LSM Agents

Compliance · DSGVO

DSGVO-Compliance für Next.js-Sites: Audit, Remediation, AVV — Festpreis.

BGH-Urteil I ZR 186/17 vom 27. März 2025: DSGVO-Verstöße sind nun UWG-abmahnbar. Wettbewerber können Abmahnungen für Ihren DSGVO-Verstoß aussprechen. Wir auditieren Ihre Seite, liefern einen schriftlichen Remediations-Plan und shippen die Fixes in 14 Tagen zum Festpreis.

TL;DR

  • ·BGH-Urteil 27.03.2025: DSGVO-Verstöße sind nun UWG-abmahnbar — Ihr Wettbewerber kann eine bindende Unterlassungserklärung für Ihren Datenschutzverstoß durchsetzen.
  • ·Häufige Lücken: Google Fonts vom CDN, Analytics ohne Consent, fehlende AVV mit dem Hosting-Anbieter, eingebettetes YouTube ohne nocookie-Variante.
  • ·Maximales DSGVO-Bußgeld: 20 Mio. € oder 4 % des globalen Umsatzes (je höher). Die UWG-Abmahnung ist schneller und richtet denselben Geschäftsschaden an.
  • ·Unsere Lieferung: 7-Tage-Audit (2.900 €) → 14-Tage-Festpreis-Remediation → AVV-Pack mit Hosting-, Voice-, Analytics-Verarbeitern.

Wer muss konform sein

Die DSGVO gilt für jede Stelle, die personenbezogene Daten von EU-Bürgern verarbeitet — unabhängig vom Sitz. Wenn Ihre Seite Analytics, Kontaktformulare, Kommentare, eingebettetes Video, Drittanbieter-Schriftarten, A/B-Tests, Retargeting-Pixel oder Cookies hat, die die Sitzung überdauern, verarbeiten Sie personenbezogene Daten und die DSGVO gilt. Hobby-Projekte ohne kommerzielle Absicht sind nach Art. 2(2)(c) ausgenommen, aber die Schwelle ist „rein privat" — eine Freelancer-Portfolio-Seite ist kommerziell.

Was wir in echten DSGVO-Audits finden

Dies sind die zehn häufigsten Mängel auf Berliner / DACH-Sites, die wir auditieren. Jeder einzelne ist nach BGH 03/2025 für Wettbewerber UWG-rechtlich angreifbar.

  • Google Fonts werden von fonts.googleapis.com geladen statt lokal gehostet
  • Google Analytics 4 feuert ohne vorherige Einwilligung
  • Eingebettete YouTube-Videos verwenden youtube.com statt youtube-nocookie.com
  • Hosting-Anbieter ohne unterzeichnete AVV / Auftragsverarbeitungsvereinbarung
  • Plausible / Fathom / GA werden vor dem Consent-Banner geladen
  • Cookie-Banner mit „Ablehnen" hinter mehreren Klicks (nach VG Hannover + SHEIN 150 Mio. €)
  • Datenschutzerklärung enthält keine Pflichtangaben nach Art. 13/14 (Empfänger, Speicherdauer, Datenherkunft)
  • Kontaktformular speichert Eingaben ohne TTL oder Löschkonzept
  • Keine DSFA für KI-/Voice-/Chatbot-Verarbeitung
  • Drittland-Übermittlungen (US-Dienste) ohne SCC + ergänzende Maßnahmen

Wie die Durchsetzung tatsächlich aussieht

Drei Risikovektoren nach BGH 03/2025. Erstens: Ihre Datenschutzbehörde (BfDI bundesweit, LfDI je Land) kann Bußgelder bis 20 Mio. € oder 4 % des globalen Umsatzes verhängen. Zweitens: Betroffene können Schadensersatz nach Art. 82 individuell geltend machen — typische Beträge 100–3.000 € pro Fall, klassenartige Bündelung steigend. Drittens — und das ist neu — Wettbewerber können UWG-Abmahnungen einreichen, kosten 1.500–5.000 € Anwaltsgebühren plus zwingende Remediation unter Androhung einstweiliger Verfügung. Die dritte sollte Sie nachts wachhalten — sie braucht keine Behörde.

Wie wir ein DSGVO-Projekt führen

  1. 01

    Audit (7 Tage): automatisierter Scanner + manuelle Prüfung von 12+ repräsentativen Seiten, alle Drittanforderungen bei First Paint und nach Consent erfasst. Ergebnis: schriftlicher Bericht, nach Artikel + Schweregrad sortiert.

  2. 02

    Remediations-Plan: Festpreis-Angebot gegen den Bericht. Kritische Themen (Drittanrufe ohne Consent, fehlende AVV) priorisiert.

  3. 03

    Build (10–14 Tage): Code-Level-Fixes — lokales Font-Hosting, Consent-Gating für Analytics, nocookie-Varianten, Cookie-Banner-Ersatz bei Bedarf.

  4. 04

    AVV-Pack: unterzeichnete Auftragsverarbeitungsverträge mit jedem Subprozessor (Hosting, Analytics, E-Mail, Voice/Chat-Provider). Vorlage und Tracker bereitgestellt.

  5. 05

    Datenschutzerklärung: Art. 13/14-Audit und Neufassung. Klartext-Version + Technik-Version.

  6. 06

    Monitoring: optionaler Operator-Retainer mit monatlichem Drittanforderungs-Scan + AVV-Review bei Prozessor-Wechsel.

Quellen

DSGVO — häufig gestellte Fragen

Meine Seite ist klein. Gilt die DSGVO wirklich?+

Ja. Die DSGVO kennt keine Größen-Ausnahme. Die Ausnahme ist „ausschließlich persönlich oder familiär" (Art. 2(2)(c)) — jede kommerzielle Nutzung, egal wie klein, löst den vollen DSGVO-Geltungsbereich aus.

Ist Google Fonts vom CDN wirklich ein Problem?+

Ja. LG München I 20.01.2022 (3 O 17493/20) entschied es als DSGVO-Verstoß und sprach 100 € immateriellen Schadensersatz an einen einzelnen Nutzer zu. Hunderte Folge-Abmahnungen 2022–2024. Schriften immer selbst hosten.

Brauche ich eine AVV mit meinem Hosting-Anbieter?+

Ja — jeder Verarbeiter (Hosting, Analytics, E-Mail-Versand, Sprachsynthese, Zahlungen) braucht eine unterzeichnete AVV nach Art. 28. Größere Anbieter (Vercel, AWS, Stripe) bieten Standardversionen, die elektronisch unterzeichnet werden. Kleinere Anbieter brauchen unsere Vorlage.

Reicht ein Cookie-Banner?+

Nein. Der Cookie-Banner ist ein Baustein. Sie brauchen außerdem: Rechtsgrundlage je Cookie, Art.-13-Hinweise, Verarbeiter-AVV, serverseitige Durchsetzung (Analytics-Skript NICHT vor Consent laden — Banner allein ist Theater).

Wie lange dauert die Remediation typisch?+

7-Tage-Audit + 10–14 Tage Remediation = ca. 3 Wochen End-to-End. Größere Sites mit Custom-CMS oder vielen Dritt-Integrationen 4–6 Wochen.

Was kostet es?+

Nur Audit: 2.900 € Festpreis. Audit + Remediation: 4.900–14.000 €, abhängig von Befunden. Genauen Preis im Kalkulator konfigurieren.

Configure your scope →

← Back to compliance overview