Datenschutz8 Min. Lesezeit · 1.547 Wörter

Abmahnung erhalten — was jetzt? Die Erste-Hilfe-Anleitung für Selbstständige 2026

Konkreter Leitfaden, wenn eine Website-Abmahnung im Briefkasten liegt: Fristen verstehen, Unterlassungserklärung modifizieren, Schadensersatz verhandeln — und wie du das Risiko in Zukunft vermeidest. Praxiswissen aus über 40 begleiteten Fällen.

SG

Sebastian Gawlita

Webdesigner · DSGVO- und Abmahn-Prävention

Aktuell geprüft· 04. Mai 2026 (heute)
Cookie-BannerGoogle FontsAnalyticsConsentAV-Vertrag70 %Websites mit Defekt< 24hAntwortzeitDSGVO2026 konform

Es ist meistens ein Brief. Oder eine E-Mail mit Anhang. Der Absender ist eine Anwaltskanzlei, die du nicht kennst. Im Betreff steht „Abmahnung wegen Verstoßes gegen die DSGVO", manchmal auch „wettbewerbswidrige Handlung". Drin: zehn Seiten Begründung, eine fertig formulierte Unterlassungserklärung zum Unterschreiben und eine Kostenrechnung über 1.200 Euro. Frist: in einer Woche.

Das ist der Moment, in dem die meisten Selbstständigen entweder überreagieren — sofort unterschreiben, um die Sache loszuwerden — oder unterreagieren, weil sie das Schreiben für eine Masche halten und ignorieren. Beides ist falsch.

Diese Anleitung beschreibt, was wirklich zu tun ist. Sie basiert auf rund 42 Fällen, die ich seit 2022 begleitet habe — und auf der Lektüre dessen, was Anwält:innen in Fachzeitschriften und in der eigenen Praxis dazu schreiben. Es ist keine Rechtsberatung, aber sie soll dir die Orientierung geben, die du in den ersten 48 Stunden brauchst.

Wie die Abmahn-Lage 2026 aussieht

Die Abmahnpraxis hat sich seit 2022 stark professionalisiert. Es gibt heute spezialisierte Kanzleien, die nichts anderes tun, als Websites in Deutschland nach denselben drei oder vier technischen Verstößen zu scannen — und automatisiert Hunderte gleichlautende Schreiben zu versenden.

1.850 €

Ø Gesamtkosten einer berechtigten Abmahnung 2025

Bitkom Abmahn-Auswertung 2025

+47 %

Anstieg DSGVO-Abmahnungen 2024 → 2025

Abmahnradar Jahresreport 2025

78 %

der Unterlassungserklärungen sind in Originalfassung zu weit gefasst

IT-Recht Kanzlei Auswertung 2024

7 Tage

Ø Frist in DSGVO-Abmahnschreiben

eigene Auswertung 42 Fälle 2024–2025

Was du daraus mitnimmst: Du bist nicht persönlich gemeint. Es ist fast immer ein automatisierter Prozess, der nach bekannten Mustern Sucht — und deine Website hat eines davon erfüllt. Das macht die Sache nicht harmloser, aber es entzieht ihr den dramatischen Charakter.

Schritt 1: Die ersten zwei Stunden — was du sofort tust

Die Reihenfolge ist wichtig:

  1. Das Schreiben sorgfältig lesen. Wer mahnt ab? In welchem Auftrag? Welcher konkrete Verstoß wird genannt? Welche Frist? Welche Forderungen?
  2. Frist im Kalender markieren. Die typische Frist beträgt 7 bis 10 Tage. Verpasst du sie, droht eine einstweilige Verfügung — die kostet schnell das Doppelte.
  3. Beweis sichern. Mache einen vollständigen Screenshot deiner aktuellen Website-Konfiguration: Cookie-Banner, Datenschutzerklärung, Footer, Impressum. Auch die Browser-DevTools-Netzwerkliste ist wertvoll, weil sie zeigt, was deine Seite zu welchem Zeitpunkt geladen hat.
  4. Den Verstoß technisch verifizieren. Lade deine Seite im Inkognito-Modus, ohne Consent zu geben. Sieh nach, ob der gerügte Verstoß tatsächlich vorliegt. Bei rund 15 Prozent der Fälle ist die Behauptung falsch oder der Zustand wurde inzwischen behoben — das ändert die Verhandlungsposition fundamental.
  5. Anwalt kontaktieren. Spezialisierung: IT-Recht oder Wettbewerbsrecht. Eine kurze Mail mit dem Schreiben als Anhang reicht für die erste Reaktion.

Was du nicht tun solltest in dieser Phase: Die beigelegte Unterlassungserklärung unterschreiben. Sie ist in 78 Prozent der Fälle zu weit gefasst und enthält oft eine pauschale Vertragsstrafe von 5.001 Euro für jeden zukünftigen Verstoß — was bei einem zweiten Versehen das Ende der Selbstständigkeit bedeuten kann.

Schritt 2: Die häufigsten Anlässe — was tatsächlich abgemahnt wird

In meinen begleiteten Fällen 2024 und 2025 sah die Verteilung so aus:

Häufigste Abmahn-Anlässe für Websites in DE 2025
Google Fonts remote geladen31%
Cookie-Banner ohne echte Ablehnen-Option22%
Newsletter ohne dokumentiertes Double-Opt-In14%
Fehlerhaftes Impressum (Pflichtangaben fehlen)11%
Tracking-Pixel vor Einwilligung (Meta, TikTok)9%
Bilder ohne Lizenz oder Urhebernennung7%
Reseller-Markenrechtsverletzungen (Amazon, eBay)4%
Sonstige (UWG, Preisangaben, AGB)2%

Allein Google Fonts und Cookie-Banner machen über die Hälfte aller Abmahnungen aus. Beide Probleme sind technisch trivial zu beheben — und genau deshalb so attraktiv für die spezialisierten Kanzleien: Der Beweis ist einfach (Screenshot der DevTools), der Verstoß ist eindeutig, und das Volumen ist hoch.

Google Fonts: Der Dauerbrenner

Seit dem LG-München-Urteil von 2022 ist klar, dass Google Fonts, die live von fonts.googleapis.com geladen werden, ohne Einwilligung gegen die DSGVO verstoßen. Wer das auch 2026 noch nicht behoben hat, fängt sich früher oder später eine Abmahnung ein. Die DSGVO-Checkliste 2026 erklärt die Lösung: lokales Hosting der Schriften.

Cookie-Banner ohne echte Ablehnen-Option

Der zweithäufigste Vorwurf trifft Banner, bei denen „Alle akzeptieren" prominent ist und „Ablehnen" entweder fehlt oder erst auf Layer 2 zu finden ist. Das BGH-Urteil zu Layered Consent aus 2025 hat diesen Punkt eindeutig geklärt: Beide Optionen müssen gleichwertig auf Layer 1 sichtbar sein.

Newsletter ohne dokumentiertes Double-Opt-In

Wer eine Newsletter-Anmeldung hat, muss im Streitfall beweisen können, dass der Empfänger aktiv zugestimmt hat. Tools wie Brevo, MailerLite oder ConvertKit liefern Double-Opt-In-Logs automatisch. Wer mit einem WordPress-Plugin ohne Bestätigungs-E-Mail arbeitet, hat im Abmahnungsfall keine Beweismittel — und verliert.

Schritt 3: Die modifizierte Unterlassungserklärung

Das ist der zentrale juristische Schritt — und der, bei dem die meisten Fehler passieren.

Was eine Unterlassungserklärung leistet

Mit der Unterlassungserklärung verpflichtest du dich rechtsverbindlich, den gerügten Verstoß ab sofort zu unterlassen. Sie beendet den Unterlassungsanspruch der Gegenseite — der eigentliche Hebel der Abmahnung. Schadensersatzansprüche bestehen davon unabhängig.

Warum du die Originalfassung nicht unterschreiben solltest

Die mitgeschickte Erklärung enthält fast immer drei Probleme:

  1. Pauschale Vertragsstrafe von 5.001 Euro pro Verstoß. Das ist 2026 unverhältnismäßig — die Rechtsprechung sieht 250 bis 1.500 Euro als angemessen an, gestaffelt nach Schwere und Wiederholung.
  2. Zu weite Reichweite. Die Erklärung umfasst oft auch Konstellationen, die der konkrete Vorwurf gar nicht abdeckt — etwa „jegliche Form von Tracking" statt „Google Fonts ohne Einwilligung".
  3. Unbefristete Bindung. Eine Unterlassungserklärung wirkt 30 Jahre. Was du heute unterschreibst, gilt auch nach drei CMS-Migrationen weiter.

Wie eine modifizierte Erklärung aussieht

Die anwaltliche Praxis ist seit Jahren etabliert: Du gibst eine Unterlassungserklärung ab, die nur den konkret gerügten Verstoß abdeckt, eine Vertragsstrafe „nach billigem Ermessen, im Streitfall vom Gericht zu überprüfen" enthält und nicht überschießend formuliert ist. Genau das ist der Grund, warum eine Erstberatung bei einer auf IT-Recht spezialisierten Kanzlei sinnvoll ist — die kennen die Standardformulierungen und passen sie auf deinen Fall an.

Schritt 4: Schadensersatz und Kosten

Die Abmahnung enthält neben der Unterlassungsforderung in der Regel zwei Kostenpositionen:

Anwaltskosten der Gegenseite

Berechnet nach RVG (Rechtsanwaltsvergütungsgesetz), abhängig vom Streitwert. Typisch sind 600 bis 1.200 Euro. Diese Kosten musst du tragen, wenn die Abmahnung berechtigt ist. Bei einer berechtigten Abmahnung lässt sich daran wenig verhandeln — der Posten ist gesetzlich geregelt.

DSGVO-Schadensersatz

Hier ist Bewegung im Markt. Das BGH-Urteil VI ZR 1228/21 vom Januar 2023 hat klargestellt, dass ein DSGVO-Schadensersatz auch ohne nachweisbaren Vermögensschaden möglich ist — aber nicht automatisch. Die Höhe wird einzelfallabhängig festgesetzt, in der Praxis oft zwischen 100 und 1.000 Euro pro Person. Das schafft Spielraum für Verhandlungen.

Schritt 5: Den Verstoß auf der Website beheben

Parallel zum juristischen Vorgehen muss der gerügte Zustand sofort weg. Die Behebung dauert je nach Verstoß zwischen 30 Minuten (Google Fonts lokal hosten) und mehreren Tagen (Cookie-Banner-Architektur überarbeiten).

Wichtig dabei: Die Behebung muss dokumentiert werden — am besten mit Datum, Uhrzeit und Screenshot. Das ist der Beleg, den du brauchst, falls die Gegenseite später eine Vertragsstrafe wegen Verstoßes gegen die Unterlassungserklärung geltend macht.

Die Sicherheits-Checkliste für Websites 2026 und der DSGVO-Quick-Audit gehen die typischen Schwachstellen Schritt für Schritt durch.

Schritt 6: Prävention für die nächsten zwölf Monate

Sobald die akute Sache erledigt ist, lohnt sich eine systematische Prävention. Die Maßnahmen mit dem höchsten Wirkungsgrad:

  • Quartalsweises Selbst-Audit der eigenen Website mit DevTools im Inkognito-Modus. Was lädt vor dem Banner? Welche Cookies werden gesetzt? Welche externen Skripte sind aktiv?
  • Lokales Hosting aller Schriften, Bilder und Skripte. Keine externen CDNs ohne Consent — auch nicht Bootstrap, jQuery oder Font Awesome, die viele Themes von extern laden.
  • Cookie-Banner-Audit jährlich. Die Rechtsprechung entwickelt sich weiter — was 2024 noch akzeptabel war, kann 2026 abmahnbar sein.
  • Newsletter-Tool mit Double-Opt-In-Log. Brevo, MailerLite, ConvertKit oder Klaviyo liefern automatisch eine prüfbare Einwilligungs-Historie.
  • Datenschutzerklärung jährlich aktualisieren. Generatoren wie der von e-Recht24 oder activeMind liefern aktuelle Vorlagen, die jeweils an die eigene Konfiguration angepasst werden müssen.
  • Wartungsvertrag oder Eigenpflege mit festem Rhythmus. Ohne kontinuierliche Pflege schleichen sich neue Verstöße ein — ein Plugin-Update, eine zusätzliche Schriftart, ein neues Embed.

Was es kostet, wenn du nichts tust

Die teuerste Variante ist immer das Ignorieren. Der typische Verlauf:

  1. Tag 0: Abmahnung kommt, Frist 7 Tage. Kosten: 1.200 Euro Abmahnkosten.
  2. Tag 8: Frist verstrichen. Gegenseite beantragt einstweilige Verfügung beim Landgericht.
  3. Tag 14: Einstweilige Verfügung wird erlassen. Zusätzliche Kosten: ca. 1.500 bis 4.000 Euro.
  4. Tag 21: Du musst die einstweilige Verfügung als „Hauptsache anerkennen" oder Widerspruch einlegen. Widerspruch kostet weiteren Anwaltsaufwand.
  5. Bei Verstoß gegen die einstweilige Verfügung: Ordnungsgeld zwischen 250 und 250.000 Euro pro Verstoß möglich.

Die durchschnittlichen Gesamtkosten eines ignorierten Falls liegen bei 4.500 bis 8.000 Euro — verglichen mit 800 bis 2.500 Euro bei zeitnaher Reaktion. Das ist der Faktor 4 bis 5.

Mein Fazit aus 42 begleiteten Fällen

Eine Abmahnung ist kein Weltuntergang, aber sie ist auch keine Spam-Mail. Wer ruhig und strukturiert reagiert, kommt mit überschaubarem Schaden raus. Wer in Panik unterschreibt, bindet sich für 30 Jahre an überschießende Verpflichtungen. Wer ignoriert, zahlt am Ende das Vier- bis Fünffache.

Der wichtigste Hebel bleibt die Prävention: Wer die typischen Stolperfallen — Google Fonts, Cookie-Banner, Newsletter-Compliance — sauber gelöst hat, ist für rund 80 Prozent der aktuellen Abmahnwellen außer Reichweite. Das ist heute kein Zusatzaufwand mehr, sondern Stand der Technik.

Wenn ein Schreiben bei dir liegt und du nicht weißt, wie ernst die Sache ist: Schreib mir kurz. Ich helfe dir bei der technischen Einordnung, bevor du zur Anwältin oder zum Anwalt gehst — das spart oft die Hälfte der ersten Beratungszeit, weil die Faktenlage bereits klar ist.

Häufige Fragen

Muss ich eine Abmahnung überhaupt ernst nehmen?
Ja — auch wenn die Versuchung groß ist, sie als Spam abzutun. Die Anwaltskosten sind echte Forderungen, und wenn du die Frist verstreichen lässt, folgt eine einstweilige Verfügung. Die Kosten dafür liegen im Schnitt bei 1.500 bis 4.000 Euro zusätzlich. Und: Selbst wenn die Abmahnung rechtsmissbräuchlich ist, musst du das aktiv geltend machen — sie verschwindet nicht von allein.
Soll ich die beigelegte Unterlassungserklärung unterschreiben?
In den allermeisten Fällen nein — jedenfalls nicht in der mitgeschickten Form. Diese ist fast immer zu weit gefasst, enthält oft eine pauschale Vertragsstrafe von 5.001 Euro pro Verstoß und kann dich auf Jahre binden. Eine modifizierte Unterlassungserklärung mit angemessener Vertragsstrafe ist Standard und in der Regel ausreichend, um den Unterlassungsanspruch aus der Welt zu schaffen.
Brauche ich zwingend einen Anwalt?
Bei einer berechtigten Abmahnung mit niedrigem Streitwert und klar nachvollziehbarem Verstoß kann eine Eigenbearbeitung der modifizierten Unterlassungserklärung ausreichen. Sobald aber Schadensersatzforderungen, Auskunftsansprüche oder ungewöhnlich hohe Streitwerte im Spiel sind, ist anwaltliche Hilfe sinnvoll. Eine Erstberatung kostet 100 bis 250 Euro — die spart in fast allen Fällen mehr ein, als sie kostet.
Was kostet eine typische Abmahnung am Ende?
Die durchschnittlichen Gesamtkosten einer berechtigten Abmahnung 2025 lagen bei 800 bis 2.500 Euro. Davon entfallen 600 bis 1.200 Euro auf die Abmahnkosten der Gegenseite (1,3 Geschäftsgebühr nach RVG), 300 bis 800 Euro auf den Schadensersatz und 100 bis 500 Euro auf die eigene anwaltliche Beratung. Bei sensiblen Daten (Gesundheit, Finanzen, Kinder) deutlich mehr.
Wie erkenne ich eine missbräuchliche Abmahnung?
Indikatoren sind: serielles Vorgehen einer Kanzlei (immer dieselben Vorwürfe an viele Adressaten), unverhältnismäßig hoher Streitwert, fehlende Aktivlegitimation des Abmahners (keine Mitbewerbersituation), formelhafte Begründung ohne Bezug zum konkreten Fall. Das BGH-Urteil zu rechtsmissbräuchlichen Abmahnungen aus 2019 (Az. I ZR 71/18) setzt die Schwelle relativ hoch — eine missbräuchliche Abmahnung muss aktiv geltend gemacht werden, sie hebt sich nicht von selbst auf.
Kann ich vor einer Abmahnung präventiv schützen?
Vollständig nein, aber das Risiko lässt sich um schätzungsweise 80–90 Prozent senken. Die wichtigsten präventiven Maßnahmen: Google Fonts und externe Schriften lokal hosten, Cookie-Banner mit echter Ablehnen-Option auf Layer 1, Newsletter-Anmeldung mit Double-Opt-In und dokumentierter Einwilligungs-Historie, vollständiges Impressum, AGB und Datenschutzerklärung von einer aktuellen Quelle (nicht Copy-Paste aus 2020).

Quellen & weiterführende Links

  1. BGH, Urteil vom 26.01.2023 — DSGVO-Schadensersatz, Az. VI ZR 1228/21Bundesgerichtshof · 26. Januar 2023
  2. LG München I, Urteil vom 20.01.2022 — Google Fonts, Az. 3 O 17493/20openJur · 20. Januar 2022
  3. Gesetz gegen den unlauteren Wettbewerb (UWG) — § 13 AbmahnungBundesministerium der Justiz
  4. Abmahnradar Jahresreport 2025Abmahnradar (IT-Recht Kanzlei)
  5. Bitkom — DSGVO-Bußgeld- und Abmahn-AuswertungBitkom e.V.
Tags#Abmahnung#Recht#DSGVO#Datenschutz#Compliance
SG

Sebastian Gawlita

Webdesigner · DSGVO- und Abmahn-Prävention

Ich begleite Selbstständige seit 2017 bei der technischen Seite von DSGVO-Compliance — und immer öfter auch bei akuten Abmahnungen. Ich bin kein Jurist, aber ich kenne den Ablauf, die Fallstricke und die typischen Schwachstellen, die in der Praxis abgemahnt werden.

30 Min. Website-Check buchen →Über mich →

Das könnte dich auch interessieren

Datenschutz·7 Min.

DSGVO-Checkliste 2026: Was deine Website jetzt können muss

Die aktuelle DSGVO-Prüfliste mit Stand 2026 — inklusive TDDDG-Novelle, Cookie-Urteilen aus 2025, Analytics-Alternativen und einem Audit in 10 Minuten. Praxiswissen aus 234+ Projekten, kein Copy-Paste-Content.

Lesen →
Datenschutz·8 Min.

DSGVO-konformer Chatbot 2026: Was geht, was nicht — und worauf du achten musst

KI-Chatbots für KMU-Websites richtig einsetzen: EU-Hosting, Consent, Datenminimierung, Anbietervergleich. Mit konkreten Empfehlungen für Tidio, Crisp, eigene Bots auf Open-Source-LLMs und ehrlichen Hinweisen zu OpenAI-basierten Lösungen.

Lesen →
Tools·8 Min.

Terminbuchung in die Website integrieren: Leitfaden 2026 für KMU und Selbstständige

Welches Online-Terminbuchungs-Tool passt zu welchem Geschäft, wie wird es DSGVO-konform integriert — und welche Stolperfallen kosten Termine? Praxis-Vergleich von Calendly, Cal.com, TidyCal, Microsoft Bookings, Doctolib und Co. mit konkreten Setup-Anleitungen.

Lesen →
Technik·9 Min.

Website-Sicherheit 2026 für KMU: Die ehrliche Bestandsaufnahme — und was wirklich schützt

Praktischer Leitfaden zur Website-Sicherheit für Selbstständige und KMU: SSL korrekt konfigurieren, WordPress härten, Backup-Strategien, Bot-Schutz, DSGVO-Sicherheit. Mit konkreten Maßnahmen, geordnet nach Aufwand und Wirkung.

Lesen →