Alle Artikel

Haftung einer Agentur bei Datenschutzverstößen des Kunden – was gilt wirklich?

Wer haftet, wenn auf einer Kunden-Website ein Datenschutzverstoß passiert? Klare Antworten zur Agentur-Haftung, Abmahnungen und Bußgeldern.

Haftung einer Agentur bei Datenschutzverstößen des Kunden – was gilt wirklich?

Ein Kunde ruft an: Seine Website wurde abgemahnt, weil der Cookie-Banner nicht korrekt konfiguriert war – und die Agentur hat ihn gebaut. Die Frage „Haftung Agentur Datenschutzverstoß Kunde – wer zahlt jetzt?" trifft Webdesigner, Projektmanager und Entwickler regelmäßig unvorbereitet. Die Antwort ist komplexer als ein einfaches „die Agentur haftet" – aber sie ist lernbar und mit den richtigen Verträgen beherrschbar.

Haftung Agentur Datenschutzverstoß Kunde: datenschutzrechtliche und zivilrechtliche Ebene

Wenn auf einer Kunden-Website ein Datenschutzverstoß auftritt, berührt das zwei völlig verschiedene Rechtsbereiche – und sie werden in der Praxis ständig verwechselt.

Die datenschutzrechtliche Ebene regelt, wer gegenüber Behörden und betroffenen Personen für den Verstoß verantwortlich ist. Maßgeblich ist hier die Rolle nach der DSGVO: Ist die Agentur Auftragsverarbeiterin – abgesichert durch einen Auftragsverarbeitungsvertrag, kurz AVV –, bleibt der Kunde der datenschutzrechtlich Verantwortliche. Die Agentur handelt auf seine Weisung. Behördenanfragen und Bußgelder richten sich in diesem Fall primär an den Kunden, nicht an die Agentur.

Die zivilrechtliche Ebene regelt, was zwischen Agentur und Kunde gilt. Hier greift das Werk- oder Dienstvertragsrecht: Hat die Agentur eine Leistung mangelhaft erbracht – etwa einen Cookie-Banner falsch eingebunden oder Tracking-Dienste falsch klassifiziert –, kann der Kunde Nachbesserung verlangen oder Schadensersatz geltend machen. Das ist keine automatische Konsequenz der datenschutzrechtlichen Rolle. Es hängt vom konkreten Vertrag und dem nachgewiesenen Mangel ab.

Wer beide Ebenen vermischt, trifft falsche Entscheidungen – weder beim Vertragsdesign noch bei der Reaktion auf eine Abmahnung. Die Faustregel: Datenschutzrecht regelt die Pflichten gegenüber Dritten, Vertragsrecht regelt die Pflichten zwischen Agentur und Kunde.

AVV Agentur Kunde abschließen: Warum der Vertrag die Rollen klärt

Ein AVV ist für viele Agenturen ein lästiges Formular. Dabei ist er das wichtigste Instrument zur Klarstellung der datenschutzrechtlichen Rollen. Ohne AVV besteht das Risiko, dass die Agentur als eigenständig Verantwortliche eingestuft wird – mit allen Konsequenzen für Behördenanfragen.

Mit einem korrekt geschlossenen AVV ist die Agentur Auftragsverarbeiterin. Sie verarbeitet personenbezogene Daten ausschließlich nach Weisung des Kunden. Der Kunde trägt die datenschutzrechtliche Verantwortung. Das bedeutet aber nicht, dass die Agentur keinerlei Pflichten hat. Der AVV verpflichtet sie zu technisch-organisatorischen Maßnahmen, zur Verschwiegenheit und zur Unterstützung bei Betroffenenanfragen.

Entscheidend für die Praxis: Der AVV schützt die Agentur nur dann wirksam, wenn sie sich an die Weisungen des Kunden hält. Eigenmächtige Entscheidungen über Datenverarbeitungen können diesen Schutz aufheben. Bindet eine Agentur auf eigene Initiative ein Tracking-Tool ein, ohne den Kunden zu informieren, kann sie je nach Ausgestaltung als (Mit-)Verantwortliche eingestuft werden – unabhängig davon, was im AVV steht.

Ein solider AVV gehört daher in jeden Agenturvertrag, der Website-Entwicklung, Hosting oder laufende Pflege umfasst. Muster und Vorlagen für Webagenturen finden sich unter Avv.

Eine Abmahnung wegen eines fehlerhaften Cookie-Banners landet häufig beim Kunden – dem Websitebetreiber. Denn er ist der datenschutzrechtlich Verantwortliche und damit Adressat von Unterlassungsforderungen durch Mitbewerber oder Verbände. Die Agentur steht zunächst nicht im Fokus.

Dennoch kann die Agentur indirekt betroffen sein: Der Kunde wird fragen, ob die Agentur den Mangel zu verantworten hat, und möglicherweise Regressansprüche geltend machen. Ob das gelingt, hängt von drei Faktoren ab: Was war vertraglich vereinbart? Hat die Agentur auf das Problem hingewiesen? Und wer hat die Entscheidung über die Banner-Konfiguration getroffen?

Praxisbeispiel: Eine Agentur baut eine WordPress-Site und integriert ein Cookie-Consent-Tool (CMP – Consent-Management-Plattform). Sie konfiguriert Google Analytics als „technisch notwendig" und aktiviert es damit ohne Einwilligung. Der Kunde erhält eine Abmahnung. Hier hat die Agentur eine fachlich falsche Einordnung vorgenommen – das kann als Schlechtleistung gewertet werden, für die sie zivilrechtlich einzustehen hat.

Anders, wenn die Agentur dem Kunden schriftlich empfohlen hat, Analytics nur nach Einwilligung zu laden, der Kunde das aber abgelehnt hat. Dann liegt die Entscheidung beim Kunden – und damit auch das Risiko. Schriftliche Hinweise und dokumentierte Entscheidungen sind der wichtigste Schutz der Agentur.

Ein Hinweis zur Reichweitenmessung: Analytics-Dienste wie Google Analytics sind im Regelfall einwilligungspflichtig, weil sie Daten an Dritte übermitteln. In Einzelfällen – etwa bei vollständig anonymisierter, serverseitiger Messung ohne Drittübermittlung – wird in der Fachdiskussion auch ein berechtigtes Interesse diskutiert. Das ist jedoch strittig und bedarf einer Einzelfallprüfung. Eine pauschale Einordnung als „technisch notwendig" ist nicht haltbar.

Abmahnung DSGVO Website – was tun: Fünf Schritte für Agenturen

Wenn ein Kunde mit einer DSGVO-Abmahnung zur Agentur kommt, ist eine strukturierte Reaktion gefragt – keine Panik und keine voreiligen Schuldeingeständnisse.

  1. Sachverhalt klären: Was genau wird beanstandet? Cookie-Tracking vor Einwilligung? Fehlendes Opt-out? Fehlende Datenschutzerklärung? Die konkrete Beanstandung bestimmt, ob die Agentur überhaupt beteiligt war.
  2. Dokumentation sichten: Gibt es Projektdokumentationen, E-Mails oder Tickets, die zeigen, wer welche Entscheidung getroffen hat? Agenturen, die Entscheidungen zu Tracking und Consent schriftlich festhalten, sind in dieser Situation klar im Vorteil.
  3. Rollen klären: Liegt ein AVV vor? Ist die Agentur Auftragsverarbeiterin oder hat sie eigenständig über Datenverarbeitungen entschieden? Das beeinflusst, wer gegenüber der Gegenseite argumentieren muss.
  4. Anwalt einschalten: Bei einer formellen Abmahnung mit Unterlassungsforderung und Kostenerstattungsanspruch sollte anwaltliche Beratung nicht gespart werden. Die Unterlassungserklärung sollte nicht voreilig unterschrieben werden – sie bindet langfristig und kann zu Vertragsstrafen führen.
  5. Technisch beheben: Unabhängig von der rechtlichen Auseinandersetzung sollte der beanstandete Zustand so schnell wie möglich behoben werden. Das zeigt guten Willen und begrenzt weiteren Schaden.

Bußgeld DSGVO Website Kleinunternehmen: Was Kunden wirklich droht

Viele Agenturen betreuen kleine und mittelständische Unternehmen, die sich fragen: „Bin ich als Kleinunternehmen überhaupt relevant für DSGVO-Bußgelder?" Die DSGVO kennt keine Bagatellgrenze für Unternehmensgröße. Auch ein Handwerksbetrieb mit einer einfachen Website kann in den Fokus einer Aufsichtsbehörde geraten – etwa nach einer Beschwerde durch einen Mitbewerber oder einen Nutzer.

Bußgelder werden von den Aufsichtsbehörden nach einer Reihe von Faktoren bemessen, darunter Schwere des Verstoßes, Dauer, Kooperationsbereitschaft, ergriffene Abhilfemaßnahmen und wirtschaftliche Leistungsfähigkeit des Unternehmens. Für kleine Unternehmen fallen Bußgelder in der Regel geringer aus als für Konzerne – aber sie können dennoch spürbar sein.

Für Agenturen ist das relevant, weil Kunden die Verhältnismäßigkeit von Compliance-Maßnahmen oft am Bußgeldrisiko messen. Eine sachliche Einschätzung – ohne Panikmache, aber ohne Verharmlosung – hilft dabei, Kunden zu einer ernsthaften Umsetzung zu bewegen. Die Agentur, die ihren Kunden klar und dokumentiert berät, schützt gleichzeitig sich selbst.

Wichtig: Bußgelder richten sich an den datenschutzrechtlich Verantwortlichen – also in aller Regel den Kunden, nicht die Agentur als Auftragsverarbeiterin. Ausnahmen bestehen, wenn die Agentur eigenmächtig als Verantwortliche gehandelt hat oder AVV-Pflichten grob verletzt wurden.

DSGVO-Verstoß melden – zuständige Aufsichtsbehörde und Fristen kennen

Wenn ein Datenschutzverstoß gemeldet wird – sei es durch einen Nutzer, einen Mitbewerber oder durch die betroffene Person selbst –, landet die Beschwerde bei der zuständigen Datenschutz-Aufsichtsbehörde. In Deutschland ist das je nach Bundesland eine andere Behörde. Zuständig ist in der Regel die Behörde des Bundeslandes, in dem das betroffene Unternehmen seinen Sitz hat.

Die Aufsichtsbehörde prüft zunächst, ob eine Beschwerde begründet ist, und fordert dann den Verantwortlichen – also den Kunden – zur Stellungnahme auf. Agenturen werden in dieser Phase selten direkt kontaktiert, können aber als Dienstleister in die Aufklärung einbezogen werden.

Für Agenturen ergeben sich daraus zwei praktische Konsequenzen. Erstens: Wenn ein Kunde eine Anfrage der Aufsichtsbehörde erhält, braucht er schnell Dokumentation darüber, wie seine Website technisch funktioniert und welche Daten verarbeitet werden. Eine Agentur, die diese Informationen strukturiert bereitstellen kann, ist ein wertvoller Partner. Zweitens: Agenturen, die selbst Daten verarbeiten – etwa über eigene Analytics-Zugänge oder Hosting-Leistungen –, sollten prüfen, ob sie in einem solchen Verfahren als eigenständig Verantwortliche auftreten könnten.

Die Meldepflicht bei Datenpannen trifft den Verantwortlichen – also den Kunden. Entsteht die Datenpanne beim Hosting oder in der Infrastruktur der Agentur, muss die Agentur als Auftragsverarbeiterin den Kunden unverzüglich informieren. Der Grund: Der Verantwortliche hat nach der DSGVO eine knappe Frist von 72 Stunden, um eine meldepflichtige Datenpanne der zuständigen Aufsichtsbehörde zu melden. Wer als Agentur zu spät informiert, gefährdet diese Frist – und damit den Kunden.

Agenturvertrag Datenschutz: Vier Punkte, die jeder Vertrag regeln sollte

Die beste Absicherung gegen Haftungsrisiken ist keine Versicherung – sie ist ein durchdachter Vertrag. Agenturen, die Websites bauen oder pflegen, sollten in ihren Verträgen mindestens vier Punkte klar regeln.

Erstens: Leistungsumfang und Verantwortlichkeiten. Was schuldet die Agentur – eine datenschutzkonforme Umsetzung nach aktuellem Stand? Oder nur die technische Implementierung nach Kundenvorgabe? Je klarer das definiert ist, desto weniger Spielraum gibt es für spätere Regressansprüche.

Zweitens: Hinweispflichten. Agenturen sollten vertraglich festhalten, dass sie den Kunden auf datenschutzrechtliche Risiken hinweisen – und dass der Kunde für die finale Entscheidung verantwortlich ist. Dieser Hinweis sollte dokumentiert werden, idealerweise per E-Mail oder Ticket.

Drittens: AVV. Für jede Leistung, bei der die Agentur Zugriff auf personenbezogene Daten des Kunden hat, gehört ein AVV in den Vertrag. Ohne AVV ist die Rollentrennung unklar.

Viertens: Haftungsbegrenzung. Viele Agenturverträge enthalten keine oder unzureichende Haftungsgrenzen. Eine Haftungsobergrenze ist grundsätzlich möglich, aber an Grenzen gebunden: In Allgemeinen Geschäftsbedingungen (AGB) sind Klauseln, die Haftung für grobe Fahrlässigkeit oder Vorsatz ausschließen, unwirksam. Auch bei der Verletzung wesentlicher Vertragspflichten sind Haftungsbeschränkungen in AGB nur eingeschränkt zulässig. Bei individuell ausgehandelten Verträgen bestehen mehr Gestaltungsspielräume. Die konkrete Ausgestaltung sollte anwaltlich geprüft werden.

VertragsbestandteilSchutzwirkung für die AgenturOhne diesen Bestandteil
AVVKlare Rollentrennung: Agentur als AuftragsverarbeiterinRisiko der Einstufung als eigenständig Verantwortliche
LeistungsbeschreibungDefiniert, was die Agentur schuldetStreit über Umfang der Datenschutz-Pflichten
Dokumentierte HinweispflichtBelegt, dass Risiken kommuniziert wurdenKein Nachweis bei Regressforderung
HaftungsobergrenzeBegrenzt zivilrechtliches SchadensersatzrisikoUnbegrenzte Haftung nach gesetzlichem Standard

Wer seine Vertragsgrundlagen prüfen möchte, findet einen Ausgangspunkt unter Agb.

Technischen Ist-Zustand der Kunden-Websites prüfen – so starten Sie

Alle vertraglichen Absicherungen helfen wenig, wenn die Agentur nicht weiß, was auf den Websites ihrer Kunden tatsächlich passiert. Welche Dienste laden vor der Einwilligung? Welche Cookies werden gesetzt, bevor der Nutzer überhaupt auf „Akzeptieren" geklickt hat? Wer das nicht weiß, kann weder beraten noch dokumentieren.

Ein strukturierter Pre-/Post-Consent-Scan – also eine technische Prüfung, welche Datenübertragungen vor und nach der Einwilligung stattfinden – ist die Grundlage für eine belastbare Einschätzung. Complianty prüft genau das, unabhängig vom eingesetzten Cookie-Banner, und liefert einen Beweis-Block, der im Streitfall als Dokumentation dient. Den Einstieg bietet das DSGVO-Prüftool für Agenturen und Datenschutzbeauftragte.