In einem Satz. Der deutsche Einzelhandel unterliegt einer Reihe DSGVO-Spezifika: Kundenkarten-Programme (PAYBACK, DeutschlandCard), Videoüberwachung, Beschäftigtenkontrolle (H&M-Skandal Hamburg 35,3 Mio. €), Bonitätsprüfung beim Kauf auf Rechnung — mit hohen Bußgeldrisiken bei Verstößen.
Einzelhandel ist seit 2018 eine der meistsanktionierten Branchen in Deutschland. Siehe ergänzend BfDI und DSGVO Sanktionen 2025. Für benachbarte Branchen mit Werkstatt- oder Handwerksbezug lohnt ein Blick in DSGVO im Handwerksbetrieb.
Wichtige Punkte
- H&M Hamburg 2020: 35,3 Mio. € — größtes deutsches Bußgeld lange Zeit.
- Notebooksbilliger 2021: 10,4 Mio. € (LfDI BaWü) wegen Videoüberwachung.
- Kundenkarten brauchen explizite Einwilligung nach Art. 6 + 7.
- Videoüberwachung: BGB § 6b — Hinweisschild, Speicherdauer max. 72h Standard.
- Bonitätsprüfung: berechtigtes Interesse oder Einwilligung.
1. Rechtsgrundlagen Verkauf
| Verarbeitung | Rechtsgrundlage |
|---|---|
| Kaufvertrag | Art. 6 Abs. 1 lit. b |
| Kundenkarte | Art. 6 Abs. 1 lit. a (Einwilligung) |
| Newsletter | Art. 6 Abs. 1 lit. a (Einwilligung) |
| Bonitätsprüfung | Art. 6 Abs. 1 lit. f (berechtigtes Interesse) |
| Videoüberwachung | Art. 6 Abs. 1 lit. f + BDSG § 4 |
| Beschäftigtendaten | BDSG § 26 |
2. Kundenkarten und Loyalty
- Klare Trennung Vertragsabwicklung vs. Marketing.
- Granulare Einwilligungen (E-Mail, SMS, App-Push).
- Profilbildung erfordert ausdrückliche Einwilligung.
- Widerruf jederzeit, einfach umsetzbar.
3. Videoüberwachung im Laden
- Hinweisschild am Eingang mit Symbol, Verantwortlichem, Kontakt.
- Speicherdauer 48-72h Standard, längere Speicherung begründungspflichtig.
- Keine Erfassung Mitarbeiterarbeitsplatz (BAG-Rechtsprechung).
- Notebooksbilliger-Fall: 10,4 Mio. € (LfDI BaWü) für rechtswidrige Dauerüberwachung Mitarbeiter.
4. Bonitätsprüfung
- Kauf auf Rechnung/Ratenzahlung: Bonität erforderlich.
- Information nach Art. 13/14 bei Auskunfteien-Abfrage.
- BGH-Urteil 2023 zu SCHUFA Scoring: kein automatisches Scoring ohne menschliche Letztentscheidung (Art. 22).
- Nur erforderliche Daten erheben.
5. H&M Hamburg-Fall
35,3 Mio. € (2020) — größtes Einzelhandels-Bußgeld in Deutschland. Verstoß: detaillierte Mitarbeiter-Profile (Krankheiten, Familienverhältnisse, religiöse Überzeugungen) in zentraler Datenbank ohne Rechtsgrundlage. Auslöser: Konfigurationsfehler legte Datenbank intern offen.
6. Beschäftigtendatenschutz
- Strenge Grenzen nach BDSG § 26.
- Leistungs- und Verhaltenskontrolle nur mit Mitbestimmung.
- Mitarbeiter-Tracking (z.B. via Kassensystem) eng begrenzt.
- H&M-Lehre: keine systematische Sammlung sensibler Daten.
7. Online-Shop und Versand
Siehe unseren Spezial-Leitfaden für Online-Shops und E-Commerce; kompakt zusammengefasst auch in DSGVO im Onlineshop. Wichtige Punkte:
- Cookie-Banner mit echter Wahl.
- AVV mit Versanddienstleistern (DHL, DPD).
- AVV mit Payment-Providern.
- Drittland-Transfers bei US-Tools.
8. Bonprogramme und Coupons
- Bon-Druck mit personenbezogenem Coupon erfordert Einwilligung.
- App-basierte Coupons nur an angemeldete Nutzer.
- A/B-Tests mit Pseudonymisierung.
9. WLAN für Kunden
- Pseudonymisierte Authentisierung statt Klarnamen-Pflicht.
- AGB nach BGH-Urteil 2016 (Sony) ohne Datenabgreifung.
- Tracking nur mit Einwilligung.
10. Meldepflichten
- Datenpannen nach Art. 33 binnen 72h.
- Verzeichnis nach Art. 30.
- DSFA bei Kundenkarten mit Profilbildung.
- Meldewege siehe Datenpanne melden.
11. Tool-Unterstützung
Legiscope liefert branchenspezifische Vorlagen für Einzelhandel, inklusive Videoüberwachungs-Checkliste und Kundenkarten-Einwilligung.
11. Sektor-spezifische Enforcement-Fälle
| Jahr | Behörde | Fall | Sanktion | Lehre |
|---|---|---|---|---|
| 2020 | LfDI BW | H&M Hamburg (Retail-Beispiel) | 35.300.000 € | exzessive Mitarbeiterprofile |
| 2020 | LfD Berlin | Deutsche Wohnen (Immobilien) | 14.500.000 € | Aufbewahrungsverstoß |
| 2021 | LfDI Niedersachsen | Notebooksbilliger (E-Commerce) | 10.400.000 € | dauerhafte Videoüberwachung |
| 2022 | LDA Bayern | VW (Industrie) | 1.100.000 € | unzureichende AVV-Kontrolle |
| 2023 | HmbBfDI | Vattenfall (Energie) | 900.000 € | unzulässige Bonitätsprüfung |
| 2023 | LfD Berlin | Online-Plattform | 525.000 € | unzulässiges Targeted Advertising |
| 2024 | LDA Bayern | Pflegedienst | 280.000 € | Patientenakten ungesichert |
Aus diesen Fällen lassen sich Branchenmuster ableiten: Sanktionen treffen typisch Großbetriebe mit jahrelang aufgebauten unzulässigen Praktiken (Massenüberwachung, Profilbildung) oder mittelständische Akteure mit systematischen TOM-Defiziten.
12. Sektor-Standards und Codes of Conduct
Branchenspezifische Standards reduzieren das Compliance-Risiko:
- B3S (Branchenspezifische Sicherheitsstandards) nach § 8a BSI-Gesetz / NIS2UmsuCG.
- ISO 27001:2022 für ISMS-Zertifizierung.
- ISO 27701:2019 für Privacy Information Management (PIMS).
- BSI IT-Grundschutz Bausteine pro Sektor (siehe BSI-Grundschutz).
- TISAX für Automotive-Lieferketten.
- C5 (Cloud Computing Compliance Criteria Catalogue) für Cloud-Anbieter.
- Branchenkodizes nach Art. 40 DSGVO (Verband akkreditiert).
Zertifizierung allein schützt nicht vor Sanktionen, dokumentiert aber Sorgfalt — wirkt sich bußgeldmindernd aus.
13. AVV-Anforderungen im Sektor
Auftragsverarbeitungsverträge nach Art. 28 DSGVO sind sektorkritisch. Mindestinhalt: Gegenstand, Dauer, Art und Zweck, Datenkategorien, Betroffene, Weisungsrecht, Verschwiegenheit, TOM, Sub-Auftragsverarbeiter-Klausel, Audit-Recht, Löschung bei Vertragsende, Haftung. Mustervorlage: Auftragsverarbeitungsvertrag AVV.
Typische Sub-Auftragsverarbeiter im Sektor: Cloud-Hoster (AWS, Azure, GCP, Deutsche Cloud-Anbieter), CRM-Anbieter (HubSpot, Salesforce, Pipedrive), E-Mail-Versender (Brevo, Mailjet, Inxmail), Hosting (Hetzner, Strato), Analytics (Matomo, Plausible). Jeder benötigt eigenen AVV plus TIA bei Drittlandstransfer.
14. 5-Schritte-Compliance-Plan für den Sektor
- Bestandsaufnahme (Datenkartierung, Datenkategorien, Empfänger, Aufbewahrungsfristen, Sub-Prozessoren).
- Risikoanalyse pro Verarbeitungstätigkeit nach Standard-Datenschutzmodell (SDM), mit Schwellenwertanalyse für DSFA-Pflicht nach Art. 35.
- Rechtsgrundlagen-Mapping: Art. 6 Abs. 1 (a-f) pro Tätigkeit, bei besonderen Kategorien Art. 9 Abs. 2.
- TOM und AVV nach DSGVO Art. 32 Sicherheit und Art. 28.
- Wirksamkeitsprüfung mindestens jährlich, DSB-Bericht an Geschäftsleitung, Re-Audit nach Vorfällen.
15. Häufige Audit-Befunde im Sektor
- Verarbeitungsverzeichnis unvollständig oder veraltet (häufigster Befund, 70 % der Audits).
- AVV-Lücken bei IT-Dienstleistern, Druckerei, Lohnbüro.
- Fehlende oder unvollständige DSFA bei Hochrisiko-Verarbeitungen.
- Cookie-Banner ohne TTDSG-konforme Reject-Option.
- Bewerberdaten länger als 6 Monate gespeichert (Verstoß Art. 5 Abs. 1 lit. e).
- Newsletter ohne dokumentierten Double-Opt-In-Nachweis.
- Kameraüberwachung ohne Beschilderung und Interessensabwägung.
- Mitarbeiterüberwachung (Bossware) ohne Information / Betriebsvereinbarung.
- Backups unverschlüsselt oder offen erreichbar.
- Verspätete Datenpannenmeldung — siehe Datenpanne melden.
16. Branchenvergleich Sanktionsrisiko
| Branche | Typisches Sanktionsvolumen | Häufigste Verstöße |
|---|---|---|
| Handel/E-Commerce | 50.000 - 10 Mio. € | Marketing-Tracking, AVV-Lücken |
| Industrie | 100.000 - 35 Mio. € | Beschäftigtendatenschutz |
| Gesundheit/Pflege | 30.000 - 1 Mio. € | TOM-Defizite, Akten ungesichert |
| Energie/Versorger | 50.000 - 900.000 € | SCHUFA-Abfragen, Smart-Meter |
| Bildung | 5.000 - 100.000 € | MS 365 ohne TIA, Schülerdaten |
| Vereine/NGO | 1.000 - 50.000 € | fehlender DSB, AVV-Lücken |
| Influencer/Creator | 5.000 - 200.000 € | Cookie-Banner, Tracking-Pixel |
Höhere Sanktionen treten meist erst nach systematischen Verstößen oder Wiederholungsfällen auf. Erstverfahren enden in 60-70 % der Fälle mit Verwarnung oder Anordnung.
18. DSFA-Pflicht im Sektor
Eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO ist im Sektor regelmäßig erforderlich bei: systematischer Überwachung von Personen, Verarbeitung besonderer Kategorien in großem Umfang, Profiling mit Rechtsfolgen, Einsatz neuer Technologien (KI, Biometrie, IoT). Die DSK-Liste “Muss-DSFA” gibt verbindliche Beispiele. Ablauf: (1) Schwellenwertanalyse, (2) systematische Beschreibung, (3) Notwendigkeits- und Verhältnismäßigkeitsprüfung, (4) Risikobewertung, (5) Schutzmaßnahmen, (6) DSB-Stellungnahme, ggf. Konsultation Aufsichtsbehörde nach Art. 36.
Praxis-Tipp: DSFA-Templates der DSK oder der CNIL (PIA-Tool) verwenden — beide werden von deutschen Aufsichten anerkannt.
19. Branchenkodex und Zertifizierung
Branchenspezifische Verhaltensregeln nach Art. 40 DSGVO können bei akkreditiertem Verband bindende Wirkung entfalten. Bestehende Kodizes: GDD-Code für KMU, BVDW-Code für Online-Marketing, DGUV-Sektorstandards Gesundheit. Zertifizierung nach Art. 42 DSGVO durch akkreditierte Stellen (z.B. TÜV, DEKRA, EuroPriSe) dokumentiert Sorgfalt, wirkt bußgeldmindernd. Kosten Erstzertifizierung 15.000-80.000 €, Re-Audit alle 3 Jahre.
20. Schnittstelle zu NIS2 und DORA
Sektoren mit KRITIS- oder NIS2-Pflicht müssen ihr Datenschutz-Compliance-System mit dem Cybersecurity-Programm integrieren. Doppelmeldepflichten beachten: Datenpannenmeldung an Datenschutzbehörde nach Art. 33 (Datenpanne melden) UND Cyber-Vorfallmeldung ans BSI nach § 35 NIS2UmsuCG (NIS2 Deutschland) — Fristen 72 h bzw. 24 h. Finanzinstitute zusätzlich DORA-Meldung an BaFin.
21. Häufige strategische Fehler im Sektor
- Datenschutz wird als reine IT-Aufgabe gesehen, nicht als Geschäftsprozess.
- DSB ohne Direktzugang zur Geschäftsleitung — Verstoß Art. 38 Abs. 3.
- Kein Budget für Schulungen — Risiko über Mitarbeiterfehler.
- Cloud-Migration ohne TIA und ohne Vertragsanpassung.
- Marketing-Tracking ohne TTDSG-konforme Einwilligung.
- Keine dokumentierte Schwellenwertanalyse für DSFA-Pflicht.
- Vorhandene AVV werden nicht regelmäßig auf Aktualität geprüft.
Fazit
Einzelhandel hat hohe Datenschutz-Risiken: Kunden, Mitarbeiter, Video. Nach H&M und Notebooksbilliger ist die Aufsichtssensibilität hoch. Wer Kundenkarte, Videoüberwachung und Beschäftigten-Tracking sauber dokumentiert, schläft ruhiger. Für kleinere Betriebe mit Ladengeschäft und Werkstatt lohnt auch ein Blick in unseren DSGVO-Leitfaden für Handwerksbetriebe. Betriebe mit Bewirtungs- oder Beherbergungsangebot finden passende Hinweise in DSGVO im Hotel- und Gastgewerbe.
FAQ
Wie hoch war das H&M-Bußgeld?
35,3 Mio. € (2020, Hamburgische DPA) für umfassende Mitarbeiter-Profilbildung ohne Rechtsgrundlage.
Wie lange darf ich Videoaufnahmen speichern?
Standard 48-72 Stunden, längere Speicherung nur mit konkretem Grund (z.B. polizeiliche Anforderung).
Brauche ich für Kundenkarten Einwilligung?
Ja, für Marketing-Nutzung und Profilbildung ausdrückliche, granulare Einwilligung nach Art. 6 Abs. 1 lit. a + Art. 7.
Ist Mitarbeiter-Videoüberwachung erlaubt?
Nur bei konkretem Verdacht und mit Mitbestimmung. Dauerüberwachung Arbeitsplatz unzulässig (Notebooksbilliger-Fall).
Was kostet eine Datenpanne im Einzelhandel?
5.000-50.000 € bei kleineren Fällen, 100.000-1 Mio. € bei systematischen Verstößen — siehe H&M und Notebooksbilliger.
Welche Behörde ist für meinen Sektor zuständig?
Grundsätzlich die Landesdatenschutzbehörde am Sitz des Verantwortlichen — siehe etwa BayLDA für Bayern. Bei mehreren Niederlassungen greift One-Stop-Shop nach Art. 56 DSGVO mit Federführung der Hauptniederlassungs-Behörde. Telekommunikation, Post und Bundesbehörden unterliegen dem BfDI. Bei grenzüberschreitenden EU-Verfahren koordiniert der EDSA über das Konsistenzverfahren nach Art. 63 ff.
Brauche ich einen Datenschutzbeauftragten?
Nach § 38 BDSG ab 20 mit der automatisierten Verarbeitung beschäftigten Personen, unabhängig vom Sektor. Zusätzlich Pflicht nach Art. 37 DSGVO bei Kernverarbeitung sensibler Daten oder umfangreicher systematischer Überwachung — typisch bei Pflegediensten, Online-Shops mit Profiling, Influencern mit Tracking. Externer DSB kann beauftragt werden; Vorteile: spezialisierte Expertise, Kosten 6.000-30.000 €/Jahr je nach Unternehmensgröße.
Wie hoch sind realistische Bußgelder im Mittelstand?
Erstverfahren ohne Vorsatz typisch 5.000-50.000 €. Wiederholungsfälle oder vorsätzliche Verstöße können in den 6-stelligen Bereich gehen. Systematische Verstöße (Massenverarbeitung, Profilbildung) bis 7-stellig und höher — siehe Notebooksbilliger 10,4 Mio. €. Die Bemessung folgt EDSA-Guidelines 4/2022 mit Multiplikator nach Konzernumsatz. Kooperation und Mitwirkung senken den Betrag deutlich.
Welche TOM sind im Sektor Pflicht?
Mindestens: Zugangs-, Zutritts-, Weitergabe-, Eingabe-, Auftrags-, Verfügbarkeits- und Trennungskontrolle nach Anlage zu § 9 BDSG a.F. (gilt fort als Auslegungshilfe). Konkret nach DSGVO Art. 32 Sicherheit: Pseudonymisierung, Verschlüsselung (BSI TR-02102), Vertraulichkeit, Integrität, Verfügbarkeit, Belastbarkeit, regelmäßige Wirksamkeitsprüfung. Bei besonderen Kategorien (Art. 9) zusätzlich erweiterte Maßnahmen.
Wie läuft ein Audit der Behörde ab?
Ankündigung (in der Regel 2-6 Wochen vor Ort), Unterlagenanforderung (Art. 30-Verzeichnis, AVV-Liste, DSFA, TOM-Dokumentation, Schulungsnachweise, DSB-Berichte), Vor-Ort-Besuch (1-3 Tage), Befundbericht, Anhörung, Maßnahmenkatalog mit Fristen, bei Verstößen Bußgeldverfahren. Vorbereitung: dokumentierte Compliance, klare Verantwortlichkeiten, geübter DSB als Single Point of Contact.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial