Oder: Warum 90% der Panik umsonst war (und welche 10% euch wirklich den Arsch retten)
Erinnert ihr euch noch an Mai 2018? Die große DSGVO-Apokalypse stand bevor. Anwälte prophezeiten Abmahnwellen, Berater verkauften teure Notfall-Pakete, und gefühlt jeder zweite Newsletter kündigte das Ende des Internets an.
Jetzt, knapp 7 Jahre später, wird’s Zeit für einen ehrlichen Realitäts-Check. Was ist wirklich passiert? Spoiler: Das Internet existiert noch, die meisten von euch auch, und die Millionen-Bußgelder? Na ja, dazu kommen wir gleich.
Die große Panik-Bilanz: Zahlen, die überraschen
Könnt ihr euch vorstellen, dass von den befürchteten Massenabmahnungen fast nichts übrig geblieben ist? Laut Bitkom-Umfragen melden zwar rund 20 % der Unternehmen innerhalb eines Jahres mindestens einen Datenschutzverstoß – aber nur ein verschwindend kleiner Teil davon endet wirklich in einem Bußgeldbescheid.
Eine Auswertung veröffentlichter deutscher DSGVO-Bußgelder kommt für 2018 auf eine durchschnittliche Bußgeldhöhe von rund 8.500 Euro – weit entfernt von den oft zitierten Millionenbeträgen.
Mal zum Vergleich:
- Befürchtete Strafen 2018: bis zu 20 Millionen Euro (Panik!!!)
- Tatsächliche Durchschnittsstrafe für KMUs: 8.500 Euro
- Häufigste Strafe: Verwarnung ohne Bußgeld
Schaut man sich alle veröffentlichten Bußgelder der letzten Jahre an, kommt man in Deutschland auf rund 1.600 bis 1.700 bekannte Fälle.
Und selbst wenn die Dunkelziffer ein bisschen höher liegt:
Wir reden von einer Zwergenzahl.
Bei über 3,5 Millionen Unternehmen ist das praktisch nichts. Du hast eine höhere Chance, vom Blitz getroffen zu werden.
📊 Tabelle – „DSGVO-Bußgelder in Deutschland 2018–2023
| Jahr | Anzahl Bußgelder | Gesamtsumme Bußgelder (in Mio €) | Gemeldete Datenpannen |
|---|---|---|---|
| 2018 | rund 40 | — | — |
| 2019 | 187 | > 25 | — |
| 2020 | 284 | 48,15 | 26.057 |
| 2021 | 373 | 2,11 | 13.890 |
| 2022 | 453 | 5,81 | 21.170 |
| 2023 | 357 | 4,94 | 24.749 |
- Veröffentlicht durch Landesbehörden bzw. zusammengefasst auf DSGVO-Portal.de. Datenschutzkanzlei+3dsgvo-portal.de+3dsgvo-portal.de+3
- Nur die als „Untergrenze“ gemeldeten Summen – manche Behörden legten keine vollständigen Angaben vor. 2020: 48,15 Mio. € dsgvo-portal.de+1
- Meldungen von Datenpannen (nicht automatisch Bußgelder).
- Zahl von ca. 40 Fällen 2018 laut Wikipedia („bis Ende 2018 in 41 Fällen…“) Wikipedia+1
- 2019: 187 Bußgelder, > 25 Mio. € laut DSGVO-Portal Rückblick 2020. dsgvo-portal.de
- 2020 Daten aus DSGVO-Portal (26.057 Meldungen, 284 Bußgelder, 48,15 Mio. €) dsgvo-portal.de+1
- 2021: 373 Bußgelder, 2,11 Mio. € als Untergrenze. dsgvo-portal.de
- 2022: 453 Bußgelder, 5,81 Mio. €. dsgvo-portal.de+1
- 2023: 357 Bußgelder, 4,94 Mio. €. dsgvo-portal.de
Hinweis: Für 2024 bzw. vollständige Daten bis Ende 2024 liegen keine verlässlichen Gesamtangaben vor.
Die Daten zeigen: Obwohl die DSGVO seit 2018 gilt, wurden zwischen 2018 und 2023 in Deutschland weniger als 1.700 Bußgelder verhängt (siehe Tabelle). Bei rund 3,5 Mio. Unternehmen bedeutet das: Nur etwa eins von ca. 2.000 Unternehmen bekam bislang überhaupt eine Geldstrafe.
Was die Behörden WIRKLICH interessiert (und was nicht)
Nach sieben Jahren DSGVO wissen wir ziemlich genau, wo die Datenschützer hinschauen und wo sie beide Augen zudrücken. Überraschung: Es ist nicht das, was uns 2018 erzählt wurde.
Das interessiert wirklich:
1. Datenlecks und Hacker-Angriffe ohne Meldung – Wer eine meldepflichtige Datenpanne hat und sie nicht innerhalb von 72 Stunden meldet, hat ein echtes Problem.
In den Tätigkeitsberichten der Behörden taucht dieser Punkt regelmäßig als einer der häufigsten Bußgeldgründe auf – vor allem bei größeren Lecks oder komplett fehlenden Meldungen.
2. Keine Antwort auf Auskunftsersuchen – Wenn jemand nach seinen Daten fragt und ihr einfach nicht antwortet, dann wird’s richtig unangenehm.
Deutsche Gerichte sprechen inzwischen regelmäßig Schadensersatz zu — von ein paar hundert bis rauf in den fünfstelligen Bereich.
Beispiel gefällig?
Ein Beispiel: 10.000 Euro für eine um 20 Monate verspätete Auskunft an einen Ex-Mitarbeiter (ArbG Oldenburg).
Und selbst kleine Online-Shops kassieren mittlerweile vierstellige Beträge, wenn sie einfach gar nicht antworten.
3. Newsletter ohne Einwilligung – Der Dauerbrenner seit 20 Jahren.
Das Ding taucht immer wieder in der Abmahnpraxis auf — zuverlässig wie eine Jahresabrechnung.
Ohne Einwilligung zu verschicken ist 2025 ungefähr so genial wie Password123.
Das interessiert (fast) niemanden:
- Cookie-Banner-Details: Ob euer Banner nun links oder rechts ist, ob der „Alle akzeptieren“-Button blau oder grün ist – scheißegal. Hauptsache, er ist da (wenn ihr ihn braucht).
- Fehlende Auftragsverarbeitungsverträge: Theoretisch Pflicht, praktisch fragt keiner danach. Außer es passiert was anderes und die schauen genauer hin.
- Veraltete Datenschutzerklärungen: Solange überhaupt eine da ist, interessiert’s kaum jemanden, ob sie von 2019 oder 2024 ist.
Die 3 echten Risiken, die euch 2025 auf die Füße fallen können
Risiko 1: Google Fonts – Die Abmahnfalle, die keiner kommen sah
2022 hat’s richtig gescheppert: Ein Urteil des LG München I stellte klar, dass das Nachladen von Google Fonts von US-Servern ohne Einwilligung ein DSGVO-Verstoß ist. Zack – ein Nutzer bekam 100 € Schadensersatz zugesprochen, und plötzlich witterten ein paar besonders kreative Abmahner das nächste Geschäftsmodell. Ergebnis: mindestens hunderttausend Schreiben gingen durchs Land. Forderung: rund 170 € „Schmerzensgeld“ – so niedrig, dass viele einfach bezahlt haben, um Ruhe zu haben.
Die Lösung ist bis heute lächerlich simpel:
- Fonts lokal hosten (Plugin, 2 Klicks, Feierabend)
- Oder gleich System-Fonts nutzen
- Proxy-Lösungen gibt’s auch, aber das ist eher Nerd-Level
Und jetzt der Knaller: Auch 2023, 2024 und sogar 2025 beschäftigen Google-Fonts-Fälle noch die Gerichte. Manche Urteile nennen die Abmahnumgehung inzwischen „rechtsmissbräuchlich“, aber bis das alles endgültig durch ist, drehen sich die Justizmühlen weiter. Langsam, aber zuverlässig.
Risiko 2: Google Analytics ohne Rechtsgrundlage
Hier wird’s spannend. Österreichs Datenschutzbehörde hat’s vorgemacht, Frankreich und Italien folgten: Google Analytics ist in der Standard-Konfiguration nicht DSGVO-konform. Deutschland? Hält sich noch bedeckt, aber die Zeichen stehen auf Sturm.
Was wirklich passiert:
- Bisher keine Massenabmahnungen
- ABER: Bei Beschwerden schauen die Behörden genau hin
Google Analytics ohne Rechtsgrundlage ist kein Kavaliersdelikt.
In der EU gab’s dafür schon mehrfach vier- bis fünfstellige Bußgelder, je nach Schwere und Konfiguration.
Deutschland hält sich zwar noch bedeckt, aber wenn Beschwerden eingehen, schauen die Behörden sehr genau hin.
Was ihr tun könnt:
- Google Analytics mit Consent Mode V2 und Auftragsverarbeitung (kompliziert)
- Zu EU-Alternativen wechseln (Matomo, Plausible, oder… na, ihr wisst schon)
- Ganz auf Analytics verzichten (ernsthaft, das geht auch)
Risiko 3: Kontaktformulare ohne SSL
Ja, im Jahr 2025 reden wir immer noch darüber. Kannst du dir vorstellen, dass es noch Websites ohne HTTPS gibt? Ich auch nicht, aber sie existieren. Und das wird teuer.
Realer Fall aus 2024: Handwerksbetrieb, 3.500 Euro Bußgeld wegen unverschlüsseltem Kontaktformular. Die Begründung: „Fahrlässige Gefährdung personenbezogener Daten.“
Die Lösung:
- Let’s Encrypt = kostenloses SSL-Zertifikat
- Installation: 5 Minuten
- Ausreden: Null
Der Elefant im Raum: Warum Cookie-Banner trotzdem überall sind
Obwohl kaum jemand wegen falscher Cookie-Banner bestraft wird, hat sie trotzdem jeder. Warum?
Die verückte Wahrheit:
😧 70 % aller Cookie-Banner sind technisch falsch
🤔 Die Consent-Rate liegt bei mickrigen 3–8 %
🙄 Und Abmahnungen? Finden dazu praktisch nicht statt
Trotzdem hat jeder so ein Ding auf der Seite.
Warum? FOMO? Angst? Oder weil irgendeine Agentur 2018 beschlossen hat, dass „man das halt so macht“?
Und jetzt kommt der eigentlich spannende Punkt:
Du brauchst nur dann ein Banner, wenn du nicht-essenzielle Dienste nutzt – also Dinge, die Daten an Dritte schicken oder Nutzer tracken.
Dazu gehören zum Beispiel:
- Tracking-Tools mit Cookies oder Fingerprinting
- Marketing-/Werbeskripte (Meta Pixel, Google Ads, etc.)
- externe Ressourcen, die personenbezogene Daten übertragen
- eingebettete Inhalte, die selbst tracken (YouTube, Maps, Social Feeds)
Wenn du all das weglässt oder datenschutzfreundlich einbindest, wirst du das Banner oft gar nicht mehr brauchen.
Kein externes Tracking = keine Einwilligung = kein Banner = kein Zirkus.
Mit modernen cookielosen Analytics-Lösungen bekommst du trotzdem alle wichtigen Insights – nur ohne Einwilligungspflicht und ohne Conversion-Verluste.
Jetzt Trackboxx 30 Tage kostenlos testen
Ohne Angabe von Zahlungsdaten! Ohne automatische Verlängerung!
Deine Trackboxx startbereit in 1 Minute.
Was sich 2025 wirklich geändert hat
KI und Datenschutz: Das neue Minenfeld
ChatGPT, Claude, Midjourney – die Frage ist nicht mehr ob, sondern wie ihr KI nutzt. Und hier wird’s tricky:
Darf ich Kundendaten in ChatGPT eingeben? Kurze Antwort: Nein. Lange Antwort: Nein, außer ihr habt die Enterprise-Version mit Auftragsverarbeitung.
Was ist mit KI-generierten Texten auf meiner Website? Kein DSGVO-Problem, solange keine personenbezogenen Daten im Prompt waren.
Die nächste Welle: Digital Services Act (DSA)
Während alle auf die DSGVO starren, ist seit Februar 2024 der DSA in Kraft. Betrifft vor allem Plattformen und Marktplätze, aber auch:
- Große Online-Shops (ab 45 Mio. Nutzer in der EU)
- Social Media Seiten
- Foren und Communities
Die gute Nachricht: Für normale Websites ändert sich nichts.
Der 5-Punkte-Reality-Check für eure Website
Schluss mit der Theorie. Hier ist, was ihr WIRKLICH checken müsst:
- SSL-Zertifikat aktiv? → Wenn nein, SOFORT ändern
- Datenschutzerklärung vorhanden? → Generator nutzen, fertig
- Impressum erreichbar? → 2 Klicks maximal
- Newsletter mit Double-Opt-In? → Wenn nein, umstellen
- Google Fonts lokal? → Wenn nein, Plugin installieren
Alles erledigt? Glückwunsch, ihr seid sicherer als 90% aller deutschen Websites.
Das Fazit, das euch beruhigen sollte
Nach sieben Jahren DSGVO wissen wir: Die Welt ist nicht untergegangen. Die befürchteten Abmahnwellen blieben aus. Die Millionen-Strafen trafen nur die ganz Großen (looking at you, Meta).
Was wirklich zählt:
- Macht die Basics richtig (SSL, Datenschutzerklärung, Impressum)
- Vermeidet die drei echten Risiken (Fonts, Analytics, SSL)
- Lasst euch nicht von jedem neuen „DSGVO-Experten“ verrückt machen
Und wenn ihr das nächste Mal einen Artikel lest, der das Ende der Welt prophezeit, denkt dran: 2018 sollten wir auch alle untergehen. Hat nicht geklappt.
Im nächsten Teil der Serie: Warum Cookie-Banner die dümmste Erfindung seit dem Pop-up-Blocker sind – und wie ihr sie legal loswerdet. Spoiler: Es hat mit cookielosem Tracking zu tun, und ja, das funktioniert wirklich.
