DSGVO-Compliance im Mittelstand: Warum ein Tool-Flickenteppich gefährlicher ist als gar keine Lösung

Tool-Flickenteppich beim Datenschutz: die Kernaussagen im Überblick

Die wichtigsten Erkenntnisse dieses Beitrags im Überblick:

Hohes Bußgeldniveau: Auch 2025 verhängten europäische Aufsichtsbehörden DSGVO-Bußgelder von rund 1,2 Milliarden Euro. Deutschland zählt bei den gemeldeten Datenschutzverletzungen zu den Spitzenreitern in Europa.
Sieben Haftungsfelder: Isolierte Einzeltools für Cookie-Banner, Datenschutzerklärung und Einwilligungsnachweise erzeugen Lücken – von unbeweisbaren Einwilligungen bis zu vergessenen Auftragsverarbeitungsverträgen.
Rechtsprechung verschärft die Lage: Das VG Hannover verlangt eine Ablehn-Option auf der ersten Banner-Ebene, der BGH nimmt Unternehmen beim Offboarding von Dienstleistern in die Pflicht.
Führungsebene im Fokus: Aufsichtsbehörden prüfen zunehmend, ob Geschäftsführer für Datenschutzverstöße persönlich haftbar gemacht werden können.
Zentraler Ansatz als Ausweg: Eine integrierte Compliance-Plattform verhindert strukturell, dass Einwilligungen, Verträge und Rechtstexte auseinanderdriften.

Wer Datenschutz an fünf Orten gleichzeitig verwaltet, hat ihn an keinem davon wirklich im Griff.

Warum Tool-Silos die DSGVO-Compliance im Mittelstand untergraben

Tool-Silos entstehen selten durch eine bewusste Entscheidung. Die Website hat vor Jahren eine Agentur gebaut, das Newsletter-Tool hat das Marketing ausgewählt, das Cookie-Plugin wurde nach einer Abmahnwelle hastig installiert. Jede Lösung erfüllt für sich ihren Zweck – aber niemand im Unternehmen hat das Gesamtbild.

Im Mittelstand kommt erschwerend hinzu: Eine eigene Rechtsabteilung gibt es selten, Datenschutz ist Nebenaufgabe des IT-Leiters oder der Marketing-Verantwortlichen, und Dokumentation entsteht dort, wo gerade jemand Zeit hat. Genau hier wird Datenschutz vom Technikthema zum Organisations- und Führungsproblem: Es fehlt die eine Stelle, die Einwilligungen, Rechtstexte und Verträge zusammenhält und bei jeder Änderung mitdenkt.

Die Dimension des Risikos ist erheblich. Allein 2025 verhängten europäische Aufsichtsbehörden DSGVO-Bußgelder von rund 1,2 Milliarden Euro, ungefähr auf dem Niveau des Vorjahres, wie die jährliche Studie der Wirtschaftskanzlei DLA Piper zeigt. Deutschland gehört bei den gemeldeten Datenschutzverletzungen weiterhin zur europäischen Spitzengruppe, nur die Niederlande melden mehr. Zugleich wächst die Belastung durch Dokumentations- und Nachweispflichten Jahr für Jahr, besonders dort, wo niemand sie zentral steuert.

Dass Cybersicherheit und Datenschutz längst Chefsache sind, haben viele Mittelständler verstanden. Die Umsetzung bleibt trotzdem fragmentiert: Wer seine Website von einer Agentur betreuen lässt, den Newsletter über ein separates Tool versendet und Einwilligungen in einem isolierten Plugin sammelt, verwaltet Datenschutz an mindestens drei Orten gleichzeitig. Abhilfe schafft ein zentraler Ansatz, der Cookie-Banner, Rechtstexte und Nachweise in einer Datenschutz-Management-Software bündelt, statt sie über Insellösungen zu verteilen. Die folgenden sieben Risikofelder zeigen, warum diese Bündelung kein Komfortthema ist – im Ernstfall entscheidet sie über reale Haftung.

Methodik: Fünf Kriterien für belastbare Datenschutz-Strukturen

Damit die Bewertung nicht im Ungefähren bleibt, legt dieser Beitrag fünf Kriterien an. Sie orientieren sich an der Realität mittelständischer Websites mit meist drei bis zehn eingebundenen Diensten – vom Analytics-Script über das Terminbuchungstool bis zum Chat-Widget. Hinter jedem Kriterium steht ein konkretes Haftungsrisiko:

Integrationstiefe: Wo Systeme nicht miteinander sprechen, entstehen genau die Lücken, aus denen später unbeweisbare Einwilligungen und vergessene Verträge werden.
Automatisierte Dokumentation: Die Nachweispflicht der DSGVO kennt kein „das haben wir bestimmt irgendwo“. Was nicht protokolliert ist, existiert im Streitfall nicht.
Aktualität bei Rechtsänderungen: Urteile wie das des VG Hannover machen gestern noch übliche Banner über Nacht angreifbar.
Consent Mode und TCF: Ohne standardisierte Signalübergabe arbeiten Marketing und Datenschutz gegeneinander statt miteinander.
KMU-Tauglichkeit: Eine Lösung, die ein eigenes Compliance-Team voraussetzt, scheitert im Mittelstand schlicht an der Realität.

Die Tabelle übersetzt die fünf Kriterien in Leitfragen für Ihre eigene Prüfung:

Kriterium	Leitfrage
Integrationstiefe	Fließen Consent-Daten nahtlos zwischen Cookie-Banner, Richtlinien-Generator und AVV-Verwaltung?
Automatisierte Dokumentation	Werden Einwilligungen revisionssicher mit Zeitstempel und Banner-Version protokolliert?
Aktualität bei Rechtsänderungen	Passen sich alle Dokumente zeitgleich an neue Vorgaben wie das TDDDG an?
Consent Mode und TCF	Lässt sich die Einwilligung standardisiert an Werbe- und Analyseplattformen übergeben?
KMU-Tauglichkeit	Wie hoch ist der manuelle Pflegeaufwand bei drei bis zehn eingebundenen Diensten?

An diesen fünf Fragen müssen sich am Ende alle Lösungen messen lassen – vom Einzel-Plugin bis zur Plattform.

1. Fehlende Einwilligungsprotokolle: Compliance ohne Beweise

Das Problem beginnt harmlos: Ein Cookie-Banner wird installiert, Besucher klicken auf „Akzeptieren“, alle sind zufrieden. Aber was passiert, wenn eine Aufsichtsbehörde nachfragt? Können Sie belegen, wann, wie und wozu ein bestimmter Nutzer eingewilligt hat?

Artikel 7 Absatz 1 DSGVO verpflichtet Sie als Verantwortlichen, jede Einwilligung nachweisen zu können. In der Praxis heißt das: Zeitstempel, Banner-Version und Umfang der Zustimmung müssen dokumentiert sein, und zwar so, dass sich der Nachweis auch Jahre später noch rekonstruieren lässt. Genau daran scheitern viele Insellösungen. Ein einfaches Cookie-Plugin blendet zwar ein Banner ein, protokolliert die Entscheidung aber nicht revisionssicher oder verliert die Historie beim nächsten Update.

Hinzu kommt Artikel 7 Absatz 3 DSGVO: Der Widerruf muss so einfach möglich sein wie die Einwilligung selbst – auch das will dokumentiert und technisch umgesetzt sein. Im Streitfall steht sonst Aussage gegen Aussage, und die Beweislast liegt bei Ihnen.

Wie ernst die Behörden das Thema nehmen, zeigt die Bußgeldbilanz: Seit Inkrafttreten der DSGVO im Mai 2018 summieren sich die europaweit verhängten Strafen laut der aktuellen GDPR-Studie von DLA Piper auf 7,1 Milliarden Euro. Die Nachweispflicht für Einwilligungen ist dabei alles andere als ein Nebenschauplatz.

Zentrale Plattformen setzen strukturell an dieser Schwachstelle an. Sie synchronisieren den Consent über alle eingebundenen Dienste hinweg und legen jede Entscheidung dauerhaft und nachvollziehbar ab. Der Nachweis gegenüber der Aufsichtsbehörde wird damit planbar.

Haben Sie Ihr eigenes Cookie-Banner in den letzten Monaten bewusst geprüft? Nicht im Vorbeigehen, mit einer konkreten Frage: Kann ein Besucher auf der ersten Ebene genauso einfach ablehnen wie zustimmen? Falls nicht, bewegt sich Ihre Website auf dünnem Eis.

Cookie-Banner mit gleichwertiger Ablehn-Option auf der ersten Ebene – Maßstab des VG Hannover für die DSGVO-Compliance — Akzeptieren und Ablehnen gleichberechtigt auf der ersten Ebene: seit dem Urteil des VG Hannover der Maßstab für Cookie-Banner. (Bild: © AGITANO – KI-generiert)

Das Urteil des VG Hannover: Ablehnen gehört auf die erste Ebene

Das Verwaltungsgericht Hannover hat mit Urteil vom 19. März 2025 (Az. 10 A 5385/22) die Anordnung der niedersächsischen Datenschutzaufsicht bestätigt: Bietet ein Banner auf der ersten Ebene einen „Alle akzeptieren“-Button, muss dort auch die Möglichkeit stehen, alle nicht notwendigen Cookies abzulehnen.

Ein Banner darf Nutzer außerdem nicht durch seine Gestaltung gezielt zur Einwilligung lenken. Ob beide Schaltflächen in jedem optischen Detail identisch sein müssen, ist höchstrichterlich noch nicht abschließend geklärt – sicher ist nach dem Urteilsvolltext aber: Ein versteckter Link oder eine zweite Klick-Ebene genügen nicht. Einwilligungen aus einem solchen Banner sind unwirksam, das gesamte darauf gestützte Tracking verliert seine Rechtsgrundlage.

TDDDG und Google Tag Manager: die unterschätzte Einwilligungspflicht

Die gesetzliche Grundlage liefert § 25 TDDDG: Wer Informationen auf dem Endgerät des Besuchers speichert oder darauf zugreift, braucht grundsätzlich dessen Einwilligung. Diese Pflicht gilt bereits seit Dezember 2021; seit Mai 2024 trägt das Gesetz den Namen TDDDG.

Brisant für die Praxis: Das VG Hannover hat klargestellt, dass auch der Google Tag Manager selbst einwilligungspflichtig ist – ein Dienst, der auf unzähligen Mittelstands-Websites läuft und im Consent-Banner oft gar nicht auftaucht. Wer Banner und Script-Verwaltung in getrennten Systemen pflegt, bemerkt solche Lücken meist erst, wenn die Aufsicht nachfragt.

3. Datenschutzerklärung als Flickwerk: veraltet, kopiert, unvollständig

Die häufigsten Fehler sind bekannt: veraltete Texte ohne die aktuell eingesetzten Tools, Copy-Paste-Vorlagen ohne jede Anpassung, fehlende Angaben zur Rechtsgrundlage und – besonders gravierend – keine Informationen zu Drittlandtransfers. Dabei verlangen die Artikel 13 und 14 DSGVO einen klar definierten Mindestinhalt: Zwecke und Rechtsgrundlagen jeder Verarbeitung, Empfänger und Speicherdauer der Daten, die Rechte der Betroffenen und eben mögliche Übermittlungen in Drittländer.

Die Datenschutzerklärung ist zugleich das sichtbarste Compliance-Dokument überhaupt: Jede Aufsichtsbehörde und jeder Abmahner kann sie von außen prüfen, ohne das Unternehmen je zu betreten. Allein in Deutschland summierten sich die DSGVO-Bußgelder laut DLA Piper bis Anfang 2025 auf 89,1 Millionen Euro. Auffällige Mängel auf der Website können dann der Anlass sein, dass eine Behörde überhaupt erst genauer hinsieht.

Warum veralten diese Texte so zuverlässig? Weil die Datenschutzerklärung in einem System lebt (meist dem CMS), die Consent-Dokumentation aber in einem anderen – und niemand beide pflegt, wenn ein neuer Dienst dazukommt. Der Marketing-Leiter schaltet ein Terminbuchungstool frei und denkt nicht daran, dass damit auch Datenschutzerklärung, Cookie-Banner und Verarbeitungsverzeichnis anzupassen wären. Wie schnell ein einzelnes Werkzeug die Datenflüsse verändert, zeigt schon der Blick auf den rechtssicheren Newsletter-Versand.

Eine zentrale Compliance-Plattform dreht die Logik um: Wird ein Dienst ergänzt, aktualisiert sie die Datenschutzerklärung automatisch mit. Das beendet den Blindflug zwischen den Systemen und reduziert die Angriffsfläche für Abmahnungen erheblich.

4. Auftragsverarbeitungsverträge: Stolperfalle Dienstleister-Wildwuchs

Jeder externe Dienstleister, der personenbezogene Daten für Sie verarbeitet, braucht einen wirksamen Auftragsverarbeitungsvertrag (AVV) nach Artikel 28 DSGVO – der Hosting-Provider ebenso wie das CRM-System oder der Newsletter-Versender. Wie eng Tool-Auswahl und Vertragspflicht zusammenhängen, zeigt sich bereits bei der Einführung eines Newsletter-Systems im Mittelstand: Der AVV gehört an den Anfang der Dienstleisterauswahl, nicht ans Ende.

Was ein wirksamer AVV regeln muss

Artikel 28 Absatz 3 DSGVO schreibt den Mindestinhalt verbindlich vor. Diese Punkte gehören in jeden Vertrag:

Gegenstand und Dauer: Welche Daten zu welchem Zweck wie lange verarbeitet werden, und zwar konkret statt als Blanko-Formel.
Weisungsbindung: Der Dienstleister verarbeitet ausschließlich auf dokumentierte Weisung; eine eigenmächtige Nutzung der Daten ist ausgeschlossen.
Vertraulichkeit: Alle eingesetzten Personen sind nachweislich zur Verschwiegenheit verpflichtet.
Sicherheitsmaßnahmen: Die technischen und organisatorischen Maßnahmen nach Artikel 32 sind konkret benannt, nicht nur pauschal zugesichert.
Sub-Dienstleister: Weitere Auftragsverarbeiter kommen nur mit Genehmigung und zu gleichen Schutzstandards zum Einsatz.
Unterstützungspflichten: Der Dienstleister hilft bei Betroffenenanfragen und bei der Meldung von Datenpannen aktiv mit.
Löschung und Kontrolle: Nach Auftragsende werden Daten nachweislich gelöscht oder zurückgegeben, und der Verantwortliche darf das überprüfen.

Fehlt einer dieser Punkte, ist der Vertrag angreifbar, und mit ihm die gesamte Verarbeitung, die darauf aufbaut.

Das BGH-Urteil: Die Verantwortung endet nicht mit der Kündigung

Der Bundesgerichtshof hat die Anforderungen zuletzt spürbar verschärft. Mit Urteil vom 11. November 2025 (Az. VI ZR 396/24) stellte er klar: Verantwortliche müssen auch bei Beendigung einer Auftragsverarbeitung aktiv sicherstellen, dass keine personenbezogenen Daten beim Dienstleister verbleiben. Wer auf eine verbindliche Löschbestätigung verzichtet, trägt das Risiko – selbst wenn der Dienstleister die Löschung angekündigt hat.

Bei zehn Einzeltools pro Website – Analytics, Hosting, Newsletter, CRM, Chat, Social-Media-Plugins – wird die AVV-Verwaltung schnell zum administrativen Albtraum: eigene Vertragskonditionen, unterschiedliche Laufzeiten, verschiedene Kündigungsfristen. Vergessene oder nie geschlossene Verträge sind in solchen Konstellationen quasi programmiert.

Praxisbeispiel: Wenn der gekündigte Dienstleister die Daten behält

Ausgangslage: Ein Streamingdienst beendet Ende 2019 die Zusammenarbeit mit einem externen Auftragsverarbeiter. Der Dienstleister kündigt an, Website und Daten würden zum Stichtag gelöscht.

Vorgehen: Das Unternehmen verlässt sich auf diese Ankündigung und fordert keine verbindliche Löschbestätigung ein. Tatsächlich werden die Daten nie gelöscht – sie wandern lediglich von der Produktiv- in eine Testumgebung des Dienstleisters und bleiben dort jahrelang liegen.

Ergebnis: 2022 kommt es beim früheren Auftragsverarbeiter zu einem Datenleck, die Kundendaten tauchen im Darknet auf. Der BGH entschied 2025 in genau diesem Fall, dass das beauftragende Unternehmen haftet, weil es das Auftragsende nicht kontrolliert nachgehalten hat. Die Erkenntnis für den Mittelstand: Eine Auftragsverarbeitung ist erst dann wirklich beendet, wenn die Löschung nachgewiesen ist.

5. Technische und organisatorische Maßnahmen ohne Gesamtkonzept

Technische und organisatorische Maßnahmen – kurz TOM – klingen nach trockener Pflichtlektüre. Tatsächlich verlangt Artikel 32 DSGVO ein dem Risiko angemessenes Schutzniveau, und das umfasst weit mehr als eine Firewall: Zugriffs- und Berechtigungskonzepte, Verschlüsselung, Backups, Protokollierung sowie saubere Offboarding-Prozesse für ausscheidende Mitarbeiter und Dienstleister.

Das BGH-Urteil aus dem vorigen Abschnitt zeigt, wie eng TOM und Vertragsmanagement zusammenhängen: Das kontrollierte Auftragsende ist selbst eine organisatorische Maßnahme – und ihr Fehlen wird zur Haftungsfrage.

Das Tückische am Flickenteppich: Die TOM-Dokumentation liegt häufig in einer Excel-Tabelle der IT-Abteilung oder einem isolierten PDF – getrennt von Consent-Protokollen, AVV-Übersicht und Verarbeitungsverzeichnis. Was so entsteht, ist kein geschlossenes Sicherheitskonzept, sondern eine Sammlung von Einzelbausteinen, die im Prüfungsfall nicht zueinanderfinden.

Dabei fragen Aufsichtsbehörden sehr konkret: Gibt es ein Löschkonzept mit definierten Fristen? Eine Berechtigungsmatrix, die regelmäßig überprüft wird? Einen Notfallplan für Datenpannen, der die 72-Stunden-Meldefrist einhält?

Fast immer steht am Anfang zudem das Verzeichnis der Verarbeitungstätigkeiten nach Artikel 30 DSGVO, das erste Dokument, das eine Behörde anfordert. Liegt es nicht vor oder widerspricht es der gelebten Praxis, ist der weitere Verlauf der Prüfung absehbar. Wer all das aus fünf verschiedenen Ablagen beantworten muss, beginnt das große Suchen quer durch Abteilungen und Ordnerstrukturen – und übersieht dabei fast zwangsläufig Widersprüche zwischen den Dokumenten.

Tragfähig wird das Fundament erst, wenn die IT-Sicherheit strategisch aufgesetzt und mit der Datenschutz-Dokumentation verzahnt ist: eine Quelle, ein gemeinsamer Stand. Dann beantwortet sich die Behördenfrage aus einem System heraus statt aus fünf.

6. Betroffenenrechte: Auskunft und Löschung unter Zeitdruck

Ein Kunde verlangt Auskunft über alle gespeicherten Daten – und gleich auch deren Löschung. Was nach Routine klingt, wird im Flickenteppich zum Wettlauf gegen die Uhr: Die DSGVO gibt Ihnen dafür nach Artikel 12 Absatz 3 grundsätzlich einen Monat Zeit. Bei fragmentierten Systemen beginnt dann die Sisyphusarbeit: Einwilligungen im Cookie-Tool suchen, Kontaktdaten im CRM durchforsten, Newsletter-Präferenzen in einer dritten Plattform prüfen – und die Datenbestände der Personalabteilung nicht vergessen, falls der Betroffene auch Bewerber oder Mitarbeiter war.

Oft übersehen: Auskunft und Löschung sind nur zwei von mehreren Betroffenenrechten – hinzu kommen Berichtigung, Datenübertragbarkeit und Widerspruch, jeweils mit derselben Fristlogik. Zwar erlaubt die DSGVO bei komplexen Fällen eine Verlängerung um bis zu zwei Monate, doch auch die muss begründet und fristgerecht mitgeteilt werden.

Die Löschung wiederum muss in allen Systemen erfolgen, in denen die Person gespeichert ist – zeitnah und nachweisbar. Ist dieselbe Person in vier Systemen erfasst, genügt es nicht, drei davon zu bereinigen. Mit manuellen Prozessen ist das innerhalb der Frist kaum zu schaffen, zumal viele Unternehmen gar kein vollständiges Verzeichnis haben, wo überall personenbezogene Daten liegen. Ein strukturiertes Dokumentenmanagement hilft bei der Ordnung, ersetzt aber keine zentrale Sicht auf Einwilligungen und Datenflüsse.

Ein einfacher Selbsttest: Wenn Sie nicht auf Anhieb sagen können, in wie vielen Systemen ein bestimmter Kunde gespeichert sein könnte, ist das ein Warnsignal – und ein guter Startpunkt für die Inventur. Wie das in der Praxis aussieht, zeigt ein realistischer Fall.

Zwei Mitarbeiter durchsuchen mehrere IT-Systeme für eine DSGVO-Auskunftsanfrage unter Zeitdruck — Ein Auskunftsersuchen, vier Systeme, eine Monatsfrist: Ohne zentrale Datenlandkarte wird jede Betroffenenanfrage zur Suchaktion. (Bild: © AGITANO – KI-generiert)

Praxisbeispiel: Ein Auskunftsersuchen legt vier Systeme offen

Ausgangslage: Ein ehemaliger Kunde eines Handelsunternehmens fordert per E-Mail Auskunft über alle gespeicherten Daten und verlangt anschließend deren Löschung. Eine zentrale Übersicht, wo seine Daten überall liegen, existiert nicht.

Vorgehen: Zwei Mitarbeiter durchsuchen manuell CRM, Shop-System, Newsletter-Tool und Buchhaltung. Jede Fundstelle wird einzeln dokumentiert, die Löschung je System separat angestoßen und bestätigt.

Ergebnis: Die Antwort geht an Tag 29 der Monatsfrist raus: knapp, aber fristgerecht. Wochen später meldet sich der Kunde erneut: Ein Ticketsystem wurde übersehen, er erhält weiterhin automatisierte Mails. Es folgt eine Beschwerde bei der Aufsichtsbehörde. Die Erkenntnis: Ohne vollständige Datenlandkarte ist jede Betroffenenanfrage ein Glücksspiel.

7. Persönliche Haftung: Wenn DSGVO-Compliance zur Führungsfrage wird

Die vielleicht unangenehmste Entwicklung im Datenschutzrecht: Aufsichtsbehörden nehmen zunehmend die Führungsebene ins Visier. Prominentestes Beispiel ist Clearview AI. Die niederländische Datenschutzbehörde verhängte im September 2024 ein Bußgeld von 30,5 Millionen Euro gegen den Gesichtserkennungs-Anbieter – und prüft seither, ob die Geschäftsführer für die fortgesetzten Verstöße persönlich haftbar gemacht werden können. Beobachter wie DLA Piper werten genau das als Beginn einer neuen Phase der DSGVO-Durchsetzung, in der die persönliche Verantwortung von Führungskräften an Gewicht gewinnt. Ein Automatismus ist das nicht, die Richtung aber schon.

Parallel steigt der administrative Druck. Laut einer Bitkom-Befragung unter 603 Unternehmen bewerten 44 Prozent ihren Datenschutz-Aufwand als sehr hoch – sechs Prozentpunkte mehr als im Vorjahr; 97 Prozent sprechen von mindestens hohem Aufwand. Gerade kleinere Unternehmen trifft es laut der Erhebung am stärksten.

Für Geschäftsführer entsteht daraus ein Dilemma: Die Aufgaben lassen sich delegieren, die Verantwortung nicht. Verlangt ist eine funktionierende Datenschutz-Organisation: klare Zuständigkeiten und Berichtswege, deren Einhaltung dokumentiert wird, und geschulte Mitarbeiter, denn viele Datenpannen beginnen mit einem unbedachten Klick. Wer Compliance-Arbeit stattdessen auf mehrere Abteilungen und externe Dienstleister verteilt, ohne die Gesamtorganisation im Blick zu behalten, riskiert im Schadensfall auch eine zivilrechtliche Innenhaftung gegenüber der eigenen Gesellschaft – etwa wenn ein Bußgeld nachweislich auf organisatorische Versäumnisse zurückgeht.

Im Tool-Flickenteppich entstehen genau solche Versäumnisse fast zwangsläufig: das falsch konfigurierte Banner, der fehlende AVV. Von beidem erfährt die Geschäftsführung oft erst, wenn es zu spät ist.

DSGVO-Compliance im Mittelstand: Infografik mit sieben Risikofeldern des Tool-Flickenteppichs, ihren Rechtsgrundlagen und Folgen – von der nicht beweisbaren Einwilligung bis zur persönlichen Haftung der Geschäftsführung — Sieben Risiken, sieben Rechtsanker, sieben Folgen: Wo der Tool-Flickenteppich im Mittelstand reißt – und warum alle auf dieselbe Ursache zurückgehen. (Infografik: © AGITANO, Rechtsstand Juni 2026)

Der zentrale Hebel: eine Plattform statt sechs Silos

Sechs der sieben Risikofelder entspringen demselben Kernproblem: der unkoordinierten Nutzung von Einzeltools. Consent hier, Banner da, Datenschutzerklärung woanders – die Bruchstellen zwischen den Systemen sind die Orte, an denen Haftungslücken entstehen. Die Konsequenz ist zunächst ein Strukturprinzip, kein bestimmtes Produkt: Was rechtlich zusammengehört, gehört auch technisch zusammen.

Woran Sie eine tragfähige Lösung für die DSGVO-Compliance erkennen

Gespiegelt an den fünf Methodik-Kriterien sollte eine zentrale Compliance-Plattform die folgenden Anforderungen erfüllen:

Integrationstiefe: Cookie-Banner, Datenschutzerklärungs-Generator und AVV-Verwaltung greifen auf denselben Datenbestand zu. Ein neuer Dienst wird einmal erfasst und überall berücksichtigt.
Revisionssichere Protokollierung: Jede Einwilligung wird mit Zeitstempel, Banner-Version und Umfang dokumentiert und bleibt auch nach Updates oder einem Anbieterwechsel abrufbar.
Automatische Rechtsaktualisierung: Ändern sich Gesetze oder Rechtsprechung, werden Banner und Rechtstexte zentral nachgezogen – ohne dass Sie jede Entwicklung selbst verfolgen müssen.
Consent Mode und TCF-Unterstützung: Einwilligungssignale lassen sich standardisiert an Werbe- und Analyseplattformen übergeben, damit Marketing und Datenschutz nicht gegeneinander arbeiten.
Geringer Pflegeaufwand: Die Lösung muss von einem kleinen Team ohne eigene Rechtsabteilung beherrschbar sein – sonst entsteht nur das nächste verwaiste Tool.

Erfüllt eine Lösung diese fünf Punkte, sind die gefährlichsten Bruchstellen geschlossen, und der verbleibende Pflegeaufwand ist überschaubar.

Einordnung: der Markt für Datenschutz-Management-Software

Der Markt lässt sich grob in drei Lösungsansätze gliedern, jeder mit eigenen Stärken und Grenzen:

Lösungsansatz	Stärken	Grenzen
Einzel-Plugins im CMS	Schnell installiert, günstig, direkt im gewohnten System	Decken meist nur das Banner ab; Rechtstexte und AVVs bleiben Handarbeit
Spezialisierte Consent-Plattformen	Ausgereifte Banner-Funktionen, Consent Mode, TCF-Support	Enden beim Consent; Datenschutzerklärung und Verträge laufen separat weiter
Integrierte Compliance-Plattformen	Banner, Rechtstexte und Dokumentation aus einem Datenbestand	Einarbeitung nötig; laufende Kosten statt einmaligem Plugin-Kauf

Ein Beispiel für die dritte Kategorie ist iubenda: Das europäische Unternehmen bündelt Cookie-Banner, Consent Management, Datenschutzerklärung und AGB in einer Plattform, ist Google-zertifizierter CMP-Partner mit Consent Mode v2, nach TCF 2.2 validiert und pflegt seine Rechtstexte anwaltlich in 27 Sprachen; über 150.000 Unternehmen setzen die Lösung ein. Das Grundproblem benennt der Anbieter selbst: Wer Datenschutz-, Cookie- und Rechtsdokumente in getrennten Systemen pflegt, verliert schnell den Überblick.

Welche Kategorie und welche Lösung im Einzelfall passen, hängt von Website-Umfang, eingesetzten Diensten und vorhandener Betreuung ab – die fünf Kriterien oben liefern den Prüfrahmen für jede der drei.

Vom Flickenteppich zur Struktur: die ersten fünf Schritte

Der Umstieg muss kein Großprojekt sein. Bewährt hat sich eine klare Reihenfolge, die sich in überschaubaren Etappen abarbeiten lässt:

Tool-Inventur: Erfassen Sie alle Dienste, die personenbezogene Daten berühren, auch die vergessenen: das alte Chat-Widget, der Test-Account, das Tracking-Pixel der früheren Agentur.
AVV-Bestandsaufnahme: Prüfen Sie für jeden Dienst, ob ein wirksamer Vertrag vorliegt, und klopfen Sie beendete Dienstleisterverhältnisse auf offene Löschnachweise ab.
Banner-Audit: Messen Sie Ihr Cookie-Banner an den Kriterien des VG Hannover: Ablehn-Option auf der ersten Ebene, keine lenkende Gestaltung, Tag Manager erfasst.
Konsolidierungsentscheidung: Entscheiden Sie anhand der fünf Methodik-Kriterien, welche Systeme zusammengeführt werden, und in welcher Reihenfolge.
Migration mit Nachweisen: Sichern Sie beim Umzug die Einwilligungs-Historien und legen Sie Altsysteme mit dokumentierter Löschung still.

Wer diese fünf Schritte durchläuft, kennt die eigene Datenlandschaft häufig zum ersten Mal vollständig – und genau diese Übersicht ist bereits die halbe Compliance.

DSGVO-Compliance im Mittelstand braucht ein Fundament, keine Flicken

Der Flickenteppich aus einzelnen Datenschutz-Tools wirkt auf den ersten Blick günstig – und genau darin liegt seine Tücke: Er wiegt in Sicherheit, während die Lücken zwischen den Systemen wachsen. Wer gar keine Lösung hat, weiß wenigstens, dass er handeln muss.

Der Flickenteppich dagegen erzeugt sieben konkrete Haftungsfelder – von unbeweisbaren Einwilligungen über unwirksame Cookie-Banner und vergessene Auftragsverarbeitungsverträge bis zur persönlichen Haftung der Geschäftsführung. Die Rechtsprechung hat die Anforderungen zuletzt spürbar verschärft: das VG Hannover bei der Banner-Gestaltung, der BGH beim kontrollierten Ende der Auftragsverarbeitung.

Um im Bild vom Hausbau zu bleiben: Wer Fundament, Elektrik und Statik koordiniert plant, baut einmal – und baut richtig. Ein zentraler Compliance-Ansatz verhindert strukturell, dass Einwilligungen, Verträge und Rechtstexte auseinanderdriften, und macht Datenschutz vom Dauerrisiko zur beherrschbaren Routine.

Für den Mittelstand lautet die entscheidende Frage deshalb weniger, ob man sich eine zentrale Lösung leisten kann – als vielmehr, ob man sich den Flickenteppich noch leisten will.

Häufige Fragen zur DSGVO-Compliance im Mittelstand

Was bedeutet DSGVO-Compliance im Mittelstand konkret?

DSGVO-Compliance bedeutet, dass jede Verarbeitung personenbezogener Daten auf einer Rechtsgrundlage beruht, dokumentiert ist und die Rechte der Betroffenen wahrt. Für den Mittelstand heißt das praktisch: eine aktuelle Datenschutzerklärung, ein rechtskonformes Cookie-Banner mit Nachweisführung, Auftragsverarbeitungsverträge mit allen Dienstleistern, ein Verzeichnis der Verarbeitungstätigkeiten sowie technische und organisatorische Schutzmaßnahmen. Entscheidend ist weniger das einzelne Dokument als das Zusammenspiel: Die Bausteine müssen widerspruchsfrei ineinandergreifen und bei jeder Änderung – etwa einem neuen Tool – gemeinsam aktualisiert werden.

Welche Bußgelder drohen bei mangelnder DSGVO-Compliance im Mittelstand?

Die DSGVO sieht Bußgelder von bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes vor – je nachdem, welcher Wert höher ist. In der Praxis bemessen die Aufsichtsbehörden die Höhe nach Schwere, Dauer und Umständen des Verstoßes sowie nach der Unternehmensgröße. Für mittelständische Unternehmen bleiben Bußgelder meist deutlich unter den Maximalwerten, können aber zusammen mit Abmahnungen, Schadensersatzforderungen und Reputationsschäden empfindlich werden. Allein in Deutschland summierten sich die verhängten DSGVO-Bußgelder bis Anfang 2025 auf rund 89 Millionen Euro.

Ist ein Cookie-Banner ohne „Alles ablehnen“-Button noch zulässig?

Nach dem Urteil des VG Hannover vom März 2025 gilt: Bietet ein Banner auf der ersten Ebene eine Schaltfläche zum Akzeptieren aller Cookies, muss dort auch eine gleichermaßen einfache Möglichkeit zum Ablehnen stehen. Ein Verweis auf eine zweite Einstellungs-Ebene genügt nicht. Das Banner darf Nutzer zudem nicht durch Farben, Größe oder Platzierung gezielt zur Einwilligung lenken. Wer ein älteres Banner ohne Ablehn-Option betreibt, riskiert behördliche Anordnungen, unwirksame Einwilligungen und damit eine fehlende Rechtsgrundlage für das gesamte Tracking.

Braucht der Google Tag Manager eine eigene Einwilligung?

Ja. Nach Auffassung des VG Hannover ist bereits der Einsatz des Google Tag Managers einwilligungspflichtig, weil das Werkzeug Skripte nachlädt und auf das Endgerät der Besucher zugreift. Das überrascht viele Website-Betreiber, die den Tag Manager nur als neutrales Verwaltungswerkzeug betrachten. Für die Praxis bedeutet das: Der Tag Manager gehört in das Consent Management aufgenommen und darf erst nach erteilter Einwilligung auslösen. Prüfen Sie außerdem, welche Tags darüber ausgespielt werden – jeder einzelne Dienst braucht zusätzlich seine eigene Rechtsgrundlage.

Was muss ein Einwilligungsnachweis nach der DSGVO enthalten?

Artikel 7 Absatz 1 DSGVO verlangt, dass der Verantwortliche die Einwilligung nachweisen kann. Belastbar ist ein Nachweis, wenn er festhält, wann die Einwilligung erteilt wurde (Zeitstempel), worauf sie sich bezog (Dienste und Zwecke), wie sie eingeholt wurde (Banner-Version und Gestaltung) und ob sie später widerrufen wurde. Wichtig ist die Revisionssicherheit: Die Protokolle müssen auch nach Updates oder einem Tool-Wechsel verfügbar bleiben. Einfache Cookie-Plugins ohne dauerhafte, manipulationssichere Protokollierung erfüllen diese Anforderung häufig nicht.

Wann ist ein Auftragsverarbeitungsvertrag (AVV) erforderlich?

Ein AVV nach Artikel 28 DSGVO ist immer dann nötig, wenn ein externer Dienstleister personenbezogene Daten weisungsgebunden für Sie verarbeitet. Klassische Fälle im Mittelstand sind Hosting-Provider, Newsletter-Dienste, CRM-Systeme, Cloud-Speicher, Ticket- und Chat-Tools sowie Agenturen mit Zugriff auf Kundendaten. Keinen AVV brauchen Sie bei eigenverantwortlichen Stellen wie Steuerberatern oder Banken. Wichtig: Der Vertrag muss vor Beginn der Verarbeitung geschlossen sein, und Sie bleiben verpflichtet, die Einhaltung zu kontrollieren – bis hin zur Löschung am Auftragsende.

Was passiert nach dem Ende eines AVV mit den Daten?

Nach Auftragsende muss der Dienstleister die personenbezogenen Daten – vorbehaltlich gesetzlicher Aufbewahrungspflichten – löschen oder zurückgeben. Der BGH hat im November 2025 klargestellt, dass der Verantwortliche dies aktiv sicherstellen muss: Eine bloße Ankündigung des Dienstleisters genügt nicht, es braucht eine verbindliche Löschbestätigung. Verbleiben Daten beim früheren Auftragsverarbeiter und werden dort später abgegriffen, haftet das beauftragende Unternehmen auf Schadensersatz. Ein dokumentierter Offboarding-Prozess mit Bestätigungspflicht gehört deshalb fest in jedes AVV-Management.

Haften Geschäftsführer persönlich für Datenschutzverstöße?

Bußgelder richten sich in der Regel gegen das Unternehmen. Die Geschäftsführung kann aber auf mehreren Wegen persönlich betroffen sein: über die zivilrechtliche Innenhaftung gegenüber der eigenen Gesellschaft, wenn ein Schaden auf Organisationsversäumnisse zurückgeht, und in Einzelfällen über behördliche Maßnahmen gegen handelnde Personen. Dass die niederländische Datenschutzbehörde im Fall Clearview AI die persönliche Haftung der Geschäftsführer prüft, zeigt die Richtung: Wer Datenschutz vollständig delegiert und nicht kontrolliert, kann sich später kaum auf Unwissenheit berufen.

Reicht ein Datenschutzbeauftragter für die DSGVO-Compliance aus?

Nein. Der Datenschutzbeauftragte berät, überwacht und schult – die Verantwortung für die DSGVO-Compliance trägt weiterhin die Unternehmensleitung. In Deutschland ist ein Datenschutzbeauftragter in der Regel zu benennen, wenn mindestens 20 Personen ständig mit automatisierter Datenverarbeitung beschäftigt sind. Er ersetzt jedoch weder funktionierende Prozesse noch passende Werkzeuge: Ohne revisionssichere Einwilligungsprotokolle, gepflegte Auftragsverarbeitungsverträge und aktuelle Rechtstexte kann auch der beste Berater Lücken nur benennen, nicht schließen. Organisation und Ausstattung bleiben Führungsaufgabe.

Worauf sollte der Mittelstand bei zentralen Compliance-Plattformen achten?

Maßgeblich sind fünf Kriterien: Integrationstiefe (greifen Banner, Rechtstexte und AVV-Verwaltung auf denselben Datenbestand zu?), revisionssichere Protokollierung von Einwilligungen, automatische Aktualisierung bei Rechtsänderungen, Unterstützung von Google Consent Mode und TCF-Standard sowie ein Pflegeaufwand, der ohne eigene Rechtsabteilung beherrschbar bleibt. Achten Sie zusätzlich auf einen Anbietersitz in Europa und juristisch gepflegte Textbausteine. Testen Sie vor der Entscheidung mit der eigenen Website: Drei bis zehn eingebundene Dienste sind der realistische Maßstab für den Alltag.

Hinweis der Redaktion: Dieser Beitrag bietet eine redaktionelle Einordnung der Rechtslage (Stand: Juni 2026) und ersetzt keine Rechtsberatung im Einzelfall.