DSGVO-Checkliste für deutsche Onlineshops: 35 Punkte (2026)

Die deutsche Aufsichtsstruktur ist föderal aufgebaut. Auf Bundesebene ist die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) für Bundesbehörden, Telekommunikations- und Postdienstleister zuständig. Für alle anderen Unternehmen gilt die zuständige Landesdatenschutzbehörde des Sitzbundeslandes. Das sind 16 unabhängige Behörden, in der Praxis prüfen das Bayerisches Landesamt für Datenschutzaufsicht (BayLDA), der LfDI Baden-Württemberg, die LDI NRW und die BlnBDI am sichtbarsten. Diese 17 Behörden koordinieren sich in der Datenschutzkonferenz (DSK), die am 20. November 2024 die Orientierungshilfe für digitale Dienste in Fassung 1.2 veröffentlicht hat. Diese Orientierungshilfe ist seither der Prüfmaßstab für Banner und Datenschutzerklärungen.

Was den deutschen Markt von anderen EU-Mitgliedstaaten unterscheidet, ist der zweite Durchsetzungskanal: die wettbewerbsrechtliche Mitbewerber-Abmahnung. § 3a UWG qualifiziert DSGVO-Verstöße als Rechtsbruch im Sinne einer Marktverhaltensregel. Mitbewerber, qualifizierte Wirtschaftsverbände nach § 8 UWG und die Wettbewerbszentrale in Bad Homburg können daher abmahnen. Die Wettbewerbszentrale hat im Jahresbericht 2024 1.362 förmliche Beanstandungen und über 1.300 Abmahnungen dokumentiert, über die Hälfte betraf Irreführung, fehlende Pflichtangaben und Verstöße gegen Marktverhaltensregeln. Bei kleinen Unternehmen mit weniger als 100 Beschäftigten greift in der Erstabmahnung bei Bagatellverstößen die Sperre des § 13a UWG gegen Vertragsstrafen, die Unterlassungspflicht selbst bleibt aber bestehen.

Auf Behördenseite haben in den letzten Jahren mehrere Verfahren das Risikobild geprägt. Das BayLDA hat in seiner Cookie-Prüfung im Februar 2024 über 350 Websites bayerischer Anbieter stichprobenartig geprüft, ein Großteil fiel durch (kein gleichwertiger Ablehnen-Button auf der ersten Banner-Ebene). Das LG München I 33 O 14776/19 vom 29. November 2022 erklärte den Cookie-Banner auf focus.de für unwirksam. Das OLG Köln 6 U 80/23 vom 19. Januar 2024 stufte das wetteronline.de-Banner als rechtswidrig ein. Am 3. Juni 2025 hat der BfDI gegen Vodafone GmbH 45 Mio. Euro Bußgeld verhängt (Pressemitteilung 06/2025). Das ist das bisher höchste deutsche DSGVO-Bußgeld. Für kleinere Unternehmen bleibt aber die Mitbewerber-Abmahnung der wahrscheinlichere Erstkontakt.

Diese Checkliste deckt 35 Prüfpunkte in zehn Bereichen ab und ist auf Unternehmen mit Sitz in Deutschland zugeschnitten. Für eine technische Ergänzung zur Selbstprüfung prüft unser kostenloser DSGVO-Scanner Cookie-Banner, Tracking-Skripte und Sicherheitsheader automatisch und zeigt Ihnen in zwei Minuten, was auf Ihrer Website angepasst werden muss. Eine vertiefende Erklärung der Pflichtangaben in der Datenschutzerklärung steht im Leitfaden Datenschutzerklärung Pflicht, und für die Sicherheitsebene siehe Website-Sicherheit und DSGVO.

Worauf sich die Checkliste in deutschem Recht stützt

Die folgenden zehn Bereiche bilden zusammen die normative Mindestbasis für eine deutsche Unternehmenswebsite. Sie beruhen auf der DSGVO als unmittelbar geltendem Unionsrecht, ergänzt durch das BDSG (Neufassung 2017), das DDG vom 14. Mai 2024 und das TDDDG vom 14. Mai 2024 (vormals TTDSG). Die Cookie-Norm steht in § 25 TDDDG, die Impressumspflicht in § 5 DDG, die Aufbewahrungsfristen in § 257 HGB und § 147 AO, die wettbewerbsrechtliche Abmahnpfad-Norm in § 3a UWG. Sektorale Pflichten wie ElektroG, VerpackG und MarkenG sind nicht Teil dieser DSGVO-Checkliste, aber im KMU-Alltag oft begleitend relevant.

Die Checkliste ist bewusst auf die deutsche Rechtsanwendung zugeschnitten. Wer einen Onlineshop nur in Deutschland betreibt, deckt mit den 35 Punkten den Pflichtenkanon ab. Wer grenzüberschreitend in weitere EU-Mitgliedstaaten verkauft, braucht zusätzlich die dortige nationale Cookie-Norm, die dortige nationale Aufsichtsbehörde in der Datenschutzerklärung und die dortigen sektoralen Pflichten. Eine reine Übernahme deutscher Vorlagen reicht jenseits der Bundesgrenze nicht.

1. Datenschutzerklärung (Art. 13/14 DSGVO)

Nach Art. 13 DSGVO sind Sie verpflichtet, Besucher Ihrer Website bei der Datenerhebung zu informieren. Das gilt ab dem Moment, wo Ihre Website irgendetwas erhebt, also auch Server-Logs mit IP-Adressen, eingebettete Drittinhalte oder ein einfaches Kontaktformular.

• Datenschutzerklärung ist vorhanden und im Footer auf jeder Seite verlinkt
• Linktext lautet "Datenschutz" oder "Datenschutzerklärung", nicht "Rechtliches"
• Name, Anschrift und E-Mail-Adresse des Verantwortlichen sind angegeben
• Für jede Verarbeitungsaktivität ist eine Rechtsgrundlage nach Art. 6 DSGVO genannt
• Alle eingebundenen Dienste sind aufgeführt: Analytics, Fonts, Zahlungsanbieter, CDN
• Speicherdauer ist für jede Datenkategorie konkret angegeben, nicht nur "solange gesetzlich nötig"
• Alle Betroffenenrechte nach Art. 15 bis 22 DSGVO sind beschrieben
• Kontakt zur zuständigen Landesdatenschutzbehörde ist angegeben

Die zuständige Behörde richtet sich nach dem Bundesland Ihres Unternehmenssitzes. Bayerische Unternehmen wenden sich an die BayLDA, Berliner an die BlnBDI und Hamburger an den HmbBfDI.

Ein häufiger Fehler bei Generator-Texten: Die Erklärung nennt Dienste, die gar nicht mehr genutzt werden, oder verschweigt neue Tools, die nach der Erstellung eingebunden wurden. Für eine vertiefende Prüfung: Was muss in eine Datenschutzerklärung.

2. Cookie-Einwilligung nach TDDDG §25

§ 25 TDDDG regelt den Zugriff auf Endgeräte-Informationen. Das bedeutet: Bevor Ihre Website nicht-notwendige Cookies setzt oder auf lokalen Speicher zugreift, braucht sie die ausdrückliche Einwilligung des Nutzers. Das gilt für Analytics-Cookies, Marketing-Pixel und Social-Media-Buttons, aber nicht für Cookies, die technisch zwingend notwendig sind, etwa Session-Cookies für den Warenkorb.

Die Datenschutzkonferenz (DSK) hat 2024 eine aktualisierte Orientierungshilfe zu Consent-Management-Plattformen veröffentlicht, die für alle deutschen Website-Betreiber als Maßstab gilt.

• Cookie-Banner erscheint beim ersten Besuch, bevor Tracking-Skripte laden
• "Ablehnen" ist auf der ersten Bannerebene direkt anklickbar
• Akzeptieren-Button und Ablehnen-Button sind optisch gleichwertig gestaltet
• Keine Tracking-Anfragen gehen an Drittanbieter, bevor der Nutzer eine Wahl getroffen hat
• Einwilligung ist über einen dauerhaften Footer-Link jederzeit widerrufbar
• Einwilligungsdatum und -umfang werden durch die CMP protokolliert

Die häufigste Beanstandung durch die Behörden: Tracking-Skripte laden im Hintergrund, während der Banner noch angezeigt wird. Das ist ein technischer Fehler, den Sie mit den Browser-Entwicklertools leicht selbst prüfen können. Öffnen Sie DevTools (F12), Reiter Netzwerk, laden Sie Ihre Seite neu und schauen Sie, ob Anfragen an google-analytics.com oder facebook.net gehen, noch bevor Sie den Banner weggeklickt haben.

Zur detaillierten Prüfung Ihres Banners: DSGVO-konformer Cookie-Banner.

3. Rechtsgrundlage für jede Verarbeitung (Art. 6 DSGVO)

Jede Verarbeitung personenbezogener Daten braucht eine Rechtsgrundlage. "Wir nutzen Ihre Daten zur Verbesserung unserer Angebote" ist keine Rechtsgrundlage, das ist eine Zweckbeschreibung. Beides muss in der Datenschutzerklärung vorhanden sein.

• Einwilligung (lit. a): für Newsletter, nicht-notwendige Cookies, Marketing-E-Mails
• Vertragserfüllung (lit. b): für Bestellabwicklung, Versand, Kundensupport
• Rechtliche Verpflichtung (lit. c): für Buchhaltungsunterlagen und steuerliche Aufbewahrung
• Berechtigtes Interesse (lit. f): Interessenabwägung ist dokumentiert und begründet
• Jede Rechtsgrundlage ist in der Datenschutzerklärung für die entsprechende Aktivität benannt

Das berechtigte Interesse wird in Deutschland restriktiver ausgelegt als in manchen anderen EU-Ländern. Für Tracking und personalisiertes Marketing trägt es in der Regel nicht. Für Direktwerbung per E-Mail an Bestandskunden (§ 7 Abs. 3 UWG) gibt es eine enge Ausnahme, aber auch dort muss ein Widerspruchsrecht aktiv angeboten werden.

4. Auftragsverarbeitung: AVV nach Art. 28 DSGVO

Wer externe Dienstleister nutzt, die in seinem Auftrag Daten verarbeiten, muss mit diesen einen Auftragsverarbeitungsvertrag (AVV) schließen. In Deutschland hat sich "AVV" als Begriff für diese Vereinbarungen nach Art. 28 DSGVO etabliert.

• AVV mit Hosting-Provider oder Managed-Server-Betreiber abgeschlossen
• AVV mit E-Mail-Marketing-Plattform (Mailchimp, Brevo, Klaviyo o.ä.)
• AVV mit Web-Analytics-Tool, auch bei datenschutzfreundlichen Alternativen
• AVV mit Zahlungsanbieter, sofern Kundendaten übertragen werden
• AVV mit Live-Chat- oder Helpdesk-System
• Nachweis der Unterzeichnung oder Portalakzeptanz ist archiviert

Viele SaaS-Anbieter stellen AVV-Vorlagen im Kundenportal bereit. Das Problem: viele Betreiber haben diese einmal akzeptiert, aber keinen Nachweis gespeichert. Für einen Schritt-für-Schritt-Audit aller AVV-Pflichten: DSGVO-Website-Audit.

5. Speicherdauer und Löschkonzept

Art. 5 Abs. 1 lit. e DSGVO verlangt das Speicherbegrenzungsprinzip: Daten nur so lange halten, wie es der Verarbeitungszweck erfordert. In Deutschland kommen drei Mindestaufbewahrungsfristen aus dem nationalen Recht hinzu, die zum Teil eine längere Aufbewahrung verlangen. Maßgeblich sind § 257 HGB für Handels- und Buchführungsunterlagen, § 147 AO für steuerrelevante Unterlagen und § 195 BGB als regelmäßige Verjährungsfrist für vertragliche Ansprüche.

• Handelsbücher, Inventare, Eröffnungsbilanzen, Jahresabschlüsse, Konzernabschlüsse: 10 Jahre (§ 257 Abs. 1 Nr. 1 i.V.m. Abs. 4 HGB)
• Buchungsbelege: 8 Jahre (§ 257 Abs. 1 Nr. 4 i.V.m. Abs. 4 HGB, verkürzt durch das Wachstumschancengesetz mit Wirkung zum 1. Januar 2025)
• Empfangene und abgesandte Handelsbriefe: 6 Jahre (§ 257 Abs. 1 Nr. 2 und Nr. 3 HGB)
• Steuerrelevante Unterlagen (Rechnungen, Steuerbescheide, Buchführung): 10 Jahre (§ 147 Abs. 3 i.V.m. Abs. 1 AO)
• Sonstige steuerlich relevante Unterlagen (z.B. Auftragsbestätigungen): 6 Jahre (§ 147 Abs. 3 i.V.m. Abs. 1 Nr. 5 AO)
• Regelmäßige Verjährungsfrist für vertragliche Ansprüche: 3 Jahre (§ 195 BGB, Beginn nach § 199 BGB mit Schluss des Entstehungsjahres)
• Kontaktformular-Eingaben ohne Kaufbezug: bis Anfrage bearbeitet, dann löschen
• Newsletter-Adressen: bis zur Abmeldung, danach umgehend löschen oder anonymisieren
• Server-Logs mit IP-Adressen: typisch 7 bis 14 Tage, maximal 90 Tage ohne weiteren Zweck

Eine bekannte Stolperfalle bei aus dem Nachbarmarkt kopierten Datenschutzerklärungen: In Deutschland gelten seit dem 1. Januar 2025 acht Jahre für Buchungsbelege, weiterhin 10 Jahre für Handelsbücher und Jahresabschlüsse und 6 Jahre für Handelsbriefe. Wer eine fremde Vorlage 1:1 übernimmt, ohne § 257 HGB und § 147 AO zu prüfen, behält Daten entweder zu kurz (Konflikt mit den deutschen Mindestfristen) oder pauschal zu lang (Verstoß gegen die Speicherbegrenzung aus Art. 5 Abs. 1 lit. e DSGVO). Die Aufbewahrungsfristen sind in der Praxis einer der häufigsten Punkte, an denen geprüfte Datenschutzerklärungen auseinanderlaufen.

Ein Löschkonzept ist dann vollständig, wenn der Prozess technisch umgesetzt ist, nicht nur auf Papier festgehalten. Aufsichtsbehörden und Wettbewerbszentrale fragen bei Prüfungen nach dem Nachweis der tatsächlichen Löschung. Für Kundenkontaktdaten ohne Buchführungsrelevanz gilt nach der DSK-Auslegung ein Lösch- oder Anonymisierungs-Stichtag spätestens drei Jahre nach dem letzten aktiven Kundenkontakt.

6. Datenpannen-Meldung (Art. 33 DSGVO)

Jede Datenpanne, die ein Risiko für Betroffene darstellt, muss innerhalb von 72 Stunden bei der zuständigen Aufsichtsbehörde gemeldet werden (Art. 33 Abs. 1 DSGVO). Die zuständige Behörde richtet sich nach dem Sitzbundesland des Verantwortlichen. Der BfDI ist nur für Bundesbehörden, Telekommunikations- und Postdienstleister zuständig. Für alle anderen Unternehmen gilt die jeweilige Landesdatenschutzbehörde des Sitzbundeslandes.

• Sitzbundesland des Verantwortlichen ist eindeutig festgelegt
• Verfahren für die Erstbeurteilung einer Datenpanne ist schriftlich festgehalten
• Zuständige Landesdatenschutzbehörde und Online-Meldeportal sind bekannt
• Entscheidungsbaum "meldepflichtig ja/nein" ist intern verfügbar
• Benachrichtigungspflicht gegenüber Betroffenen nach Art. 34 DSGVO bei hohem Risiko ist eingeplant
• Interne Aufzeichnung nach Art. 33 Abs. 5 DSGVO ist auch bei nicht meldepflichtigen Vorfällen vorgesehen

Konkret: In Bayern ist die BayLDA zuständig, in Baden-Württemberg der LfDI BW, in Berlin die BlnBDI, in Nordrhein-Westfalen die LDI NRW, in Hamburg der HmbBfDI, in Niedersachsen die Landesbeauftragte für den Datenschutz Niedersachsen. Die vollständige Übersicht der 16 Landesbehörden plus BfDI plus ULD Schleswig-Holstein steht auf datenschutzkonferenz-online.de. Die meisten Landesbehörden stellen ein Online-Meldeportal bereit. Eine Meldung an eine ausländische Aufsichtsbehörde ersetzt die Pflichtmeldung nach Art. 33 DSGVO an die für Ihr Sitzbundesland zuständige deutsche Stelle nicht.

Die 72-Stunden-Frist beginnt ab dem Moment, in dem der Verantwortliche von der Verletzung Kenntnis erlangt, nicht ab dem technischen Vorfall. Wenn die Meldung erst nach 72 Stunden möglich ist, muss die Verzögerung in der Meldung selbst begründet werden (Art. 33 Abs. 1 Satz 2 DSGVO). Auch wenn kein Risiko für Betroffene besteht und damit die Meldepflicht entfällt, ist die interne Aufzeichnung nach Art. 33 Abs. 5 DSGVO Pflicht. Im Falle einer späteren behördlichen Anfrage oder einer parallel laufenden Mitbewerber-Abmahnung ist diese Dokumentation eines der wichtigsten Verteidigungsmittel.

7. Technische Sicherheit (Art. 32 DSGVO)

Art. 32 DSGVO schreibt keine konkrete Maßnahmenliste vor, sondern "dem Risiko angemessene" Schutzmaßnahmen. Das BSI hat im IT-Grundschutz-Kompendium Basisanforderungen definiert, die als Orientierung für KMU dienen.

• HTTPS auf allen Seiten aktiv, HTTP-Anfragen werden weitergeleitet
• TLS-Zertifikat ist gültig und aktuell
• CMS, Themes und Plugins sind auf dem aktuellen Sicherheitsstand
• Sicherheitsheader HSTS, Content-Security-Policy und X-Content-Type-Options sind gesetzt
• Admin-Zugänge sind durch starke Passwörter und 2-Faktor-Authentifizierung gesichert

Der 1&1 Telecom-Fall aus 2019 zeigt, was unzureichende technische Maßnahmen kosten können: Der BfDI verhängte 9,55 Mio. Euro Bußgeld, weil das Unternehmen Kundendaten auf bloße Namensnennung hin herausgab, was einem Verstoß gegen Art. 32 DSGVO entsprach. Für KMU sind die Beträge kleiner, aber das Prinzip gilt.

8. Betroffenenrechte (Art. 15-22 DSGVO)

Betroffene können Auskunft über ihre Daten verlangen, Berichtigung, Löschung und in bestimmten Fällen Datenübertragbarkeit. Sie müssen als Verantwortlicher innerhalb von vier Wochen antworten können.

• Kontaktmöglichkeit für Datenschutzanfragen ist auf der Website angegeben
• Auskunftsanfragen nach Art. 15 können innerhalb von vier Wochen beantwortet werden
• Löschung nach Art. 17 kann technisch umgesetzt werden
• Widerspruchsrecht nach Art. 21 ist in der Datenschutzerklärung erklärt
• Datenübertragbarkeit nach Art. 20 ist für einwilligungsbasierte Verarbeitung möglich
• Fristverlängerung bei komplexen Anfragen ist intern bekannt (bis zu drei Monate bei Begründung)

Vier Wochen ist die gesetzliche Standardfrist. Bei besonders umfangreichen Anfragen dürfen Sie um weitere zwei Monate verlängern, müssen das aber dem Anfragenden innerhalb der ersten vier Wochen mitteilen.

9. Besondere Kategorien personenbezogener Daten (Art. 9 DSGVO)

Für die meisten E-Commerce-Websites kein Thema, aber prüfen Sie:

• Verarbeitet Ihre Website implizit besondere Kategorien? (z.B. Apotheke, Fitnessstudio, religiöse Organisation, politische Vereinigung)
• Wenn ja: ausdrückliche Einwilligung nach Art. 9 Abs. 2 lit. a ist eingeholt
• Verarbeitung ist auf das Notwendige beschränkt und dokumentiert

Eine Fitness-App, die Trainingsdaten erhebt, kann Gesundheitsdaten berühren. Ein Online-Shop für Nahrungsergänzungsmittel mit Kundenprofilen kann in die Nähe gesundheitsbezogener Daten kommen. Im Zweifel gilt Art. 9 bereits dann, wenn die Verarbeitung Rückschlüsse auf besondere Kategorien erlaubt.

Wenn Art. 9 gilt, sind die Anforderungen erheblich strenger: Die Einwilligung muss ausdrücklich und spezifisch sein, eine bloße Zustimmung zu den AGB reicht nicht. Behörden prüfen bei Unternehmen mit Gesundheitsbezug besonders genau.

10. Drittlandtransfer (Art. 44-46 DSGVO)

Wer US-amerikanische Dienste nutzt, überträgt Daten in ein Drittland. Seit dem Angemessenheitsbeschluss der Europäischen Kommission vom 10. Juli 2023 gilt das EU-US Data Privacy Framework (DPF) als Transferbasis nach Art. 45 DSGVO. Wichtig: Das DPF deckt nicht jeden US-Dienst pauschal ab, sondern nur die auf der Liste der zertifizierten Anbieter geführten Empfänger.

• Alle US-Dienste identifiziert, die Daten empfangen (Google, Mailchimp, Stripe, AWS, Microsoft usw.)
• Für jeden Dienst der konkrete Eintrag auf der Data Privacy Framework-Liste verifiziert (Stichtag protokolliert)
• Drittlandtransfer und konkrete Rechtsgrundlage (DPF oder SCC 2021/914) in der Datenschutzerklärung erwähnt
• Für nicht DPF-zertifizierte Dienste: Standard Contractual Clauses (Beschluss 2021/914) abgeschlossen und ein Transfer Impact Assessment dokumentiert

Das DPF hat aktuell Bestand. noyb hat allerdings am 6. September 2023 eine Klage vor dem EuGH gegen den Angemessenheitsbeschluss eingereicht. Die Situation ähnelt strukturell den Monaten vor dem Schrems-II-Urteil (EuGH C-311/18). Wer US-Dienste zentral für seinen Betrieb nutzt, sollte europäische Alternativen zumindest kennen.

Konkret: Prüfen Sie für jeden US-Dienst, ob es eine europäisch gehostete Alternative gibt (z.B. Matomo statt Google Analytics, Brevo mit EU-Hosting statt Mailchimp, Hetzner statt AWS us-east). Das schützt nicht nur vor einem möglichen Schrems-III-Urteil, sondern macht Ihre Datenschutzerklärung auch einfacher. Eine fehlende oder veraltete Drittland-Information ist eine der häufigsten Beanstandungen, sowohl in DSK-Prüfverfahren als auch in UWG-Abmahnungen.

Auswertung

Zählen Sie die abgehakten Punkte:

• 30 oder mehr: Ihre Website ist gut aufgestellt. Wiederholen Sie die Prüfung, wenn Sie neue Tools oder Dienstleister einbinden.
• 20 bis 29: Es gibt Lücken. Priorisieren Sie Cookie-Einwilligung und Datenschutzerklärung, die Behörden prüfen diese Bereiche am häufigsten.
• Unter 20: Mehrere grundlegende Pflichten sind nicht erfüllt. Beginnen Sie mit Datenschutzerklärung, Cookie-Banner und AVV-Verträgen.

Wiederholen Sie die Prüfung mindestens einmal jährlich, außerdem immer dann, wenn Sie ein neues Plugin, einen neuen Dienst oder ein neues Formular einbinden. Jede Änderung kann neue Verarbeitungen einführen, die in Datenschutzerklärung und Banner nachgezogen werden müssen.

Eine Checkliste zeigt, wo Lücken sind, aber nicht alles, was technisch auf Ihrer Website passiert. Unser kostenloser DSGVO-Scanner prüft Cookie-Banner, Tracking-Skripte, externe Verbindungen und Sicherheitsheader automatisch und zeigt Ihnen in zwei Minuten, was auf technischer Ebene angepasst werden muss.

Diese Checkliste ist die deutsche Fassung unserer paneuropäischen DSGVO-Compliance-Checkliste.

Wer in Deutschland prüft und abmahnt

Die DSGVO wird in Deutschland auf zwei parallelen Schienen durchgesetzt. Die behördliche Schiene läuft über die 17 Mitglieder der DSK: den BfDI für Bundesbehörden, Telekommunikations- und Postdienstleister, und die 16 Landesdatenschutzbehörden für alle anderen Unternehmen. Maßgeblich ist das Sitzbundesland des Verantwortlichen. Die Behörden verhängen Anordnungen, Verwarnungen und Bußgelder nach Art. 83 DSGVO bis zu 20 Mio. Euro oder 4 Prozent des weltweiten Jahresumsatzes. In der Praxis bewegen sich Bußgelder gegen KMU im niedrigen vier- bis fünfstelligen Bereich, sehr hohe Bußgelder treffen meistens Konzerne (Vodafone 45 Mio. Euro im Juni 2025, 1&1 Telecom 9,55 Mio. Euro im Dezember 2019, Deutsche Wohnen 14,5 Mio. Euro im Oktober 2019).

Die zweite Schiene ist deutsche Besonderheit: die wettbewerbsrechtliche Mitbewerber-Abmahnung. Über § 3a UWG werden DSGVO-Verstöße als Rechtsbruch im Sinne einer Marktverhaltensregel qualifiziert. Aktivlegitimiert sind nach § 8 UWG Mitbewerber, qualifizierte Wirtschaftsverbände nach § 8b UWG und Verbraucherverbände. Größter Akteur ist die Wettbewerbszentrale aus Bad Homburg vor der Höhe. Typische Streitwerte bei DSGVO- und TDDDG-Verstößen liegen bei 5.000 bis 15.000 Euro, die Anwaltskosten der Erstabmahnung daraus bei 600 bis 2.500 Euro. § 13a UWG schützt seit der UWG-Reform vom 2. Dezember 2020 kleine Unternehmen mit weniger als 100 Beschäftigten bei Bagatellverstößen vor einer Vertragsstrafe in der Erstabmahnung. Die Unterlassungspflicht selbst und die anwaltlichen Aufwendungen sind davon nicht berührt.

Der IDO-Verband Leverkusen, in der Vergangenheit ein häufiger Abmahnakteur gegen Online-Händler, ist seit der UWG-Reform vom 1. Dezember 2021 nicht mehr als qualifizierter Wirtschaftsverband nach § 8b UWG eingetragen. Der BGH I ZR 111/22 vom 26. Januar 2023 hat eine historische Klagebefugnis bei Altfällen vor diesem Stichtag bestätigt. Neue IDO-Abmahnungen sind dagegen unzulässig. Wenn Sie eine Abmahnung erhalten, prüfen Sie als Erstes Datum und Aussteller.

Praktische Konsequenz: Behördliche Verfahren dauern meistens Monate bis Jahre und enden für KMU oft mit einer Anordnung statt einem Bußgeld. Wettbewerbsrechtliche Abmahnungen treffen schneller und mit konkretem Kostendruck (Unterlassungserklärung mit Vertragsstrafe bis 5.001 Euro pro Verstoß plus Anwaltskosten). Die Pflichten sind in beiden Schienen identisch, der Erstkontakt ist aber in der Praxis fast immer wettbewerbsrechtlich.

---

Dieser Artikel ist technische Analyse, kein Rechtsrat. Für Fragen zu Ihrer konkreten Situation wenden Sie sich an eine Datenschutzfachperson.