Tracking ohne Cookie-Banner-Bußgeld
Der HmbBfDI prüft 2026 schwerpunktmäßig Cookie-Banner. Wer Tracking ohne Einwilligung lädt, riskiert Bußgelder im fünf- bis sechsstelligen Bereich.
Datenschutzbeauftragter für Online-Shops in Hamburg.
Cookie-Banner-Compliance, Tracking ohne Bußgeld, Newsletter mit Double-Opt-In, AVV mit Stripe/Klarna/PayPal, US-CRM-Drittland-Themen — wir kennen die Stolperfallen.
- TÜV-zertifiziert · DSB nach DSGVO Art. 37
- 43+ Mandate · seit 2024 betreut
- 0 € Bußgelder · in der Mandantschaft
- <24 h Reaktion · auf Anfragen werktags
TÜV-zertifizierter DSB BVMID-Mitglied 100 % Hosting in Deutschland
43+ Mandate · 19 Standorte Norddeutschland
Drei Themen, die E-Commerce-Mandanten regelmäßig zum Telefon greifen lassen.
Newsletter & Double-Opt-In
Werbe-Mails ohne nachweisbare Einwilligung sind Abmahn-Material. Wir setzen ein DSGVO-konformes DOI auf und dokumentieren jede Einwilligung.
Zahlungsdienstleister & Drittland
Stripe, PayPal, Klarna — alle übertragen Daten teils in die USA. Standardvertragsklauseln und AVV-Prüfung sind Pflicht.
Vier echte Cases. Vier konkrete Outcomes.
Datenschutz wirkt erst, wenn Druck da ist — Behördenanfrage, Phishing-Vorfall, Lieferanten-Audit, TÜV-Termin am Wochenende. Hier sind vier reale Fälle aus den letzten zwölf Monaten, anonymisiert nach Branche und Region.
IT-Dienstleister
Hamburg
0 € Bußgeld
Phishing auf Microsoft-365-Postfach des Geschäftsführers, MFA durch Hacker deaktiviert. Mehrere tausend Spam-Mails wurden an Geschäftspartner verschickt.
Datenpannen-Meldung an die Behörde innerhalb der 72-Stunden-Frist. Anschließend Schulungen zur Erkennung von Phishing über vermeintlich vertraute Absender.
„MFA muss doch davor schützen — das denken wir alle. Dieser Fall hat gezeigt: Selbst gute Sicherheitssysteme können umgangen werden. Am Ende zählt, wie schnell man reagiert."
— Nils Oehmichen, über diesen Fall
Pflegedienst
Schleswig-Holstein
24 h bis zur Klärung
Mandant wollte Kundenzufriedenheits-Befragung über externes Webportal durchführen. Personenbezogene Daten (IP-Adressen) wurden übertragen — AVV nötig.
Bestehender AVV des Anbieters geprüft (Subunternehmer, Drittlandtransfer, TOMs). Freigabe erteilt, Befragung gestartet.
„Innerhalb von 24 Stunden war der Fall geklärt. Genau so soll die Arbeit mit einem Datenschutzbeauftragten stattfinden."
— Nils Oehmichen, über diesen Fall
Komponentenfertigung
Niedersachsen
TÜV bestanden
Fünf Tage vor TÜV-Rezertifizierung ISO 9001: IT-Risikoanalyse, TOMs und Notfallplan fehlen. Auditor verlangt vollständige Dokumentation.
Übers Wochenende vollständige Risikoanalyse erstellt und am Folgetag eingereicht. Auditor war begeistert, Zertifizierung bestanden.
„Eine super schöne Dokumentation, zeigt viele Risiken auf, klar dokumentiert. Und der Kunde hat zum ersten Mal gesehen, wo seine echten Risiken liegen."
— Nils Oehmichen, über diesen Fall
Industriezulieferer
Norddeutschland
38 Audit-Fragen
Großkunde aus dem NIS2-Sektor verschickt Lieferanten-Audit mit 38 Fragen — Nachweispflicht zu Datenschutz und Informationssicherheit, sonst Geschäftsverlust.
Bestehende Richtliniensammlung und Datenschutzkonzept bereitgestellt. Audit sauber durchlaufen, Geschäftsbeziehung gesichert.
„Es trifft auch die kleineren Unternehmen, die nicht direkt unter NIS2 fallen — aber als Lieferant ein wichtiger Bestandteil sind. Ohne Vorbereitung verlieren sie ihre Großkunden."
— Nils Oehmichen, über diesen Fall
Ähnliche Situation in Ihrem Unternehmen?
Eigenen Fall besprechenE-Commerce-spezifische Erfahrung.
Unsere Mandantschaft hat uns die Zeit gegeben, branchenspezifische Vorlagen und Prozesse zu entwickeln — das spart Ihnen Wochen Doku-Aufbau.
- AVV-Bibliothek für gängige Shop-Systeme (Shopify, Shopware, WooCommerce, Magento)
- Cookie-Banner-Standards mit kategoriebasierter Einwilligung
- Newsletter-DOI-Vorlagen mit Doppel-Opt-In und Logging
- Drittland-Bewertung für US-Anbieter (Stripe, Klaviyo, Mailchimp, HubSpot)
Drei Schritte vom Erstkontakt bis zur Bestellung.
Wir machen kein Geheimnis aus dem Ablauf. Klar, schnell, ohne Termin-Pingpong.
- 01
Anfrage in 60 Sekunden
Online-Rechner ausfüllen oder anrufen. Wir melden uns werktags innerhalb von 24 Stunden mit einem Termin für ein 30-minütiges Erstgespräch.
- 02
Festpreis-Angebot
Nach dem kostenlosen Erstgespräch bekommen Sie ein schriftliches Angebot mit allen Inklusionen, Preisen und Vertragsbedingungen — keine versteckten Kosten.
- 03
Onboarding in 7 Tagen
Bestellung als DSB nach DSGVO Art. 37, Workshop bei Ihnen vor Ort oder per Teams, Mitarbeiter-Onboarding auf der Hugo-DSB-Plattform.
01 Reicht der Cookie-Banner aus dem Standard-Plugin von Shopware/Shopify?
Meistens nicht. Standard-Plugins sind oft zu generisch und blockieren Tracker nicht zuverlässig vor Einwilligung. Wir prüfen Ihre konkrete Konfiguration und passen sie an.
02 Was tun mit US-CRMs wie HubSpot oder Klaviyo?
Standardvertragsklauseln (SCC) abschließen, Transfer Impact Assessment durchführen, Datenminimierung prüfen. In manchen Fällen ist EU-Hosting der Cleanere Weg — Brevo statt Klaviyo, etwa.
03 Brauchen wir eine Datenschutzfolgenabschätzung für unseren Shop?
Bei großem Datenvolumen, automatisiertem Profiling oder besonderen Datenkategorien: ja. Wir prüfen das im Erstgespräch und erstellen die DSFA falls nötig.
Datenschutz, der nicht im Posteingang liegen bleibt.
TÜV-zertifizierter externer DSB plus eigene KI-Plattform — Festpreis ab 149 €/Monat, in 7 Werktagen startklar, monatlich kündbar.
TÜV-zertifizierter DSB Festpreis Monatlich kündbar 0 € Bußgelder