24. März 2026 | Artikel drucken |

DSGVO-Abmahnung vermeiden 2026: BGH-Urteile, Kostenfallen und Praxis-Checkliste

4:32 Min. Lesezeit

Seit März 2025 können Wettbewerber DSGVO-Verstösse per UWG abmahnen – der BGH hat die Tür geöffnet. Gleichzeitig bestätigt ein zweites BGH-Urteil: Schon der blosse Kontrollverlust über personenbezogene Daten begründet Schadensersatz – Richtwert 100 Euro pro Betroffenen. Für Unternehmen bedeutet das: Fehlerhafte Cookie-Banner, veraltete Datenschutzerklärungen oder Google Fonts ohne lokales Hosting sind nicht mehr nur ein Bussgeld-Risiko, sondern eine Einladung an die Konkurrenz.

Das Wichtigste in Kürze

  • BGH-Urteil 27. März 2025 (I ZR 186/17): DSGVO-Verstösse sind jetzt per UWG abmahnfähig. Wettbewerber und Verbraucherschutzverbände können klagen – ohne Auftrag einer betroffenen Person (BGH).
  • BGH-Urteil 18. November 2024 (VI ZR 10/24): Kontrollverlust über Daten = immaterieller Schaden. Kein Mindestbetrag, Richtwert ca. 100 Euro pro Betroffenen (BGH).
  • 266 DSGVO-Bussgelder in Deutschland 2024, Gesamtsumme 2,5 Mio. Euro. Höchste Einzelstrafe: 900.000 Euro für überzogene Speicherfristen (dsgvo-portal.de).
  • Google-Fonts-Abmahnwelle 2022/2023: Tausende Website-Betreiber betroffen. LG München stoppte die Welle als rechtsmissbräuchlich (LG München I, 2023).
  • AI Act Kennzeichnungspflicht ab August 2026: Verstösse bei KI-Inhalten könnten nach UWG-Logik abmahnbar werden. Bussgelder bis 35 Mio. Euro oder 7% Jahresumsatz.

BGH März 2025: Die Zeitenwende für DSGVO-Abmahnungen

Bis zum 27. März 2025 war umstritten, ob DSGVO-Verstösse überhaupt per Wettbewerbsrecht abmahnbar sind. Der BGH hat diese Frage endgültig bejaht (I ZR 186/17, I ZR 222/19, I ZR 223/19): Datenschutzverletzungen gelten als Verstösse gegen Marktverhaltensregeln nach § 3a UWG.

Die Begründung: Personenbezogene Daten sind wirtschaftlich wertvoll. Wer sie rechtswidrig verarbeitet, verschafft sich einen unlauteren Wettbewerbsvorteil. Wettbewerber und Verbraucherschutzverbände können diese Verstösse jetzt zivilrechtlich verfolgen – ohne individuellen Auftrag einer betroffenen Person.

Für Unternehmen bedeutet das: Neben Bussgeldern durch Datenschutzbehörden droht jetzt eine zweite Front. Ein Wettbewerber, der die DSGVO besser einhält, kann den Konkurrenten abmahnen – und die Kosten übernehmen lassen.

266
DSGVO-Bussgelder in Deutschland 2024 – Gesamtsumme 2,5 Millionen Euro
Quelle: dsgvo-portal.de, Jahresrückblick 2024

Kontrollverlust = Schaden: Das zweite BGH-Urteil

Am 18. November 2024 entschied der BGH (VI ZR 10/24) im Kontext des Facebook-Scraping-Datenlecks: Der blosse Kontrollverlust über personenbezogene Daten begründet einen immateriellen Schadensersatzanspruch nach Art. 82 DSGVO. Es braucht keinen Nachweis, dass die Daten tatsächlich missbraucht wurden.

Wichtig: Ein DSGVO-Verstoss allein reicht nicht. Es muss ein konkreter Schaden eingetreten und nachgewiesen werden. Aber die Schwelle ist niedrig – ein unkontrollierter Datenabfluss genügt. Der BGH-Richtwert: ca. 100 Euro pro betroffener Person. Bei einem Datenleck mit 10.000 Betroffenen sind das eine Million Euro Schadensersatzrisiko.

„Datenschutzverletzungen gelten als Verstösse gegen Marktverhaltensregeln, weil personenbezogene Daten wirtschaftlich wertvoll sind und Informationspflichtverletzungen informierte Verbraucherentscheidungen behindern.“
– BGH, Urteil vom 27. März 2025 (I ZR 186/17)

Die fünf häufigsten Abmahngründe 2025/2026

1. Fehlerhafte oder fehlende Datenschutzerklärung: Der häufigste Auslöser. Die Erklärung muss vollständig sein, alle eingesetzten Tools und Dienstleister benennen und leicht auffindbar sein (Footer-Link auf jeder Seite). Fehlende Angaben zu Hosting, Tracking oder eingebetteten Diensten reichen für eine Abmahnung.

2. Cookie-Banner ohne echtes Opt-in: § 25 TDDDG (seit Mai 2024, vorher TTDSG) verlangt aktives Opt-in für nicht technisch notwendige Cookies. Vorausgefüllte Checkboxen sind seit dem Planet49-Urteil (EuGH 2019, BGH 2020) illegal. „Weitersurfen = Einverständnis“ ist rechtswidrig. Technische Fehler – Cookies werden trotz Ablehnung gesetzt – sind besonders riskant.

3. Google Fonts ohne lokales Hosting: Das LG München (2022) entschied: Die dynamische Einbindung von Google Fonts überträgt die IP-Adresse des Nutzers ohne Einwilligung an Google-Server. Die darauffolgende Massenabmahnwelle wurde zwar als rechtsmissbräuchlich gestoppt, aber die zugrunde liegende Rechtsauffassung gilt weiter. Lösung: Google Fonts lokal hosten.

4. Newsletter ohne Double-Opt-in: Unerlaubte E-Mail-Werbung ohne nachweisliches Opt-in ist sowohl nach § 7 Abs. 2 UWG als auch nach DSGVO abmahnbar. Die Beweislast für das Vorliegen der Einwilligung liegt beim Unternehmen.

5. Tracking ohne Einwilligung: Google Analytics, Meta Pixel und vergleichbare Tools erfordern eine informierte, aktive Einwilligung vor dem ersten Datentransfer. Wird ein Tracking-Tool in der Datenschutzerklärung nicht korrekt benannt, ist das ein eigenständiger Verstoss.

Google Fonts: Die Abmahnwelle und ihre Lehren

Im August 2022 begann eine Massenabmahnwelle: Ein Berliner Anwalt versandte im Namen von Martin Ismail und der „IG Datenschutz“ tausende Forderungsschreiben an Website-Betreiber – jeweils niedrige dreistellige Beträge, kurze Fristen. Die rechtliche Basis: das LG-München-Urteil vom Januar 2022 (Az. 3 O 17493/20), das 100 Euro Schadensersatz für die unerlaubte IP-Übertragung an Google zugesprochen hatte.

Das gleiche Gericht stoppte die Welle im März 2023 (Az. 4 O 13063/22): Die Massenabmahnungen wurden als rechtsmissbräuchlich eingestuft, weil der Abmahner einen automatisierten Crawler eingesetzt hatte. Das Recht auf Schadensersatz bei unerlaubter Google-Fonts-Einbindung bleibt aber bestehen – nur der systematische Missbrauch wurde unterbunden.

Was kostet eine Abmahnung?

Kostenposition Betrag Grundlage
Anwaltskosten (Streitwert 5.000 Euro) ca. 808 Euro 1,3 Geschäftsgebühr RVG + Pauschale + MwSt.
Schadensersatz (Kontrollverlust) ca. 100 Euro/Person BGH VI ZR 10/24 (Richtwert)
Bussgeld Datenschutzbehörde bis 20 Mio. Euro / 4% Umsatz Art. 83 DSGVO

Kostenprivileg für KMU: Bei wettbewerbsrechtlichen Abmahnungen durch Mitbewerber entfallen nach § 13 Abs. 4 UWG die Kostenerstattungsansprüche für Unternehmen mit unter 250 Mitarbeitern. Bei unter 100 Mitarbeitern kann beim erstmaligen Verstoss keine strafbewehrte Unterlassungserklärung verlangt werden.

AI Act: Das nächste Abmahnfeld ab August 2026

Der EU AI Act (Art. 50) verpflichtet ab August 2026 zur Kennzeichnung von KI-generierten Inhalten. Deepfakes – KI-generierte oder manipulierte Bild-, Audio- oder Videoinhalte die real wirken – müssen als solche markiert werden. Die Definition ist bewusst breit: Sie umfasst nicht nur Personen, sondern auch Produkte, Orte und Situationen.

Das Abmahnrisiko: Nach der Logik des BGH-Urteils vom März 2025 könnten auch AI-Act-Verstösse als Verletzung von Marktverhaltensregeln per UWG abgemahnt werden. Die Bussgelder im AI Act sind drastisch: bis zu 35 Millionen Euro oder 7 Prozent des globalen Jahresumsatzes. Noch gibt es keine Rechtsprechung dazu – aber die juristische Einschätzung ist eindeutig.

Praxis-Checkliste: DSGVO-Abmahnung vermeiden

  1. Datenschutzerklärung prüfen: Alle eingesetzten Tools, Hosting-Anbieter und Drittdienste benannt? Aktuelles Datum? Leicht auffindbar (Footer-Link)? Auftragsverarbeitungsverträge mit allen Dienstleistern geschlossen?
  2. Cookie-Banner testen: Werden Cookies wirklich erst nach aktivem Opt-in gesetzt? „Ablehnen“-Button gleichwertig sichtbar wie „Akzeptieren“? Keine vorausgefüllten Checkboxen? Technisch verifizieren – nicht nur die Oberfläche prüfen.
  3. Google Fonts lokal hosten: Schriftarten herunterladen und vom eigenen Server ausliefern. Kein dynamisches Laden von fonts.googleapis.com. Auch Google Maps Embeds und YouTube-Einbettungen prüfen.
  4. Newsletter-Einwilligungen dokumentieren: Double-Opt-in-Nachweise aufbewahren. Jede E-Mail muss einen funktionierenden Opt-out-Link enthalten. Im Zweifelsfall: Rechtsanwalt prüfen lassen.
  5. Tracking-Einwilligungen verifizieren: Google Analytics, Meta Pixel und vergleichbare Tools nur nach aktivem Consent laden. In der Datenschutzerklärung korrekt benennen. IP-Anonymisierung aktivieren.
  6. KI-Inhalte kennzeichnen: Ab August 2026 AI-Act-Pflicht. Bereits jetzt gute Praxis: KI-generierte Texte, Bilder oder Videos transparent ausweisen.
  7. Regelmässiger Check: Quartalsweise die eigene Website mit einem DSGVO-Scanner prüfen (Cookiebot, OneTrust oder vergleichbar). Einmal jährlich die Datenschutzerklärung vollständig aktualisieren.

Fazit: Compliance ist keine Option mehr, sondern Wettbewerbsschutz

Das BGH-Urteil vom März 2025 hat die Spielregeln verändert. DSGVO-Compliance ist nicht mehr nur ein Thema zwischen Unternehmen und Datenschutzbehörde – sie ist ein Wettbewerbsfaktor. Wer seine Website nicht im Griff hat, gibt Konkurrenten ein kostenloses Werkzeug in die Hand.

Der erste Schritt kostet wenig: Google Fonts lokal hosten (eine Stunde Arbeit), Cookie-Banner technisch testen (ein Nachmittag) und die Datenschutzerklärung aktualisieren lassen (ein Anwaltstermin). Diese drei Maßnahmen schliessen die häufigsten Angriffspunkte – bevor ein Mitbewerber sie findet.

Häufige Fragen

Können Wettbewerber mich wegen DSGVO-Verstössen abmahnen?

Ja, seit dem BGH-Urteil vom 27. März 2025 (I ZR 186/17). Der BGH hat DSGVO-Verstösse als Verletzung von Marktverhaltensregeln nach § 3a UWG eingestuft. Wettbewerber und Verbraucherschutzverbände können ohne individuellen Auftrag einer betroffenen Person klagen.

Wie viel Schadensersatz droht bei einem DSGVO-Verstoss?

Der BGH hat im November 2024 ca. 100 Euro pro betroffenem als Richtwert für den Kontrollverlust über personenbezogene Daten festgelegt. Es gibt keine Bagatellgrenze. Bei einem Datenleck mit vielen Betroffenen summiert sich der Betrag schnell. Einzelne Gerichte haben bis zu 5.000 Euro pro Person zugesprochen.

Muss ich Google Fonts lokal hosten?

Wenn Sie keine wirksame Einwilligung für den Datentransfer an Google einholen: Ja. Das LG München hat 2022 entschieden, dass die dynamische Einbindung ohne Consent eine DSGVO-Verletzung ist. Die einfachste Lösung: Schriftarten herunterladen und vom eigenen Server ausliefern. Das gilt analog für Google Maps Embeds und andere extern eingebundene Ressourcen.

Was kostet eine DSGVO-Abmahnung?

Die Anwaltskosten betragen bei einem Streitwert von 5.000 Euro ca. 808 Euro. Dazu kommt potenzieller Schadensersatz (ca. 100 Euro pro Betroffenen). Für KMU unter 250 Mitarbeitern gibt es ein Kostenprivileg (§ 13 Abs. 4 UWG): Die Kostenerstattung entfällt bei wettbewerbsrechtlichen Abmahnungen. Unter 100 Mitarbeitern kann beim Erstverstos keine strafbewehrte Unterlassungserklärung verlangt werden.

Welche Rolle spielt der AI Act für Abmahnungen?

Ab August 2026 müssen KI-generierte Inhalte gekennzeichnet werden (Art. 50 AI Act). Nach der BGH-Logik könnten auch AI-Act-Verstösse als Marktverhaltensregeln per UWG abmahnbar sein. Die Bussgelder sind hoch: bis 35 Millionen Euro oder 7 Prozent des Jahresumsatzes. Noch gibt es keine Rechtsprechung, aber das Risiko ist real.

Lesetipps der Redaktion

Mehr aus dem MBF Media Netzwerk

Quelle Titelbild: Pexels / Sora Shimazaki (px:5668473)

Artikel drucken
Benedikt Langer

Hier schreibt Benedikt Langer für Sie

Mehr Artikel vom Autor

Ein Magazin der Evernine Media GmbH