Aktualisiert: März 2026 · Lesezeit: 7 Min.
Sie haben auf einer Website kein Cookie-Banner gesehen, obwohl Google Analytics offensichtlich läuft? Oder Ihre Daten tauchen plötzlich in einem Newsletter auf, den Sie nie abonniert haben? Das sind keine Kavaliersdelikte. Die DSGVO gibt Ihnen als Betroffener klare Rechte — und die Möglichkeit, Verstöße zu melden.
Aber halt. Nicht jede Ungereimtheit ist gleich ein meldepflichtiger Verstoß. Meiner Erfahrung nach lohnt es sich, erstmal kurz innezuhalten und die Situation einzuordnen, bevor man zur Aufsichtsbehörde rennt. Manchmal lässt sich das Problem direkt mit dem Verantwortlichen klären — schneller und mit weniger Aufwand für alle Beteiligten.
Art. 15 DSGVO gibt Ihnen das Recht auf Auskunft. Schreiben Sie dem Websitebetreiber oder Unternehmen eine formlose E-Mail. Fragen Sie konkret: Welche Daten haben Sie über mich gespeichert? Auf welcher Rechtsgrundlage? An wen wurden sie weitergegeben?
Die Antwort muss innerhalb eines Monats kommen (Art. 12 Abs. 3 DSGVO). Kommt keine Antwort oder ist die Antwort unbefriedigend? Dann wird es Zeit für den nächsten Schritt.
Ein Beispiel: Ein Fitnessstudio-Betreiber in Nürnberg hatte die Kontaktdaten ehemaliger Mitglieder an einen Supplementhersteller weitergegeben. Ohne Einwilligung, ohne Rechtsgrundlage. Die betroffene Person fragte erst beim Studio nach — keine Reaktion. Dann ging die Beschwerde an das BayLDA. Das Ergebnis: 12.500 Euro Bußgeld für das Studio.
Art. 77 DSGVO gibt jedem das Recht, sich bei einer Aufsichtsbehörde zu beschweren. In Deutschland ist das die Datenschutzbehörde des Bundeslandes, in dem das Unternehmen seinen Sitz hat. Für ein Unternehmen in Berlin ist also die Berliner Beauftragte für Datenschutz zuständig, für eines in Bayern das BayLDA in Ansbach.
Die meisten Aufsichtsbehörden bieten Online-Formulare an. Sie beschreiben den Sachverhalt, fügen Belege bei — Screenshots, E-Mail-Verläufe, Ausdrucke — und reichen die Beschwerde ein. Das kostet Sie nichts außer Zeit.
Was dann passiert: Die Behörde prüft Ihre Beschwerde, kontaktiert das betroffene Unternehmen und kann Maßnahmen anordnen — von einer Verwarnung bis hin zu Bußgeldern nach Art. 83 DSGVO. Die Bearbeitungszeit variiert allerdings stark. Manche Behörden antworten in Wochen, andere brauchen Monate. Das BfDI ist notorisch überlastet.
Die Datenschutzkonferenz veröffentlicht regelmäßig Statistiken. Die Top-Beschwerden betreffen seit Jahren dieselben Themen: unerwünschte Werbung per E-Mail, mangelnde Auskunft nach Art. 15, fehlende oder unvollständige Datenschutzerklärungen, und — Klassiker — Videoüberwachung ohne ausreichende Kennzeichnung.
Im Online-Bereich sehe ich vor allem diese Verstöße: Websites, die Google Analytics ohne Cookie-Consent laden. Newsletter ohne Double-Opt-in. Kontaktformulardaten, die unverschlüsselt übertragen werden. Google Fonts über externe Server — ja, auch das wird gemeldet, seit der Abmahnwelle 2022/2023.
Seit dem Urteil des BGH vom Januar 2024 zur Abmahnfähigkeit von DSGVO-Verstößen durch Wettbewerber haben auch Konkurrenten ein Interesse daran, Ihre Datenschutzmängel aufzudecken. Das Geschäftsmodell der Massenabmahner lebt weiter — wenn auch in etwas zivilisierteren Bahnen als früher.
Die andere Seite der Medaille. Wenn in Ihrem Unternehmen eine Datenpanne passiert — ein Hackerangriff, ein verlorener Laptop, eine versehentlich an den falschen Empfänger geschickte E-Mail mit Kundendaten — dann haben Sie nach Art. 33 DSGVO nur 72 Stunden Zeit, die Aufsichtsbehörde zu informieren.
72 Stunden. Nicht Werktage, nicht Geschäftstage. Kalenderstunden ab dem Zeitpunkt, an dem Sie von der Panne erfahren. An einem Freitagabend passiert? Pech gehabt. Bis Montagfrüh muss die Meldung raus.
Die Meldung muss enthalten: Art der Panne, ungefähre Zahl der Betroffenen, wahrscheinliche Folgen, ergriffene Gegenmaßnahmen. Wenn die Panne voraussichtlich ein hohes Risiko für die Betroffenen darstellt, müssen Sie nach Art. 34 DSGVO auch die Betroffenen selbst informieren.
Neben der Beschwerde bei der Aufsichtsbehörde haben Sie nach Art. 82 DSGVO einen Anspruch auf Schadensersatz — sowohl materiell als auch immateriell. Der EuGH hat in seinem Urteil vom 4. Mai 2023 (C-300/21) klargestellt, dass schon der bloße Kontrollverlust über personenbezogene Daten einen immateriellen Schaden begründen kann.
Die Beträge sind in Deutschland allerdings überschaubar. Gerichte sprechen typischerweise 100 bis 5.000 Euro zu, abhängig von der Schwere des Verstoßes. Das LG München hat in einem Fall 100 Euro für die unerlaubte Weitergabe einer IP-Adresse durch Google Fonts zugesprochen. Kein Vermögen — aber ein Signal.
Für Verbraucher gibt es zudem die Möglichkeit, sich Verbraucherschutzverbänden anzuschließen. Der vzbv führt regelmäßig Musterklagen im Datenschutzbereich. Das kostet Sie persönlich nichts und kann größere Wirkung entfalten als eine Einzelbeschwerde.