Fehlende Datenschutzerklärung — Bußgeld und Konsequenzen | nevik.de

Q: Wie schnell muss ich eine Datenschutzerklärung nachrüsten?

Sofort. Es gibt keine Übergangsfrist. Die DSGVO gilt seit Mai 2018. Je länger Sie ohne Datenschutzerklärung online sind, desto höher das Risiko für Bußgelder und Abmahnungen.

Q: Reicht ein Datenschutzerklärung-Generator?

Ein guter Generator ist ein solider Startpunkt, ersetzt aber keine individuelle Anpassung. Sie müssen sicherstellen, dass alle tatsächlichen Verarbeitungen auf Ihrer Website erfasst sind — auch Dienste wie Google Fonts, Analytics oder eingebettete Videos.

Eine Datenschutzerklärung gehört auf jede Website — das wissen die meisten. Trotzdem fehlt sie auf erschreckend vielen Seiten ganz oder ist so veraltet, dass sie genauso gut fehlen könnte. Die Konsequenzen reichen von Abmahnungen über Bußgelder bis hin zu Schadenersatzforderungen.

In diesem Artikel erfahren Sie, welche konkreten Strafen bei einer fehlenden oder mangelhaften Datenschutzerklärung drohen, wer kontrolliert, und wie Sie Ihre Website schnell in einen rechtskonformen Zustand bringen.

Ist eine Datenschutzerklärung Pflicht?

Kurz und eindeutig: Ja. Die Pflicht ergibt sich aus mehreren Rechtsgrundlagen:

DSGVO (Art. 13 und Art. 14)

Die Datenschutz-Grundverordnung verlangt, dass Sie jeden Betroffenen zum Zeitpunkt der Datenerhebung umfassend informieren über:

Identität und Kontaktdaten des Verantwortlichen (Art. 13 Abs. 1 lit. a)
Kontaktdaten des Datenschutzbeauftragten — falls vorhanden (Art. 13 Abs. 1 lit. b)
Zwecke und Rechtsgrundlage der Verarbeitung (Art. 13 Abs. 1 lit. c)
Berechtigte Interessen — falls auf Art. 6 Abs. 1 lit. f gestützt (Art. 13 Abs. 1 lit. d)
Empfänger der Daten (Art. 13 Abs. 1 lit. e)
Drittlandtransfers und Garantien (Art. 13 Abs. 1 lit. f)
Speicherdauer (Art. 13 Abs. 2 lit. a)
Betroffenenrechte: Auskunft, Berichtigung, Löschung, Einschränkung, Widerspruch, Datenübertragbarkeit (Art. 13 Abs. 2 lit. b–d)
Beschwerderecht bei der Aufsichtsbehörde (Art. 13 Abs. 2 lit. d)
Automatisierte Entscheidungsfindung inkl. Profiling (Art. 13 Abs. 2 lit. f)

TDDDG (ehemals TTDSG, ehemals TMG)

Das Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz enthält ergänzende Informationspflichten, insbesondere zu Cookies und Tracking-Technologien.

DDG (ehemals TMG) — § 5

Neben der Datenschutzerklärung brauchen Sie ein Impressum. Das Fehlen beider zusammen potenziert das Risiko erheblich.

Welche Strafen drohen?

Bußgelder nach DSGVO

Die DSGVO sieht in Art. 83 Abs. 5 für Verstöße gegen die Informationspflichten (Art. 13, 14) Bußgelder vor von:

Bis zu 20 Millionen Euro, oder
Bis zu 4 % des weltweiten Jahresumsatzes (je nachdem, welcher Betrag höher ist)

In der Praxis fallen die Bußgelder für fehlende Datenschutzerklärungen bei kleinen Unternehmen deutlich niedriger aus:

Unternehmensgröße	Typisches Bußgeld	Höchstes bekanntes Bußgeld
Einzelunternehmer/Freelancer	500–5.000 €	10.000 €
Kleine Unternehmen (< 50 MA)	2.000–15.000 €	50.000 €
Mittelstand (50-250 MA)	5.000–50.000 €	200.000 €
Großunternehmen (> 250 MA)	25.000–500.000 €	Mehrere Millionen €

Hinweis: Die Aufsichtsbehörden berücksichtigen bei der Bußgeldbemessung die Schwere des Verstoßes, ob es ein Erstverstoß war, die Kooperationsbereitschaft und die wirtschaftliche Lage des Unternehmens (Art. 83 Abs. 2 DSGVO).

Abmahnungen durch Wettbewerber oder Verbraucherverbände

Neben Bußgeldern drohen Abmahnungen:

Wettbewerber können nach dem UWG (Gesetz gegen den unlauteren Wettbewerb) abmahnen, wenn die fehlende Datenschutzerklärung einen Wettbewerbsvorteil verschafft
Verbraucherschutzverbände können nach § 8 UWG bzw. dem Verbandsklagerecht klagen
Betroffene Personen können Schadenersatz nach Art. 82 DSGVO fordern

Typische Kosten einer Abmahnung: 800–3.000 € (Anwaltskosten + möglicher Schadenersatz). Nutzen Sie unseren Abmahn-Rechner für eine individuelle Einschätzung.

Schadenersatz nach Art. 82 DSGVO

Betroffene können materiellen und immateriellen Schadenersatz fordern. Die Rechtsprechung hat hier in den letzten Jahren zunehmend betroffenenfreundliche Urteile gesprochen:

EuGH (C-300/21): Ein Verstoß gegen die DSGVO allein genügt nicht — es muss ein konkreter Schaden vorliegen
In der Praxis: Gerichte sprechen bei nachgewiesenem Kontrollverlust über Daten typischerweise 100–500 € zu

Wer kontrolliert?

Aufsichtsbehörden

Die Datenschutz-Aufsichtsbehörden der Bundesländer führen anlassbezogene und anlasslose Kontrollen durch:

Anlassbezogen: Nach Beschwerden von Betroffenen oder Hinweisen Dritter
Anlasslos: Systematische Überprüfungen bestimmter Branchen oder Website-Typen

In den letzten Jahren haben mehrere Landesbehörden systematische Website-Scans durchgeführt — insbesondere der BayLDA in Bayern und der LfD Niedersachsen. Dabei werden automatisiert tausende Websites auf fehlende Datenschutzerklärungen, Cookie-Consent-Probleme und externe Ressourcen geprüft.

Abmahnanwälte und Wettbewerber

Daneben gibt es eine aktive Szene von Abmahnanwälten, die systematisch nach Verstößen suchen. Besonders gefährdet sind:

Websites mit Online-Shops
Arztpraxen, Anwaltskanzleien, Steuerberater (sensible Daten)
Websites mit Kontaktformularen ohne Datenschutzhinweis
Seiten mit Newsletter-Anmeldung ohne Double-Opt-in

Die häufigsten Fehler bei Datenschutzerklärungen

Auch eine vorhandene Datenschutzerklärung kann mangelhaft sein. Diese Fehler sehe ich am häufigsten:

1. Veraltete Datenschutzerklärung

Eine Datenschutzerklärung von 2018, die noch auf das TMG verweist und keine aktuellen Tools wie Google Analytics 4, Consent Mode v2 oder aktuelle Social-Media-Plugins erwähnt, ist fast so schlecht wie keine.

2. Copy-Paste ohne Anpassung

Generische Vorlagen, die nicht an die tatsächlichen Verarbeitungen auf Ihrer Website angepasst sind. Wenn Ihre Datenschutzerklärung Facebook-Pixel erwähnt, Sie aber gar keinen einsetzen — oder umgekehrt — ist das ein Problem.

3. Fehlende Verlinkung

Die Datenschutzerklärung muss von jeder Seite Ihrer Website aus erreichbar sein — typischerweise über einen Link im Footer. Außerdem muss sie an Stellen verlinkt sein, wo Daten erhoben werden (Kontaktformulare, Newsletter-Anmeldung, etc.).

4. Keine Angabe der Rechtsgrundlage

Für jede Verarbeitung muss die konkrete Rechtsgrundlage aus Art. 6 Abs. 1 DSGVO genannt werden (Einwilligung, Vertragserfüllung, berechtigtes Interesse, etc.).

5. Fehlende Angaben zu Drittlandtransfers

Wenn Sie US-amerikanische Dienste nutzen (Google, Meta, Microsoft, etc.), müssen Sie die Rechtsgrundlage für den Datentransfer in Drittländer angeben — z.B. EU-Standardvertragsklauseln oder das EU-U.S. Data Privacy Framework.

So erstellen Sie eine rechtskonforme Datenschutzerklärung

Schritt 1: Bestandsaufnahme

Ermitteln Sie alle Datenverarbeitungen auf Ihrer Website:

Welche Formulare gibt es? (Kontakt, Newsletter, Bestellung)
Welche Cookies und Tracker werden gesetzt?
Welche externen Dienste werden geladen? (Analytics, Maps, Fonts, Videos)
Welche Plugins verarbeiten personenbezogene Daten?

Unser Website-Check identifiziert automatisch die meisten externen Dienste und Cookies auf Ihrer Website.

Schritt 2: Datenschutzerklärung erstellen

Für jede identifizierte Verarbeitung benötigen Sie einen Abschnitt mit:

Beschreibung der Verarbeitung
Zweck
Rechtsgrundlage (mit konkretem Artikel)
Empfänger der Daten
Speicherdauer
Bei Drittlandtransfer: Garantien

Schritt 3: Veröffentlichen und verlinken

Link im Footer auf jeder Seite
Hinweis und Link bei jedem Formular
Hinweis im Cookie-Consent-Banner
In der App (falls vorhanden)

Schritt 4: Aktuell halten

Richten Sie einen vierteljährlichen Reminder ein, um Ihre Datenschutzerklärung zu überprüfen. Bei jeder Änderung an Ihrer Website (neues Tool, neues Plugin, neuer Dienstleister) muss die Datenschutzerklärung aktualisiert werden.

Schnelle Hilfe: Das Rettungspaket

Sie haben keine Datenschutzerklärung oder wissen, dass Ihre veraltet ist? Unser Rettungspaket bringt Ihre Website in wenigen Stunden auf den aktuellen Stand:

Vollständiger Compliance-Scan
Individuelle Datenschutzerklärung basierend auf Ihren tatsächlichen Verarbeitungen
Cookie-Consent-Implementierung
Impressums-Check
12 Monate Update-Service

FAQ

Welche Strafe droht bei fehlender Datenschutzerklärung?

Die DSGVO sieht Bußgelder bis zu 20 Millionen Euro vor. In der Praxis liegen die Bußgelder bei kleinen Unternehmen zwischen 500 und 15.000 Euro. Zusätzlich drohen Abmahnkosten von 800 bis 3.000 Euro.

Braucht jede Website eine Datenschutzerklärung?

Ja, sobald personenbezogene Daten verarbeitet werden — und das ist bei praktisch jeder Website der Fall. Die Pflicht ergibt sich aus Art. 13 DSGVO.

Wie schnell muss ich eine Datenschutzerklärung nachrüsten?

Sofort. Es gibt keine Übergangsfrist. Je länger Sie ohne Datenschutzerklärung online sind, desto höher das Risiko.

Reicht ein Datenschutzerklärung-Generator?

Ein guter Generator ist ein solider Startpunkt, aber Sie müssen sicherstellen, dass alle tatsächlichen Verarbeitungen erfasst sind.

Dieser Artikel dient der allgemeinen Information und ersetzt keine Rechtsberatung. Stand: Februar 2026.

Ist eine Datenschutzerklärung Pflicht?#

DSGVO (Art. 13 und Art. 14)#

TDDDG (ehemals TTDSG, ehemals TMG)#

DDG (ehemals TMG) — § 5#

Welche Strafen drohen?#

Bußgelder nach DSGVO#

Abmahnungen durch Wettbewerber oder Verbraucherverbände#

Schadenersatz nach Art. 82 DSGVO#

Wer kontrolliert?#

Aufsichtsbehörden#

Abmahnanwälte und Wettbewerber#

Die häufigsten Fehler bei Datenschutzerklärungen#

1. Veraltete Datenschutzerklärung#

2. Copy-Paste ohne Anpassung#

3. Fehlende Verlinkung#

4. Keine Angabe der Rechtsgrundlage#

5. Fehlende Angaben zu Drittlandtransfers#

So erstellen Sie eine rechtskonforme Datenschutzerklärung#

Schritt 1: Bestandsaufnahme#

Schritt 2: Datenschutzerklärung erstellen#

Schritt 3: Veröffentlichen und verlinken#

Schritt 4: Aktuell halten#

Schnelle Hilfe: Das Rettungspaket#

FAQ#

Welche Strafe droht bei fehlender Datenschutzerklärung?#

Braucht jede Website eine Datenschutzerklärung?#

Wie schnell muss ich eine Datenschutzerklärung nachrüsten?#

Reicht ein Datenschutzerklärung-Generator?#