DSGVO-Abmahnung im Briefkasten: Was du Schritt für Schritt tun musst

Der Brief liegt im Briefkasten. Absender: irgendeine Kanzlei, die du noch nie gehört hast. Inhalt: angeblicher DSGVO-Verstoß auf deiner Website, vorformulierte Unterlassungserklärung, Frist von zehn Tagen, Kostenforderung im vierstelligen Bereich. Der erste Gedanke: ignorieren oder unterschreiben, Hauptsache weg. Beides ist falsch.

Eine DSGVO-Abmahnung ist kein Weltuntergang. Sie ist ein zivilrechtlicher Vorgang mit klaren Spielregeln, und die ersten 72 Stunden entscheiden über die Kosten. Dieser Artikel führt dich durch die fünf Schritte, die du in genau dieser Reihenfolge gehen solltest, und erklärt, warum jeder Schritt wichtig ist.

Was du in den ersten 24 Stunden NICHT tun solltest

Drei Klartext-Verbote, bevor wir zum eigentlichen Ablauf kommen.

Nicht unterschreiben. Die beigelegte Unterlassungserklärung ist fast immer zu weit gefasst, mit fester Vertragsstrafe ohne Deckelung und mit „kerngleichen Handlungen" als Auffangformel für alles Mögliche. Wer unterschreibt, hängt jahrelang an einer überdimensionierten Vertragsstrafe. § 13a UWG begrenzt die Strafe bei Erstabmahnungen nur dann, wenn die Erklärung das auch so vorsieht. Vordrucke der Abmahn-Kanzleien tun das praktisch nie.

Nicht ignorieren. Eine ignorierte berechtigte Abmahnung führt zur einstweiligen Verfügung. Das vervielfacht die Kosten und nimmt dir die Kontrolle über den Ablauf. Mehr dazu in Schritt 5 und in H2 5 weiter unten.

Nicht „mein Steuerberater hat gesagt" folgen. Abmahnungen sind Fachanwalt-Territorium, konkret IT-Recht oder gewerblicher Rechtsschutz. Der Steuerberater darf gut beraten, in Steuersachen. Hier eben nicht.

Die fünf Schritte nach Erhalt der Abmahnung

Kern des Artikels. Fünf nummerierte Schritte, jeder mit Klartext-Anweisung und konkretem Detail.

Schritt 1: Frist lesen und im Kalender notieren

Die Frist steht meist auf der ersten oder zweiten Seite. Typisch sind 7 bis 14 Tage ab Briefdatum, im Eilfall mit Drohung einer einstweiligen Verfügung auch nur 3 bis 5 Tage. Eine gesetzliche Mindestfrist gibt es nicht, sie muss nach Rechtsprechung lediglich „angemessen" sein. Nach Fristablauf kann der Abmahner sofort eine einstweilige Verfügung nach § 935 ZPO beim Landgericht beantragen.

Wichtig: Frist nicht vom Briefdatum ab rechnen, sondern vom tatsächlichen Eingang plus realistischer Postlaufzeit. Wenn die Frist offensichtlich zu knapp ist, kann der Anwalt sie fast immer um einige Tage verlängern lassen, aber nur, wenn er rechtzeitig dran ist. Also: am Tag des Eingangs den Anwalts-Termin machen, nicht den Tag verschenken.

Schritt 2: Brief prüfen, wer mahnt ab, was ist der Vorwurf

Drei Dinge identifizieren. Wer mahnt ab (Mitbewerber, Verband, Wettbewerbszentrale, Kammer)? Was ist der konkrete Vorwurf (Cookie ohne Einwilligung, Google Fonts dynamisch eingebunden, AGB-Klausel, fehlende Datenschutzerklärung)? Welche Anlagen liegen bei (Screenshot des angeblichen Verstoßes, vorformulierte Unterlassungserklärung, Kostennote)?

Das Wer ist juristisch besonders wichtig. § 8 Abs. 3 UWG zählt vier Gruppen abschließend auf: Mitbewerber im selben sachlich-räumlichen Markt, eingetragene Wirtschaftsverbände, qualifizierte Einrichtungen nach UKlaG (Wettbewerbszentrale, vzbv) sowie IHKs, Handwerkskammern, berufsständische Kammern und Gewerkschaften. Eine Privatperson kann nicht abmahnen, dazu unten mehr.

Schritt 3: Fachanwalt einschalten

Sofort, nicht erst, wenn die Frist halb rum ist. Fachanwalt für IT-Recht oder gewerblichen Rechtsschutz mit erkennbarer Spezialisierung auf Abmahnungen. Die Fachanwaltsbezeichnung ist geschützt, dahinter steht eine Prüfung.

Eine anwaltliche Erstberatung kostet für Unternehmer typischerweise zwischen 150 und 350 Euro netto, je nach Kanzlei und Komplexität. Die in § 34 RVG genannten Höchstgrenzen von 190 bzw. 250 Euro gelten nur für Verbraucher, nicht für Geschäftsführer. Frage vorab nach einer Honorarvereinbarung, viele Kanzleien bieten ein Pauschalpreis-Orientierungsgespräch an. Anwaltssuche über die Bundesrechtsanwaltskammer, die Anwaltskammer im Bundesland oder über Empfehlung aus Innung, Verband oder Branchenkontakt.

Schritt 4: Verstoß abstellen und dokumentieren

Den behaupteten Verstoß auf der Website beheben, aber vorher den Ist-Stand per Screenshot festhalten, mit URL-Leiste und sichtbarer Uhrzeit (Windows-Snipping-Tool zeigt das automatisch). Nachher-Screenshot zeigt den abgestellten Zustand. PDF-Druck der Seite als zusätzlicher Nachweis. Das beweist den Zeitpunkt der Abhilfe und ist die Grundlage für die Antwort deines Anwalts.

Beispiel: Wenn ein nicht-essentielles Tracking-Cookie ohne Einwilligung gesetzt wurde, Cookie-Banner-Konfiguration anpassen (alle Tools auf „nicht aktiv vor Einwilligung"). Erst Vorher-Screenshot, dann Korrektur, dann Nachher-Screenshot. Prävention für die Zukunft im Artikel Cookie-Banner für Selbstständige.

Schritt 5: Antwort über den Anwalt

Drei mögliche Reaktionen, alle über den Anwalt. (a) modifizierte Unterlassungserklärung, (b) komplettes Bestreiten der Aktivlegitimation oder des Verstoßes, (c) Vergleich mit reduzierten Kosten.

Die modifizierte Unterlassungserklärung (mUE) ist der häufigste Weg. Sie übernimmt die Unterlassungs-Verpflichtung, aber begrenzt zwei Dinge. Erstens die Vertragsstrafe: statt fester Strafhöhe wird der „Hamburger Brauch" vereinbart, bei dem die Höhe nach billigem Ermessen des Gläubigers festgelegt und im Streitfall vom zuständigen Gericht überprüft wird. Zweitens die Reichweite: nur der konkrete Verstoß wird unterlassen, die Formel „kerngleiche Handlungen" wird gestrichen. Anwaltlicher Standard ist, die mUE direkt mit dem Antwortschreiben zu verschicken, damit Wiederholungsgefahr und Verfügungsgrund für eine einstweilige Verfügung entfallen.

Komplettes Bestreiten kommt in Frage, wenn der Abmahner keine Aktivlegitimation hat (kein echter Mitbewerber), keinen konkreten Verstoß belegen kann oder der Verstoß nicht vorlag. Das ist riskanter, aber bei Massenabmahnungen oft die richtige Linie. Ein Vergleich auf reduzierten Aufwendungsersatz ist bei berechtigten Abmahnungen mit überzogener Kostenforderung häufig möglich.

Was die UWG-Reform 2020 für kleine Firmen geändert hat

Vier Eckpfeiler, die in den Schritten 2 bis 5 immer wieder auftauchen. Wer Geldzahlen will, liest danach den Artikel Was kostet eine Abmahnung wirklich?.

§ 8c UWG (Missbrauchsschutz). Seit der UWG-Reform vom 2. Dezember 2020 ist die Geltendmachung von Unterlassungsansprüchen unzulässig, wenn sie missbräuchlich erfolgt. Ein Regelbeispiel: eine erhebliche Anzahl von Abmahnungen, die außer Verhältnis zur eigenen Geschäftstätigkeit stehen. Rechtsfolge ist die Unzulässigkeit plus Gegenanspruch des Abgemahnten auf Erstattung der Rechtsverteidigungskosten (Abs. 3). Massenabmahnungen sind also nicht per se unzulässig, entscheidend ist das Missverhältnis.

§ 13 Abs. 4 UWG (Aufwendungsersatz-Ausschluss). Bei DSGVO-Verstößen und bei Verstößen gegen Informations- und Kennzeichnungspflichten im elektronischen Geschäftsverkehr dürfen Mitbewerber keinen Anwalts-Aufwendungsersatz mehr verlangen, vorausgesetzt das abgemahnte Unternehmen hat in der Regel weniger als 250 Beschäftigte. Wichtige Einschränkung: Der Ausschluss gilt nur gegen Mitbewerber. Verbände wie die Wettbewerbszentrale oder die vzbv dürfen weiterhin Kosten geltend machen, ein nachfolgendes Gerichtsverfahren ist von der Regelung nicht erfasst.

§ 13a UWG (Vertragsstrafen-Schild). Zwei getrennte Schichten. Abs. 1: bei Erstabmahnungen durch einen Mitbewerber in den oben genannten Fällen dürfen gar keine Vertragsstrafen verlangt werden. Abs. 2: unabhängig davon gilt eine allgemeine 1.000-Euro-Deckelung, wenn der Verstoß nur unerheblich beeinträchtigt und das Unternehmen in der Regel unter 100 Beschäftigte hat.

BGH und EuGH zur DSGVO-Abmahnfähigkeit. Mit dem EuGH-Urteil vom 4. Oktober 2024 (C-21/23, Lindenapotheke) und den BGH-Folgeurteilen vom 27. März 2025 (I ZR 222/19 und I ZR 223/19) steht fest: Mitbewerber und Verbraucherschutzverbände können DSGVO-Verstöße über das UWG abmahnen, jedenfalls dann, wenn die verletzte DSGVO-Norm zugleich eine Marktverhaltensregel im Sinne von § 3a UWG ist. Für Art. 9 DSGVO (Gesundheitsdaten) ist das ausdrücklich bejaht. Für reine Informations- und Cookie-Pflichten ist die Frage höchstrichterlich noch nicht abschließend geklärt. Heißt für dich: das Argument „wir warten die Urteile ab" greift nicht mehr.

Wer mahnt überhaupt ab? Drei Absender-Kategorien

Hilfe beim Brief-Lesen aus Schritt 2. Drei typische Absender und was du jeweils erwarten kannst.

Aktuelle Wellen Stand 2026. Seit August 2025 läuft eine Welle der CLAIM Rechtsanwalts GmbH für Christopher Liermann mit Forderungen um 595 Euro, fachanwaltliche Bewertungen sehen sie überwiegend als anfechtbar. Seit Februar 2026 läuft eine zweite Welle der Kanzlei MK (Michael Krause, Berlin) mit Forderungen um 2.700 Euro, formal sorgfältiger und ernster zu nehmen. Stand 2026 hat noch kein Gericht entschieden, ob BFSG-Verstöße überhaupt UWG-abmahnfähig sind, die Rechtsgrundlage dieser Welle ist also nicht gerichtlich bestätigt.

Privatpersonen können nicht abmahnen. § 8 Abs. 3 UWG ist abschließend, § 3 UKlaG ebenfalls. Was Privatpersonen tun können: Beschwerde bei der Aufsichtsbehörde nach Art. 77 DSGVO, Auskunftsverlangen nach Art. 15 DSGVO, Klage auf Unterlassung oder Löschung nach Art. 79 DSGVO, Schadensersatzklage (auch immateriell) nach Art. 82 DSGVO. Das alles ist möglich und kommt vor, ist aber rechtlich ein anderer Vorgang als eine UWG-Abmahnung.

Was passiert, wenn du ignorierst, und warum das fast immer teurer wird

Drei Phasen, wenn nichts passiert.

Phase 1 (Tag 8 bis 14): Mahnschreiben des Abmahn-Anwalts mit verlängerter Frist. Letzte Chance ohne Eskalation.

Phase 2 (Tag 14 bis 30): Antrag auf einstweilige Verfügung. Zuständig ist nach § 13 UWG immer das Landgericht ausschließlich, unabhängig vom Streitwert. Kein Amtsgericht. Streitwert wird vom Antragsteller-Anwalt geschätzt, für DSGVO- und Cookie-Verfahren typisch 10.000 bis 30.000 Euro. Du erfährst davon meist erst durch den Gerichtsvollzieher mit dem Beschluss.

Phase 3 (Beschluss): Die einstweilige Verfügung verpflichtet zur Unterlassung. Bei 15.000 Euro Streitwert sind grob 2.500 bis 3.500 Euro Verfahrenskosten realistisch (Gerichtskosten plus Anwalt der Gegenseite plus eigener Anwalt), bei 30.000 Euro 5.000 bis 6.500 Euro. Wer dann gegen die Verfügung verstößt, riskiert nach § 890 ZPO ein Ordnungsgeld bis zu 250.000 Euro.

Realistische Größenordnung: Was als 800 bis 1.200 Euro Aufwendungsersatz hätte enden können, kostet nach einer einstweiligen Verfügung schnell das Drei- bis Fünffache. Ignorieren spart kein Geld. Es nimmt dir nur die Möglichkeit, den Ablauf zu kontrollieren.

Wenn die Abmahnung ein Bluff ist

Es gibt sie, die rechtsmissbräuchlichen Massenabmahnungen mit dünnem Substrat. Erkennungsmerkmale: keine prüfbare Anwaltszulassung, keine konkrete Markt-Tätigkeit des angeblichen Mitbewerbers, verdächtig hohe Sofort-Zahlungsforderung mit unverhältnismäßig kurzer Frist, Crawler-typische Verstoßbeschreibung ohne echte Nutzer-Berührung.

Prominenter Präzedenzfall: das LG München I, Urteil vom 30. März 2023, Az. 4 O 13063/22, das Massenabmahnungen wegen dynamisch eingebundener Google Fonts als rechtsmissbräuchlich abgewiesen hat. Begründung: Crawler-basierte Provokation der „Verstöße" und Missverhältnis zur eigenen Geschäftstätigkeit. Viele Empfänger dieser Wellen haben aus Angst gezahlt, das war fast immer falsch.

Trotzdem: nicht selbst entscheiden, ob eine Abmahnung Bluff ist. Die Plausibilitäts-Prüfung macht der Anwalt in Schritt 3, nicht du am Küchentisch. Eine ignorierte angeblich-Bluff-Abmahnung kann sehr schnell echt werden, wenn das Gericht die Aktivlegitimation doch bejaht.

Was dieser Artikel nicht beantwortet

Damit die Grenzen klar sind, vier Dinge, die dieser Artikel bewusst offen lässt.

Ob deine konkrete Abmahnung berechtigt ist. Das prüft ein Fachanwalt im Einzelfall, mit dem Brief vor sich.

Wie viel dich deine konkrete Abmahnung kosten wird. Spannen und Größenordnungen findest du im Artikel Was kostet eine Abmahnung wirklich?. Den Einzelfall rechnet dein Anwalt nach RVG-Streitwert oder Stundensatz.

Wie du verhinderst, überhaupt eine zu bekommen. Prävention auf der Website steht im Cookie-Banner-Artikel, in der BFSG-Schwellen-Übersicht sowie im kostenlosen AEO- und BFSG-Check. Wer eine systematische Compliance-Prüfung durch eine Agentur sucht, findet eine Orientierung im Webagentur-Vergleich Compliance-Audit.

Behördliche DSGVO-Bußgelder. Die kommen von der Landesdatenschutzbehörde oder vom BfDI und sind ein anderer Vorgang. Abmahnung und Bußgeld schließen einander nicht aus, sie können denselben Verstoß beide treffen.

Häufige Fragen

Was tue ich, wenn eine DSGVO-Abmahnung im Briefkasten liegt?

Frist im Brief notieren, NICHT unterschreiben, NICHT ignorieren, sofort einen Fachanwalt für IT-Recht oder gewerblichen Rechtsschutz einschalten. Der Rest läuft über den Anwalt: Brief prüfen, Verstoß abstellen und mit Screenshot dokumentieren, dann modifizierte Unterlassungserklärung verschicken. Die ersten 24 bis 72 Stunden entscheiden über die Kosten.

Wie lange habe ich Zeit zu reagieren?

Die Frist steht im Brief, typisch 7 bis 14 Tage ab Briefdatum, im Eilfall mit Drohung einer einstweiligen Verfügung auch nur 3 bis 5 Tage. Eine gesetzliche Mindestfrist gibt es nicht, sie muss lediglich angemessen sein. Ein Anwalt kann die Frist fast immer um einige Tage verlängern lassen, wenn er rechtzeitig dran ist.

Kann mich jeder einfach so abmahnen?

Nein. § 8 Abs. 3 UWG zählt vier Gruppen abschließend auf: Mitbewerber im selben Markt, eingetragene Wirtschaftsverbände, qualifizierte Einrichtungen nach UKlaG (Wettbewerbszentrale, vzbv) sowie Industrie- und Handwerkskammern, berufsständische Kammern und Gewerkschaften. Privatpersonen können sich bei der Aufsichtsbehörde beschweren oder nach Art. 79 und 82 DSGVO klagen, sie können aber nicht abmahnen.

Was kostet mich ein Fachanwalt für die Erstberatung?

Für Unternehmer liegt die Erstberatung beim Fachanwalt für IT-Recht oder gewerblichen Rechtsschutz typischerweise zwischen 150 und 350 Euro netto. Die in § 34 RVG genannten Höchstgrenzen von 190 bzw. 250 Euro gelten nur für Verbraucher, nicht für Geschäftsführer. Frage vorab nach einer Honorarvereinbarung, viele Kanzleien bieten ein Pauschalpreis-Orientierungsgespräch an.

Sollte ich die vorformulierte Unterlassungserklärung unterschreiben?

Nein, nicht ohne anwaltliche Prüfung. Die vorformulierte Erklärung ist fast immer zu weit gefasst: Vertragsstrafe ohne Deckelung, kerngleiche Handlungen mit drin. Der Standard-Ausweg ist die modifizierte Unterlassungserklärung über deinen Anwalt, häufig mit einer Vertragsstrafen-Klausel nach Hamburger Brauch, die das Gericht im Streitfall überprüft. Eine selbstgebaute mUE kann die Wiederholungsgefahr verfehlen und teuer werden.

Was passiert, wenn ich gar nicht reagiere?

Erst kommt ein Mahnschreiben, dann der Antrag auf einstweilige Verfügung beim Landgericht, das nach § 13 UWG immer ausschließlich zuständig ist. Streitwerte für DSGVO- und Cookie-Verfahren liegen typisch zwischen 10.000 und 30.000 Euro. Bei 15.000 Euro Streitwert sind grob 2.500 bis 3.500 Euro Verfahrenskosten realistisch, bei 30.000 Euro 5.000 bis 6.500 Euro. Bei Verstoß gegen die einstweilige Verfügung droht nach § 890 ZPO ein Ordnungsgeld bis zu 250.000 Euro.

Dürfen Mitbewerber DSGVO-Verstöße überhaupt abmahnen?

Ja, der EuGH hat das in der Lindenapotheke-Entscheidung vom 4. Oktober 2024 (C-21/23) bestätigt, der BGH hat am 27. März 2025 mit den Urteilen I ZR 222/19 und I ZR 223/19 nachgezogen. Voraussetzung: die verletzte DSGVO-Norm muss zugleich eine Marktverhaltensregel im Sinne von § 3a UWG sein. Für Art. 9 DSGVO (Gesundheitsdaten) ist das ausdrücklich bejaht. Für reine Informations- und Cookie-Pflichten ist die Frage höchstrichterlich noch nicht abschließend geklärt.

Was ist der Unterschied zwischen Abmahnung und DSGVO-Bußgeld?

Eine Abmahnung ist zivilrechtlich, sie kommt von Mitbewerbern, Verbänden oder Kammern und zielt auf Unterlassung plus Kostenerstattung. Ein DSGVO-Bußgeld ist behördlich, es kommt von der Landesdatenschutzbehörde oder dem BfDI und zielt auf eine Geldstrafe. Beides kann denselben Verstoß betreffen, läuft aber rechtlich getrennt und schließt einander nicht aus.