Einleitung
Während die Datenschutzaufsicht in den letzten Jahren vorrangig international agierende Großunternehmen ins Visier genommen hat, zeigt sich im Jahr 2025 ein klarer Perspektivwechsel. Zunehmend geraten auch kleine und mittlere Unternehmen (KMU) ins Blickfeld der Behörden. Die Aufsichtsstellen führen gezielte Kontrollen durch, die sich insbesondere auf alltägliche digitale Prozesse richten – und das zunehmend auch ohne konkreten Anlass. Die Erfahrung zeigt: Wer seine Datenschutzpflichten bislang eher stiefmütterlich behandelt hat, läuft jetzt Gefahr, in den Fokus zu geraten.
Gezielte Prüfungen – auch ohne Beschwerde
In mehreren Bundesländern haben die Datenschutzbehörden in den letzten Monaten branchenübergreifende Überprüfungen durchgeführt. Dabei wurden insbesondere kleinere Betriebe in den Fokus genommen – etwa aus dem Handwerk, aus Arzt- und Therapiepraxen, aus der Gastronomie sowie aus dem Dienstleistungssektor. Im Mittelpunkt dieser Prüfungen standen klassische Themen wie die Gestaltung von Cookie-Bannern auf Unternehmenswebsites, die Einbindung von Kontaktformularen, der Versand von Newslettern sowie der Einsatz von Videoüberwachung im Betrieb. Auffällig ist dabei, dass viele Prüfungen mittlerweile routinemäßig erfolgen – auch ohne dass zuvor eine Beschwerde vorlag. Besonders häufig beginnen sie mit standardisierten Fragebögen oder Hinweisschreiben, die innerhalb einer bestimmten Frist beantwortet werden müssen. Wer darauf unvollständig oder gar nicht reagiert, riskiert eine förmliche Untersuchung oder ein Bußgeldverfahren.
Typische Schwachstellen in der Praxis
Bei den überprüften Unternehmen zeigten sich häufig ähnliche Schwachstellen: Viele Websites bieten keine wirksame Auswahlmöglichkeit bei der Verwendung von Cookies und setzen Tracking-Technologien bereits vor Einwilligung ein. Kontaktformulare greifen oftmals auf US-basierte Dienste wie Google reCAPTCHA zurück, ohne dass dabei über mögliche Datenübermittlungen informiert wird. Auch beim Versand von Newslettern fehlt es häufig an einer nachweisbaren Einwilligung der Empfänger oder an einer korrekt umgesetzten Abmeldemöglichkeit. Datenschutzerklärungen sind in vielen Fällen veraltet oder enthalten keine Angaben zu den tatsächlich eingesetzten Diensten. Selbst einfache Tools wie Google Fonts oder Google Maps können – falsch eingebunden – zu Beanstandungen führen. Die Aufsichtsbehörden nehmen zudem vermehrt den Einsatz US-amerikanischer Anbieter in den Blick, insbesondere wenn dieser mit einem Datentransfer in Drittländer verbunden ist. In der Praxis zeigt sich häufig, dass zwar technische Lösungen im Einsatz sind, deren datenschutzrechtliche Bewertung jedoch nie erfolgt ist – oft fehlt es schlicht an einem strukturierten Überblick über die genutzten Tools und deren Rechtsgrundlagen.
Konsequenzen – auch für kleinere Unternehmen
Die Vorstellung, dass kleinere Betriebe bei Verstößen lediglich mit Hinweisen oder geringfügigen Maßnahmen rechnen müssen, bestätigt sich zunehmend nicht mehr. In verschiedenen Fällen wurden inzwischen auch gegen KMU empfindliche Bußgelder verhängt – und zwar allein aufgrund organisatorischer Versäumnisse, selbst wenn keine konkreten Datenschutzverletzungen vorlagen. Ein Beispiel dafür ist ein Fall aus dem Gesundheitsbereich, bei dem ein Zahnarzt eine Geldbuße in Höhe von 7.500 Euro zahlen musste, weil eine Überwachungskamera im Eingangsbereich seines Praxisgebäudes ohne hinreichende Rechtsgrundlage betrieben wurde. Dass die Aufnahmen nicht gespeichert wurden, spielte dabei keine Rolle. In einem anderen Fall wurde ein kleines IT-Systemhaus wegen unzureichender Dokumentation bei der Auftragsverarbeitung mit 12.000 Euro sanktioniert – trotz vorhandener Verträge, aber ohne nachweisbare Prüfung der technischen Schutzmaßnahmen beim Dienstleister.
Was jetzt zu tun ist
Gerade kleinere Unternehmen sind gut beraten, die eigenen Datenschutzmaßnahmen zu überprüfen und bestehende Schwachstellen systematisch zu beseitigen. Auch ohne juristische Vorkenntnisse lässt sich in vielen Fällen bereits durch einfache Prüfungen feststellen, ob etwa der Einsatz von Tracking-Technologien, Formularen oder externen Tools auf der Website rechtlich sauber umgesetzt wurde. Gleiches gilt für die Aktualität der Datenschutzerklärung, die Vollständigkeit der internen Dokumentation sowie den Abschluss von Auftragsverarbeitungsverträgen mit Dienstleistern wie Webhostern, IT-Betreuern oder Newsletter-Anbietern. Auch eine grundlegende Sensibilisierung der Mitarbeitenden im Umgang mit personenbezogenen Daten kann helfen, Risiken im Arbeitsalltag zu minimieren. Wichtig ist vor allem, das Thema nicht aufzuschieben – denn wer erst im Rahmen einer Anfrage der Aufsichtsbehörde beginnt, nach Dokumenten und Zuständigkeiten zu suchen, gerät schnell in Zeitnot. Ein pragmatischer Startpunkt ist oft eine externe Beratung oder ein internes Audit, bei dem die zentralen Prozesse einmal durchleuchtet und priorisiert werden.
Aktuelle Bußgeldtrends 2025 – kurze Einordnung
Die Bußgelder, die 2025 verhängt wurden, zeigen eine klare Linie: Die Aufsichtsbehörden legen den Fokus verstärkt auf strukturelle Mängel – etwa fehlende Verzeichnisse, nicht dokumentierte Einwilligungen oder unvollständige Auftragsverarbeitungsverträge. Selbst ohne Datenpanne oder betroffenen Personenschaden können Sanktionen verhängt werden. Gleichzeitig zeigt sich ein pragmatischer Ansatz: Unternehmen, die kooperativ auftreten und Mängel kurzfristig beheben, können in vielen Fällen mit milderen Maßnahmen rechnen. Eine pauschale Schonfrist für kleinere Betriebe gibt es allerdings nicht mehr – wer Datenschutzaufgaben dauerhaft ignoriert, muss mit empfindlichen Konsequenzen rechnen. Einige Aufsichtsbehörden haben zudem angekündigt, künftig vermehrt stichprobenartige Prüfungen auch im E-Commerce, in Apotheken, bei Heilberufen und in kleineren IT-Dienstleistungsfirmen durchzuführen.
Fazit
Datenschutz ist längst keine Frage der Unternehmensgröße mehr. Die Aufsichtsbehörden setzen 2025 gezielt auf flächendeckende Überprüfungen auch im Mittelstand – und orientieren sich dabei nicht nur an Skandalen oder Großverstößen, sondern zunehmend an der Alltagspraxis kleiner Betriebe. Wer frühzeitig handelt, schafft nicht nur Rechtssicherheit, sondern beugt auch finanziellen und reputativen Schäden vor. Die Erfahrung zeigt: Viele der typischen Beanstandungen lassen sich mit vergleichsweise geringem Aufwand vermeiden – sofern das Thema Datenschutz aktiv angegangen wird. Ein strukturierter Blick auf die bestehenden Prozesse und etwas Umsetzungsdisziplin reichen häufig aus, um das Unternehmen rechtlich auf stabile Füße zu stellen – bevor die nächste Prüfkampagne vor der Tür steht.
Für Fragen rundum Cookie-Banner, Webseiten-Prüfungen und Überprüfungen schreiben Sie uns gern an.
Folgende Beiträge könnten Sie auch interessieren: