href="https://compliance-kit.eu/wissen/dsgvo-top-10-fehler-kmu.html">

DSGVO Top-10 Fehler bei KMU 2026

· · Kategorie: DSGVO
Praxis-Hinweis: Dieser Artikel ist praxisorientierte Compliance-Dokumentation, keine Rechtsberatung. Wir sind Compliance-Spezialist, keine Anwaltskanzlei. Für rechtsverbindliche Auskünfte konsultieren Sie eine zugelassene Rechtsanwältin oder einen Rechtsanwalt.

TL;DR

  • Median-Bußgeld DSGVO 2025: 12.500 EUR (DACH-Aufsichtsbehörden)
  • Top-Fehler: fehlendes VVT, kein AVV, unvollständige Datenschutzerklärung, fehlende DSFA
  • Cookie-Banner nicht TDDDG-konform — häufigste Sofort-Beanstandung
  • Datenpannen nicht binnen 72h gemeldet (Art. 33 DSGVO)
  • Schulung fehlt — Pflicht via Art. 32, BDSG § 64

1. VVT als 'einmaliges Excel' behandeln

Das Verarbeitungsverzeichnis ist ein lebendiges Dokument. Median-Update-Frequenz Aufsichts-Anforderung: quartalsweise. Bei jeder neuen Verarbeitung ergänzen.

Fix: Quartalsweiser VVT-Review im Compliance-Kalender.

2. Kein AVV mit Standard-SaaS-Anbietern

Microsoft 365, Salesforce, HubSpot, Mailchimp — alle Auftragsverarbeiter. Ohne AVV: Verstoß Art. 28. Bußgeld bis 10 Mio. EUR / 2%.

Fix: AVV-Inventar. Pro Tool: Standard-AVV des Anbieters herunterladen, prüfen, freigeben.

3. Cookie-Banner ohne Equal-Choice

'Akzeptieren' grün/groß + 'Ablehnen' verlinkt = Dark Pattern (VG Berlin 2024). Bußgeld 5-50k EUR DSK-Praxis.

Fix: Banner-Audit mit gleicher Größe, Farbe, Position für beide Buttons.

4. Datenpanne nicht binnen 72h gemeldet

Art. 33 DSGVO: 72h-Meldefrist. Praxis-Bußgeld bei Verspätung: 5-50k EUR plus Ruf-Schaden.

Fix: Datenpannen-Verfahren mit 24h-Internal-Trigger + 48h-Meldung an AB.

5. Keine TIA bei US-Anbietern

Auch unter DPF empfohlen — EDSA 03/2026. Bei DPF-Kollaps droht Sofort-Risiko.

Fix: Pro US-Anbieter TIA dokumentieren. Vorlagen: Compliance-Kit DSGVO-Kit.

6. DSB nicht benannt trotz § 38 BDSG-Schwelle

20+ MA mit automatisierter Verarbeitung (DE) → DSB Pflicht. Bußgeld 15-50k EUR Median 2025.

Fix: Sofort externen oder internen DSB benennen + bei AB melden.

7. Datenschutzerklärung >12 Monate alt

Pflicht-Update bei jeder Änderung der Verarbeitungen. Stale-Erklärungen sind Indiz.

Fix: Halbjährlicher Review.

8. Bewerber-Daten >6 Monate aufbewahrt

BAG 2 AZR 1180/16: 6 Monate nach Absage Pflichtlöschung. Talent-Pool nur mit Einwilligung.

Fix: Automatisierte Löschung im ATS-System.

9. Keine Schulung in DSGVO + AI-Literacy

DSGVO Art. 32 + AI Act Art. 4 ab 02.02.2025. Schulungspflicht jährlich.

Fix: E-Learning-Modul mit Quiz + Wissens-Nachweis.

10. Kein Verfahren für Betroffenenrechte

Art. 15-22: Antwort binnen 1 Monat Pflicht. Bei Komplexität verlängerbar auf 3 Monate.

Fix: Workflow + Templates für Auskunft, Löschung, Berichtigung.

Häufig gestellte Fragen

Welcher Fehler ist häufigster Bußgeld-Grund?
Median 2025 (BfDI): fehlender DSB + lückenhaftes VVT + verspätete Datenpannen-Meldung. Diese 3 sind 60% aller Bußgelder.
Reicht eine externe Datenschutz-Beratung?
Externer DSB ja, aber nicht statt internem Compliance-System. Compliance-Kit-Kits + externer DSB ist beste Kombination.
Was ist das günstigste Setup für KMU?
DSGVO-Kit (490-1.490 EUR) + externer DSB (3-12k EUR/Jahr) + Pirsch-Analytics (cookieless, 30 EUR/Monat). Total ~5-15k EUR/Jahr.
Bußgeldrisiko realistisch?
Median 2025 KMU-Bußgeld: 12.500 EUR. 90%-Perzentil: 240k EUR. Bei vorsätzlichen Verstößen wesentlich höher.
Wo am besten anfangen?
1) DSGVO-Selbsttest, 2) VVT-Excel füllen, 3) AVVs einsammeln. Alle 3 mit Compliance-Kit DSGVO-Kit in 2-4h erledigt.

Verwandte Artikel

Quellen

Werkzeuge & Selbsttests

DSGVO-Checkliste 30 Pruefpunkte fuer Datenschutz-Compliance im KMU. Bussgeld-Rechner Berechnen Sie das potenzielle Bussgeld-Risiko fuer Ihr Unternehmen. DSGVO Self-Assessment Strukturierter Selbsttest mit Reifegrad-Score und Massnahmen-Roadmap. Cookie-Banner-Audit TDDG/DSGVO-Pruefung Ihres Cookie-Banners mit konkreten Korrektur-Hinweisen.