Stellen Sie sich vor, Sie kommen morgens ins Büro – und auf dem Schreibtisch liegt ein Bußgeldbescheid. Genau das ist einem Unternehmen 2025 passiert. Klingt nach einem Problem der Großen? Von wegen. Während die Rekordstrafe Schlagzeilen machte, haben die deutschen Aufsichtsbehörden im selben Jahr 249 Bußgelder verhängt – und die meisten davon trafen keine Tech-Giganten, sondern ganz normale Unternehmen, deren Website nicht DSGVO-konform war.
Die Dimension ist atemberaubend: Bis November 2025 wurden europaweit über 689.98 Millionen Euro (Stand: 31. Dezember 2025) an DSGVO-Bußgeldern verhängt. Kumuliert sind es seit Mai 2018 sogar mehr als fünf Milliarden Euro.
Und dann war da noch der 27. März 2025: An diesem Tag hat der BGH den Weg für Abmahnungen durch Wettbewerber und Verbraucherverbände freigemacht – jeder DSGVO-Verstoß wurde damit zum unmittelbaren Geschäftsrisiko.
Aber bevor Sie jetzt in Panik verfallen: Die gute Nachricht ist, dass sich DSGVO-Compliance mit der richtigen Struktur und den passenden Werkzeugen zuverlässig umsetzen lässt.
In diesem Artikel bekommen Sie eine präzise Roadmap – von der Cookie-Einwilligung über Auftragsverarbeitung bis zur praktischen Checkliste, mit der Sie Ihre Website in weniger als einer Stunde prüfen können.
Cookie-Einwilligung: Was TDDDG, DSA und die neue EinwV wirklich fordern
Wenn es um Cookies geht, herrscht auf vielen Websites immer noch Wild-West-Mentalität. Dabei ist die Rechtslage glasklar – und wird durch drei Regelwerke bestimmt, die Sie kennen müssen.
Die rechtliche Basis: TDDDG und DSGVO
Seit dem 14. Mai 2024 gilt das neue TDDDG. §25 dieses Gesetzes regelt die Einwilligungspflicht für Cookies und ähnliche Technologien. Wichtig zu wissen: Bei Verstößen drohen Geldbußen bis zu 300.000 Euro – und die können zusätzlich zu einer DSGVO-Strafe verhängt werden. Doppelt bestraft zu werden ist also keine theoretische Möglichkeit.
Was viele übersehen: Es gibt Cookies, für die Sie gar keine Einwilligung brauchen. Alles, was technisch zwingend erforderlich ist – Session-Cookies, Warenkorb-Funktionen, Login-Cookies – bleibt einwilligungsfrei.
Aber sobald ein Cookie Marketingzwecke verfolgt oder Analysefunktionen erfüllt, brauchen Sie die aktive Zustimmung des Nutzers. Punkt. Die IHK München bringt es auf den Punkt: Entscheidend ist die technische, nicht die wirtschaftliche Notwendigkeit.
Und hier setzt der grundlegende Datenschutzgedanke an: Personenbezogene Daten – und dazu zählen bereits IP-Adressen – dürfen nur mit Einwilligung verarbeitet werden. Wie Sie diesen Grundsatz auch in sensiblen Bereichen wie Versicherungsanfragen korrekt umsetzen, lesen Sie in unserem Beitrag zur Anonymisierten Datenverarbeitung und datenschutzkonformen Einwilligung.
Eine erfreuliche Klarstellung kommt mit der Einwilligungsverwaltungsverordnung, die am 01. April 2025 in Kraft getreten ist. Sie regelt sogenannte PIMS – Persönliche Informationsmanagement-Dienste.
Aber §18 dieser Verordnung stellt ausdrücklich klar: Niemand muss diese Dienste nutzen. Ihre bestehenden Consent-Tools bleiben vollständig zulässig, wie die IT-Recht Kanzlei erläutert. Also keine Panik, Ihr Cookie-Banner wird nicht obsolet.
Design & Technik: Schluss mit Trickserei
Was früher noch gängige Praxis war – der grüne, fette „Akzeptieren“-Button und das kaum sichtbare „Einstellungen“-Linkchen – ist heute schlicht illegal. Der Digital Services Act (DSA) verbietet sogenannte Dark Patterns ausdrücklich. Die Ansage könnte nicht deutlicher sein: „Akzeptieren“ und „Ablehnen“ müssen in Farbe, Größe und Klickweite identisch sein.
Laut Digitalsprung drohen bei täuschender Gestaltung Bußgelder. Das ist kein Kavaliersdelikt mehr – das ist existenzbedrohend für viele Unternehmen.
Zusätzlich verlangt der Gesetzgeber gleichwertige Auswahlmöglichkeiten: Ein Button „Alle akzeptieren“ und ein gleichwertiger Button „Alle ablehnen“ müssen auf der ersten Ebene sichtbar sein.
Und technisch gilt der eiserne Grundsatz: Kein Laden nicht notwendiger Skripte vor der Einwilligung. Pre-Tracking ist tabu. Für den Nachweis brauchen Sie ein revisionssicheres Consent-Protokoll mit Zeitstempeln – denn im Streitfall müssen Sie beweisen können, wer wann zugestimmt hat.
Praxis-Tool: So setzen Sie den Banner rechtssicher um
An dieser Stelle kommt das Cookie Consent Tool von iubenda. Statt sich durch den Dschungel der Anforderungen zu kämpfen, übernimmt die Plattform die technische Umsetzung automatisiert.
Was iubenda konkret bietet: einen automatischen Cookie-Scanner, der Ihre Website auf aktive Tracker durchsucht; einen Cookie-Banner-Generator, der die Gleichwertigkeitsanforderungen von DSA und DSGVO von Haus aus erfüllt; einen Datenschutzerklärungsgenerator sowie eine lückenlose Einwilligungsprotokollierung.
Das Tool unterstützt nicht nur DSGVO und TDDDG, sondern auch internationale Standards wie CCPA und LGPD sowie den Google Consent Mode v2. Als IAB-zertifizierter Consent Management Provider erfüllt iubenda die höchsten Branchenstandards.
Mit über 150.000 Kunden in mehr als 100 Ländern spricht die Praxis für sich. Der entscheidende Vorteil für Website-Betreiber: Sie können die genannten Vorgaben automatisiert einhalten und haben jederzeit revisionssichere Nachweise zur Hand. Wenn die Aufsichtsbehörde fragt, können Sie liefern.
Datenschutzerklärung und Impressum: Diese Angaben müssen 2025 drinstehen
Die Datenschutzerklärung nach Art. 13 DSGVO
Hand aufs Herz: Wann haben Sie zuletzt Ihre Datenschutzerklärung aktualisiert? Wenn Sie länger als drei Sekunden nachdenken müssen, wird es Zeit.
Der Landesdatenschutzbeauftragte Niedersachsen stellt unmissverständlich klar: Jede Website, die personenbezogene Daten verarbeitet – und das tut Ihre bereits durch die Erfassung von IP-Adressen – braucht eine Datenschutzerklärung. Der Anwendungsbereich der DSGVO ist bei Websites praktisch immer eröffnet.
Was muss rein? Die Liste ist lang, aber nicht verhandelbar: Name und Kontaktdaten des Verantwortlichen, Zwecke und Rechtsgrundlagen der Verarbeitung, Empfänger der Daten (alle Drittdienste!), Speicherdauern, sämtliche Betroffenenrechte von Auskunft über Berichtigung und Löschung bis zum Widerspruch – und das Beschwerderecht bei der Aufsichtsbehörde.
Der häufigste Fehler in der Praxis: unvollständige Angaben zu Drittdiensten oder veraltete Versionen, die noch auf dem alten TMG basieren.
Das Impressum nach DDG
Apropos veraltet: Seit Mai 2024 ist das Impressum nicht mehr im Telemediengesetz geregelt, sondern im Digitale-Dienste-Gesetz. Der Wechsel von TMG zu DDG ist vielen noch gar nicht aufgefallen – dabei hat er praktische Konsequenzen.
Wie Ehnes Digital in seinem Überblick darlegt, gelten die Pflichtangaben unverändert: ladungsfähige Anschrift, Vertretungsberechtigter, Kontaktdaten und gegebenenfalls Handelsregisternummer. Bei geschäftsmäßigen Websites führt daran kein Weg vorbei.
Prüfen Sie also: Steht bei Ihnen wirklich noch „TMG“ im Impressum? Dann tauschen Sie das jetzt gegen „DDG“ aus. Es ist ein kleiner Eingriff, aber ein entscheidender.
Achtung bei Schriftarten und anderen Drittanbietern
Ein Urteil, das viele Website-Betreiber aufgeschreckt hat: Das Landgericht München I hat bereits im Januar 2022 entschieden, dass die dynamische Einbindung von Schriftarten – also das direkte Nachladen von Google-Servern – ohne Einwilligung unzulässig ist. Betroffene können Schadensersatz fordern.
Die IHK München empfiehlt deshalb dringend das lokale Hosting von Schriftarten. Anders ausgedrückt: Laden Sie die Schriftarten auf Ihren eigenen Server, anstatt Daten an Google zu schicken. Das ist technisch kein Hexenwerk und schützt Sie vor unliebsamen Post vom Anwalt.
Auftragsverarbeitung und externe Tools: AVV, Drittlandtransfer und Alternativen
Wann Sie einen Auftragsverarbeitungsvertrag brauchen
Sobald Sie einen externen Dienstleister beauftragen, der in Ihrem Auftrag personenbezogene Daten verarbeitet, schreibt Art. 28 DSGVO einen schriftlichen oder elektronischen AVV vor. Klingt bürokratisch, ist aber eine der am häufigsten übersehenen Pflichten.
Wie Trieschconsult erläutert, gehören zu den klassischen Fällen: Webhoster, Newsletter-Tools, Cloud-Anbieter und IT-Dienstleister.
Ohne AVV ist die Datenverarbeitung schlicht unzulässig – ein direkter Verstoß, der Bußgelder nach sich ziehen kann. In der Praxis begegnen Datenschutzexperten immer denselben Versäumnissen: Der Vertrag wurde schlicht vergessen, bei US-Cloud-Diensten nie ernsthaft geprüft, oder es fehlt jegliche Dokumentation.
Besonders das Hosting Ihrer Website begründet immer eine Auftragsverarbeitung – der AVV mit Ihrem Hoster ist damit unverhandelbare Pflicht (IHK München).
US-amerikanische Dienste und der CLOUD Act
Jetzt wird es politisch. US-Anbieter unterliegen dem CLOUD Act, der amerikanischen Behörden unter bestimmten Voraussetzungen Zugriff auf gespeicherte Daten erlaubt – und zwar unabhängig davon, wo der Server physisch steht. Datenschutzbehörden in mehreren EU-Ländern haben Google Analytics und andere US-Cloud-Dienste bereits beanstandet.
Dass die Behörden es ernst meinen, zeigt das Beispiel Shein: Die französische CNIL brummte dem Unternehmen 2025 ein Bußgeld von 150 Millionen Euro auf – weil Cookies ohne Zustimmung gesetzt wurden, wie All About Security berichtet.
Das Verzeichnis von Verarbeitungstätigkeiten
Ein weiterer Dauerbrenner ist das VVT nach Art. 30 DSGVO. Ja, es gibt eine KMU-Ausnahme für Unternehmen unter 250 Mitarbeitern – aber die greift nur unter drei strengen Bedingungen, die e-recht24.de präzise benennt: keine risikobehaftete Verarbeitung, keine regelmäßige Verarbeitung und keine besonderen Datenkategorien nach §9 DSGVO.
Bei einem typischen Website-Betrieb mit Tracking, Newsletter und Kundenkommunikation sind diese Bedingungen praktisch nie erfüllt. Verlassen Sie sich also nicht auf die Ausnahme.
Technische Maßnahmen und Betroffenenrechte: Das Fundament, das viele vergessen
TOM und Privacy by Design
Die technischen und organisatorischen Maßnahmen sind kein Sahnehäubchen, sondern das Rückgrat des Datenschutzes. Die Wirtschaftskanzlei CMS hat die drei häufigsten DSGVO-Verstoßtypen analysiert – und Mängel bei TOMs landen mit 418 dokumentierten Fällen auf dem dritten Platz, direkt hinter fehlenden Rechtsgrundlagen (669 Fälle) und Missachtung allgemeiner Datenschutzgrundsätze (644 Fälle).
Was konkret von Ihnen erwartet wird? Pseudonymisierung und Verschlüsselung personenbezogener Daten, Sicherstellung von Vertraulichkeit, Integrität und Verfügbarkeit der Systeme, rasche Wiederherstellbarkeit nach einem technischen Vorfall und regelmäßige Testverfahren. Keine abstrakte Theorie, sondern handfeste Infrastrukturpflichten.
Der 7-Bausteine-Ansatz als roter Faden
Um Ordnung in den Anforderungsdschungel zu bringen, hat isico.de ein praxisnahes Modell entwickelt: die 7 Pflicht-Bausteine. Sie decken systematisch ab, was eine DSGVO-konforme Website braucht: Transparenz und Rechtsgrundlagen, Einwilligungen und Tracking, Formulare und Newsletter mit Double-Opt-In, eingebettete Drittinhalte, Betrieb und Infrastruktur inklusive AVV, Sicherheit nach dem Prinzip Privacy by Design sowie Governance und Nachweise für Betroffenenrechte. Wer diese Struktur durcharbeitet, übersieht nichts Wesentliches.
Betroffenenrechte praktisch gewährleisten
Auskunft, Löschung, Berichtigung, Widerspruch – die Rechte der Betroffenen sind vielfältig und Sie müssen innerhalb der gesetzlichen Fristen reagieren können. Das setzt dokumentierte und getestete Prozesse voraus.
Die Dringlichkeit untermauert eine Zahl aus der Praxis: 2025 wurden den deutschen Aufsichtsbehörden 10.259 Datenpannen gemeldt – ein Anstieg gegenüber 8.623 im Vorjahr, wie All About Security dokumentiert.
Hauptursachen: Fehlversand von Dokumenten und Cyberangriffe. Wer hier keine Prozesse hat, ist im Ernstfall doppelt verwundbar.
Die praktische Checkliste: Wo Website-Betreiber 2025 die größten Lücken haben
Jetzt wird es konkret. Die folgende Liste basiert auf den am häufigsten dokumentierten Verstößen und Prüfungserfahrungen aus der Praxis. Gehen Sie Punkt für Punkt mit Ihrer eigenen Website durch:
- Fehlender oder veralteter AVV – insbesondere mit dem Webhoster und E-Mail-Marketing-Tools. Ohne gültigen Vertrag ist die Verarbeitung unzulässig.
- Cookie-Banner ohne gleichwertige Buttons oder mit vorab gesetzten Tracking-Cookies. Wenn Ihr „Ablehnen“-Button blass und klein ist, haben Sie ein Problem.
- Schriftarten dynamisch eingebunden – kein lokales Hosting. Das Risiko von Schadensersatzforderungen ist real.
- Datenschutzerklärung unvollständig – fehlende Drittdienste, keine Angabe von Speicherdauern, keine Rechtsgrundlagen aufgeführt.
- Impressum nicht nach DDG – noch alte TMG-Angaben, unvollständige ladungsfähige Adresse.
- Keine Einwilligungsprotokolle – im Streitfall können Sie nicht nachweisen, wer wann zugestimmt hat.
- Verarbeitungstätigkeiten nicht dokumentiert – das VVT fehlt oder beruft sich auf eine KMU-Ausnahme, die bei näherem Hinsehen nicht greift.
- Barrierefreiheit nach BFSG ignoriert – seit dem 28. Juni 2025 für viele Websites Pflicht nach WCAG 2.1 AA, Bußgelder bis 100.000 Euro möglich. Nur Kleinstunternehmen mit weniger als 10 Mitarbeitern und maximal 2 Millionen Euro Umsatz sind bei Dienstleistungen ausgenommen.
- Unzureichende Rechtsgrundlagen – der häufigste Verstoßtyp mit 669 Fällen. Typische Beispiele: fehlende Einwilligung bei Analyse-Cookies oder unzureichend informierte Nutzer bei Kontaktformularen.
Was Sie nicht umsonst fürchten müssen
Bevor Sie jetzt nächtelang AV-Verträge ausdrucken: Atmen Sie durch. Nicht jede geschäftliche Beziehung braucht einen AVV. Nur wenn eine weisungsgebundene Datenverarbeitung im Sinne von Art. 28 DSGVO vorliegt – Ihre eigenen Mitarbeiter, die Daten nutzen, fallen beispielsweise nicht darunter.
Die KMU-Ausnahme für das VVT existiert wirklich. Wenn Sie ein kleines Unternehmen mit weniger als 250 Beschäftigten sind, wirklich nur gelegentlich Daten verarbeiten, die keine besonderen Kategorien nach §9 DSGVO umfassen und kein Risiko für die Rechte Betroffener darstellen – dann können Sie auf das VVT verzichten.
Aber seien Sie ehrlich zu sich selbst: Wer einen Online-Shop betreibt oder regelmäßig Newsletter versendet, fällt da in aller Regel nicht drunter.
Die Einwilligungsverwaltungsverordnung zwingt Sie zu gar nichts – PIMS sind optional, Ihr klassischer Cookie-Banner bleibt rechtskonform. Und was die Barrierefreiheit angeht: Kleinstunternehmen im Dienstleistungsbereich sind tatsächlich ausgenommen. Allerdings sind Produkt-Webshops meist voll vom BFSG erfasst.
Ein differenzierter Blick auf die Bußgeldentwicklung zeigt: 2025 sank die Gesamtsumme der verhängten Bußgelder auf rund 689,98 Millionen Euro – ein Minus von mehr als 530 Millionen Euro gegenüber dem Vorjahr.
Die Zahl der Datenpannen und Verstöße bleibt dennoch hoch. Und die eigentliche Zeitenwende kam nicht durch Bußgelder, sondern durch die BGH-Entscheidung vom März 2025: Wettbewerber und Verbraucherverbände können DSGVO-Verstöße jetzt direkt abmahnen.
Das ist die wahre Gefahr für den Mittelstand – nicht die Millionenstrafe, sondern die Abmahnlawine.
Fazit: Mit Struktur und den richtigen Tools auf der sicheren Seite
Die DSGVO-Pflichten sind kein Hexenwerk, aber sie sind ein kontinuierlicher Prozess – und genau darin liegt die Herausforderung für viele Seitenbetreiber. Die Checkliste in diesem Artikel gibt Ihnen eine konkrete Roadmap an die Hand. Wenn Sie sie einmal pro Quartal durchgehen, haben Sie die größten Risiken im Griff.
Die häufigsten Stolperfallen bleiben unvollständige Einwilligungen, fehlende AV-Verträge und lückenhafte Dokumentation.
Wer mit einem strukturierten Ansatz wie den sieben Bausteinen arbeitet und auf bewährte Werkzeuge wie iubenda setzt, schützt sich nicht nur vor Bußgeldern, sondern vor allem vor Abmahnungen und dem schleichenden Reputationsverlust, den ein öffentlich gewordener Datenschutzverstoß mit sich bringt.
Mein Appell: Nehmen Sie sich in den kommenden Tagen eine Stunde Zeit. Öffnen Sie Ihre Website, gehen Sie die Checkliste Punkt für Punkt durch und dokumentieren Sie, was noch fehlt. Diese Investition ist nichts im Vergleich zu dem, was ein Anwaltsschreiben kostet.
