Im Jahr 2026 sind erschreckend viele deutsche Websites noch immer nicht DSGVO-konform. Fehlende Datenschutzerklärung, Cookies ohne Einwilligung, Kontaktformulare ohne Informationspflichten — die Verstöße sind oft grundlegend, doch die Bußgelder der deutschen Datenschutzbehörden können für KMU bis zu 300.000 € betragen, für größere Unternehmen bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes. Wenn Sie eine Website betreiben, sind Sie mit hoher Wahrscheinlichkeit betroffen.
Was macht eine Website nicht DSGVO-konform?
Eine Website gilt als nicht konform, sobald sie personenbezogene Daten erhebt oder verarbeitet, ohne die Anforderungen der DSGVO und des BDSG zu erfüllen. Die Erhebung personenbezogener Daten beginnt dabei viel früher, als den meisten Unternehmern bewusst ist.
Ihre Website erhebt personenbezogene Daten, wenn sie:
- Ein Kontaktformular anbietet (Name, E-Mail, Nachricht)
- Google Analytics, Meta Pixel oder andere Tracking-Tools verwendet
- Einen Newsletter oder Kundenkonten anbietet
- Nicht-essentielle Cookies beim Laden der Seite setzt
- Ein Live-Chat-Widget oder Kommentarsystem nutzt
Um herauszufinden, ob Ihr Unternehmen betroffen ist, lesen Sie unseren Leitfaden zum Anwendungsbereich der DSGVO. In der Praxis unterliegen praktisch alle professionellen Websites der DSGVO.
Die drohenden Sanktionen: weit mehr als ein Ordnungsgeld
Artikel 83 der DSGVO sieht zwei Stufen von Bußgeldern vor:
Erste Stufe (Art. 83 Abs. 4): bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes für Verstöße gegen Verantwortlichenpflichten (Verarbeitungsverzeichnis, Sicherheitsmaßnahmen, Meldepflichten).
Zweite Stufe (Art. 83 Abs. 5): bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes für Verstöße gegen Grundprinzipien (Rechtmäßigkeit, Einwilligung, Betroffenenrechte).
Deutschland verfügt über ein einzigartiges System: Neben dem BfDI besitzt jedes der 16 Bundesländer eine eigene Datenschutzbehörde. Das bedeutet: Die Wahrscheinlichkeit einer Kontrolle ist höher als in den meisten EU-Ländern. Einen Überblick über die höchsten deutschen Bußgelder finden Sie in unserem Top 15 der DSGVO-Sanktionen.
Neben Bußgeldern können Behörden anordnen:
- Eine öffentliche Verwarnung (Reputationsschaden)
- Eine Untersagung der Verarbeitung
- Eine vorübergehende Einschränkung der Datenverarbeitung
- Zivilrechtliche Schadensersatzklagen nach Art. 82 DSGVO (in Deutschland zunehmend häufig)
Die 7 häufigsten Website-Verstöße
1. Fehlende Datenschutzerklärung
Die Artikel 13 und 14 DSGVO verlangen eine klare, zugängliche Information der Betroffenen. Eine Website ohne Datenschutzerklärung — oder mit einer unvollständigen — verstößt unmittelbar gegen die DSGVO. Dies ist der am häufigsten festgestellte Mangel.
2. Cookies ohne Einwilligung
Seit dem TTDSG (§ 25) und dem BGH-Urteil im Planet49-Fall ist eindeutig: Cookies und Tracking-Tools erfordern eine vorherige, informierte Einwilligung. Websites, die Google Analytics, Werbe-Pixel oder Social-Media-Buttons ohne Einwilligung laden, riskieren erhebliche Bußgelder.
3. Fehlendes oder unvollständiges Impressum
Das TMG (§ 5) verpflichtet jeden geschäftsmäßigen Websitebetreiber zur Angabe eines vollständigen Impressums. Verstöße können mit Bußgeldern bis zu 50.000 € geahndet werden.
4. Formulare ohne DSGVO-Hinweise
Jedes Formular, das personenbezogene Daten erhebt, muss eine Datenschutzinformation enthalten: Verantwortlicher, Zweck, Rechtsgrundlage, Speicherdauer und Betroffenenrechte.
5. Fehlendes Verarbeitungsverzeichnis
Artikel 30 DSGVO verpflichtet zur Führung eines Verzeichnisses der Verarbeitungstätigkeiten. Dieses muss jeden Verarbeitungsvorgang dokumentieren: Zweck, Datenkategorien, Empfänger, Speicherfristen und Sicherheitsmaßnahmen.
6. Drittlandtransfers ohne Absicherung
Die Nutzung US-amerikanischer Dienste (Hosting, Analytics, E-Mail-Marketing) beinhaltet häufig Datenübermittlungen in Drittländer. Deutsche Behörden prüfen diese besonders streng — Standardvertragsklauseln oder Angemessenheitsbeschlüsse sind zwingend erforderlich.
7. Betroffenenrechte nicht gewährleistet
Die DSGVO garantiert das Recht auf Auskunft (Art. 15), Berichtigung (Art. 16), Löschung (Art. 17) und Datenübertragbarkeit (Art. 20). Eine Website, die diese Rechte nicht wirksam ermöglicht, verstößt gegen die DSGVO.
Wie Behörden nicht-konforme Websites entdecken
Beschwerden: Datenschutzbehörden erhalten jährlich Tausende von Beschwerden. Ein unzufriedener Kunde, ein Wettbewerber oder ein ehemaliger Mitarbeiter kann einen Verstoß melden.
Anlasslose Kontrollen: Behörden können die Konformität einer Website ohne Vorankündigung aus der Ferne prüfen — Impressum, Datenschutzerklärung, Cookie-Verhalten und Formulare werden überprüft.
Schwerpunktprüfungen: Datenschutzbehörden legen jährlich Prüfungsschwerpunkte fest. Online-Shops, Gesundheitswesen und Tracking-Tools waren jüngste Themen.
Datenschutzverletzungen: Ein Sicherheitsvorfall, der eine Meldung nach Art. 33 DSGVO erfordert, kann eine umfassende Prüfung aller Website-Praktiken auslösen.
So machen Sie Ihre Website konform
Spezialisierten Anwalt beauftragen (500–2.000 € für ein Audit): Ein Fachanwalt für IT-Recht oder Datenschutzrecht prüft Ihre Praktiken umfassend. Empfehlenswert für Websites mit sensiblen Daten.
Selbst mit Online-Vorlagen arbeiten (0 € aber riskant): Vorlagen berücksichtigen selten die deutschen Besonderheiten (BDSG, TTDSG, TMG). Das Risiko von Lücken ist erheblich.
Eine generische KI nutzen (ChatGPT, Claude) (0 € + Anwaltsüberprüfung 150–300 €): Diese Tools können Entwürfe erstellen, kennen aber die Feinheiten des deutschen Datenschutzrechts nicht immer.
Eine spezialisierte juristische KI nutzen (14,90-19,90 €): Lösungen wie WebLegal.ai generieren alle Ihre gesetzlich vorgeschriebenen Dokumente — Datenschutzerklärung, Cookie-Richtlinie, AGB, Verkaufsbedingungen — in Minuten, DSGVO-konform und auf Ihr Unternehmen zugeschnitten.
Fazit
Eine nicht DSGVO-konforme Website ist nicht nur ein rechtliches Risiko — sie ist eine tickende Zeitbombe. Die Bußgelder können für KMU verheerende Ausmaße annehmen, und die deutschen Datenschutzbehörden verstärken jährlich ihre Kontrolltätigkeit. Die am häufigsten sanktionierten Verstöße sind oft die grundlegendsten: fehlende Datenschutzerklärung, Cookies ohne Einwilligung, Formulare ohne Informationspflichten. Im Jahr 2026 ist die Herstellung der Konformität zugänglich und schnell. Warten Sie nicht auf eine Kontrolle, um zu handeln.