DSGVO Strafe für Kleinunternehmer — Was wirklich droht

DSGVO-Bußgelder — Betrifft das auch Kleinunternehmer?

Kurze Antwort: Ja. Die Datenschutz-Grundverordnung kennt keine Ausnahme für Kleinunternehmer, Einzelunternehmer oder Freiberufler. Wer personenbezogene Daten verarbeitet, fällt in den Anwendungsbereich der DSGVO — unabhängig von Rechtsform, Mitarbeiterzahl oder Jahresumsatz.

Gemäß DSGVO Art. 2 Abs. 1 gilt die Verordnung für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung, sofern die Daten in einem Dateisystem gespeichert sind oder gespeichert werden sollen. In der Praxis bedeutet das: Sobald Sie eine Website mit Kontaktformular betreiben, Newsletter versenden, Kundendaten in einer Tabelle pflegen oder einen Online-Terminkalender anbieten, verarbeiten Sie personenbezogene Daten.

Auch die Bußgeldvorschriften in Art. 83 DSGVO unterscheiden nicht nach Unternehmensgröße. Der Artikel richtet sich an jeden „Verantwortlichen” und „Auftragsverarbeiter” — das kann ein DAX-Konzern sein, aber eben auch ein Handwerksbetrieb mit drei Mitarbeitern oder eine Einzelunternehmerin mit einem Etsy-Shop.

Was sich allerdings unterscheidet, ist die Praxis der Durchsetzung. Aufsichtsbehörden haben begrenzte Ressourcen und konzentrieren sich tendenziell auf Fälle mit großer Tragweite. Kleine Unternehmen geraten häufiger durch Beschwerden von Betroffenen in den Fokus als durch proaktive Prüfungen. Das heißt jedoch nicht, dass ein Bußgeld ausgeschlossen wäre — es heißt nur, dass der Weg dahin meistens ein anderer ist.

Wie hoch können DSGVO-Bußgelder ausfallen?

Der gesetzliche Rahmen

Art. 83 DSGVO sieht zwei Stufen von Bußgeldern vor:

• Bis zu 10 Millionen EUR oder bis zu 2 % des weltweiten Jahresumsatzes (je nachdem, welcher Betrag höher ist) — bei Verstößen gegen organisatorische Pflichten wie das Verarbeitungsverzeichnis (Art. 30), den Auftragsverarbeitungsvertrag (Art. 28) oder die Meldepflicht bei Datenschutzverletzungen (Art. 33). Rechtsgrundlage: Art. 83 Abs. 4 DSGVO.

• Bis zu 20 Millionen EUR oder bis zu 4 % des weltweiten Jahresumsatzes — bei Verstößen gegen die Grundsätze der Verarbeitung (Art. 5), die Rechtmäßigkeit der Verarbeitung (Art. 6), die Betroffenenrechte (Art. 12–22) oder bei unzulässigen Drittlandtransfers. Rechtsgrundlage: Art. 83 Abs. 5 DSGVO.

Was das für Kleinunternehmer bedeutet

Diese Höchstbeträge sind theoretische Obergrenzen, die in der Praxis für kleine Unternehmen kaum relevant sind. Art. 83 Abs. 1 DSGVO fordert ausdrücklich, dass Bußgelder wirksam, verhältnismäßig und abschreckend sein sollen. Das Verhältnismäßigkeitsprinzip spielt hier eine zentrale Rolle: Ein Bußgeld, das ein Unternehmen in die Insolvenz treiben würde, wäre in der Regel nicht verhältnismäßig.

DSK-Bußgeldkonzept

Die Datenschutzkonferenz (DSK) hat ein Konzept zur Bußgeldzumessung veröffentlicht, das sich am Jahresumsatz des Unternehmens orientiert. Vereinfacht dargestellt:

1. Der Umsatz des Unternehmens wird einer Größenklasse zugeordnet
2. Daraus ergibt sich ein Tagessatz als Basiswert
3. Dieser Tagessatz wird anhand der Schwere des möglichen Verstoßes multipliziert
4. Weitere Faktoren (Kooperation, Vorsatz, Dauer) passen den Betrag an

Für ein Kleinunternehmen mit beispielsweise 50.000 EUR Jahresumsatz ergeben sich daraus Tagessätze im niedrigen dreistelligen Bereich. Selbst bei schwerwiegenden Verstößen bewegen sich die Bußgelder dann erfahrungsgemäß eher im Bereich von einigen hundert bis wenigen tausend Euro — nicht im Millionenbereich.

Typische Größenordnungen für kleine Unternehmen

Aus veröffentlichten Entscheidungen und Tätigkeitsberichten der Aufsichtsbehörden lassen sich für Kleinunternehmer folgende Größenordnungen ableiten:

Hinweis: Diese Beträge sind Orientierungswerte auf Basis veröffentlichter Fälle. Die tatsächliche Höhe hängt immer vom konkreten Einzelfall und den Umständen ab. Es gibt keine festen Tarife.

Welche Verstöße werden am häufigsten geahndet?

Die Tätigkeitsberichte der deutschen Datenschutzaufsichtsbehörden zeigen ein wiederkehrendes Muster. Bestimmte Verstöße tauchen bei kleinen Unternehmen besonders häufig auf.

1. Fehlende oder unvollständige Datenschutzerklärung

Die Datenschutzerklärung ist laut DSGVO Art. 13 eine Pflichtangabe für jede Website, die personenbezogene Daten erhebt. Häufige Mängel: veraltete Vorlagen, nicht aufgeführte Drittanbieter-Dienste, fehlende Angabe der Rechtsgrundlage oder des Verantwortlichen. Besonders problematisch wird es, wenn die Erklärung komplett fehlt oder von der Website aus nicht erreichbar ist.

2. Kein Auftragsverarbeitungsvertrag (AVV)

Wer externe Dienstleister einsetzt, die personenbezogene Daten verarbeiten — Hosting-Anbieter, Newsletter-Tools, Cloud-Speicher, Buchhaltungssoftware — benötigt laut DSGVO Art. 28 einen Auftragsverarbeitungsvertrag. Vielen Kleinunternehmern ist nicht bewusst, dass bereits das Hosting der Website einen AVV erfordert. Die meisten seriösen Anbieter stellen den AVV mittlerweile als Standard-Dokument im Kundenbereich bereit.

3. Cookie-Einwilligung fehlt oder ist fehlerhaft

Laut § 25 TDDDG dürfen nicht-technisch-notwendige Cookies nur mit vorheriger Einwilligung des Nutzers gesetzt werden. Tracking-Cookies von Google Analytics, Facebook Pixel oder Marketing-Tools ohne vorherige Zustimmung einzusetzen, könnte einen möglichen Verstoß darstellen. Typische Fehler: kein Cookie-Banner vorhanden, Cookies werden vor der Einwilligung geladen, oder der Ablehnen-Button ist versteckt.

4. Datenpanne ohne Meldung

Gemäß DSGVO Art. 33 soll eine Datenschutzverletzung innerhalb von 72 Stunden der zuständigen Aufsichtsbehörde gemeldet werden — es sei denn, die Verletzung führt voraussichtlich nicht zu einem Risiko für die betroffenen Personen. Ein versehentlich versendeter Newsletter an den falschen Verteiler, ein gehacktes E-Mail-Konto mit Kundendaten oder ein verlorener Laptop können meldepflichtige Vorfälle sein. Viele Kleinunternehmer melden solche Vorfälle nicht, weil sie die Pflicht nicht kennen.

5. Fehlendes Verarbeitungsverzeichnis

DSGVO Art. 30 verlangt ein Verzeichnis aller Verarbeitungstätigkeiten. Zwar gibt es eine Ausnahme für Unternehmen mit weniger als 250 Beschäftigten (Art. 30 Abs. 5), doch diese greift nur, wenn die Verarbeitung nicht regelmäßig erfolgt und kein Risiko für die Betroffenen besteht. Da die meisten Websites kontinuierlich personenbezogene Daten verarbeiten (Server-Logs, Kontaktformulare, Analytics), empfehlen wir, auch als Kleinunternehmer ein Verarbeitungsverzeichnis zu führen.

Bußgeld vs. Abmahnung — Was ist der Unterschied?

Wer von „DSGVO-Strafen” spricht, meint oft zwei verschiedene Dinge, die sich in Auslöser, Verfahren und Kosten deutlich unterscheiden.

Bußgeld der Aufsichtsbehörde

Ein Bußgeld wird von der zuständigen Datenschutzaufsichtsbehörde verhängt — in Deutschland ist das die Behörde des jeweiligen Bundeslandes (z. B. der Bayerische Landesbeauftragte für den Datenschutz oder der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit).

• Auslöser: Beschwerden von Betroffenen, Meldungen von Datenpannen oder eigene Prüfungen der Behörde
• Rechtsgrundlage: DSGVO Art. 83 in Verbindung mit Art. 58 Abs. 2
• Ablauf: Die Behörde kann zunächst eine Verwarnung aussprechen, Maßnahmen anordnen oder ein Bußgeld verhängen. Art. 58 DSGVO gibt der Behörde einen abgestuften Maßnahmenkatalog an die Hand
• Kosten: Vom symbolischen Betrag bis zu den in Art. 83 genannten Höchstbeträgen — abhängig von Schwere, Umsatz und weiteren Faktoren

In der Praxis gehen Aufsichtsbehörden bei erstmaligen, geringfügigen Verstößen kleiner Unternehmen oft den Weg der Ermahnung oder Anweisung. Ein Bußgeld ist eher bei schweren, wiederholten oder vorsätzlichen Verstößen zu erwarten.

Abmahnung durch Wettbewerber oder Verbände

Eine Abmahnung ist ein privatrechtliches Instrument. Wettbewerber, Verbraucherschutzverbände oder — in bestimmten Fällen — betroffene Einzelpersonen können Sie wegen Datenschutzverstößen auf Ihrer Website abmahnen.

• Auslöser: Wettbewerber entdecken Fehler auf Ihrer Website, Verbraucherschutzverbände prüfen Branchen systematisch
• Rechtsgrundlage: UWG §3a (Verstoß gegen Marktverhaltensregeln), möglicherweise DSGVO Art. 82 (Schadensersatz)
• Ablauf: Anwaltsschreiben mit Unterlassungsforderung und Fristsetzung
• Kosten: Typischerweise 500–5.000 EUR (Anwaltskosten des Abmahnenden plus eigene Rechtsberatung). Bei Vertragsstrafe nach Wiederholung möglicherweise deutlich mehr

Mehr zum Thema Abmahnungen finden Sie in unserem Ratgeber Abmahnung vermeiden.

Zusammenfassung der Unterschiede

Wie berechnen Aufsichtsbehörden das Bußgeld?

Die Berechnung eines DSGVO-Bußgeldes ist kein Automatismus, sondern eine Einzelfallentscheidung. Art. 83 Abs. 2 DSGVO listet die Kriterien auf, die die Behörde berücksichtigen soll.

Die Kriterien nach Art. 83 Abs. 2 DSGVO

• Art, Schwere und Dauer des möglichen Verstoßes — Ein einmaliger Fehler wiegt weniger schwer als eine systematische, über Jahre andauernde unzulässige Datenverarbeitung
• Vorsätzlichkeit oder Fahrlässigkeit — Wer bewusst gegen die DSGVO handelt, kann mit einem höheren Bußgeld rechnen. Fahrlässigkeit wird milder bewertet, schützt aber nicht vollständig
• Maßnahmen zur Schadensbegrenzung — Schnelle Reaktion nach Bekanntwerden des möglichen Verstoßes wird positiv bewertet
• Grad der Verantwortlichkeit — Welche technischen und organisatorischen Schutzmaßnahmen waren bereits vorhanden?
• Frühere Verstöße — Erstverstoß oder Wiederholungstäter? Bei einem ersten Vorfall fällt das Bußgeld in der Regel niedriger aus
• Kooperationsbereitschaft — Offene Zusammenarbeit mit der Aufsichtsbehörde kann zu einem milderen Bußgeld führen
• Kategorien der betroffenen Daten — Verstöße bei besonderen Kategorien (Art. 9 DSGVO, z. B. Gesundheitsdaten) werden schwerer gewichtet
• Art der Kenntniserlangung — Proaktive Meldung durch das Unternehmen (Art. 33) wirkt sich positiv aus

Das DSK-Bußgeldkonzept in der Praxis

Die deutschen Aufsichtsbehörden orientieren sich am Bußgeldkonzept der Datenschutzkonferenz (DSK). Dieses Konzept gliedert den Berechnungsprozess in fünf Schritte:

1. Zuordnung des Unternehmens zu einer Größenklasse (basierend auf dem Vorjahresumsatz)
2. Bestimmung des mittleren Tagessatzes der Größenklasse
3. Multiplikation mit einem Faktor für die Schwere des möglichen Verstoßes (leicht, mittel, schwer, sehr schwer)
4. Anpassung nach den Kriterien des Art. 83 Abs. 2 (Kooperation, Vorsatz, Dauer etc.)
5. Berücksichtigung der gesetzlichen Obergrenze nach Art. 83 Abs. 4 oder Abs. 5

Für ein Kleinunternehmen mit geringem Umsatz ergibt sich aus diesem Modell in der Regel ein Bußgeld, das zwar spürbar, aber nicht existenzbedrohend ist.

Praxis-Beispiele für KMU-Bußgelder

Die folgenden Beispiele basieren auf veröffentlichten Tätigkeitsberichten und Pressemitteilungen deutscher Datenschutzaufsichtsbehörden.

Beispiel 1: Fehlende Einwilligung für E-Mail-Werbung

Ein kleines Unternehmen versendete wiederholt Werbe-E-Mails ohne Einwilligung der Empfänger. Trotz Aufforderung durch die Aufsichtsbehörde wurde das Verhalten nicht abgestellt. Das Bußgeld lag im niedrigen vierstelligen Bereich. Die Behörde wäre bei sofortiger Kooperation möglicherweise bei einer Verwarnung geblieben.

Beispiel 2: Videoüberwachung ohne Hinweis

Ein Einzelhändler betrieb Videoüberwachung ohne Hinweisschild und ohne Verarbeitungsverzeichnis. Nach Beschwerde eines Kunden verhängte die Behörde ein Bußgeld von mehreren tausend Euro. Ein Hinweisschild und eine Dokumentation hätten das möglicherweise vermeiden können.

Beispiel 3: Datenpanne nicht gemeldet

Einem Dienstleistungsunternehmen wurden Kundendaten durch einen IT-Sicherheitsvorfall entwendet. Die Meldung an die Aufsichtsbehörde nach Art. 33 DSGVO erfolgte gar nicht. Das Bußgeld lag im mittleren vierstelligen Bereich. Wer einen Vorfall proaktiv meldet und Gegenmaßnahmen ergreift, wird erfahrungsgemäß deutlich milder behandelt.

Beispiel 4: Verstoß gegen Betroffenenrechte

Ein Kunde verlangte Auskunft nach Art. 15 DSGVO. Das Unternehmen reagierte nicht — weder innerhalb der Monatsfrist noch auf eine Erinnerung. Der Kunde beschwerte sich bei der Aufsichtsbehörde. Bußgeld: niedriger vierstelliger Bereich. Auch eine Antwort „Wir speichern keine Daten zu Ihnen” ist eine gültige Reaktion — Schweigen ist es nicht.

Was die Beispiele zeigen

In den meisten Fällen ging dem Bußgeld eine Beschwerde eines Betroffenen voraus, gefolgt von mangelnder Kooperation des Unternehmens. Wer auf Hinweise der Behörde reagiert und den möglichen Verstoß abstellt, kann das Risiko eines Bußgeldes nach aktuellem Kenntnisstand erheblich reduzieren.

So schützen Sie sich als Kleinunternehmer

DSGVO-Compliance muss kein Mammutprojekt sein. Für die meisten Kleinunternehmer reichen einige konkrete Maßnahmen, um das Risiko auf ein Minimum zu reduzieren.

1. Datenschutzerklärung aktuell halten

Erstellen Sie eine vollständige Datenschutzerklärung nach DSGVO Art. 13, die alle auf Ihrer Website eingesetzten Dienste und Tools benennt. Prüfen Sie diese mindestens vierteljährlich auf Aktualität — besonders nach dem Einbau neuer Plugins, Tools oder Tracking-Dienste. Ob Sie einen Datenschutzerklärung-Generator oder einen Anwalt einsetzen, hängt von der Komplexität Ihrer Website ab.

2. Auftragsverarbeitungsverträge abschließen

Schließen Sie mit allen Dienstleistern, die personenbezogene Daten in Ihrem Auftrag verarbeiten, einen AVV nach Art. 28 DSGVO ab. Die meisten Hosting-Anbieter, Newsletter-Dienste und Cloud-Anbieter stellen diese Verträge im Kundenbereich zum Download bereit. Sammeln Sie die abgeschlossenen AVVs an einem Ort — Sie sollten im Falle einer Prüfung darauf zugreifen können.

3. Cookie-Consent korrekt einrichten

Stellen Sie sicher, dass nicht-technisch-notwendige Cookies erst nach aktiver Einwilligung des Nutzers gesetzt werden (§ 25 TDDDG). Ein korrekt konfiguriertes Cookie-Banner mit gleichwertigem Ablehnen-Button ist dabei der Mindeststandard. Testen Sie regelmäßig mit den Browser-Entwicklertools, ob vor der Einwilligung tatsächlich keine Tracking-Cookies gesetzt werden.

4. Verarbeitungsverzeichnis führen

Dokumentieren Sie in einem einfachen Verarbeitungsverzeichnis (Art. 30 DSGVO), welche personenbezogenen Daten Sie zu welchem Zweck, auf welcher Rechtsgrundlage und wie lange verarbeiten. Das muss keine 50-seitige Dokumentation sein — für viele Kleinunternehmer reicht eine strukturierte Tabelle mit 5–10 Einträgen.

5. Prozess für Betroffenenanfragen einrichten

Legen Sie fest, wie Sie auf Auskunftsersuchen (Art. 15), Löschanfragen (Art. 17) oder Widersprüche (Art. 21) reagieren. Es genügt ein einfacher Prozess: Wer nimmt die Anfrage entgegen, wo wird nachgeschaut, wer antwortet? Wichtig ist, die Monatsfrist einzuhalten.

6. Website regelmäßig prüfen

Neue Plugins, eingebundene Videos, geänderte Drittanbieter-Dienste — all das kann den Datenschutz-Status Ihrer Website verändern. Ein regelmäßiger Website-Check hilft, Veränderungen frühzeitig zu erkennen und zu reagieren, bevor ein möglicher Verstoß entsteht.

Stufenplan: So gehen Sie vor

Nicht alles muss auf einmal erledigt werden. Ein pragmatischer Stufenplan:

Fazit

DSGVO-Bußgelder für Kleinunternehmer sind keine abstrakte Theorie — sie kommen vor. Gleichzeitig zeigen die veröffentlichten Fälle, dass die Behörden grundsätzlich verhältnismäßig vorgehen und den Umsatz des Unternehmens bei der Bemessung berücksichtigen (Art. 83 Abs. 1 DSGVO).

Die größten Risikofaktoren für ein Bußgeld sind nach aktuellem Kenntnisstand nicht einzelne technische Fehler, sondern mangelnde Kooperationsbereitschaft und wiederholte Verstöße trotz Hinweis. Wer die Grundlagen umsetzt — Datenschutzerklärung, Cookie-Consent, AV-Verträge, Verarbeitungsverzeichnis — und auf Anfragen der Behörde oder von Betroffenen zeitnah reagiert, reduziert sein Risiko erheblich.

Neben dem Bußgeld durch die Aufsichtsbehörde besteht auch das Risiko einer Abmahnung durch Wettbewerber oder Verbände. Hier sind die Beträge in der Regel niedriger, die Frequenz kann aber höher sein — insbesondere bei offensichtlichen Mängeln wie einer fehlenden Datenschutzerklärung oder extern eingebundenen Google Fonts.

Der effektivste Schutz bleibt pragmatisch: Die wichtigsten Pflichten umsetzen, regelmäßig prüfen und bei Unsicherheiten fachliche Beratung einholen.

Häufige Fragen

Kann ich als Einzelunternehmer wirklich ein DSGVO-Bußgeld bekommen?

Grundsätzlich ja — die DSGVO unterscheidet nicht nach Unternehmensgröße. In der Praxis gehen Aufsichtsbehörden bei kleinen Unternehmen jedoch gemäß Art. 58 Abs. 2 DSGVO oft zunächst den Weg der Verwarnung oder Anweisung, bevor ein Bußgeld verhängt wird. Ein Bußgeld wird eher bei schwerwiegenden, wiederholten oder vorsätzlichen Verstößen fällig — oder wenn das Unternehmen auf Hinweise der Behörde nicht reagiert.

Brauche ich als Kleinunternehmer einen Datenschutzbeauftragten?

Gemäß BDSG §38 ist ein Datenschutzbeauftragter erst dann zu bestellen, wenn in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Für die meisten Kleinunternehmer entfällt diese Pflicht. Unabhängig davon gelten aber alle anderen DSGVO-Pflichten — insbesondere die Informationspflichten, die Pflicht zum Verarbeitungsverzeichnis und die Meldepflicht bei Datenschutzverletzungen.

Wie erfahre ich, ob meine Website DSGVO-konform ist?

Ein guter Ausgangspunkt ist ein systematischer Website-Check, der die wichtigsten technischen und rechtlichen Punkte prüft — von der Datenschutzerklärung über das Cookie-Banner bis zu externen Diensten. Für eine vollständige rechtliche Bewertung empfehlen wir zusätzlich die Beratung durch einen auf Datenschutzrecht spezialisierten Rechtsanwalt.

Was soll ich tun, wenn ich Post von der Datenschutzbehörde bekomme?

Nehmen Sie das Schreiben ernst und reagieren Sie fristgerecht. In vielen Fällen handelt es sich zunächst um eine Anfrage oder Ermahnung, nicht um einen Bußgeldbescheid. Kooperieren Sie offen mit der Behörde, stellen Sie die beanstandeten Punkte ab und dokumentieren Sie die ergriffenen Maßnahmen. Bei Unsicherheit empfehlen wir, einen Rechtsanwalt hinzuzuziehen — insbesondere wenn bereits ein förmliches Bußgeldverfahren eingeleitet wurde.