Die DSGVO gilt seit 2018 – und trotzdem machen viele mittelständische Unternehmen immer noch die gleichen Fehler. Das ist kein Vorwurf: Die Verordnung ist komplex, die Ressourcen in KMU begrenzt, und die Prioritäten liegen verständlicherweise im operativen Geschäft. Doch die Datenschutzbehörden prüfen zunehmend aktiv, und die Bußgelder sind empfindlich.
In diesem Artikel zeigen wir Ihnen die zehn häufigsten DSGVO-Fehler, die wir bei unseren Kunden immer wieder sehen – und wie Sie diese konkret beheben können.
Das VVT ist nach Art. 30 DSGVO für jedes Unternehmen Pflicht, das personenbezogene Daten verarbeitet – und das tut faktisch jedes Unternehmen. Trotzdem fehlt es bei geschätzt 60–70 % der deutschen KMU.
Warum es wichtig ist: Das VVT ist das erste Dokument, das eine Aufsichtsbehörde bei einer Prüfung anfordert. Fehlt es, entsteht sofort der Eindruck mangelnder Compliance.
So beheben Sie es: Beginnen Sie mit den offensichtlichen Verarbeitungen – Kundendaten, Mitarbeiterdaten, Newsletter, Website-Analytics. Dokumentieren Sie für jede Verarbeitung: Zweck, Rechtsgrundlage, Kategorien der Betroffenen, Empfänger und Löschfristen.
Die Datenschutzerklärung auf Ihrer Website muss aktuell und vollständig sein. Viele Unternehmen haben sie 2018 einmal erstellt und seitdem nicht aktualisiert – obwohl sich Tools, Tracking-Dienste und Rechtsgrundlagen geändert haben.
Warum es wichtig ist: Eine fehlerhafte oder unvollständige DSE ist einer der häufigsten Abmahngründe. Anwaltskanzleien scannen Websites systematisch auf solche Lücken.
So beheben Sie es: Prüfen Sie alle auf Ihrer Website eingesetzten Dienste – Analytics, Fonts, Kontaktformulare, Chatbots, Social-Media-Plugins – und stellen Sie sicher, dass jeder in der DSE korrekt beschrieben ist. Am besten lassen Sie Ihre Website automatisiert scannen.
Ab 20 Mitarbeitenden, die regelmäßig personenbezogene Daten verarbeiten, ist die Bestellung eines Datenschutzbeauftragten (DSB) Pflicht. In bestimmten Branchen (z.B. Gesundheitswesen, Finanzdienstleistungen) gilt die Pflicht auch bei weniger Mitarbeitenden.
Warum es wichtig ist: Ohne DSB fehlt die fachliche Kontrolle – und bei einer Prüfung wird das sofort auffallen. Die Geschäftsführung haftet persönlich.
So beheben Sie es: Ein externer DSB ist in der Regel deutlich günstiger als ein interner (oft ab 149 €/Monat vs. 50.000–80.000 € Jahresgehalt) und bringt branchenübergreifende Erfahrung mit. Prüfen Sie, ob die Bestellpflicht für Ihr Unternehmen gilt.
Wenn Sie Dienstleister einsetzen, die in Ihrem Auftrag personenbezogene Daten verarbeiten – Cloud-Anbieter, Newsletter-Tools, CRM-Systeme, Hosting-Provider – benötigen Sie jeweils einen AVV nach Art. 28 DSGVO.
Warum es wichtig ist: Ohne AVV ist die Datenübertragung an den Dienstleister rechtswidrig. Sie als Auftraggeber tragen die Verantwortung.
So beheben Sie es: Erstellen Sie eine Liste aller Dienstleister, die personenbezogene Daten für Sie verarbeiten. Prüfen Sie, ob ein AVV vorliegt. Die meisten großen SaaS-Anbieter stellen AVV-Vorlagen bereit – Sie müssen diese aber aktiv abschließen und archivieren.
Die DSGVO verlangt, dass Mitarbeitende, die mit personenbezogenen Daten umgehen, für den Datenschutz sensibilisiert werden. In der Praxis findet das in vielen KMU nicht statt.
Warum es wichtig ist: Der größte Risikofaktor für Datenpannen sind Mitarbeitende – nicht durch böse Absicht, sondern durch Unwissenheit. Phishing, versehentlicher Versand an falsche Empfänger oder unsachgemäße Entsorgung von Unterlagen.
So beheben Sie es: Führen Sie mindestens einmal jährlich eine Datenschutz-Schulung durch. Online-Schulungen mit Lernkontrolle sind effizient und dokumentieren die Teilnahme – wichtig für den Nachweis gegenüber Behörden.
Ein Cookie-Banner ist nicht gleich DSGVO-konform. Häufige Fehler: Vorangekreuzte Checkboxen, kein "Alle ablehnen"-Button auf erster Ebene, Tracking-Cookies die trotz Ablehnung gesetzt werden, oder ein rein dekorativer Banner ohne technische Funktion.
Warum es wichtig ist: Die Datenschutzbehörden und Verbraucherschützer prüfen Cookie-Banner aktiv. Seit den Urteilen zu Google Analytics und der ePrivacy-Verordnung ist hier besondere Sorgfalt geboten.
So beheben Sie es: Nutzen Sie einen Consent-Management-Plattform (CMP), die nachweislich das Tracking erst nach Einwilligung aktiviert. Testen Sie regelmäßig, ob Cookies tatsächlich blockiert werden, wenn Nutzer ablehnen.
Seit dem wegweisenden Urteil des LG München I (Az. 3 O 17493/20) ist klar: Die Einbindung von Google Fonts über Google-Server ohne Einwilligung verstößt gegen die DSGVO, weil dabei die IP-Adresse der Besucher an Google in die USA übertragen wird.
Warum es wichtig ist: Es gab und gibt tausende Abmahnungen wegen externer Google-Fonts-Einbindung. Die Schadensersatzforderungen liegen typischerweise bei 100–170 € pro Besucher.
So beheben Sie es: Hosten Sie alle Schriftarten lokal auf Ihrem eigenen Server. Das ist technisch unkompliziert und eliminiert das Problem vollständig. Prüfen Sie auch andere Ressourcen, die von Drittanbietern geladen werden.
Die DSGVO verlangt, dass personenbezogene Daten gelöscht werden, sobald der Verarbeitungszweck entfällt – unter Berücksichtigung gesetzlicher Aufbewahrungsfristen. Viele Unternehmen haben kein dokumentiertes Löschkonzept.
Warum es wichtig ist: Ohne Löschkonzept verstoßen Sie gegen den Grundsatz der Speicherbegrenzung (Art. 5 Abs. 1 lit. e DSGVO). Behörden fragen danach, und Betroffene können Auskunft und Löschung verlangen.
So beheben Sie es: Definieren Sie für jede Datenkategorie aus Ihrem VVT eine Aufbewahrungsfrist und einen Löschprozess. Berücksichtigen Sie gesetzliche Fristen (z.B. 6 Jahre für Geschäftskorrespondenz, 10 Jahre für Rechnungen). Automatisieren Sie die Löschung, wo möglich.
Art. 33 DSGVO schreibt vor: Bei einer Verletzung des Schutzes personenbezogener Daten muss die zuständige Aufsichtsbehörde innerhalb von 72 Stunden informiert werden – es sei denn, die Verletzung birgt voraussichtlich kein Risiko für die Betroffenen.
Warum es wichtig ist: Die Nichtmeldung einer Datenpanne kann selbst ein bußgeldbewehrter Verstoß sein – unabhängig von der Panne selbst. Viele Unternehmen wissen nicht einmal, was als Datenpanne gilt.
So beheben Sie es: Erstellen Sie einen dokumentierten Prozess für die Erkennung und Meldung von Datenpannen. Schulen Sie Ihre Mitarbeitenden darin, Vorfälle zu erkennen und zu melden. Typische Datenpannen: Fehlversand von E-Mails, verlorene Laptops, Hackerangriffe, aber auch versehentlich öffentlich zugängliche Datenbanken.
Betroffene – also Kunden, Mitarbeitende, Website-Besucher – haben umfangreiche Rechte: Auskunft, Berichtigung, Löschung, Datenübertragbarkeit, Widerspruch. Viele KMU haben keinen Prozess, um diese Anfragen fristgerecht (innerhalb eines Monats) zu beantworten.
Warum es wichtig ist: Die Nichtbeantwortung oder verspätete Beantwortung einer Betroffenenanfrage kann zu Beschwerden bei der Aufsichtsbehörde führen – und damit zu einer Prüfung, die weitere Mängel aufdeckt.
So beheben Sie es: Richten Sie eine zentrale E-Mail-Adresse für Datenschutzanfragen ein (z.B. datenschutz@ihrefirma.de). Definieren Sie einen internen Prozess mit klaren Zuständigkeiten und Fristen. Dokumentieren Sie jede Anfrage und Ihre Antwort.
Wie viele dieser zehn Punkte treffen auf Ihr Unternehmen zu? Wenn Sie bei mehr als drei Punkten unsicher sind, wird es Zeit zu handeln.
Starten Sie mit dem Hugo Check – unser automatischer Website-Scanner prüft Ihre Website in 60 Sekunden auf die häufigsten DSGVO-Verstöße und gibt Ihnen einen konkreten Maßnahmenplan.
Oder buchen Sie ein kostenloses Erstgespräch mit unseren Datenschutz-Experten. Wir zeigen Ihnen, wo Ihr Unternehmen steht und welche Schritte als Nächstes sinnvoll sind – ohne Verkaufsdruck, dafür mit konkretem Mehrwert.
Inhaltsverzeichnis
Vom Skeptiker zum Befürworter: So überzeugt ein Datenschutz-Audit die Geschäftsführung – mit konkretem Ablauf und Praxisbeispiel.
WeiterlesenNeue Datenschutzgesetze, IT-Sicherheitsrichtlinien und Branchenstandards Februar 2026 - Februar 2026: Neue Datenschutzgesetze, IT-Sicherheitsrichtlinien und Bra
WeiterlesenGastbeitrag: CutToFame Datenschutz Recht am eigenen Bild KI & Regulatorik Dein Gesicht ist dein Kapital – und gleichzeitig ein personenbezogenes Datum....
Weiterlesen Über den Autor
Co-Founder
Jens ist Co-Founder und Geschäftsführer der frag.hugo Informationssicherheit GmbH. Mit über 20 Jahren IT-Erfahrung verbindet er technisches Know-how mit strategischem Denken, um Datenschutz und Compliance für KMU zugänglich zu machen.
Vereinbaren Sie ein unverbindliches Erstgespräch mit unseren Experten. Wir beraten Sie persönlich zu Datenschutz, NIS2 und IT-Sicherheit.
