DSGVO-Bußgelder im Onlinehandel: Welche Verstöße wirklich teuer werden – und warum die meisten vermeidbar sind
Inhaltsverzeichnis
Stellen Sie sich vor, Sie wachen morgens auf, öffnen Ihre Post – und halten einen Bescheid über ein Bußgeld in sechsstelliger Höhe in den Händen. Für einen simplen Fehler in Ihrem Cookie-Banner oder eine unvollständige Datenschutzerklärung.
Klingt nach einem Albtraum?
Genau das ist für Hunderte Unternehmen bereits Realität geworden, und die Zahlen eskalieren. Laut dem aktuellen Enforcement Tracker Report von CMS Law wurden bis März 2026 europaweit rund 2.685 Datenschutzverstöße mit Bußgeldern von insgesamt etwa 5,65 Milliarden Euro sanktioniert – zum ersten Mal ist die Fünf-Milliarden-Marke durchbrochen. Allein im Jahr 2024 kamen noch einmal 1,22 Milliarden Euro hinzu.
Die Botschaft ist klar: Die Aufsichtsbehörden drücken nicht nur bei Tech-Giganten wie Meta und Google auf die Tränendrüse – auch der Mittelstand gerät ins Visier. Die gute Nachricht: Fast alle teuren Verstöße wären vermeidbar gewesen.
Dieser Artikel zeigt Ihnen die wiederkehrenden Fallstricke und gibt Ihnen eine praxisnahe Checkliste an die Hand, mit der Sie Ihr E‑Commerce-Business absichern können.
Die Dimension der DSGVO-Bußgelder: Zahlen und Fakten
Die DSGVO setzt einen brutalen Rahmen: Art. 83 Abs. 5 erlaubt bei schweren Verstößen bis zu 20 Millionen Euro oder 4% des weltweiten Konzernumsatzes – je nachdem, welcher Betrag höher ist. Leichtere Fälle können mit bis zu 10 Millionen Euro oder 2% geahndet werden, wie die Kanzlei ODC Legal erläutert.
Die Praxis zeigt, dass der Durchschnitt bei rund 2,36 Millionen Euro liegt (CMS Law).
Irland führt mit 3,5 Milliarden Euro die Liste an, weil viele Tech-Konzerne dort sitzen, während Spanien mit über Einzelfällen die meisten Verfahren verzeichnet (ODC Legal). Deutschland hat seit 2018 insgesamt 89,1 Millionen Euro verhängt.
Dennoch gibt es Entwarnung auf der Breite: 2024 sanken die gemeldeten Verstöße in Deutschland um 13% auf 27.829 Fälle, nur die Niederlande lagen noch höher, wie eine Studie von heydata zeigt.
Die teuersten Verstöße im E‑Commerce – und wie sie wirklich passieren
Wer glaubt, nur Datenkraken seien betroffen, irrt.
1. Fehlende Rechtsgrundlage und unzureichende Einwilligung
Das Paradebeispiel bleibt die Rekordstrafe gegen Meta: 1,2 Milliarden Euro hagelte es 2023, weil Nutzerdaten ohne gültige Rechtsgrundlage in die USA übermittelt wurden, wie Termly auflistet.
Auch der deutsche Onlinehandel steht im Fokus: Das Landgericht Berlin entschied im Juni 2025, dass ImmoScout24 über ein Selbstauskunft-Formular sensible Angaben wie Einkommen und Lebensumstände ohne wirksame Einwilligung erhob – Wohnungssuchende fühlten sich faktisch zur Preisgabe gezwungen. Urteil noch nicht rechtskräftig, Berufung anhängig.
Mehr zum Fall lesen Sie in unserem Beitrag Urteil gegen Immobilienscout24: Irreführende Werbung und Datenschutzverstöße.
2. Fehlerhaftes Cookie‑ und Consent‑Management
Es klingt banal, aber falsche Cookie-Banner sind eine der teuersten Fehlerquellen. 2021 verhängte die CNIL eine Strafe von insgesamt 150 million euros gegen Google, weil es Internetnutzern erschwerte, Online-Tracker, sogenannte Cookies, abzulehnen.
Die finnische Online-Apotheke Yliopiston Aptekki erhielt 2025 ein Bußgeld von 1,1 Millionen Euro, weil das Nutzerverhalten im Shop ohne Einwilligung an Google und Meta gesendet wurde – ein alltägliches Tracking-Szenario (Datenschutzkanzlei).
Technisch notwendige Cookies – etwa für Warenkorb oder Login – sind erlaubt, für alles andere brauchen Sie ein aktives Opt-in über einen DSGVO-konformen Banner, wie die Erläuterungen von fraghugo zu § 25 TDDDG verdeutlichen.
3. Mangelhafte Datenschutzerklärungen und Transparenzpflichten
Dass selbst kleine Akteure hart getroffen werden, zeigt der Fall eines hessischen Freelancers: Seine Website hatte zwar ein Kontaktformular, aber keinerlei Datenschutzerklärung.
Dafür verhängte die Behörde 10.000 Euro Bußgeld plus 6.000 Euro Zwangsgeld, insgesamt 16.000 Euro – und das nach ignorierter Anordnung, wie e-rechtsanwaelte.de berichtet.
Die Lektion: Datenschutzerklärungen müssen vollständig, transparent und für jede Datenverarbeitung nachvollziehbar sein – sonst droht ein hoher Preis.
4. Verstöße gegen Grundprinzipien: Datenminimierung, Speicherbegrenzung
Hier geht es um handwerkliche Fehler, die teurer sind als man denkt. Ein Hamburger Unternehmen musste 2024 ein Bußgeld von 900.000 Euro zahlen, weil es eine hohe Anzahl von Datensätzen teilweise über die Löschfrist hinaus aufbewahrt hatte (Datenschutzkanzlei).
Die häufigsten Beanstandungen insgesamt betreffen laut ODC Legal fehlende Rechtsgrundlagen, Missachtung von Datenminimierung, Zweckbindung, Speicherbegrenzung und unzureichende technisch-organisatorische Maßnahmen (TOM).
Ein klares Signal: Wer seine Datenlöschkonzepte schleifen lässt, riskiert empfindliche Sanktionen.
Wo die meisten Shop-Betreiber scheitern: Die Top‑3‑Schwachstellen laut Behörden-Stichproben
Stichproben der Datenschutzbehörden identifizieren bei Online-Shops immer wieder drei Hauptprobleme: Cookie-Banner, Datenschutzerklärung und Auftragsverarbeitungsverträge (AVV).
Cookie-Banner sind oft nicht granular genug, ein gleich einfaches Ablehnen fehlt, oder Skripte laden vor dem Consent.
Datenschutzerklärungen fehlen komplett oder listen nicht alle eingesetzten Drittanbieter und Tracking-Tools auf.
Bei den AVV wird es besonders haarig: Jeder externe Dienstleister, der Kundendaten verarbeitet – Hosting, Payment, Newsletter-Tool, Analytics, Versanddienstleister, Bewertungsportale – braucht einen Vertrag nach Art. 28 DSGVO.
Praxischeckliste: So schließen Sie die häufigsten DSGVO‑Lücken
Wer als Shop-Betreiber folgende Punkte systematisch abarbeitet, reduziert sein Bußgeldrisiko massiv. Viele lassen sich mit modernen Tools automatisieren.
- Rechtmäßigkeit der Datenverarbeitung prüfen – für jede Datenkategorie eine passende Rechtsgrundlage (Einwilligung, Vertragserfüllung etc.) dokumentieren.
- Cookie-Banner DSGVO‑konform gestalten – Opt-in für nicht essentielle Cookies; Ablehnen so einfach wie Akzeptieren; Google Consent Mode v2 integrieren.
- Vollständige, transparente Datenschutzerklärung – alle Tools und Drittanbieter auflisten; regelmäßig aktualisieren.
- AVV mit allen Dienstleistern abschließen – Hosting, Payment, Newsletter, Analyse, Werbe-Pixel, Versand etc.
- Speicherfristen definieren und Löschkonzept umsetzen – insbesondere bei Bestandsdaten, Bewerberdaten und Trackingdaten.
- Technisch‑organisatorische Maßnahmen (TOM) dokumentieren und umsetzen – Zugriffskontrollen, Verschlüsselung, Pseudonymisierung.
- Datenschutz‑Folgenabschätzung (DSFA) für risikoreiche Verarbeitungen durchführen – etwa bei umfangreichem Profiling oder Nutzung sensibler Daten.
Eine All‑in‑One‑Lösung wie iubenda, die nach eigenen Angaben über 150.000 Kunden weltweit mit Cookie‑Banner, Datenschutzerklärungs‑Generator, AVV‑Vorlagen und ROPA unterstützt, erleichtert die Umsetzung vieler Punkte.
iubenda ist Google‑zertifizierter CMP‑Partner, IAB TCF 2.2‑validiert und wird in der Community als zuverlässige Lösung für datenschutz compliance beschrieben.
Fazit: Komplexe Regeln, aber vermeidbare Fehler
Die teuren Datenschutzstrafen der letzten Jahre hätten fast immer verhindert werden können – mit korrekten Rechtsgrundlagen, sauberem Consent-Management und lückenloser Dokumentation.
Der größte Hebel liegt in der praktischen Umsetzung: Wer seinen Cookie-Banner überprüft, die AVV-Landschaft bereinigt und die Datenschutzerklärung aktualisiert, eliminiert die drei häufigsten behördlichen Beanstandungen.
Die Checkliste gibt Ihnen eine Schritt-für-Schritt-Richtung, um Ihr E‑Commerce‑Business sicherer zu machen.
Starten Sie jetzt, bevor die Aufsicht anklopft – Ihr Budget und das Vertrauen Ihrer Kunden werden es Ihnen danken.
| onlinemarktplatz.de Newsletter |
|---|
Sparen Sie sich die Suche nach den relevanten Themen. Wir senden Ihnen einmal wöchentlich die meistgelesenen News und wichtigsten Updates direkt in Ihr Postfach. |
