Viele Betreiber von Websites unterschätzen ein grundlegendes Datenschutzrisiko: Sanktionen entstehen nicht erst nach Datenlecks, Hackerangriffen oder großen Pannen. In der Praxis reichen oft schon Versäumnisse bei den Pflichtangaben aus – insbesondere eine fehlende Datenschutzerklärung. Ein aktueller Fall aus Hessen zeigt anschaulich, wie schnell ein Bußgeld wegen fehlender Datenschutzerklärung in Betracht kommt und wie stark sich die Lage verschärfen kann, wenn behördliche Schreiben und Fristen unbeachtet bleiben.
Nach Darstellung des Hessischen Beauftragten für Datenschutz und Informationsfreiheit (HBDI) ging es um einen Freelancer, der seinen Webauftritt ohne jede Datenschutzinformation betrieb – dafür wurde ein Bußgeld wegen fehlender Datenschutzerklärung verhängt. Auf der Seite fehlte also nicht nur ein Detail, sondern die gesamte Transparenzebene. Besonders problematisch: Über integrierte Online-Formulare konnten Nutzer aktiv personenbezogene Daten eingeben, die anschließend vom Betreiber verarbeitet und vorgehalten wurden.
Die Konsequenz war erheblich: Insgesamt wurden Zwangsgelder von 6.000 Euro festgesetzt und zusätzlich ein Bußgeld über 10.000 Euro verhängt. Unterm Strich standen damit 16.000 Euro – ausgelöst durch eine fehlende Datenschutzerklärung und das fortgesetzte Nichtbeachten der behördlichen Schritte.
Warum fehlende Datenschutzhinweise sanktioniert werden können
Bei einer Kontrolle stellte die Datenschutzaufsicht fest, dass innerhalb des Online-Angebots keinerlei Information der Seitenbesucher zur Datenverarbeitung erfolgte. Es fehlte vollständig ein Datenschutzhinweis mit den Pflichtangaben, die nach Art. 13 DSGVO bereitzustellen sind.
Entscheidend war dabei auch der Kontext: Die Website diente nicht nur der reinen Darstellung, sondern enthielt Funktionen zur Datenerhebung. Im Rahmen mehrerer Formulare wurden personenbezogene Daten erfasst und anschließend verarbeitet – eine Konstellation, die bei vielen kleinen Unternehmensseiten, Freelancer-Websites und Dienstleister-Auftritten typisch ist. Bereits ein einfaches Kontaktformular kann ausreichen, um Transparenz- und Informationspflichten auszulösen.
Pflicht zur Datenschutzerklärung auf Websites: Was Art. 13 DSGVO verlangt
Sobald auf einer Website personenbezogene Daten erhoben werden – etwa Name, E-Mail-Adresse, Telefonnummer oder Inhalte einer Nachricht – müssen betroffene Personen transparent informiert werden. Dazu zählen insbesondere Angaben dazu,
- wer für die Verarbeitung verantwortlich ist,
- welche Datenkategorien verarbeitet werden,
- zu welchen Zwecken die Verarbeitung erfolgt,
- auf welcher Rechtsgrundlage dies geschieht,
- wie lange Daten gespeichert werden,
- welche Rechte Betroffene haben (z. B. Auskunft, Berichtigung, Löschung, Widerspruch).
In der Praxis werden diese Informationen regelmäßig über eine Datenschutzerklärung bereitgestellt. Fehlt sie oder ist sie faktisch nicht vorhanden, kann dies als Verstoß gegen die DSGVO gewertet werden – und damit den Ausgangspunkt für ein aufsichtsbehördliches Verfahren bilden, das im Ergebnis auch in ein Bußgeld wegen fehlender Datenschutzerklärung münden kann.
Vom Verstoß zur Sanktion: Wie es zum Bußgeld wegen fehlender Datenschutzerklärung kam
Für die Praxis ist wichtig: Ein formaler Mangel führt nicht automatisch sofort zu einem Bußgeld. Häufig setzen Aufsichtsbehörden zunächst auf Nachbesserung und geben Verantwortlichen Gelegenheit, Transparenzpflichten umzusetzen.
Auch im hessischen Fall lief es zunächst über ein Aufsichtsverfahren mit Kontaktversuchen der Behörde. Der Websitebetreiber wurde angeschrieben und zur Reaktion aufgefordert – eine wirksame Rückmeldung blieb jedoch aus.
Anordnung nach Art. 58 DSGVO und ihre Wirkung
In der Folge erließ die Aufsichtsbehörde eine verbindliche Anordnung auf Grundlage von Art. 58 Abs. 2 lit. d DSGVO. Der Verantwortliche wurde damit verpflichtet, aussagekräftige und vollständige Datenschutzhinweise bereitzustellen – also die fehlende Transparenz der Website konkret zu beheben.
Fristen, Nichtreaktion und Eskalation durch die Behörde
Parallel dazu wurde ein Zwangsgeld in Höhe von 2.000 Euro angekündigt, falls die behördliche Anordnung nicht fristgerecht umgesetzt wird. Gerade das Ignorieren solcher Fristen ist in der Praxis ein zentraler Eskalationsfaktor: Aus einem zunächst „behebbaren“ Website-Verstoß kann dadurch schnell ein Fall werden, der zu deutlich höheren Maßnahmen führt.
Zwangsgeld oder Bußgeld? Unterschied, Zielrichtung und Konsequenzen
Zwangsgeld und Bußgeld werden häufig gleichgesetzt – dabei verfolgen beide Instrumente unterschiedliche Zwecke und können getrennt oder kombiniert eingesetzt werden (im Ergebnis kann daher neben einem Zwangsgeld auch ein Bußgeld wegen fehlender Datenschutzerklärung verhängt werden):
1) Zwangsgeld (Durchsetzung einer Anordnung)
Ein Zwangsgeld dient dazu, die Umsetzung einer behördlichen Verfügung zu erzwingen. Es soll also den nötigen Druck erzeugen, damit der Verantwortliche eine konkrete Maßnahme umsetzt. Im hessischen Fall wurde das Zwangsgeld zunächst angedroht und anschließend festgesetzt, weil die geforderten Datenschutzhinweise weiterhin nicht bereitgestellt wurden.
2) Bußgeld (Sanktion für den Datenschutzverstoß)
Ein Bußgeld ist dagegen eine echte Sanktion für einen DSGVO-Verstoß. Im konkreten Zusammenhang stand damit auch ein Bußgeld wegen fehlender Datenschutzerklärung im Raum, da eine behördliche Anweisung dauerhaft nicht beachtet wurde – ein bußgeldbewehrter Verstoß nach Art. 83 Abs. 5 lit. e DSGVO in Verbindung mit Art. 58 Abs. 2 lit. d DSGVO.
Warum am Ende 16.000 Euro zusammenkamen
Die Aufsichtsbehörde stellt dar, dass die Anordnung nach Eintritt der Bestandskraft weiterhin nicht umgesetzt wurde. Weder die Festsetzung noch die anschließende Beitreibung weiterer Zwangsgelder führten dazu, dass der Websitebetreiber reagierte oder die Datenschutzhinweise nachreichte. Die fortgesetzte Nichtkooperation blieb also bestehen.
Insgesamt ergab sich dadurch folgende Sanktionssumme:
- 3 Zwangsgelder zu jeweils 2.000 Euro (insgesamt 6.000 Euro)
- zusätzlich eine Geldbuße von 10.000 Euro
Damit belief sich die Gesamtbelastung auf 16.000 Euro. Laut Tätigkeitsbericht ist der Bußgeldbescheid inzwischen rechtskräftig.
Kernaussage für die Praxis: Nicht nur die Datenschutzerklärung ist entscheidend
Der Fall macht deutlich: Das eigentliche Risiko liegt nicht ausschließlich in der fehlenden Datenschutzerklärung, sondern vor allem im Verhalten gegenüber der Aufsichtsbehörde. Ein Bußgeld wegen fehlender Datenschutzerklärung wird wesentlich wahrscheinlicher, wenn Verantwortliche
- behördliche Nachfragen unbeantwortet lassen,
- gesetzte Fristen verstreichen lassen,
- keine Korrekturmaßnahmen umsetzen,
- und insgesamt nicht kooperieren oder nichts dokumentieren.
Gerade bei kleineren Websites gilt daher eine klare Grundregel: Wenn die Datenschutzbehörde schreibt, muss eine fristgerechte Antwort erfolgen – selbst wenn die technische oder juristische Umsetzung noch nicht vollständig abgeschlossen ist. Kommunikation und Nachweisbarkeit senken das Eskalationsrisiko erheblich.
Bußgeld wegen fehlender Datenschutzerklärung vermeiden: Checkliste für Websites
Wenn Sie eine Website betreiben, sollten Sie zeitnah folgende Punkte kontrollieren und dokumentieren:
- Ist eine Datenschutzerklärung vorhanden und inhaltlich vollständig?
(Nicht nur ein Link – sondern belastbare Pflichtinformationen) - Sind alle Formulare und Erhebungswege erfasst?
(Kontaktformular, Anfrageformular, Terminbuchung: Zweck, Rechtsgrundlage, Speicherdauer) - Sind eingesetzte Dienstleister und Tools benannt?
(z. B. Hosting-Anbieter, E-Mail-Provider, Formular-Plugin, Newsletter-Tool) - Sind Tracking und externe Inhalte rechtssicher abgebildet?
(z. B. Analytics, Karten-Dienste, Fonts, Social-Media-Einbindungen) - Ist die Datenschutzerklärung leicht auffindbar und dauerhaft erreichbar?
(typisch: Footer oder Navigation, keine „versteckten“ Pfade) - Gibt es intern klare Abläufe für Behördenpost?
(Zuständigkeit: Wer antwortet, wer setzt um, wer dokumentiert?)
Fazit: Ein Bußgeld wegen fehlender Datenschutzerklärung lässt sich vermeiden
Der hessische Fall ist ein klares Warnsignal: Ein Bußgeld wegen fehlender Datenschutzerklärung kann auch kleine Websites und Freelancer treffen – insbesondere dann, wenn Formulare eingebunden sind und behördliche Anordnungen ignoriert werden. Wer seine Datenschutzerklärung aktuell hält, typische Website-Dienste sauber dokumentiert und bei Kontakt durch die Aufsichtsbehörde kooperativ sowie fristgerecht handelt, reduziert das Risiko deutlich.
Fragen zum Bußgeld wegen fehlender Datenschutzerklärung?
Sie haben Fragen zum Bußgeld wegen fehlender Datenschutzerklärung oder allgemein zur DSGVO? Unsere spezialisierten Anwälte im IT- und Datenschutzrecht kümmern sich gerne um Ihr Anliegen. Nehmen Sie Kontakt mit uns auf oder vereinbaren Sie direkt einen Beratungstermin!
❓FAQ zum Bußgeld wegen fehlender Datenschutzerklärung
Ein Bußgeld wegen fehlender Datenschutzerklärung droht typischerweise, wenn gar keine Datenschutzerklärung vorhanden ist oder Pflichtangaben nach Art. 13 DSGVO fehlen. Besonders riskant sind Kontaktformulare ohne transparente Hinweise sowie nicht genannte Dienstleister (Hosting, Tracking, Maps). Kritisch wird es, wenn Betreiber auf Schreiben der Aufsicht nicht reagieren und Fristen ignorieren.
Ein Bußgeld wegen fehlender Datenschutzerklärung kann drohen, wenn zentrale Pflichtangaben nach Art. 13 DSGVO fehlen: Zwecke, Rechtsgrundlagen, Speicherdauer, Empfänger/Dienstleister sowie Hinweise zu Betroffenenrechten. Häufig sind Kontaktformulare und Tracking-Tools unvollständig beschrieben. Wer diese Punkte konkret ergänzt und Tools sauber dokumentiert, reduziert das Risiko deutlich.
Ein Bußgeld wegen fehlender Datenschutzerklärung kann relevant sein, weil beim Hosting regelmäßig personenbezogene Daten verarbeitet werden, etwa IP-Adressen und Server-Logs (Zeitstempel, Zugriffe, Geräteinfos). Websitebetreiber müssen darüber informieren und den Hosting-Dienstleister als Empfänger nennen. Fehlen diese Angaben, kann das als Verstoß gegen Art. 13 DSGVO gewertet werden.
Ein Bußgeld wegen fehlender Datenschutzerklärung lässt sich mit einer Generator-Erklärung nur vermeiden, wenn sie vollständig und exakt auf die Website angepasst ist. Oft sind Texte zu allgemein und bilden eingesetzte Tools (Kontaktformular, Newsletter, Tracking, externe Inhalte) nicht korrekt ab. Entscheidend sind vollständige Pflichtinfos nach Art. 13 DSGVO und konkret benannte Dienstleister.
Ein Bußgeld wegen fehlender Datenschutzerklärung kann auch bei Onepagern und Landingpages drohen, sobald personenbezogene Daten verarbeitet werden – häufig schon durch Hosting und Server-Logs. Weitere Risiken entstehen durch Analyse-Tools oder Kontaktformulare. Auch kleine Websites müssen die Informationspflichten nach Art. 13 DSGVO erfüllen und Datenschutz leicht auffindbar bereitstellen (z. B. im Footer).
Ein Bußgeld wegen fehlender Datenschutzerklärung ist beim Kontaktformular besonders naheliegend, weil aktiv personenbezogene Daten erhoben werden. Erforderlich sind Angaben zu Zweck (Anfragebearbeitung), Rechtsgrundlage, Speicherdauer, Empfängern/Dienstleistern und Betroffenenrechten nach Art. 13 DSGVO. Best Practice: Hinweis direkt am Formular plus passende, vollständige Datenschutzerklärung.
Ein Bußgeld wegen fehlender Datenschutzerklärung hängt von Schwere, Dauer und Kooperation ab. In der Praxis reichen Beträge von niedrigen vierstelligen Summen bis deutlich höher, insbesondere wenn behördliche Anordnungen ignoriert werden. Zusätzlich können Zwangsgelder zur Durchsetzung hinzukommen. Maßgeblich sind Art. 83 DSGVO und das Verhalten gegenüber der Aufsicht.
Ein Bußgeld wegen fehlender Datenschutzerklärung folgt meist nicht sofort. Häufig startet die Aufsicht mit einer Prüfung und gibt Gelegenheit zur Nachbesserung. Eskalation droht, wenn Betreiber nicht reagieren, Fristen verstreichen lassen oder eine formelle Anordnung missachten. Wer zeitnah antwortet und umsetzt, senkt das Risiko deutlich.
Ein Bußgeld wegen fehlender Datenschutzerklärung wird wahrscheinlicher, wenn nicht fristgerecht reagiert wird. Bestätigen Sie den Eingang, benennen Sie Zuständige und prüfen Sie die Vollständigkeit nach Art. 13 DSGVO. Setzen Sie Anordnungen nach Art. 58 DSGVO termingerecht um, dokumentieren Sie Änderungen und liefern Sie Nachweise. Nichtreaktion ist ein zentraler Eskalationsfaktor.
Ein Bußgeld wegen fehlender Datenschutzerklärung lässt sich nicht durch den Link allein vermeiden, sondern nur durch den Inhalt dahinter. Fehlen Pflichtangaben, Dienstleister oder Informationen zu Formularen/Tracking, bleibt das Risiko bestehen. Wichtig sind leichte Auffindbarkeit, dauerhafte Erreichbarkeit und inhaltliche Passgenauigkeit zur tatsächlichen Datenverarbeitung.
Ein Bußgeld wegen fehlender Datenschutzerklärung kann auch ohne Cookies relevant sein, weil bereits Hosting, Server-Logs und IP-Adressen personenbezogene Daten betreffen. Zudem können externe Inhalte oder Skripte Daten übertragen. Entscheidend ist, ob Verarbeitung stattfindet und ob die Informationspflichten nach Art. 13 DSGVO vollständig erfüllt sind.
Ein Bußgeld wegen fehlender Datenschutzerklärung kann jede Website betreffen, sobald personenbezogene Daten verarbeitet werden – etwa durch Hosting, Server-Logs oder Kontaktformulare. Dann ist eine Datenschutzerklärung Pflicht, selbst bei kleinen Websites oder Onepagern.
Ein Bußgeld wegen fehlender Datenschutzerklärung kann auch drohen, wenn die Erklärung zwar vorhanden, aber unvollständig ist oder die tatsächliche Datenverarbeitung nicht korrekt abbildet. Fehlen Pflichtangaben nach Art. 13 DSGVO, gilt sie in der Praxis häufig als „fehlend“.
Ein Bußgeld wegen fehlender Datenschutzerklärung lässt sich oft noch vermeiden, wenn Sie fristgerecht reagieren, Mängel beheben und die Umsetzung dokumentieren. Eskalationen entstehen meist erst durch Nichtreaktion oder das Ignorieren von Fristen.
Ein Bußgeld wegen fehlender Datenschutzerklärung droht Freelancern besonders häufig, weil schon einfache Kontaktformulare oder Hosting personenbezogene Daten verarbeiten. Ohne vollständige, passende Datenschutzerklärung steigt das Risiko schnell.
Weiterführende Themen
Art. 82 DSGVO: EuGH konkretisiert Anspruch auf immateriellen Schadensersatz
Schadensersatz bei Datenschutzverstößen bleibt möglich – aber nur unter klaren Voraussetzungen. Der EuGH konkretisiert die Anforderungen an Art. 82 DSGVO.
EuGH-Urteil zu Schadensersatz nach Art. 82 DSGVO
Der EuGH hat mit seinem Urteil vom 4. Mai 2023 erstmals klargestellt, wann ein Schadensersatz nach Art. 82 DSGVO möglich ist. Ein bloßer DSGVO-Verstoß reicht nicht aus – Betroffene müssen einen konkreten materiellen oder immateriellen Schaden nachweisen.
OLG Hamm Facebook-Datenleck und Art. 82 DSGVO
Das OLG Hamm verneint einen DSGVO-Schadensersatz beim Facebook-Datenleck. Trotz Datenschutzverstoß fehlt ohne konkreten immateriellen Schaden ein Anspruch nach Art. 82 DSGVO. Das Urteil ist richtungsweisend für Scraping-Fälle und Klagen gegen Meta.