Die Datenschutz-Grundverordnung gilt seit 2018. Trotzdem machen KMU auf Social Media immer wieder dieselben Fehler — nicht aus Böswilligkeit, sondern weil niemand erklärt hat, was konkret verboten ist. Hier sind die 7 Verstöße, die Abmahnkanzleien und Datenschutzbehörden am häufigsten bei deutschen KMU beanstanden.
Dieser Artikel ersetzt keine Rechtsberatung. Für deine konkrete Situation empfehlen wir einen Datenschutzbeauftragten oder spezialisierten Anwalt. Die genannten Bußgeldrahmen sind Maximalbeträge — tatsächliche Bußgelder variieren stark nach Schwere und Vorsatz des Verstoßes.
Warum DSGVO auf Social Media unterschätzt wird
Viele KMU denken bei DSGVO zuerst an ihre Website — Cookie-Banner, Datenschutzerklärung, Kontaktformulare. Social Media wird als "extern gehostete Plattform" mental ausgegliedert: "Das liegt ja bei Instagram, nicht bei uns."
Das ist ein teurer Irrtum. Als Unternehmen das einen Social-Media-Account betreibt, bist du gemeinsam Verantwortlicher im Sinne der DSGVO — zusammen mit der Plattform. Was du postest, wie du mit Kommentaren umgehst, welche Tools du nutzt und wie du Daten aus Social Media weiterverarbeitest: das fällt alles in deinen Verantwortungsbereich.
| Verstoßkategorie | Bußgeldrahmen | Reale Fälle DE/AT/CH |
|---|---|---|
| Unzureichende Einwilligung | Bis €20 Mio. / 4% Umsatz | Mehrere KMU, €5.000–50.000 |
| Fehlende Datenschutzerklärung | Bis €10 Mio. / 2% Umsatz | Häufig, oft Abmahnung statt Bußgeld |
| Unzulässige Bildveröffentlichung | Bis €10 Mio. | Abmahnungen ab €500, Schadensersatz |
| Datentransfer in Drittländer | Bis €20 Mio. | Österreich gegen Meta: €1,2 Mrd. |
| Fehlende Auftragsverarbeitung | Bis €10 Mio. | Selten direkt bußgeldbewehrt, aber Risiko |
Die 7 häufigsten Verstöße
Das klassischste Problem: Das Team beim Sommerfest fotografiert, Kundin beim Beratungsgespräch im Hintergrund, Lieferant beim Abladen — und schwupps ist das Foto auf Instagram. Ohne Einwilligung der abgebildeten Personen ist das ein klarer Verstoß gegen das Recht am eigenen Bild (§ 22 KUG) und die DSGVO.
Besonders tückisch: Auch wenn die Person "im Hintergrund" ist oder nicht das Motiv des Fotos, reicht es, dass sie erkennbar ist. Mitarbeiterfotos brauchen eine separate Einwilligung — die Einwilligung im Arbeitsvertrag reicht nicht aus.
Einwilligungsformular für Mitarbeiterfotos aufsetzen (schriftlich, widerrufbar, spezifisch für "Social Media des Unternehmens"). Bei Events: Hinweisschild "Es werden Fotos für Social Media gemacht" + explizite Einwilligung von Personen im Vordergrund. Für Stockfotos: nur Bildmaterial ohne erkennbare echte Personen oder mit Model-Release-Lizenz.
Canva, Hootsuite, Buffer, Later, Mailchimp — viele der beliebtesten Marketing-Tools sind US-amerikanisch. Wenn du damit Daten von EU-Bürgern verarbeitest (und das tust du, sobald du damit Posts planst oder Newsletter verwaltest), brauchst du eine gültige Rechtsgrundlage für den Datentransfer in die USA.
Seit dem EU-US Data Privacy Framework (2023) gibt es wieder eine legale Grundlage — aber nur wenn der Anbieter zertifiziert ist. Viele kleinere Tools sind es nicht. Prüfen lässt sich das im offiziellen DPF-Register unter dataprivacyframework.gov.
Alle eingesetzten US-Tools auf DPF-Zertifizierung prüfen. Nicht-zertifizierte Tools entweder ersetzen (europäische Alternativen: Facelift, Swat.io für Social Media Management; Brevo für E-Mail) oder Standardvertragsklauseln abschließen. Dokumentation der Prüfung im Verarbeitungsverzeichnis festhalten.
Deine Website hat eine Datenschutzerklärung? Gut. Aber dein Instagram-Profil, deine Facebook-Seite und dein LinkedIn-Auftritt brauchen ebenfalls einen Hinweis auf Datenschutz — entweder direkt in der Bio oder über einen Link zur Website-Datenschutzerklärung, die explizit Social Media abdeckt.
Noch häufiger vergessen: Wenn du über Social Media Direktnachrichten erhältst und daraus Kundenbeziehungen entstehen, ist das eine eigenständige Datenverarbeitung die erklärt werden muss. Gleiches gilt für Gewinnspiele, Umfragen und interaktive Story-Features.
Website-Datenschutzerklärung um einen Abschnitt "Social Media" erweitern, der erklärt: welche Plattformen genutzt werden, welche Daten dabei verarbeitet werden (Kommentare, Nachrichten, Analysedaten), auf welcher Rechtsgrundlage. Link zu dieser Erklärung in alle Plattform-Bios aufnehmen.
Der Facebook Pixel (heute Meta Pixel), TikTok Pixel, LinkedIn Insight Tag — diese Tracking-Codes auf deiner Website senden Besucherdaten an die jeweiligen Plattformen. Das ist nur zulässig, wenn der Websitebesucher vorher aktiv eingewilligt hat. "Aktiv" bedeutet: kein vorausgefülltes Häkchen, kein "Weiter surfen bedeutet Einwilligung".
Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat 2023 mehrere Abmahnwellen wegen unzulässig eingesetzter Tracking-Pixel ausgelöst. Auch die österreichische DSB hat mehrere Entscheidungen gegen den Einsatz von US-Analytics-Tools ohne valide Einwilligung gefällt.
Consent Management Platform (CMP) einsetzen die DSGVO-konformes Opt-in ermöglicht: Usercentrics, Cookiebot oder Borlabs Cookie (WordPress). Pixel nur nach expliziter Einwilligung laden. Alternative: Server-side Tracking, bei dem Daten anonymisiert werden bevor sie an die Plattform gehen.
Kunden schreiben über Instagram-DM ihre Adresse für eine Lieferung. Jemand kommentiert einen Post mit seiner Handynummer. Diese Daten landen in einem Screenshot, werden in WhatsApp weitergeleitet, landen im Excel-Sheet des Außendienstlers. Ohne Auftragsverarbeitungsvertrag, ohne Löschkonzept, oft ohne irgendjemanden der weiß, dass diese Daten überhaupt existieren.
Klare interne Regel: Persönliche Kundendaten aus Social Media werden nur in dafür vorgesehene, DSGVO-konforme Systeme (CRM, Ticketsystem) übertragen — nicht in private Messenger oder unstrukturierte Dateien. Mitarbeiter die Social-Media-Accounts verwalten entsprechend schulen. Kommentare mit sensiblen Daten (Telefonnummern, Adressen) umgehend über Direktnachricht weiterleiten und Original-Kommentar löschen oder ausblenden.
Wenn du mit Influencern oder Creators zusammenarbeitest, teilst du oft Daten: Produktinformationen, Kampagnenbriefings, manchmal auch Kundendaten für Co-Creations oder Gewinnspiele. Ohne Auftragsverarbeitungsvertrag (AVV) mit dem Creator ist das ein DSGVO-Verstoß — auch wenn der Creator nur zwei Posts für dich macht.
Wenige KMU regeln das korrekt. Meistens gibt es gar keinen schriftlichen Vertrag, oder der Vertrag regelt nur Vergütung und Nutzungsrechte, nicht Datenschutz.
Standard-Influencer-Vertrag um einen AVV-Abschnitt erweitern. Muster-AVVs gibt es kostenlos von der Datenschutzkonferenz (DSK) und verschiedenen IHKs. Bei einmaligen Kleinstkooperationen unter €100: AVV trotzdem abschließen — der administrative Aufwand ist gering, das Risiko ohne ist real.
Die DSGVO schreibt Datensparsamkeit und Speicherbegrenzung vor: Daten dürfen nur so lange gespeichert werden, wie sie für den ursprünglichen Zweck benötigt werden. Für Social-Media-Daten fehlt in den meisten KMU ein Löschkonzept komplett.
Konkret: Screenshots von Kundenkommunikation aus Social Media, exportierte Kommentar-Listen, gespeicherte Zielgruppenanalysen aus Plattform-Insights — all das muss nach definierten Fristen gelöscht werden.
Im Verarbeitungsverzeichnis für jeden Social-Media-Prozess eine Löschfrist definieren. Faustregel: Kundenkommunikation aus Social Media wie reguläre Geschäftskorrespondenz behandeln (Handelsrecht: 6 Jahre; steuerrechtlich: 10 Jahre für bestimmte Belege). Reine Marketing-Analysedaten (Insights, Reichweite): 24 Monate als angemessene Frist. Halbjährliche Bereinigung als Kalendertermin einplanen.
Schnell-Checkliste: Bist du compliant?
- ☐ Einwilligungsformular für Mitarbeiter- und Kundenfotos vorhanden
- ☐ Alle eingesetzten US-Tools auf DPF-Zertifizierung geprüft
- ☐ Datenschutzerklärung deckt Social-Media-Nutzung ab
- ☐ Tracking-Pixel nur nach CMP-Einwilligung aktiv
- ☐ Interne Regeln für Kundendaten aus Social-Media-Kommunikation definiert
- ☐ AVV mit allen Influencer-Kooperationspartnern abgeschlossen
- ☐ Löschfristen für Social-Media-Daten im Verarbeitungsverzeichnis
DSGVO-Konformität kostet Zeit — aber sie ist auch ein echtes Vertrauenssignal. "EU-Infrastruktur, keine Datenweitergabe" ist im DACH-Markt kein leeres Buzzword sondern ein messbarer Kaufentscheidungsfaktor, besonders im B2B-Bereich und bei Kunden über 40.
DSGVO-konformer Content — ohne den Aufwand
Unser Service arbeitet auf EU-Infrastruktur. Keine Datenweitergabe, kein US-Cloud-Risiko.
Nützliche Ressourcen
- Datenschutzkonferenz (DSK): Muster-AVVs und Orientierungshilfen kostenlos unter datenschutzkonferenz-online.de
- BfDI: Bundesbeauftragter für Datenschutz — aktuelle Bußgeld-Übersichten und FAQ
- EU DPF-Register: dataprivacyframework.gov — hier prüfst du US-Tool-Zertifizierungen
- IHK Musterverträge: Deine regionale IHK hat oft kostenlose DSGVO-Musterverträge für KMU