DSGVO Verstoß melden — Wo und wie? | nevik.de

Q: Kann ich einen DSGVO-Verstoß anonym melden?

Technisch ja, aber in der Praxis werden anonyme Beschwerden von den meisten Aufsichtsbehörden nicht oder nur nachrangig bearbeitet. Für eine wirksame Beschwerde sollten Sie Ihre Kontaktdaten angeben.

Q: Wie lange dauert die Bearbeitung einer DSGVO-Beschwerde?

Die Bearbeitungszeiten variieren stark und liegen typischerweise zwischen 3 und 12 Monaten. Bei schwerwiegenden Verstößen oder akuter Gefährdung kann es schneller gehen.

Q: Kann ich Schadenersatz für einen DSGVO-Verstoß fordern?

Ja, nach Art. 82 DSGVO haben Sie Anspruch auf Ersatz des materiellen und immateriellen Schadens. Deutsche Gerichte sprechen typischerweise zwischen 100 und 5.000 Euro zu.

Sie haben festgestellt, dass ein Unternehmen Ihre Daten ohne Einwilligung verarbeitet? Eine Website trackt Sie ohne Cookie-Consent? Oder Ihr ehemaliger Arbeitgeber hat Ihre Daten nicht gelöscht? Dann haben Sie nach der DSGVO das Recht — und manchmal sogar die Pflicht — diesen Verstoß zu melden.

In diesem Leitfaden zeige ich Ihnen genau, wo Sie DSGVO-Verstöße melden, wie der Prozess abläuft und was Sie dabei beachten müssen.

Wer kann einen DSGVO-Verstoß melden?

Grundsätzlich kann jede Person einen Datenschutzverstoß melden. Sie müssen nicht selbst betroffen sein (auch wenn Beschwerden von Betroffenen in der Praxis mehr Gewicht haben). Die DSGVO unterscheidet zwischen:

Betroffene Personen (Art. 77 DSGVO): Sie haben das Recht, Beschwerde bei einer Aufsichtsbehörde einzulegen, wenn Sie der Ansicht sind, dass Ihre personenbezogenen Daten unrechtmäßig verarbeitet werden.
Unternehmen/Verantwortliche (Art. 33 DSGVO): Unternehmen sind verpflichtet, bestimmte Datenschutzverletzungen innerhalb von 72 Stunden an die Aufsichtsbehörde zu melden.
Datenschutzbeauftragte: Interne oder externe DSBs können und sollten Verstöße melden.
Dritte: Auch Personen, die nicht direkt betroffen sind, können Hinweise geben.

Wo melden? Die zuständige Aufsichtsbehörde finden

Deutschland hat ein föderales Datenschutzsystem. Das bedeutet: Es gibt nicht eine zentrale Stelle, sondern 17 verschiedene Aufsichtsbehörden — eine pro Bundesland plus den Bundesbeauftragten für Datenschutz (BfDI).

Welche Behörde ist zuständig?

Die Zuständigkeit richtet sich nach dem Sitz des Unternehmens, das Sie melden wollen:

Bundesland	Aufsichtsbehörde	Online-Beschwerde?
Baden-Württemberg	LfDI Baden-Württemberg	Ja
Bayern (Privatwirtschaft)	BayLDA	Ja
Bayern (Öffentliche Stellen)	BayLfD	Ja
Berlin	BlnBDI	Ja
Brandenburg	LDA Brandenburg	Ja
Bremen	LfDI Bremen	Ja
Hamburg	HmbBfDI	Ja
Hessen	HBDI	Ja
Mecklenburg-Vorpommern	LfDI M-V	Ja
Niedersachsen	LfD Niedersachsen	Ja
Nordrhein-Westfalen	LDI NRW	Ja
Rheinland-Pfalz	LfDI Rheinland-Pfalz	Ja
Saarland	UDZ Saarland	Ja
Sachsen	SächsDSB	Ja
Sachsen-Anhalt	LfD Sachsen-Anhalt	Ja
Schleswig-Holstein	ULD	Ja
Thüringen	TLfDI	Ja
Bundesebene	BfDI	Ja

Tipp: Wenn Sie nicht wissen, wo das Unternehmen seinen Sitz hat, können Sie sich an jede Aufsichtsbehörde wenden. Diese leitet Ihre Beschwerde bei Bedarf an die zuständige Stelle weiter (Art. 77 Abs. 1 DSGVO).

Alternativ können Sie Ihre Beschwerde auch bei der Aufsichtsbehörde Ihres eigenen Wohnsitzes einreichen.

Wie melde ich einen DSGVO-Verstoß? Schritt für Schritt

Schritt 1: Verstoß dokumentieren

Bevor Sie eine Beschwerde einreichen, sammeln Sie Beweise:

Screenshots der betreffenden Website oder App (mit Datum)
E-Mails oder Korrespondenz mit dem Unternehmen
Technische Nachweise: Prüfen Sie mit unserem Website-Check, welche Tracker und Cookies eine Website ohne Einwilligung setzt
Zeitlicher Verlauf: Wann haben Sie den Verstoß bemerkt? Wann haben Sie das Unternehmen kontaktiert?

Schritt 2: Erst das Unternehmen kontaktieren (empfohlen)

Die Aufsichtsbehörden empfehlen in der Regel, zunächst direkt beim Unternehmen nachzufragen. Dazu nutzen Sie Ihre Betroffenenrechte nach DSGVO:

Auskunftsrecht (Art. 15 DSGVO): Welche Daten werden über Sie gespeichert?
Löschungsrecht (Art. 17 DSGVO): Verlangen Sie die Löschung Ihrer Daten.
Widerspruchsrecht (Art. 21 DSGVO): Widersprechen Sie der Verarbeitung.

Formulierungsbeispiel:

Sehr geehrte Damen und Herren,
gemäß Art. 15 DSGVO bitte ich um Auskunft über alle zu meiner Person gespeicherten personenbezogenen Daten. Darüber hinaus mache ich von meinem Recht auf Löschung gemäß Art. 17 DSGVO Gebrauch und fordere Sie auf, sämtliche über mich gespeicherten Daten unverzüglich zu löschen.
Ich bitte um Bestätigung innerhalb der gesetzlichen Frist von einem Monat (Art. 12 Abs. 3 DSGVO).

Wenn das Unternehmen nicht oder unzureichend reagiert (Frist: 1 Monat gemäß Art. 12 Abs. 3 DSGVO), gehen Sie zum nächsten Schritt.

Schritt 3: Online-Beschwerde bei der Aufsichtsbehörde

Alle deutschen Aufsichtsbehörden bieten mittlerweile Online-Formulare für Beschwerden an. Was Sie benötigen:

Ihre Kontaktdaten (anonyme Beschwerden werden in der Regel nicht bearbeitet)
Name und Kontaktdaten des Unternehmens
Beschreibung des Verstoßes — so konkret wie möglich
Bisherige Korrespondenz mit dem Unternehmen
Beweise (Screenshots, E-Mails, technische Nachweise)

Schritt 4: Abwarten und kooperieren

Nach Einreichung Ihrer Beschwerde passiert Folgendes:

Eingangsbestätigung (meist innerhalb weniger Tage)
Prüfung durch die Behörde (kann mehrere Monate dauern)
Kontaktaufnahme mit dem Unternehmen durch die Behörde
Ergebnis: Anordnung zur Behebung, Verwarnung oder Bußgeld

Realistisch: Die Aufsichtsbehörden sind chronisch unterbesetzt. Rechnen Sie mit Bearbeitungszeiten von 3–12 Monaten. Bei schwerwiegenden Verstößen geht es schneller.

Welche Verstöße sollten Sie melden?

Nicht jeder kleine Datenschutzmangel rechtfertigt eine Behördenbeschwerde. Konzentrieren Sie sich auf ernsthafte Verstöße:

Unbedingt melden

Datenpannen, bei denen Ihre Daten öffentlich zugänglich waren
Systematisches Tracking ohne Einwilligung (z.B. keine Cookie-Consent-Abfrage)
Weitergabe Ihrer Daten an Dritte ohne Rechtsgrundlage
Verweigerung von Betroffenenrechten (Auskunft, Löschung)
Unerlaubte Werbung per E-Mail oder Telefon

Eher direkt mit dem Unternehmen klären

Kleine Fehler in der Datenschutzerklärung
Fehlende Angaben im Cookie-Banner
Veraltete Kontaktdaten des Datenschutzbeauftragten

Meldepflicht für Unternehmen (Art. 33 DSGVO)

Wenn Sie selbst ein Unternehmen betreiben, haben Sie bei bestimmten Datenschutzverletzungen eine Meldepflicht:

Frist: 72 Stunden nach Bekanntwerden der Verletzung
Wann melden: Wenn die Verletzung voraussichtlich ein Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat
Was melden: Art der Verletzung, betroffene Datenkategorien, ungefähre Zahl der Betroffenen, wahrscheinliche Folgen, ergriffene Maßnahmen
Zusätzlich: Bei hohem Risiko müssen Sie auch die betroffenen Personen benachrichtigen (Art. 34 DSGVO)

Vorsicht: Die Nichtmeldung einer meldepflichtigen Datenschutzverletzung ist selbst ein DSGVO-Verstoß und kann mit Bußgeldern bis zu 10 Millionen Euro oder 2 % des Jahresumsatzes geahndet werden (Art. 83 Abs. 4 DSGVO).

Welche Konsequenzen drohen dem gemeldeten Unternehmen?

Die Aufsichtsbehörde hat verschiedene Instrumente nach Art. 58 DSGVO:

Verwarnung bei erstmaligen, geringfügigen Verstößen
Anordnung zur Herstellung des rechtmäßigen Zustands
Verarbeitungsverbot für bestimmte Datenverarbeitungen
Bußgeld bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes (Art. 83 DSGVO)

In der Praxis verhängen deutsche Aufsichtsbehörden bei KMU typischerweise Bußgelder im Bereich von 5.000 bis 50.000 Euro. Große Unternehmen können deutlich höhere Strafen erhalten.

Alternative: Schadenersatz nach Art. 82 DSGVO

Neben der Beschwerde bei der Aufsichtsbehörde können Sie auch zivilrechtlich Schadenersatz fordern. Art. 82 DSGVO gibt Ihnen einen Anspruch auf Ersatz des materiellen und immateriellen Schadens.

In der Praxis werden von deutschen Gerichten immaterielle Schadensersatzbeträge zwischen 100 und 5.000 Euro zugesprochen — abhängig von der Schwere des Verstoßes.

Bevor Sie diesen Weg gehen, prüfen Sie Ihre Website selbst auf Schwachstellen mit unserem Website-Check und sichern Sie sich mit dem Rettungspaket ab.

FAQ

Wo kann ich einen DSGVO-Verstoß melden?

Bei der zuständigen Datenschutz-Aufsichtsbehörde des Bundeslandes, in dem das Unternehmen seinen Sitz hat. Alternativ bei der Behörde Ihres eigenen Wohnsitzes. Alle Behörden bieten Online-Formulare an.

Kann ich einen DSGVO-Verstoß anonym melden?

Technisch ja, aber anonyme Beschwerden werden meist nicht oder nur nachrangig bearbeitet. Für eine wirksame Beschwerde sollten Sie Ihre Kontaktdaten angeben.

Wie lange dauert die Bearbeitung einer DSGVO-Beschwerde?

Typischerweise 3 bis 12 Monate. Bei schwerwiegenden Verstößen oder akuter Gefährdung geht es schneller.

Kann ich Schadenersatz für einen DSGVO-Verstoß fordern?

Ja, nach Art. 82 DSGVO haben Sie Anspruch auf materiellen und immateriellen Schadenersatz. Deutsche Gerichte sprechen typischerweise 100 bis 5.000 Euro zu.

Dieser Artikel dient der allgemeinen Information und ersetzt keine Rechtsberatung. Stand: Februar 2026.

Wer kann einen DSGVO-Verstoß melden?#

Wo melden? Die zuständige Aufsichtsbehörde finden#

Welche Behörde ist zuständig?#

Wie melde ich einen DSGVO-Verstoß? Schritt für Schritt#

Schritt 1: Verstoß dokumentieren#

Schritt 2: Erst das Unternehmen kontaktieren (empfohlen)#

Schritt 3: Online-Beschwerde bei der Aufsichtsbehörde#

Schritt 4: Abwarten und kooperieren#

Welche Verstöße sollten Sie melden?#

Unbedingt melden#

Eher direkt mit dem Unternehmen klären#

Meldepflicht für Unternehmen (Art. 33 DSGVO)#

Welche Konsequenzen drohen dem gemeldeten Unternehmen?#

Alternative: Schadenersatz nach Art. 82 DSGVO#

FAQ#

Wo kann ich einen DSGVO-Verstoß melden?#

Kann ich einen DSGVO-Verstoß anonym melden?#

Wie lange dauert die Bearbeitung einer DSGVO-Beschwerde?#

Kann ich Schadenersatz für einen DSGVO-Verstoß fordern?#