Rechtspraxis27. Mai 20266 Min. Lesezeit

DSGVO-Abmahnung 2026: Was ein Cookie-Fehler auf der Kunden-Website wirklich kostet

Cookie-Banner falsch konfiguriert, Datenschutzerklärung veraltet, SSL abgelaufen: Für Web-Agenturen sind das keine Kleinigkeiten mehr. Ein realistischer Blick auf Kosten, Haftung und wie Sie Ihr Portfolio absichern.

Eine Abmahnung wegen eines fehlenden Cookie-Banners oder einer veralteten Datenschutzerklärung klingt nach einem Problem des Website-Betreibers. In der Praxis landet die Rechnung aber oft bei der Agentur, die die Website gebaut und betreut hat. Was das konkret bedeutet und wie Sie sich schützen.

Was eine DSGVO-Abmahnung kostet

Die Zahlen variieren je nach Verstoß, Abmahner und Anwalt. Als realistische Orientierung für typische Fälle:

  • Anwaltskosten der Gegenseite: 500 bis 2.000 Euro bei einem einfachen Verstoß
  • Vertragsstrafe bei Unterlassungserklärung: 2.500 bis 15.000 Euro pro Verstoß
  • DSGVO-Bußgeld der Aufsichtsbehörde: bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes
  • Eigene Anwaltskosten für die Verteidigung: 1.500 bis 5.000 Euro

Für einen typischen KMU-Betreiber oder eine kleine Agentur sind 5.000 bis 15.000 Euro pro Vorfall ein realistisches Risiko. Nicht hypothetisch: Abmahnwellen wegen Cookie-Verstößen sind seit 2022 dokumentiert, besonders nach dem Urteil des EuGH zur aktiven Einwilligung.

Wann haftet die Agentur?

Das ist die entscheidende Frage. Und die Antwort ist unbequem: öfter als die meisten Agenturen denken.

Wartungsvertrag ohne Compliance-Klausel

Wenn eine Agentur einen Wartungsvertrag hat und darin steht, dass sie für die technische Korrektheit der Website verantwortlich ist, kann DSGVO-Compliance darunter fallen. Kunden lesen diese Verträge nicht so genau wie Anwälte. Im Streitfall wird der Vertrag zugunsten des Kunden ausgelegt.

"Sie haben die Website gebaut"

Selbst ohne expliziten Wartungsvertrag ist das Reputationsrisiko real. Ein Kunde, der eine Abmahnung bekommt, wird zuerst die Agentur anrufen. Selbst wenn die Agentur rechtlich nicht haftet: das Mandat ist weg, die Weiterempfehlung auch.

Mitwirkung am Verstoß

Wer einen Cookie-Banner einbaut, der technisch falsch konfiguriert ist, und das gegen Honorar als "DSGVO-konform" verkauft, kann als Mittäter an einem Datenschutzverstoß eingestuft werden. Das ist kein Randfall mehr.

Die drei häufigsten Verstöße auf Kunden-Websites

1. Cookies vor der Einwilligung

Der häufigste Fehler: Tracking-Skripte von Google Analytics, Facebook Pixel oder ähnlichen Diensten laden, bevor der Nutzer auf "Akzeptieren" geklickt hat. Das passiert oft, weil der Cookie-Banner zwar optisch vorhanden ist, aber technisch falsch eingebunden wurde. Google Tag Manager lädt zu früh, die Skripte feuern ohne Consent.

Erkennbar im Browser: Öffnen Sie die Seite, lehnen Sie alle Cookies ab und schauen Sie in der Entwicklerkonsole, ob trotzdem Anfragen an Google, Meta oder andere Tracker gehen.

2. Datenschutzerklärung veraltet oder unvollständig

Eine Datenschutzerklärung, die noch Tools auflistet, die längst abgeschaltet wurden, oder neue Tools nicht erwähnt, ist ein dokumentierter Verstoß. Das passiert bei jeder Website-Aktualisierung: Neues Plugin rein, Datenschutzerklärung nicht aktualisiert.

3. SSL-Zertifikat abgelaufen

Formal kein DSGVO-Verstoß, aber ein Sicherheitsproblem das Datenschutzbehörden als mangelndes technisches Schutzniveau werten können (Art. 32 DSGVO). Und praktisch: Browser zeigen sofort eine Warnung, das Vertrauen des Nutzers in den Betreiber ist weg.

Was Agenturen konkret tun sollten

Verträge prüfen

Lassen Sie Ihre Wartungsverträge von einem spezialisierten Anwalt prüfen. Entweder Sie schließen DSGVO-Compliance explizit aus dem Leistungsumfang aus und kommunizieren das klar an Kunden. Oder Sie nehmen es als Leistung auf und stellen sicher, dass Sie sie auch erbringen können.

Portfolio systematisch überwachen

Manuelle Checks funktionieren nicht. Eine Agentur mit 20 Kunden, die jeden Monat alle Websites händisch prüft, wird das nach drei Monaten aufgeben. Was Sie brauchen ist ein System das automatisch prüft und Sie informiert, wenn etwas schiefläuft.

Die Prüfpunkte die relevant sind: Cookie-Verhalten vor und nach Einwilligung, SSL-Gültigkeit, Erreichbarkeit der Datenschutzerklärung, Consent Mode V2 für Google-Ads-Kunden.

Dokumentation

Im Streitfall gewinnt, wer Nachweise hat. Halten Sie fest, wann Sie welche Compliance-Checks durchgeführt haben, was das Ergebnis war und was Sie empfohlen haben. Ein Screenshot-Beweis vom Cookie-Scan ist mehr wert als eine mündliche Zusicherung.

Die unterschätzte Schutzfunktion von Monitoring

Der Wert eines automatischen Monitoring-Systems liegt nicht nur darin, Probleme zu finden. Er liegt darin, zu beweisen, dass Sie aktiv aufgepasst haben.

Wenn ein Kunde trotz korrektem Cookie-Banner durch einen Plugin-Update einen Verstoß produziert, und Sie können zeigen, dass Sie 48 Stunden später informiert und reagiert haben, ist das ein ganz anderes Gespräch mit dem Kunden als "ich weiß nicht wann das passiert ist".

Fazit

DSGVO-Verstöße sind kein abstraktes Risiko. Die Abmahnpraxis ist real, die Kosten sind real, und die Reputationsschäden für Agenturen, die Kunden im Stich lassen, auch. Automatisches Monitoring ist heute kein optionales Add-on mehr, es ist Grundlage professioneller Website-Betreuung.

Wer das seinem Portfolio noch nicht hat, fängt am besten damit an, bevor der erste Anruf kommt.

Ihr Portfolio absichern

Consent Mode V2 auf allen Kunden-Websites automatisch prüfen

ConsentGuard scannt jede Kunden-Website stündlich auf CMv2-Fehler, SSL-Ablauf und Cookie-Verstöße. Sie werden informiert, bevor Ihr Kunde es merkt. 14 Tage kostenlos, keine Kreditkarte.

Kostenlos testenPlan für Agenturen finden
Alle Artikel im Blog