Wie hoch sind realistische Bussgelder bei DSGVO-Verstoessen fuer KMU?

Studien zeigen: 95 Prozent aller Bussgelder gegen KMU liegen zwischen 500 EUR und 50.000 EUR. Die plakativen 20-Millionen-Faelle treffen fast immer Grosskonzerne. Abmahnungen (z.B. Google Fonts) typisch 250-1.500 EUR Streitwert.

Duerfen meine Kundendaten in ein US-Automation-Tool oder in ChatGPT?

Mit Data Privacy Framework (DPF) und AV-Vertrag: ja. Ohne: heikel (Schrems-II). EU-Alternativen existieren fuer die meisten US-Tools. Wir zeigen sie im PDF-Bericht. Unsere Infrastruktur laeuft auf Hetzner Nuernberg.

Wie lange dauert ein DSGVO-konformes Setup?

Mit Bot-Agent: 24-48 Stunden fuer Setup (Migration von US-Tools, Cookie-Banner, DSE-Anpassung, AV-Vertraege). Selbst gemacht: 2-6 Wochen je nach Komplexitaet.

Ist Selbst-Hosting auf Hetzner schwierig?

Selbst: ja (Server, Updates, Backups). Mit Bot-Agent: nein, wir hosten alles fuer Sie, Sie nutzen es. Migration-Setup einmalig 99 EUR (BAFA-Eigenanteil 60 EUR), dann ab 49 EUR pro Monat.

Welche EU-Alternativen gibt es zu Google Analytics?

Plausible (Tallinn) 9 EUR/Mo, Matomo (selbst-gehostet) 0 EUR plus Hosting, Fathom (Kanada/EU) 15 EUR/Mo, Etracker (Hamburg) 19 EUR/Mo. Im PDF-Bericht zeigen wir konkrete Migrations-Pfade.

Kostenlos · Keine Anmeldung · DSGVO-konform

DSGVO + AI Act Audit für Ihre Website
in 60 Sekunden

Q: Darf ich ChatGPT im Geschaeft nutzen?

Ja, wenn Sie keine personenbezogenen Daten Ihrer Kunden in ChatGPT eingeben. Anonymisierte Inhalte (Texte, Konzepte, Code) sind unproblematisch. Sobald Kundendaten reinfliessen, brauchen Sie AV-Vertrag mit OpenAI (ChatGPT Teams/Enterprise) und einen Schrems-II-Check.

Q: Was ist der AI Act §50 und was bedeutet er fuer mich?

Ab dem 02.08.2026 muessen Chatbots, KI-Inhalte und Deepfakes gekennzeichnet sein. Wenn Sie z.B. einen Live-Chat mit KI-Antwort haben: muss als KI sichtbar sein. Verstoss: bis 15 Millionen EUR oder 3 Prozent weltweiter Umsatz.

Q: Muss ich offenlegen, dass mein Chatbot KI ist?

Ja, ab 02.08.2026 Pflicht. Schon heute empfohlen. Konkret: sichtbarer Hinweis am Chat-Trigger (KI-Assistent) plus Sektion in der Datenschutzerklaerung. Wir checken beides.

Q: Was tun bei einer Google-Fonts-Abmahnung?

Nicht sofort zahlen. Viele Abmahnungen sind rechtsmissbraeuchlich. Brief an Anwalt mit Anfrage zur Aktivlegitimation, parallel Fonts auf lokal umstellen. Bei realer Klage: Streitwert meist 500-1.500 EUR.

Cookie-Banner, US-Tools, AI Act §50, AV-Verträge. Sehen Sie alle Risiken auf einer Seite. Inklusive Bußgeld-Schätzung und Migrations-Empfehlungen.

7 Risiko-Ebenen

17 US-Tools erkannt

€-Range Bußgeld

Was prüft der DSGVO-Check?

7 Risiko-Ebenen, jede einzeln verständlich erklärt.

Ebene 1

Cookie-Banner

Sind die Buttons gleich prominent? Werden Cookies VOR Klick gesetzt? Wir prüfen 10 Cookie-Banner-Lösungen.

Ebene 2

Google Fonts ohne Einwilligung

Das LG München hat 2022 entschieden: 100 € Schadenersatz pro Besucher. Wir prüfen ob Ihre Fonts lokal oder über Google geladen werden.

Ebene 3

US-Tool-Risiken (Schrems-II)

Google Analytics, Meta Pixel, Mailchimp, HubSpot, Calendly, Stripe. Wir erkennen 17 US-Tools und sagen Ihnen welche DPF-zertifiziert sind.

Ebene 4

AI Act §50 (Pflicht ab 02.08.2026)

Wenn Sie einen Chatbot oder KI auf Ihrer Seite haben, MUESSEN Sie das ab 02.08.2026 kennzeichnen. Wir checken 24 Chatbot-Anbieter.

Ebene 5

Datenschutzerklärung

Ist sie da? Ist sie vollständig (Verantwortlicher, Rechtsgrundlage, Betroffenenrechte, Drittland, KI-Nutzung)? Wir checken 8 Pflicht-Sektionen automatisch.

Ebene 6

Impressum plus UWG

Pflichtangaben nach TMG §5 plus UWG-Symmetrie bei Cookie-Banner. Klassische Abmahn-Klassiker, wir fangen sie ab.

Ebene 7

AV-Verträge

Welche Tools auf Ihrer Seite verarbeiten personenbezogene Endkunden-Daten? Wir listen sie auf, Sie wissen sofort welche Verträge fehlen könnten.

Warum 53 Prozent der DACH-KMU Angst vor KI haben, Bitkom-Daten 2025

Bitkom 2025 hat 503 deutsche Mittelständler befragt. Ergebnis: jedes zweite KMU traut sich nicht an KI heran, wegen Datenschutz, AI Act, AV-Verträgen. Das Verrückte: 87 Prozent der Risiken auf ihrer Website sind in 60 Sek. behebbar.

DSGVO-by-Design heißt: das System ist so gebaut, dass personenbezogene Daten gar nicht erst in problematische Hände kommen. Im Gegensatz zu DSGVO-konform (wir haben Verträge unterschrieben) reduziert es das Risiko an der Wurzel.

Kein US-Hosting: Alles auf Hetzner Nürnberg, Frankfurt oder anderen EU-Anbietern.
Keine Endkunden-Daten in KI-Tools: Anonymisierung vor jeder KI-Verarbeitung.
Minimaldatenprinzip: Tools sammeln nur was nötig ist (z.B. Plausible statt GA4, keine IP, keine Cookies).
EU-Alternativen aktiv vorintegriert: Brevo (Paris), Plausible (Tallinn), Postmark (EU-Region).
Cookie-Banner UWG-symmetrisch: Akzeptieren und Ablehnen gleich prominent.

Google Fonts, US-Tools, AI Act, die 3 größten DSGVO-Risiken 2026

Risiko 1, Google Fonts ohne Consent (LG München 2022, Az. 3 O 17493/20):

Die Abmahnwelle 2024-2025 hat tausende KMU getroffen. Rechtsanwalt sendet Abmahnung wegen 1 IP-Übertragung an Google, Streitwert oft 5.000 €, Schadenersatz 100 € pro Besucher. Fix: Google Fonts lokal einbinden (10 Min via Plugin, z.B. OMGF für WordPress).

Risiko 2, US-Tools nach Schrems-II:

EuGH hat 2020 das Privacy-Shield-Abkommen gekippt. Seit Juli 2023 gilt das Data Privacy Framework (DPF), aber NUR wenn das US-Tool zertifiziert ist UND Ihre Konfiguration die Garantien einhält. Google Analytics, Meta Pixel, Mailchimp sind die häufigsten Risiko-Tools bei KMU.

Risiko 3, AI Act §50 (Pflicht ab 02.08.2026):

Chatbots, KI-Texte und Deepfakes müssen gekennzeichnet werden. Verstoß: bis 15 Millionen € oder 3 Prozent weltweiter Umsatz. Für KMU realistisch: Abmahnungen und Aufsichtsbehörden-Verfahren. 87 Prozent der KMU sind aktuell NICHT vorbereitet.

DSGVO-by-Design, was Bot-Agent anders macht (Hetzner Nürnberg, kein AV-Vertrag)

Standard-Setup bei KMU plus KI-Automation: Anbieter X bekommt Ihre Endkunden-Daten (Namen, Emails, Anfragen). Sie unterschreiben einen AV-Vertrag (Art. 28 DSGVO). Sie hoffen, dass der Anbieter sorgfältig ist. Sie haften trotzdem.

Bot-Agent-Setup:

Bot-Agent bekommt KEINE Endkunden-Daten von Ihren Kunden.
Wir verarbeiten nur Ihre eigenen Daten (Briefings, Templates, Wissensbasis).
Endkunden-Daten landen direkt in IHRER Datenbank (auf Hetzner Nürnberg).
Kein AV-Vertrag mit uns nötig, weil keine Auftragsverarbeitung stattfindet.

DSGVO-by-Design ist eine architektonische Entscheidung, kein Marketing-Claim. Konkurrenten können das nicht nachträglich einbauen, ohne ihr Produkt neu zu denken.

DSGVO-Migration in 24 Stunden, ab 49 €/Monat netto

Bot-Agent ist die einzige DACH-Lösung, die Ihnen keinen AV-Vertrag aufzwingt, weil wir keine Daten Ihrer Endkunden verarbeiten. Alles auf Hetzner Nürnberg, alle EU-Alternativen vorintegriert, AI-Act §50 schon implementiert.

Setup

99 €

einmalig

Subscription

ab 49 €

pro Monat

BAFA-Eigenanteil

60 €

statt 99 €

Setup-Beratung anfragen →BAFA-Förderung prüfen

Häufige Fragen (FAQ)

Antworten auf die häufigsten Fragen zum DSGVO + AI Act Audit.

Ja, wenn Sie keine personenbezogenen Daten Ihrer Kunden in ChatGPT eingeben. Anonymisierte Inhalte (Texte, Konzepte, Code) sind unproblematisch. Sobald Kundendaten reinfließen, brauchen Sie AV-Vertrag mit OpenAI (kostenpflichtig, ChatGPT Teams/Enterprise) und einen Schrems-II-Check.

Studien zeigen: 95 Prozent aller Bußgelder gegen KMU liegen zwischen 500 € und 50.000 €. Die plakativen 20-Millionen-Fälle treffen fast immer Großkonzerne. Abmahnungen (z.B. Google Fonts) typisch 250-1.500 € Streitwert. Trotzdem: jede vermeidbare Strafe ist eine zu viel.

Sobald Sie personenbezogene Endkunden-Daten verarbeiten lassen: ja. Bei reiner interner Nutzung (z.B. Marketing-Texte erstellen): nein. Bot-Agent verarbeitet KEINE Endkunden-Daten unserer Kunden, also brauchen Sie mit uns keinen AV-Vertrag.

Mit Data Privacy Framework (DPF) und AV-Vertrag: ja. Ohne: heikel (Schrems-II). EU-Alternativen existieren für die meisten US-Tools, wir zeigen sie im PDF-Bericht. Unsere Infrastruktur läuft komplett auf Hetzner Nürnberg.

Ab dem 02.08.2026 müssen Chatbots, KI-Inhalte und Deepfakes gekennzeichnet sein. Wenn Sie z.B. einen Live-Chat mit KI-Antwort haben, muss als KI sichtbar sein. Verstoß: bis 15 Millionen € oder 3 Prozent weltweiter Umsatz. Wir zeigen Ihnen, ob Ihre Seite ready ist.

Ja, ab 02.08.2026 Pflicht. Schon heute empfohlen. Konkret: sichtbarer Hinweis am Chat-Trigger (KI-Assistent) plus Sektion in der Datenschutzerklärung. Wir checken beides.

Nicht sofort zahlen. Viele Abmahnungen sind rechtsmissbräuchlich (Massenmailings durch Anwaltskanzleien). Brief an Anwalt mit Anfrage zur Aktivlegitimation, parallel Fonts auf lokal umstellen. Bei realer Klage: Streitwert meist 500-1.500 €. Anwalt einschalten, nicht selbst antworten.

Mit Bot-Agent: 24-48 Stunden für Setup (Migration von US-Tools, Cookie-Banner-Aufsetzung, DSE-Anpassung, AV-Verträge). Selbst gemacht: 2-6 Wochen je nach Komplexität.

Selbst: ja (Server, Updates, Backups). Mit Bot-Agent: nein, wir hosten alles für Sie, Sie nutzen es. Migration-Setup einmalig 99 € (BAFA-Eigenanteil 60 €), dann ab 49 € pro Monat.

Plausible (Tallinn, EE) 9 €/Mo, Matomo (selbst-gehostet) 0 € plus Hosting, Fathom (Kanada/EU) 15 €/Mo, Etracker (Hamburg) 19 €/Mo. Im PDF-Bericht zeigen wir konkrete Migrations-Pfade.

Nein. DSGVO-konform heißt meist: wir haben einen AV-Vertrag. Es heißt NICHT: keine Daten in USA, keine Schrems-II-Risiken, AI Act ready. Konkret nachfragen: Wo werden die Daten gespeichert? DPF-zertifiziert? AI-Act-Disclosure dokumentiert?

Ja, BAFA Förderung von Unternehmensberatungen für KMU (bis 31.12.2026): 50-80 Prozent Zuschuss auf Beratungsleistungen. Bot-Agent-Setup-Pakete sind BAFA-fähig. Eigenanteil 60 € statt 99 €. Wir helfen beim Antrag.

Glossar: DSGVO + AI Act verstehen

Die wichtigsten Fachbegriffe zu Datenschutz, US-Tools und AI Act.

Datenschutz-Grundverordnung (EU 2016/679, gilt seit 25.05.2018). Regelt Verarbeitung personenbezogener Daten.

Rechtsgrundlage-Artikel. Verarbeitung nur erlaubt mit (a) Einwilligung, (b) Vertrag, (c) Gesetzespflicht, (d) lebenswichtig, (e) öffentliche Aufgabe, (f) berechtigtes Interesse.

Telekommunikation-Telemedien-Datenschutzgesetz (seit 01.12.2021). §25 = Cookie-Einwilligungspflicht (umsetzt ePrivacy-Richtlinie).

Transparenzpflicht für KI-Systeme. Chatbots, Deepfakes müssen offengelegt werden. Gilt ab 02.08.2026.

EuGH-Urteil 2020 (C-311/18). Kippte Privacy Shield. US-Daten-Übermittlung nur mit Garantien (Standardvertragsklauseln, zusätzliche Maßnahmen).

EU-US-Datenschutzrahmen seit 10.07.2023. Ersetzt Privacy Shield. US-Unternehmen müssen sich aktiv zertifizieren.

Auftragsverarbeitungs-Vertrag nach Art. 28 DSGVO. Pflicht wenn Dritter personenbezogene Daten für Sie verarbeitet.

Aus UWG plus BGH-Urteil Planet49. Akzeptieren- und Ablehnen-Button bei Cookies müssen gleich prominent sein.

Telemediengesetz §5, Impressumspflicht. Pflichtangaben: Firma, Vertretungsberechtigte, Adresse, Kontakt, USt-IdNr (wenn Gewerbe).

Consent Management Platform, Tool das Cookie-Einwilligung verwaltet (Cookiebot, Usercentrics, Borlabs, etc.).

Newsletter-Standard: User trägt sich ein, bekommt Bestätigungs-E-Mail, klickt Link, dann erst eingetragen. Pflicht nach UWG §7 plus DSGVO Art. 6.

Bundesamt für Wirtschaft und Ausfuhrkontrolle. Vergibt KMU-Beratungs-Förderungen (50-80 Prozent Zuschuss bis 31.12.2026).

Bußgeld-Schätzungen sind illustrative Szenarien basierend auf Branchen-Benchmarks und Aufsichtsbehörden-Bescheiden. Sie ersetzen keine individuelle Rechtsberatung. Bot-Agent erbringt eine Beratungs- und Analyseleistung gemäß §§ 611 ff. BGB, ausdrücklich kein Werkvertrag gemäß §§ 631 ff. BGB. Transparenz gemäß Art. 50 EU AI Act.

DSGVO + AI Act Audit für Ihre Website in 60 Sekunden