DSGVO-Abmahnung für Websites: Was tun und wie vorbeugen?
Google-Fonts-Abmahnungen, Cookie-Banner-Mängel, fehlende DSE: Erfahre, welche Abmahngründe es gibt, was eine Abmahnung kostet und wie du dich mit regelmäßigen Scans schützt.
Seit dem vielbeachteten Urteil des LG München I vom 20. Januar 2022 (Az. 3 O 17493/20) zu Google Fonts haben DSGVO-bezogene Abmahnungen für Websites eine neue Dimension erreicht. Tausende Website-Betreiber erhielten Schreiben mit Schadensersatzforderungen zwischen 100 und 170 Euro — oft von derselben Kanzlei im Auftrag derselben Person. Was als Einzelfallentscheidung zu externen Google Fonts begann, hat sich zu einem breiteren Phänomen entwickelt: Abmahnungen wegen fehlender Datenschutzerklärungen, mangelhafter Cookie-Banner, fehlender SSL-Verschlüsselung und nicht abgeschlossener AVVs sind mittlerweile Alltag.
Dieser Artikel erklärt, wer abmahnt, welche Gründe es gibt, was eine Abmahnung kostet, wie du reagieren solltest und — am wichtigsten — wie du Abmahnungen präventiv vermeidest.
Die Google-Fonts-Abmahnwelle 2022-2024
Was geschah?
Das LG München I entschied, dass die dynamische Einbindung von Google Fonts ohne Einwilligung einen DSGVO-Verstoß darstellt, weil die IP-Adresse des Besuchers an Google (USA) übermittelt wird. Das Gericht sprach dem Kläger 100 Euro Schadensersatz nach Art. 82 DSGVO zu.
In der Folge versandten mehrere Kanzleien im Namen von Privatpersonen massenhaft Abmahnungen an Website-Betreiber. Die Forderungen lagen zwischen 100 und 170 Euro pro Abmahnung, zuzüglich Anwaltskosten. Geschätzt wurden 100.000 bis 200.000 Abmahnschreiben allein im deutschsprachigen Raum versendet.
Reaktion der Gerichte und Staatsanwaltschaften
Die Massenabmahnungen führten zu Gegenreaktionen:
| Instanz | Entscheidung | Bedeutung |
|---|---|---|
| AG Ludwigsburg (2022) | Abweisung wegen Rechtsmissbrauch | Massenabmahnungen als Geschäftsmodell nicht schützenswert |
| AG Jülich (2023) | Abweisung wegen fehlender Betroffenheit | Kläger konnte nicht nachweisen, tatsächlich betroffen zu sein |
| LG Baden-Baden (2023) | Abweisung: Bagatellschaden, kein Kontrollverlust | 100 EUR Schadensersatz für IP-Übermittlung unangemessen |
| StA Berlin (2023) | Ermittlungen wegen Abmahnmissbrauch | Gewerbsmäßiger Betrug vermutet |
| BGH (2024) | DSGVO-Schadensersatz erfordert tatsächlichen Schaden | Klarstellung zur Schadensersatzschwelle |
Aktueller Stand: Die Rechtsprechung hat sich zugunsten der Website-Betreiber verschoben. Dennoch: Der Verstoß selbst — externe Google Fonts ohne Einwilligung — bleibt ein DSGVO-Verstoß. Die Pflicht zur lokalen Einbindung ist unstrittig.
Wer mahnt ab?
DSGVO-Abmahnungen können aus verschiedenen Richtungen kommen:
1. Privatpersonen (Art. 82 DSGVO)
Jede Person, deren Daten unrechtmäßig verarbeitet wurden, kann Schadensersatz nach Art. 82 DSGVO verlangen. In der Praxis wird dies häufig von Einzelpersonen genutzt, die gezielt Websites besuchen, den Verstoß dokumentieren und dann (oft über eine Kanzlei) Schadensersatz fordern.
2. Verbraucherschutzverbände
Verbraucherschutzorganisationen können nach dem UKlaG (Unterlassungsklagengesetz) gegen DSGVO-Verstöße vorgehen, die Verbraucherrechte verletzen. Der EuGH hat in der Entscheidung C-319/20 (Meta Platforms) bestätigt, dass Verbraucherschutzverbände klageberechtigt sind.
3. Mitbewerber (UWG)
Die Frage, ob Mitbewerber DSGVO-Verstöße als Wettbewerbsverstoß abmahnen können, war lange umstritten. Seit dem BGH-Urteil vom 28. Mai 2024 (I ZR 186/22) ist klar: DSGVO-Verstöße können unter bestimmten Voraussetzungen einen Wettbewerbsverstoß nach ss 3a UWG darstellen — insbesondere wenn die verletzte DSGVO-Norm auch dem Schutz der Interessen der Marktteilnehmer dient.
4. Aufsichtsbehörden
Aufsichtsbehörden mahnen nicht “ab”, sondern verhängen Bußgelder (Art. 83 DSGVO) oder sprechen Anordnungen aus. Der Weg dorthin führt oft über eine Beschwerde eines Betroffenen nach Art. 77 DSGVO — kostenlos und ohne Anwalt.
Typische Abmahngründe für Websites
1. Google Fonts extern eingebunden
- Verstoß: IP-Adresse wird an Google (USA) übermittelt, ohne Einwilligung und ohne hinreichende Rechtsgrundlage für den Drittlandtransfer
- Risiko: 100-170 EUR Schadensersatz + Anwaltskosten (500-1.000 EUR) + Unterlassungserklärung
- Lösung: Schriftarten lokal einbinden, keine Requests an fonts.googleapis.com
2. Fehlende oder mangelhafte Datenschutzerklärung
- Verstoß: Art. 13 DSGVO verlangt umfassende Informationen über alle Datenverarbeitungen
- Häufige Mängel: Fehlende Nennung eingesetzter Dienste, keine Speicherdauern, kein Hinweis auf Drittlandtransfer, fehlende Betroffenenrechte
- Risiko: Bußgeld + Abmahnung durch Mitbewerber oder Verbraucherschutz
3. Cookie-Banner-Mängel
- Verstoß: Tracking-Scripts laden vor der Einwilligung, kein gleichwertiger Reject-Button, vorausgewählte Checkboxen (EuGH Planet49, C-673/17)
- Häufige Probleme:
| Problem | DSGVO-Verstoß | Häufigkeit |
|---|---|---|
| Kein Cookie-Banner trotz Tracking | Ja (TDDDG ss 25, Art. 6 Abs. 1 lit. a DSGVO) | Sehr häufig |
| Tracking lädt vor Consent | Ja (Script-Blocking fehlt) | Häufig |
| Nur “Alle akzeptieren”-Button | Ja (keine echte Wahlmöglichkeit) | Häufig |
| Reject-Button versteckt/klein | Ja (Dark Pattern, EDSA-Leitlinien 3/2022) | Häufig |
| Vorausgewählte Checkboxen | Ja (EuGH Planet49) | Mittel |
| Kein Widerruf möglich | Ja (Art. 7 Abs. 3 DSGVO) | Mittel |
4. Fehlender AVV mit Dienstleistern
- Verstoß: Art. 28 DSGVO verlangt einen AVV mit jedem Auftragsverarbeiter
- Betroffene Dienste: Google Analytics, Newsletter-Anbieter, Hosting, CDN, Payment
- Risiko: Bußgeld bis 10 Mio. EUR oder 2% des Jahresumsatzes (Art. 83 Abs. 4)
5. Kontaktformular ohne SSL
- Verstoß: Personenbezogene Daten werden unverschlüsselt übertragen (Art. 32 DSGVO, Art. 5 Abs. 1 lit. f)
- Risiko: Abmahnung + Bußgeld + Imageschaden
- Lösung: HTTPS auf der gesamten Website, nicht nur auf dem Formular
6. Weitere Abmahngründe
- Fehlende Einbindung von YouTube im erweiterten Datenschutzmodus
- Social-Media-Plugins ohne 2-Klick-Lösung
- Facebook Pixel / Meta Pixel ohne Consent
- Fehlende Löschmöglichkeit für Newsletter-Abonnenten
- Kontaktdaten des Datenschutzbeauftragten nicht in der DSE genannt (obwohl DSB bestellt)
Kosten einer DSGVO-Abmahnung
Die finanziellen Folgen einer Abmahnung variieren stark:
Außergerichtliche Kosten
| Posten | Typischer Betrag | Rechtsgrundlage |
|---|---|---|
| Schadensersatz (Privatperson) | 100-500 EUR | Art. 82 DSGVO |
| Anwaltskosten des Abmahners | 500-1.500 EUR | ss 13 UWG, RVG |
| Eigene Anwaltskosten (Beratung) | 300-1.000 EUR | RVG |
| Summe pro Abmahnung | 900-3.000 EUR |
Bei gerichtlicher Durchsetzung
| Posten | Typischer Betrag | Basis |
|---|---|---|
| Streitwert | 5.000-10.000 EUR | Gerichtlich festgesetzt |
| Gerichtskosten | 500-1.000 EUR | GKG |
| Gegnerische Anwaltskosten (bei Verlust) | 1.000-2.000 EUR | RVG |
| Eigene Anwaltskosten | 1.000-2.000 EUR | RVG |
| Summe (bei Verlust) | 2.500-5.000 EUR |
Unterlassungserklärung: Das langfristige Risiko
Die größte Gefahr einer Abmahnung ist nicht die einmalige Zahlung, sondern die Unterlassungserklärung. Wenn du eine Unterlassungserklärung abgibst und danach erneut gegen die Pflicht verstößt (z.B. Google Fonts werden nach einem Update wieder extern geladen), droht eine Vertragsstrafe — typisch sind 5.000 bis 10.000 EUR pro Verstoß.
Was tun bei einer Abmahnung?
Schritt 1: Ruhe bewahren und Fristen prüfen
- Frist notieren: Die meisten Abmahnungen setzen eine Frist von 7-14 Tagen für die Unterlassungserklärung
- Nicht sofort zahlen: Erst prüfen, ob die Forderung berechtigt ist
- Nicht ignorieren: Fristen ernst nehmen, auch wenn die Forderung überzogen erscheint
Schritt 2: Verstoß prüfen
- Liegt der behauptete Verstoß tatsächlich vor?
- Waren Google Fonts extern eingebunden? Prüfe den Quelltext und die Netzwerk-Requests
- Läuft Tracking vor dem Consent? Prüfe mit dem Browser-Entwicklertool
- Ist die Datenschutzerklärung vollständig?
Schritt 3: Anwalt einschalten
Bei Abmahnungen mit Schadensersatzforderung und Unterlassungserklärung: Immer einen auf IT-Recht spezialisierten Anwalt konsultieren. Kosten: 200-500 EUR für die Erstberatung — deutlich günstiger als eine unüberlegte Unterlassungserklärung.
Schritt 4: Modifizierte Unterlassungserklärung
Niemals die vorformulierte Unterlassungserklärung des Abmahners unterschreiben. Sie enthält oft zu weitgehende Verpflichtungen und überhöht Vertragsstrafen. Stattdessen: Modifizierte Unterlassungserklärung durch den eigenen Anwalt formulieren lassen — gleicher Zweck, aber angemessene Bedingungen.
Schritt 5: Verstoß beheben
Unabhängig von der rechtlichen Reaktion: Den Verstoß sofort beheben. Google Fonts lokal einbinden, Cookie-Banner korrigieren, Datenschutzerklärung aktualisieren. Je schneller die Behebung, desto besser die Verhandlungsposition.
Prävention: DSGVO-Abmahnungen vermeiden
Regelmäßige automatisierte Scans
Viele Verstöße entstehen unbemerkt — durch Plugin-Updates, Theme-Wechsel oder neue eingebettete Inhalte. Ein automatisierter Scan erkennt Probleme, bevor ein Abmahner sie findet:
| Prüfbereich | Typischer Verstoß | Automatisiert erkennbar? |
|---|---|---|
| Externe Schriftarten | Google Fonts, Adobe Fonts extern geladen | Ja |
| Cookie-Banner | Tracking vor Consent, kein Reject-Button | Ja |
| SSL/TLS | Fehlende oder fehlerhafte Verschlüsselung | Ja |
| Third-Party-Requests | Unbekannte Verbindungen zu Drittanbietern | Ja |
| Security-Headers | HSTS, CSP, X-Frame-Options fehlen | Ja |
| Datenschutzerklärung | Vorhanden und verlinkt? | Ja |
| Impressum | Vorhanden und vollständig? | Ja |
| Mixed Content | HTTP-Ressourcen auf HTTPS-Seite | Ja |
Der Compliso Scanner prüft alle diese Kriterien automatisch — insgesamt 30 DSGVO-relevante Checks in einem Durchlauf.
Externe Ressourcen lokal hosten
Die wichtigste Einzelmaßnahme gegen Abmahnungen: Keine externen Ressourcen, die personenbezogene Daten übertragen.
- Google Fonts: Lokal einbinden (Self-Hosting, google-webfonts-helper)
- Font Awesome: Lokale Kopie oder SVG-Icons verwenden
- jQuery von CDN: Eigene Kopie auf dem Server
- Bootstrap von CDN: Eigene Kopie oder npm-Installation
Cookie-Banner korrekt einrichten
- Script-Blocking: Tracking-Scripts müssen vor der Einwilligung blockiert werden
- Gleichwertiger Reject-Button: “Alle ablehnen” genauso sichtbar wie “Alle akzeptieren”
- Widerruf: Cookie-Einstellungen müssen jederzeit änderbar sein
- Keine vorausgewählten Checkboxen
Der Compliso Cookie-Banner erfüllt alle diese Anforderungen out-of-the-box, inklusive echtem Script-Blocking und Google Consent Mode v2.
Datenschutzerklärung aktuell halten
Jede Änderung an der Website — neues Plugin, neues Analysetool, neuer Newsletter-Dienst — muss sich in der Datenschutzerklärung widerspiegeln. Der Compliso Content-Generator erstellt rechtssichere Datenschutzerklärungen basierend auf einem geführten Fragebogen und hält sie aktuell.
Cyber-Versicherung als Absicherung
Eine Cyber-Police deckt in vielen Fällen auch DSGVO-Abmahnungen ab:
| Leistung | Typische Deckung |
|---|---|
| Anwaltskosten bei Abmahnung | Ja |
| Schadensersatz Art. 82 DSGVO | Ja (bis Deckungssumme) |
| Bußgelder | Teilweise (je nach Police und Landesrecht) |
| Vertragsstrafen aus Unterlassungserklärung | Oft nicht abgedeckt |
| Forensik bei Datenpanne | Ja |
Achtung: Bußgelder sind in einigen Bundesländern nicht versicherbar (öffentlich-rechtliche Sanktionen). Die Deckung von Schadensersatzforderungen ist aber in der Regel möglich.
Praxis-Checkliste: Abmahnungen vermeiden
- Google Fonts und andere Schriftarten lokal einbinden (keine CDN-Requests an Google)
- Cookie-Banner mit echtem Script-Blocking einrichten
- Reject-Button gleichwertig zum Akzeptieren-Button gestalten
- Datenschutzerklärung vollständig erstellen (alle Dienste, Speicherdauern, Drittlandtransfers)
- SSL/TLS-Verschlüsselung für die gesamte Website aktivieren
- AVV mit allen Dienstleistern abschließen (Hosting, Analytics, Newsletter, Payment)
- Impressum vollständig und aktuell halten
- Keine Social-Media-Plugins ohne 2-Klick-Lösung oder Consent
- YouTube im erweiterten Datenschutzmodus einbetten (
youtube-nocookie.com) - Regelmäßige automatisierte Website-Scans durchführen
- Bei Abmahnung: Nicht sofort zahlen, Anwalt konsultieren, Verstoß beheben
- Cyber-Versicherung als zusätzliche Absicherung prüfen
Prävention statt Reaktion
DSGVO-Abmahnungen lassen sich in den meisten Fällen vollständig vermeiden — wenn du deine Website regelmäßig auf Verstöße prüfst und Probleme behebst, bevor sie jemand findet. Der Compliso Scanner prüft deine Website automatisch auf 30 DSGVO-relevante Kriterien und zeigt dir genau, wo Handlungsbedarf besteht.
Scanne deine Website jetzt kostenlos und finde heraus, ob auf deiner Seite abmahnfähige Verstöße vorliegen. Oder registriere dich direkt für die vollständige DSGVO-Toolbox mit Scanner, Cookie-Banner und Content-Generator — damit Abmahnungen keine Chance haben.
Deine Website DSGVO-konform machen?
Compliso prüft deine Website automatisch auf Cookies, Tracker, Dark Patterns und Accessibility-Probleme.