen und den Posteingang sofort festhalten.
- 3Sachverhalt prüfen lassen. Liegt der Verstoß wirklich vor? Sind die Kosten angemessen? Gibt es Anzeichen für Rechtsmissbrauch?
- 4Unterlassungserklärung nie ungeprüft unterschreiben. Bei berechtigtem Verstoß eine modifizierte Erklärung abgeben, um Vertragsstrafen zu begrenzen.
- 5Nicht voreilig zahlen. Bei unwirksamer oder rein gewinnorientierter Massenabmahnung entfällt die Kostenpflicht.
Ausblick: Was sich 2026 und danach ändert
Die Pflicht zum Datenschutzbeauftragten könnte in Deutschland gelockert werden: Die Ministerpräsidentenkonferenz will § 38 Abs. 1 BDSG bis Ende 2026 aufheben. Die scheinbare Entlastung kann jedoch zur Falle werden — fällt die klare 20-Personen-Grenze weg, müssen Unternehmen selbst über eine komplexe Risikoanalyse bewerten, ob sie einen Beauftragten brauchen.
Parallel verschärft der EU AI Act die Lage: Ab dem 2. August 2026 greifen Transparenzpflichten für KI-generierte Inhalte (Art. 50). Wer ungekennzeichnete KI-Texte oder -Bilder einsetzt, riskiert — analog zur DSGVO-Rechtsprechung — wettbewerbsrechtliche Abmahnungen. In der Schweiz gilt seit September 2023 das revidierte nDSG mit eigenen Regeln: strafrechtliche Bussen gegen Personen statt Bußgeldern gegen Unternehmen, dafür keine Pflicht zu Cookie-Banner und Datenschutzbeauftragtem.
Der einfache Ausweg
Die gute Nachricht: Die meisten der genannten Fehler entstehen auf der Website — und genau dort lassen sie sich am einfachsten von vornherein vermeiden. Bei SiteFlat ist DSGVO-Konformität ab Werk eingebaut: lokal gehostete Schriften, datensparsame Analytics ohne Cookies, ein sauberer Consent-Banner, eine zu den eingesetzten Diensten passende Datenschutzerklärung und ein Auftragsverarbeitungsvertrag. Hosting läuft in der EU, SSL ist Standard. Wie laufende Pflege solche Risiken dauerhaft klein hält, lesen Sie im Beitrag Website-Wartung 2026. Und wenn Sie wissen möchten, was eine rechtssichere Website realistisch kostet, hilft Was kostet eine Website 2026? weiter.
Wichtiger Hinweis
Dieser Ratgeber bietet eine allgemeine Orientierung und ersetzt keine Rechtsberatung. Bei konkreten Fragen — insbesondere im Fall einer Abmahnung — wenden Sie sich an eine spezialisierte Anwältin oder einen Anwalt.
DSGVO-sicher online — ohne eigenes Zutun
SiteFlat baut Ihre Website von Grund auf datenschutzkonform und hält sie es auch: lokale Schriften, Consent, AV-Vertrag und EU-Hosting inklusive. Kalkulierbare Monatspauschale, jederzeit kündbar.
Quellen
- eRecht24, „Datenschutz für kleine Unternehmen“
- Windweiss, „BGH erlaubt DSGVO-Abmahnung durch Mitbewerber“ (Az. I ZR 222/19, I ZR 223/19)
- ODC Legal, „Die wichtigsten DSGVO-Bußgelder 2025“
- 2b Advice, „Verarbeitungsverzeichnis nach DSGVO: Pflicht, Aufbau und Umsetzung“
- Dr. Datenschutz, „Steuerberater sind keine Auftragsverarbeiter“
- WKO, „Abmahnungen wegen Google Fonts“
- Factorial, „Datenschutzgesetz Schweiz: Wichtige Punkte (nDSG)“
- Gesellschaft für Datenschutz, „Datenschutzbeauftragte erst ab 50 Mitarbeitenden?“ (§ 38 BDSG)
- mailbox.org, „DSGVO-Verstöße: 5 häufige Fehler vermeiden“
Häufige Fragen
Ja, uneingeschränkt. Die DSGVO kennt keine generelle Ausnahme für Kleinunternehmen. Sobald Sie personenbezogene Daten verarbeiten — und das tun Sie bereits durch Server-Logfiles, ein Kontaktformular oder eine Kundenliste — müssen Sie die Vorgaben einhalten. Lediglich einzelne Pflichten (z. B. der Datenschutzbeauftragte) hängen von der Mitarbeiterzahl ab.
Ja. Der Bundesgerichtshof hat am 27. März 2025 in mehreren Grundsatzurteilen entschieden, dass Datenschutzverstöße nach § 3a UWG von Mitbewerbern abgemahnt werden können, sofern die verletzte Norm eine Marktverhaltensregel ist. Dazu zählen unter anderem die Regeln zur Einwilligung sowie die Transparenz- und Informationspflichten (Art. 7, 12, 13 DSGVO).
Dynamisch von Google-Servern geladene Schriften sind weiterhin ein Datenschutzverstoß, weil die IP-Adresse der Besucher ohne Einwilligung in die USA übertragen wird. Zwar haben Gerichte rein gewinnorientierte Massenabmahnungen als rechtsmissbräuchlich eingestuft, das zugrunde liegende Verbot bleibt aber bestehen. Die sichere Lösung ist, Schriften lokal auf dem eigenen Server zu hosten.
In den allermeisten Fällen ja. Die Ausnahme für Unternehmen unter 250 Mitarbeitern greift nur, wenn die Verarbeitung kein Risiko birgt, keine sensiblen Daten betrifft und ausschließlich gelegentlich erfolgt. Sobald Sie regelmäßig Kundendaten, Löhne oder einen Newsletter verarbeiten, sind Sie zur Führung eines VVT verpflichtet.
Nein. Der Steuerberater ist nach § 11 StBerG eigenständig Verantwortlicher und kein Auftragsverarbeiter — ein Auftragsverarbeitungsvertrag wäre hier sogar unzulässig. Anders sieht es bei den genutzten technischen Plattformen (etwa DATEV) sowie bei Cloud-, Hosting- und Newsletter-Diensten aus: Mit diesen ist ein AVV nach Art. 28 DSGVO Pflicht.
Website, um die Sie sich nie kümmern müssen.
SiteFlat baut, hostet und pflegt Ihre Website zum monatlichen Festpreis — DSGVO-konform, blitzschnell und für Google wie KI optimiert. Ab 99 €/Monat, ohne Einmalkosten.
Unverbindlich anfragen