Auch Jahre nach Inkrafttreten der DSGVO machen viele Unternehmen gravierende Fehler beim Datenschutz. Wir zeigen die 15 häufigsten Verstöße und wie Sie diese rechtssicher beheben.
Datenschutz ist kein Projekt, sondern ein Dauerzustand
Die Datenschutz-Grundverordnung (DSGVO) gilt seit Mai 2018 unmittelbar in allen EU-Mitgliedstaaten. Dennoch zeigen die Prüfberichte der Aufsichtsbehörden ein ernüchterndes Bild: Viele Unternehmen, insbesondere im Mittelstand, weisen erhebliche Defizite bei der Umsetzung auf. Die Bußgelder steigen kontinuierlich. Allein in Deutschland verhängten die Datenschutzbehörden im Jahr 2024 Bußgelder in zweistelliger Millionenhöhe.
Die gute Nachricht: Die meisten Fehler sind vermeidbar, wenn Sie die typischen Stolperfallen kennen und systematisch angehen. Im Folgenden stellen wir Ihnen die 15 häufigsten DSGVO-Fehler vor und zeigen konkrete Lösungswege auf.
Die 15 häufigsten DSGVO-Fehler
Fehler 1: Fehlende oder unvollständige Datenschutzerklärung
Jede Website, jede App und jedes Online-Formular benötigt eine vollständige Datenschutzerklärung nach Art. 13 und 14 DSGVO. Häufige Mängel sind fehlende Angaben zum Verantwortlichen, unvollständige Aufzählung der Verarbeitungszwecke oder veraltete Rechtsgrundlagen.
Lösung: Überprüfen Sie Ihre Datenschutzerklärung mindestens halbjährlich. Jede neue Datenverarbeitung, etwa ein neues Analysetool oder ein Newsletter-Dienst, muss zeitnah aufgenommen werden.
Fehler 2: Kein rechtskonformes Consent-Management
Cookie-Banner, die nur einen "Alles akzeptieren"-Button anzeigen oder vorangekreuzte Checkboxen verwenden, verstoßen gegen die DSGVO und das TDDDG (ehemals TTDSG). Die Aufsichtsbehörden und Gerichte gehen zunehmend gegen sogenannte "Dark Patterns" vor.
Lösung: Implementieren Sie eine Consent-Management-Plattform (CMP) wie Usercentrics, Cookiebot oder Borlabs Cookie, die gleichwertige Optionen zum Annehmen und Ablehnen bietet. Stellen Sie sicher, dass vor der Einwilligung tatsächlich keine Tracking-Cookies gesetzt werden.
Fehler 3: Fehlende oder mangelhafte Auftragsverarbeitungsverträge (AVV)
Jeder Dienstleister, der in Ihrem Auftrag personenbezogene Daten verarbeitet, benötigt einen Auftragsverarbeitungsvertrag nach Art. 28 DSGVO. Das betrifft Cloud-Anbieter, IT-Dienstleister, Lohnbüros, Newsletter-Dienste und viele mehr.
Lösung: Erstellen Sie eine vollständige Liste aller Auftragsverarbeiter. Prüfen Sie, ob für jeden ein wirksamer AVV vorliegt. Viele Anbieter stellen standardisierte AVV zur Verfügung, die Sie jedoch auf Ihre spezifischen Anforderungen prüfen sollten.
Fehler 4: Fehlendes Verzeichnis von Verarbeitungstätigkeiten
Das Verzeichnis von Verarbeitungstätigkeiten (VVT) nach Art. 30 DSGVO ist für nahezu alle Unternehmen verpflichtend. Es dokumentiert sämtliche Datenverarbeitungsprozesse und ist die Grundlage für jeden datenschutzrechtlichen Nachweis.
Lösung: Erstellen Sie ein strukturiertes VVT, das mindestens folgende Angaben enthält: Bezeichnung der Verarbeitungstätigkeit, Zweck, Kategorien betroffener Personen und Daten, Empfänger, Übermittlungen in Drittländer, Löschfristen und technisch-organisatorische Maßnahmen. Aktualisieren Sie es bei jeder Änderung.
Fehler 5: Unzureichender Umgang mit Beschäftigtendaten
Die Verarbeitung von Beschäftigtendaten unterliegt strengen Vorgaben nach § 26 BDSG. Häufige Fehler sind die private Nutzung von Messenger-Diensten für dienstliche Kommunikation, unzulässige Überwachung von E-Mails oder fehlende Einwilligungen für Mitarbeiterfotos auf der Website.
Lösung: Erstellen Sie eine interne Richtlinie zur Datenverarbeitung im Beschäftigungsverhältnis. Regeln Sie die Nutzung von IT-Systemen klar und holen Sie für nicht erforderliche Verarbeitungen wirksame Einwilligungen ein.
Fehler 6: Keine Datenschutz-Folgenabschätzung (DSFA)
Bei Verarbeitungen mit hohem Risiko für die Rechte und Freiheiten natürlicher Personen ist eine DSFA nach Art. 35 DSGVO zwingend erforderlich. Die Aufsichtsbehörden haben sogenannte Positivlisten veröffentlicht, die konkrete Verarbeitungen benennen, für die eine DSFA durchzuführen ist.
Lösung: Prüfen Sie anhand der Positivliste Ihrer zuständigen Aufsichtsbehörde, ob für Ihre Verarbeitungstätigkeiten eine DSFA erforderlich ist. Insbesondere bei Videoüberwachung, Scoring-Verfahren oder umfangreichem Profiling ist dies regelmäßig der Fall.
Fehler 7: Rechtswidrige Datenübermittlung in Drittländer
Die Übermittlung personenbezogener Daten in Länder außerhalb des EWR erfordert besondere Schutzmaßnahmen. Nach dem "Schrems II"-Urteil und dem EU-US Data Privacy Framework bestehen weiterhin erhebliche Unsicherheiten, insbesondere bei der Nutzung US-amerikanischer Cloud-Dienste.
Lösung: Dokumentieren Sie für jeden Drittlandstransfer die Rechtsgrundlage. Nutzen Sie die EU-Standardvertragsklauseln in der aktuellen Fassung und führen Sie für jede Übermittlung ein Transfer Impact Assessment (TIA) durch.
Fehler 8: Unzureichende technisch-organisatorische Maßnahmen (TOMs)
Art. 32 DSGVO verpflichtet Sie zur Implementierung angemessener TOMs. Viele Unternehmen verfügen über keine dokumentierte IT-Sicherheitsrichtlinie, verwenden unsichere Passwörter oder verschlüsseln sensible Daten nicht.
Lösung: Dokumentieren Sie Ihre TOMs umfassend und aktualisieren Sie die Dokumentation regelmäßig. Zu den Mindestanforderungen gehören: Zugangs- und Zugriffskontrolle, Verschlüsselung, Pseudonymisierung wo möglich, regelmäßige Backups und ein Berechtigungskonzept.
Fehler 9: Kein Verfahren für Datenschutzverletzungen
Nach Art. 33 DSGVO müssen Datenschutzverletzungen innerhalb von 72 Stunden an die Aufsichtsbehörde gemeldet werden. Viele Unternehmen haben weder ein Erkennungssystem noch ein definiertes Meldeverfahren.
Lösung: Etablieren Sie einen Data-Breach-Response-Plan. Definieren Sie, wer intern zu informieren ist, wer die Meldung an die Aufsichtsbehörde vornimmt und wie Betroffene gemäß Art. 34 DSGVO benachrichtigt werden. Üben Sie den Prozess mindestens einmal jährlich.
Fehler 10: Missachtung von Lösch- und Aufbewahrungsfristen
Die DSGVO verlangt die Löschung personenbezogener Daten, sobald der Verarbeitungszweck entfallen ist (Art. 17 DSGVO). Gleichzeitig bestehen gesetzliche Aufbewahrungspflichten, etwa nach HGB und AO. Dieser Widerspruch ist ein häufiges Einfallstor für Fehler.
Lösung: Erstellen Sie ein Löschkonzept, das alle relevanten Aufbewahrungsfristen berücksichtigt. Implementieren Sie automatisierte Löschroutinen in Ihren IT-Systemen und dokumentieren Sie die Löschvorgänge.
Fehler 11: Fehlende Reaktion auf Betroffenenrechte
Anfragen nach Art. 15-22 DSGVO (Auskunft, Berichtigung, Löschung, Datenübertragbarkeit) müssen innerhalb eines Monats beantwortet werden. Viele Unternehmen haben keinen definierten Prozess und versäumen die Fristen.
Lösung: Etablieren Sie einen standardisierten Prozess für die Bearbeitung von Betroffenenanfragen. Erstellen Sie Antwortvorlagen und schulen Sie Ihre Mitarbeiterinnen und Mitarbeiter in der Erkennung und Weiterleitung solcher Anfragen.
Fehler 12: Fehlender oder nicht qualifizierter Datenschutzbeauftragter
Unternehmen mit mindestens 20 Personen, die ständig mit automatisierter Datenverarbeitung beschäftigt sind, müssen nach § 38 BDSG einen Datenschutzbeauftragten (DSB) benennen. Der DSB muss über die erforderliche Fachkunde verfügen.
Lösung: Prüfen Sie, ob für Ihr Unternehmen eine Benennungspflicht besteht. Wägen Sie ab, ob ein interner oder externer DSB für Sie sinnvoller ist. Stellen Sie sicher, dass der DSB die erforderliche Unabhängigkeit und Ressourcen erhält.
Fehler 13: Datenschutz bei Marketingmaßnahmen vernachlässigt
E-Mail-Marketing ohne wirksame Einwilligung (Double-Opt-in), unzulässiges Tracking oder der Kauf von Adresslisten sind nach wie vor verbreitete Verstöße.
Lösung: Implementieren Sie ein rechtssicheres Double-Opt-in-Verfahren für Newsletter. Dokumentieren Sie alle Einwilligungen revisionssicher und bieten Sie einen einfachen Abmeldemechanismus an.
Fehler 14: Keine Datenschutz-Schulung der Mitarbeiter
Die besten technischen Maßnahmen nützen wenig, wenn Ihre Mitarbeiterinnen und Mitarbeiter nicht sensibilisiert sind. Fehlgeleitete E-Mails, unsichere Passwörter und Social-Engineering-Angriffe sind häufige Ursachen für Datenschutzverletzungen.
Lösung: Führen Sie mindestens einmal jährlich verpflichtende Datenschutzschulungen durch. Ergänzen Sie diese durch regelmäßige Kurzinformationen zu aktuellen Bedrohungen und neuen Anforderungen.
Fehler 15: Datenschutz nicht in Projekten berücksichtigt (Privacy by Design)
Art. 25 DSGVO verlangt Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen. Neue IT-Systeme, Apps oder Prozesse müssen von Beginn an datenschutzkonform gestaltet werden.
Lösung: Integrieren Sie eine Datenschutzprüfung in Ihren Projektplanungsprozess. Beziehen Sie Ihren DSB frühzeitig in neue Vorhaben ein und dokumentieren Sie die datenschutzrechtlichen Entscheidungen.
Bußgeldrisiken realistisch einschätzen
Die DSGVO ermöglicht Bußgelder von bis zu 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes. In der Praxis staffeln die Aufsichtsbehörden die Bußgelder nach Schwere des Verstoßes:
- Niedrige Bußgelder (1.000-50.000 Euro): Formale Verstöße wie fehlendes VVT oder unvollständige Datenschutzerklärungen.
- Mittlere Bußgelder (50.000-500.000 Euro): Fehlende AVV, unzureichende TOMs oder verspätete Meldungen.
- Hohe Bußgelder (ab 500.000 Euro): Systematische Verstöße, rechtswidrige Datenübermittlungen oder Missachtung von Anordnungen der Aufsichtsbehörde.
Fazit: Datenschutz als Wettbewerbsvorteil
DSGVO-Compliance ist keine einmalige Pflichtübung, sondern ein fortlaufender Prozess, der in die Unternehmenskultur integriert werden muss. Unternehmen, die Datenschutz ernst nehmen, profitieren von gesteigertem Kundenvertrauen, reduzierten Haftungsrisiken und einem echten Wettbewerbsvorteil.
Das Team von compleneo unterstützt Sie bei der systematischen Überprüfung und Optimierung Ihrer Datenschutzmaßnahmen. Ob GAP-Analyse, Implementierung eines Datenschutzmanagementsystems oder Schulung Ihrer Mitarbeiterinnen und Mitarbeiter, wir begleiten Sie praxisnah und lösungsorientiert.
