Zurück zu den Artikeln
RGPD
DSGVO Datenschutz Bußgelder Compliance BfDI

DSGVO: Die 10 häufigsten Fehler von Unternehmen

12. Februar 2026 10 Min. Lesezeit DPLIANCE

Die 10 DSGVO-Fehler, die deutsche Unternehmen am teuersten zu stehen kommen

Acht Jahre nach Inkrafttreten der DSGVO wiederholen sich dieselben Fehler. Immer wieder. Und die deutschen Aufsichtsbehörden machen keine Ausnahmen mehr. 2025 wurden in Deutschland 249 Bußgelder mit einer Gesamthöhe von 46,9 Millionen Euro verhängt. Vodafone allein: 45 Millionen Euro. H&M: 35,3 Millionen Euro. Die Behörde in Bremen verhängte 101 Bußgelder — mehr als doppelt so viele wie jedes andere Bundesland.

Das Problem ist nicht, dass Unternehmen sich weigern, die DSGVO umzusetzen. Das Problem ist, dass sie glauben, konform zu sein — während sie es nicht sind.

Hier sind die 10 häufigsten DSGVO-Fehler, jeweils mit einem realen Beispiel aus der deutschen Aufsichtspraxis, den Risiken und der konkreten Lösung.

Fehler 1: Datenschutzerklärung fehlt oder ist kopiert

Es ist der sichtbarste und häufigste Verstoß. Entweder gibt es gar keine Datenschutzerklärung, oder sie wurde von einer anderen Website kopiert — ohne jede Anpassung an die tatsächlichen Verarbeitungen des Unternehmens.

Das Problem: Eine generische Datenschutzerklärung spiegelt nicht die realen Datenverarbeitungen Ihres Unternehmens wider. Sie enthält weder die richtigen Zwecke, noch die richtigen Empfänger, noch die richtigen Speicherfristen. Bei einer Prüfung durch die Aufsichtsbehörde ist das ein sofortiges Alarmsignal.

Was die DSGVO verlangt: Die Artikel 13 und 14 schreiben eine transparente, verständliche und leicht zugängliche Information über alle Datenverarbeitungen vor. Die Information muss in klarer und einfacher Sprache erfolgen.

Typische Mängel in der Praxis: Datenschutzerklärungen, die Dienste aufführen, die das Unternehmen gar nicht nutzt. Fehlende Angaben zum Hosting-Anbieter. Keine Nennung der eingesetzten Analytics-Tools. Veraltete Rechtsgrundlagen. Fehlende Angaben zur Drittlandübermittlung bei Nutzung US-amerikanischer Dienste.

Wie Sie es richtig machen: Erstellen Sie eine individuelle Datenschutzerklärung, die jeden Verarbeitungsvorgang Ihres Unternehmens abbildet — mit Zweck, Rechtsgrundlage, Empfängern, Speicherdauer und Betroffenenrechten. Complio scannt Ihre Website automatisch und identifiziert Lücken und Fehler in Ihrer Datenschutzerklärung.

Fehler 2: Cookies ohne Einwilligung setzen

Google wurde europaweit mit 150 Millionen Euro bestraft, weil Cookies vor der Einwilligung des Nutzers gesetzt wurden. In Deutschland hat das TDDDG (Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz) die Anforderungen an Cookie-Consent nochmals verschärft.

Das Problem: Viele Websites setzen Tracking-Cookies und Analyse-Tools bereits beim Laden der Seite — bevor der Nutzer überhaupt die Möglichkeit hatte, zuzustimmen oder abzulehnen. Andere verwenden Dark Patterns: ein grüner “Akzeptieren”-Button neben einem grauen, kaum sichtbaren “Einstellungen”-Link.

Die häufigsten Dark Patterns in Deutschland:

  • “Akzeptieren” als großer, farbiger Button — “Ablehnen” nur über einen zweiten Bildschirm erreichbar
  • Cookie-Banner, das durch Scrollen als Zustimmung wertet
  • Vorausgewählte Checkboxen für Marketing-Cookies
  • Fehlende Möglichkeit, die Einwilligung nachträglich zu widerrufen

Was die Aufsichtsbehörden fordern: Die DSK (Datenschutzkonferenz) hat klargestellt, dass die Ablehnung von Cookies genauso einfach sein muss wie die Zustimmung. Auch das Bundesverwaltungsgericht hat die strenge Auslegung der Einwilligungspflicht bestätigt. Die alte Masche, alles als “technisch notwendig” zu deklarieren, funktioniert nicht mehr — die Behörden prüfen genau, ob ein Cookie wirklich für den vom Nutzer aufgerufenen Dienst erforderlich ist.

Wie Sie es richtig machen: Setzen Sie eine konforme Consent-Management-Plattform ein, die alle nicht-essentiellen Tracker blockiert, bis eine aktive Einwilligung vorliegt. Cookilio erfüllt genau diese Anforderungen — mit gleichwertigen Schaltflächen für Akzeptieren und Ablehnen, vollständiger Tracker-Blockierung und einem leicht zugänglichen Widerrufsmechanismus.

Fehler 3: Kein Verzeichnis der Verarbeitungstätigkeiten

Das Verzeichnis der Verarbeitungstätigkeiten ist nach Artikel 30 DSGVO Pflicht — und fehlt dennoch in erschreckend vielen Unternehmen.

Das Problem: Ohne Verzeichnis haben Sie keinen Überblick darüber, welche Daten Sie wo, warum und wie lange verarbeiten. Das macht es unmöglich, Betroffenenrechte zu erfüllen, Datenpannen korrekt zu melden oder bei einer Prüfung die Rechenschaftspflicht nachzuweisen.

Der häufige Irrtum: “Wir haben weniger als 250 Mitarbeiter, also brauchen wir kein Verzeichnis.” Falsch. Die Ausnahme gilt nur für gelegentliche Verarbeitungen, die kein Risiko bergen. Jedes Unternehmen mit Website, CRM, Newsletter oder Kundendatenbank verarbeitet Daten nicht nur gelegentlich.

Reales Risiko: Bei einer Anfrage der Aufsichtsbehörde müssen Sie das Verzeichnis innerhalb weniger Tage vorlegen können. Können Sie das nicht, ist das bereits ein eigenständiger Verstoß — unabhängig davon, ob darüber hinaus inhaltliche Mängel bestehen.

Wie Sie es richtig machen: Kartographieren Sie alle bestehenden Verarbeitungstätigkeiten systematisch. Die BfDI und die Landesbeauftragten stellen kostenlose Muster zur Verfügung. Complio unterstützt die Erfassung Ihrer Web-bezogenen Verarbeitungen und hilft, Lücken zu identifizieren.

Fehler 4: Betroffenenrechte ignorieren

Ihre Kunden, Mitarbeiter und Website-Besucher haben das Recht auf Auskunft, Berichtigung, Löschung und Datenübertragbarkeit. In der Praxis reagieren viele Unternehmen gar nicht auf solche Anfragen — oder viel zu spät.

Das Problem: Kein Prozess, keine dedizierte E-Mail-Adresse, kein Tracking der Anfragen. Die gesetzliche Antwortfrist von einem Monat wird regelmäßig überschritten oder völlig ignoriert.

Reales Bußgeld: 2025 verhängte der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit ein Bußgeld von 492.000 Euro gegen ein Finanzunternehmen — ausschließlich deshalb, weil es auf Auskunftsersuchen von Betroffenen nicht reagiert hatte. Kein Datenleck, kein Hacking — einfach Nichtreaktion auf eine gesetzliche Anfrage.

Wie Sie es richtig machen: Richten Sie einen dokumentierten Prozess ein. Definieren Sie eine zuständige Person, eine dedizierte Kontaktadresse, Fristen und Eskalationswege. Nutzen Sie ein Ticket-System zur Nachverfolgung. Schulen Sie alle Mitarbeiter, die Anfragen entgegennehmen könnten.

Fehler 5: Google Analytics ohne rechtliche Absicherung

Google Analytics bleibt eines der meistverbreiteten Analytics-Tools — und eines der problematischsten aus DSGVO-Sicht. Die österreichische Datenschutzbehörde hat 2022 entschieden, dass der Einsatz von Google Analytics gegen die DSGVO verstößt. Mehrere europäische Behörden sind dem gefolgt.

Das Problem: Google Analytics überträgt Nutzerdaten an Server in den USA. Selbst mit IP-Anonymisierung und Server-Side-Tagging bleiben grundlegende Fragen offen: Google ist ein US-Unternehmen, das dem CLOUD Act unterliegt. Das EU-US Data Privacy Framework könnte jederzeit durch den EuGH invalidiert werden — wie zuvor Safe Harbor und Privacy Shield.

Die unterschätzte Gefahr: Viele Unternehmen verlassen sich auf die Google-Analytics-Konfiguration als Compliance-Maßnahme. Aber selbst “DSGVO-konforme” Konfigurationen ändern nichts an der fundamentalen Problematik: Die Daten werden von einem US-Unternehmen verarbeitet, und das rechtliche Fundament dafür ist fragil.

Wie Sie es richtig machen: Wechseln Sie zu einer europäischen Analytics-Lösung, die keine Daten in Drittländer überträgt. Mirage Analytics arbeitet vollständig cookielos und hostet alle Daten in Europa auf souveräner Infrastruktur — kein Cookie-Banner für Analytics nötig, keine Drittlandübermittlung, kein CLOUD-Act-Risiko.

Fehler 6: Auftragsverarbeitungsverträge fehlen

Jeder externe Dienstleister, der in Ihrem Auftrag personenbezogene Daten verarbeitet, benötigt einen Auftragsverarbeitungsvertrag (AVV) nach Artikel 28 DSGVO. Hosting-Provider, E-Mail-Marketing-Tools, CRM-Systeme, Cloud-Speicher, Lohnbuchhaltungsdienste — die Liste ist lang.

Das Problem: Viele Unternehmen wissen nicht einmal, welche ihrer Dienstleister personenbezogene Daten verarbeiten. Noch weniger haben vollständige AVVs abgeschlossen. Und selbst wenn ein AVV existiert, wurde er oft einmalig unterzeichnet und nie aktualisiert.

Reales Bußgeld: Vodafone wurde 2025 unter anderem wegen mangelhafter Auftragsverarbeitung mit 15 Millionen Euro bestraft. Die fehlende oder unzureichende vertragliche Absicherung der Datenverarbeitung durch Dritte war ein wesentlicher Verstoß.

Wie Sie es richtig machen: Erstellen Sie eine vollständige Liste aller Dienstleister, die Zugang zu personenbezogenen Daten haben. Prüfen Sie für jeden, ob ein aktueller AVV vorliegt. Achten Sie besonders auf Unterauftragsverarbeiter und Drittlandübermittlungen.

Fehler 7: Mitarbeiter nicht geschult

Datenschutz ist keine reine IT-Aufgabe. Die meisten Datenpannen entstehen durch menschliches Versagen: E-Mails an falsche Empfänger, verlorene USB-Sticks, Passwörter auf Post-its, unverschlüsselte Laptops im Zug.

Das Problem: Ohne regelmäßige Schulung wissen Mitarbeiter schlicht nicht, was die DSGVO von ihnen verlangt. Sie erkennen Phishing-Mails nicht, verstehen die Meldepflicht bei Datenpannen nicht und wissen nicht, wie sie mit Betroffenenanfragen umgehen sollen.

Die Pflicht: Artikel 39 Absatz 1 Buchstabe b DSGVO verpflichtet den Datenschutzbeauftragten zur Sensibilisierung und Schulung der Mitarbeiter. Auch Artikel 32 — technische und organisatorische Maßnahmen — umfasst Mitarbeiterschulungen als organisatorische Schutzmaßnahme.

Wie Sie es richtig machen: Führen Sie mindestens einmal jährlich eine Datenschutzschulung durch. Dokumentieren Sie die Teilnahme. Ergänzen Sie durch anlassbezogene Schulungen bei neuen Tools, Prozessen oder nach Datenpannen. Machen Sie Datenschutz zum Teil der Einarbeitung neuer Mitarbeiter.

Fehler 8: Keine Löschfristen definiert

Die DSGVO verlangt, dass personenbezogene Daten gelöscht werden, sobald der Zweck der Verarbeitung entfällt — es sei denn, gesetzliche Aufbewahrungspflichten stehen dem entgegen. In der Praxis haben viele Unternehmen überhaupt kein Löschkonzept.

Das Problem: Daten werden unbegrenzt gespeichert. Ehemalige Kundenkonten bleiben jahrzehntelang aktiv. Bewerbungsunterlagen werden nie gelöscht. Alte CRM-Datensätze häufen sich an. Je mehr Daten Sie speichern, desto größer Ihr Risiko bei einer Datenpanne — und desto schwerer die möglichen Sanktionen.

Reales Beispiel: Deutsche Wohnen wurde mit 14,5 Millionen Euro bestraft, weil Mieterdaten ohne Rechtsgrundlage gespeichert wurden. Das Unternehmen hatte kein funktionierendes Löschkonzept — alte Mietverträge, Gehaltsnachweise und Sozialversicherungsdaten wurden auf unbestimmte Zeit aufbewahrt.

Wie Sie es richtig machen: Erstellen Sie ein Löschkonzept mit klaren Fristen pro Datenkategorie. Berücksichtigen Sie gesetzliche Aufbewahrungspflichten (Handelsrecht: 6 bzw. 10 Jahre, Steuerrecht: 10 Jahre). Automatisieren Sie die Löschung, wo möglich. Dokumentieren Sie die Umsetzung.

Fehler 9: Datenpannen nicht melden

Die DSGVO verlangt, dass Datenpannen innerhalb von 72 Stunden an die zuständige Aufsichtsbehörde gemeldet werden. Viele Unternehmen melden Datenpannen gar nicht — sei es aus Unwissenheit, aus Scham oder aus Angst vor den Konsequenzen.

Das Problem: Die Nichtmeldung einer Datenpanne ist ein eigenständiger Verstoß, der zusätzlich zum eigentlichen Datenschutzvorfall sanktioniert wird. Die Aufsichtsbehörden erfahren von Datenpannen häufig durch Betroffene oder Medienberichte — und reagieren dann deutlich härter, als wenn das Unternehmen proaktiv gemeldet hätte.

Was viele nicht wissen: Nicht jede Datenpanne muss gemeldet werden — nur wenn sie voraussichtlich ein Risiko für die Rechte und Freiheiten der betroffenen Personen darstellt. Aber: Im Zweifel ist die Meldung immer die sicherere Option. Und selbst nicht meldepflichtige Vorfälle müssen intern dokumentiert werden.

Wie Sie es richtig machen: Etablieren Sie einen Incident-Response-Plan: Wer wird informiert? Wer entscheidet über die Meldepflicht? Wer erstellt die Meldung? Wie werden Betroffene benachrichtigt? Üben Sie den Ablauf mindestens einmal jährlich, damit er im Ernstfall funktioniert.

Fehler 10: Videoüberwachung ohne Rechtsgrundlage

Videoüberwachung am Arbeitsplatz und in öffentlich zugänglichen Bereichen ist eines der am häufigsten sanktionierten Themen in Deutschland. Der Fall Notebooksbilliger.de — ursprünglich 10,4 Millionen Euro Bußgeld, gerichtlich reduziert auf 900.000 Euro — hat bundesweite Aufmerksamkeit erregt.

Das Problem: Viele Unternehmen installieren Kameras, ohne die rechtlichen Anforderungen zu beachten: fehlende oder unzureichende Beschilderung, kein berechtigtes Interesse nachweisbar, Aufnahmen werden länger als nötig gespeichert, Mitarbeiter werden ohne Wissen überwacht.

Was die Aufsichtsbehörden fordern:

  • Berechtigtes Interesse muss konkret nachweisbar sein (z. B. dokumentierte Diebstahlserie)
  • Transparente Kennzeichnung der überwachten Bereiche
  • Maximale Speicherdauer (in der Regel 48–72 Stunden)
  • Keine Überwachung von Sozialräumen, Umkleideräumen, Toiletten
  • Datenschutz-Folgenabschätzung bei systematischer Überwachung

Wie Sie es richtig machen: Prüfen Sie, ob die Videoüberwachung wirklich erforderlich ist — oder ob mildere Mittel (Zugangskontrollen, Alarmanlagen) ausreichen. Dokumentieren Sie Ihr berechtigtes Interesse, informieren Sie Mitarbeiter und Besucher transparent und definieren Sie verbindliche Löschfristen.

Die drei DPLIANCE-Tools gegen diese Fehler

Die meisten dieser Fehler betreffen die digitale Präsenz von Unternehmen — Websites, Tracking, Cookies, Datenschutzerklärungen. DPLIANCE bietet als Anbieter souveräner Data- und KI-Lösungen drei Werkzeuge, die genau hier ansetzen:

  • Complio: Automatisierter DSGVO-Audit Ihrer Website. Identifiziert fehlende oder fehlerhafte Datenschutzerklärungen, nicht konforme Cookie-Nutzung und Sicherheitslücken.
  • Cookilio: DSGVO-konforme Consent-Management-Plattform. Blockiert alle nicht-essentiellen Tracker vor der Einwilligung und bietet gleichwertige Akzeptieren/Ablehnen-Optionen.
  • Mirage Analytics: Cookielose Web-Analyse, vollständig in Europa gehostet. Kein Cookie-Banner für Analytics nötig, kein Datentransfer in Drittländer.

Häufig gestellte Fragen

Welche DSGVO-Verstöße werden am häufigsten bestraft?

In Deutschland sind die häufigsten Bußgeldgründe: unzureichende Rechtsgrundlage für die Datenverarbeitung (insbesondere fehlende Einwilligung beim Tracking), mangelhafte technische und organisatorische Maßnahmen, und die Verletzung von Betroffenenrechten. Die unzureichende Rechtsgrundlage ist laut Aufsichtsbehörden der mit Abstand häufigste Verstoßgrund.

Kann ein kleines Unternehmen wirklich bestraft werden?

Ja. Die DSGVO gilt für alle Unternehmen, unabhängig von der Größe. Die Bußgelder werden zwar verhältnismäßig bemessen, aber selbst fünfstellige Strafen können für ein Kleinstunternehmen existenzbedrohend sein. Hinzu kommen Abmahnungen durch Wettbewerber und Schadenersatzforderungen Betroffener.

Wie erkenne ich, ob meine Website DSGVO-konform ist?

Prüfen Sie: Wird ein Cookie-Banner mit gleichwertiger Ablehnen-Option angezeigt? Werden Tracker erst nach Einwilligung geladen? Ist die Datenschutzerklärung vollständig und aktuell? Werden Daten in Drittländer übermittelt? Ist ein Impressum vorhanden? Complio führt diese Prüfung automatisiert durch und liefert einen detaillierten Bericht.

Was ist der Unterschied zwischen DSGVO und BDSG?

Die DSGVO ist eine EU-Verordnung, die in allen Mitgliedstaaten unmittelbar gilt. Das BDSG (Bundesdatenschutzgesetz) ist das deutsche Begleitgesetz, das die DSGVO dort ergänzt, wo Öffnungsklauseln bestehen — z. B. bei der Pflicht zum Datenschutzbeauftragten (ab 20 Personen in Deutschland statt dem allgemeinen DSGVO-Kriterium) oder beim Beschäftigtendatenschutz.

Schützt ein Datenschutzbeauftragter vor Bußgeldern?

Ein Datenschutzbeauftragter reduziert das Risiko erheblich, bietet aber keine Garantie. Entscheidend ist, dass seine Empfehlungen auch umgesetzt werden. H&M hatte einen Datenschutzbeauftragten — und wurde trotzdem mit 35,3 Millionen Euro bestraft, weil die systematische Überwachung von Mitarbeitern trotz interner Warnungen fortgesetzt wurde.

Schreiben Sie uns

contact@dpliance.com
Kontaktieren Sie uns