Datenschutz

DSGVO Einzelhandel: Pflichten Deutschland 2026

DSGVO Einzelhandel 2026: MediaMarkt-Saturn, dm, Kundenkarten, Videoüberwachung, Bußgelder und Praxispflichten.

In einem Satz. Der deutsche Einzelhandel unterliegt einer Reihe DSGVO-Spezifika: Kundenkarten-Programme (PAYBACK, DeutschlandCard), Videoüberwachung, Beschäftigtenkontrolle (H&M-Skandal Hamburg 35,3 Mio. €), Bonitätsprüfung beim Kauf auf Rechnung — mit hohen Bußgeldrisiken bei Verstößen.

Einzelhandel ist seit 2018 eine der meistsanktionierten Branchen in Deutschland. Siehe ergänzend BfDI und DSGVO Sanktionen 2025. Für benachbarte Branchen mit Werkstatt- oder Handwerksbezug lohnt ein Blick in DSGVO im Handwerksbetrieb.

Wichtige Punkte

  • H&M Hamburg 2020: 35,3 Mio. € — größtes deutsches Bußgeld lange Zeit.
  • Notebooksbilliger 2021: 10,4 Mio. € (LfDI BaWü) wegen Videoüberwachung.
  • Kundenkarten brauchen explizite Einwilligung nach Art. 6 + 7.
  • Videoüberwachung: BGB § 6b — Hinweisschild, Speicherdauer max. 72h Standard.
  • Bonitätsprüfung: berechtigtes Interesse oder Einwilligung.

1. Rechtsgrundlagen Verkauf

Verarbeitung Rechtsgrundlage
Kaufvertrag Art. 6 Abs. 1 lit. b
Kundenkarte Art. 6 Abs. 1 lit. a (Einwilligung)
Newsletter Art. 6 Abs. 1 lit. a (Einwilligung)
Bonitätsprüfung Art. 6 Abs. 1 lit. f (berechtigtes Interesse)
Videoüberwachung Art. 6 Abs. 1 lit. f + BDSG § 4
Beschäftigtendaten BDSG § 26

2. Kundenkarten und Loyalty

  • Klare Trennung Vertragsabwicklung vs. Marketing.
  • Granulare Einwilligungen (E-Mail, SMS, App-Push).
  • Profilbildung erfordert ausdrückliche Einwilligung.
  • Widerruf jederzeit, einfach umsetzbar.

3. Videoüberwachung im Laden

  • Hinweisschild am Eingang mit Symbol, Verantwortlichem, Kontakt.
  • Speicherdauer 48-72h Standard, längere Speicherung begründungspflichtig.
  • Keine Erfassung Mitarbeiterarbeitsplatz (BAG-Rechtsprechung).
  • Notebooksbilliger-Fall: 10,4 Mio. € (LfDI BaWü) für rechtswidrige Dauerüberwachung Mitarbeiter.

4. Bonitätsprüfung

  • Kauf auf Rechnung/Ratenzahlung: Bonität erforderlich.
  • Information nach Art. 13/14 bei Auskunfteien-Abfrage.
  • BGH-Urteil 2023 zu SCHUFA Scoring: kein automatisches Scoring ohne menschliche Letztentscheidung (Art. 22).
  • Nur erforderliche Daten erheben.

5. H&M Hamburg-Fall

35,3 Mio. € (2020) — größtes Einzelhandels-Bußgeld in Deutschland. Verstoß: detaillierte Mitarbeiter-Profile (Krankheiten, Familienverhältnisse, religiöse Überzeugungen) in zentraler Datenbank ohne Rechtsgrundlage. Auslöser: Konfigurationsfehler legte Datenbank intern offen.

6. Beschäftigtendatenschutz

  • Strenge Grenzen nach BDSG § 26.
  • Leistungs- und Verhaltenskontrolle nur mit Mitbestimmung.
  • Mitarbeiter-Tracking (z.B. via Kassensystem) eng begrenzt.
  • H&M-Lehre: keine systematische Sammlung sensibler Daten.

7. Online-Shop und Versand

Siehe unseren Spezial-Leitfaden für Online-Shops und E-Commerce; kompakt zusammengefasst auch in DSGVO im Onlineshop. Wichtige Punkte:

  • Cookie-Banner mit echter Wahl.
  • AVV mit Versanddienstleistern (DHL, DPD).
  • AVV mit Payment-Providern.
  • Drittland-Transfers bei US-Tools.

8. Bonprogramme und Coupons

  • Bon-Druck mit personenbezogenem Coupon erfordert Einwilligung.
  • App-basierte Coupons nur an angemeldete Nutzer.
  • A/B-Tests mit Pseudonymisierung.

9. WLAN für Kunden

  • Pseudonymisierte Authentisierung statt Klarnamen-Pflicht.
  • AGB nach BGH-Urteil 2016 (Sony) ohne Datenabgreifung.
  • Tracking nur mit Einwilligung.

10. Meldepflichten

  • Datenpannen nach Art. 33 binnen 72h.
  • Verzeichnis nach Art. 30.
  • DSFA bei Kundenkarten mit Profilbildung.
  • Meldewege siehe Datenpanne melden.

11. Tool-Unterstützung

Legiscope liefert branchenspezifische Vorlagen für Einzelhandel, inklusive Videoüberwachungs-Checkliste und Kundenkarten-Einwilligung.

11. Sektor-spezifische Enforcement-Fälle

Jahr Behörde Fall Sanktion Lehre
2020 LfDI BW H&M Hamburg (Retail-Beispiel) 35.300.000 € exzessive Mitarbeiterprofile
2020 LfD Berlin Deutsche Wohnen (Immobilien) 14.500.000 € Aufbewahrungsverstoß
2021 LfDI Niedersachsen Notebooksbilliger (E-Commerce) 10.400.000 € dauerhafte Videoüberwachung
2022 LDA Bayern VW (Industrie) 1.100.000 € unzureichende AVV-Kontrolle
2023 HmbBfDI Vattenfall (Energie) 900.000 € unzulässige Bonitätsprüfung
2023 LfD Berlin Online-Plattform 525.000 € unzulässiges Targeted Advertising
2024 LDA Bayern Pflegedienst 280.000 € Patientenakten ungesichert

Aus diesen Fällen lassen sich Branchenmuster ableiten: Sanktionen treffen typisch Großbetriebe mit jahrelang aufgebauten unzulässigen Praktiken (Massenüberwachung, Profilbildung) oder mittelständische Akteure mit systematischen TOM-Defiziten.

12. Sektor-Standards und Codes of Conduct

Branchenspezifische Standards reduzieren das Compliance-Risiko:

  • B3S (Branchenspezifische Sicherheitsstandards) nach § 8a BSI-Gesetz / NIS2UmsuCG.
  • ISO 27001:2022 für ISMS-Zertifizierung.
  • ISO 27701:2019 für Privacy Information Management (PIMS).
  • BSI IT-Grundschutz Bausteine pro Sektor (siehe BSI-Grundschutz).
  • TISAX für Automotive-Lieferketten.
  • C5 (Cloud Computing Compliance Criteria Catalogue) für Cloud-Anbieter.
  • Branchenkodizes nach Art. 40 DSGVO (Verband akkreditiert).

Zertifizierung allein schützt nicht vor Sanktionen, dokumentiert aber Sorgfalt — wirkt sich bußgeldmindernd aus.

13. AVV-Anforderungen im Sektor

Auftragsverarbeitungsverträge nach Art. 28 DSGVO sind sektorkritisch. Mindestinhalt: Gegenstand, Dauer, Art und Zweck, Datenkategorien, Betroffene, Weisungsrecht, Verschwiegenheit, TOM, Sub-Auftragsverarbeiter-Klausel, Audit-Recht, Löschung bei Vertragsende, Haftung. Mustervorlage: Auftragsverarbeitungsvertrag AVV.

Typische Sub-Auftragsverarbeiter im Sektor: Cloud-Hoster (AWS, Azure, GCP, Deutsche Cloud-Anbieter), CRM-Anbieter (HubSpot, Salesforce, Pipedrive), E-Mail-Versender (Brevo, Mailjet, Inxmail), Hosting (Hetzner, Strato), Analytics (Matomo, Plausible). Jeder benötigt eigenen AVV plus TIA bei Drittlandstransfer.

14. 5-Schritte-Compliance-Plan für den Sektor

  1. Bestandsaufnahme (Datenkartierung, Datenkategorien, Empfänger, Aufbewahrungsfristen, Sub-Prozessoren).
  2. Risikoanalyse pro Verarbeitungstätigkeit nach Standard-Datenschutzmodell (SDM), mit Schwellenwertanalyse für DSFA-Pflicht nach Art. 35.
  3. Rechtsgrundlagen-Mapping: Art. 6 Abs. 1 (a-f) pro Tätigkeit, bei besonderen Kategorien Art. 9 Abs. 2.
  4. TOM und AVV nach DSGVO Art. 32 Sicherheit und Art. 28.
  5. Wirksamkeitsprüfung mindestens jährlich, DSB-Bericht an Geschäftsleitung, Re-Audit nach Vorfällen.

15. Häufige Audit-Befunde im Sektor

  • Verarbeitungsverzeichnis unvollständig oder veraltet (häufigster Befund, 70 % der Audits).
  • AVV-Lücken bei IT-Dienstleistern, Druckerei, Lohnbüro.
  • Fehlende oder unvollständige DSFA bei Hochrisiko-Verarbeitungen.
  • Cookie-Banner ohne TTDSG-konforme Reject-Option.
  • Bewerberdaten länger als 6 Monate gespeichert (Verstoß Art. 5 Abs. 1 lit. e).
  • Newsletter ohne dokumentierten Double-Opt-In-Nachweis.
  • Kameraüberwachung ohne Beschilderung und Interessensabwägung.
  • Mitarbeiterüberwachung (Bossware) ohne Information / Betriebsvereinbarung.
  • Backups unverschlüsselt oder offen erreichbar.
  • Verspätete Datenpannenmeldung — siehe Datenpanne melden.

16. Branchenvergleich Sanktionsrisiko

Branche Typisches Sanktionsvolumen Häufigste Verstöße
Handel/E-Commerce 50.000 - 10 Mio. € Marketing-Tracking, AVV-Lücken
Industrie 100.000 - 35 Mio. € Beschäftigtendatenschutz
Gesundheit/Pflege 30.000 - 1 Mio. € TOM-Defizite, Akten ungesichert
Energie/Versorger 50.000 - 900.000 € SCHUFA-Abfragen, Smart-Meter
Bildung 5.000 - 100.000 € MS 365 ohne TIA, Schülerdaten
Vereine/NGO 1.000 - 50.000 € fehlender DSB, AVV-Lücken
Influencer/Creator 5.000 - 200.000 € Cookie-Banner, Tracking-Pixel

Höhere Sanktionen treten meist erst nach systematischen Verstößen oder Wiederholungsfällen auf. Erstverfahren enden in 60-70 % der Fälle mit Verwarnung oder Anordnung.

18. DSFA-Pflicht im Sektor

Eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO ist im Sektor regelmäßig erforderlich bei: systematischer Überwachung von Personen, Verarbeitung besonderer Kategorien in großem Umfang, Profiling mit Rechtsfolgen, Einsatz neuer Technologien (KI, Biometrie, IoT). Die DSK-Liste “Muss-DSFA” gibt verbindliche Beispiele. Ablauf: (1) Schwellenwertanalyse, (2) systematische Beschreibung, (3) Notwendigkeits- und Verhältnismäßigkeitsprüfung, (4) Risikobewertung, (5) Schutzmaßnahmen, (6) DSB-Stellungnahme, ggf. Konsultation Aufsichtsbehörde nach Art. 36.

Praxis-Tipp: DSFA-Templates der DSK oder der CNIL (PIA-Tool) verwenden — beide werden von deutschen Aufsichten anerkannt.

19. Branchenkodex und Zertifizierung

Branchenspezifische Verhaltensregeln nach Art. 40 DSGVO können bei akkreditiertem Verband bindende Wirkung entfalten. Bestehende Kodizes: GDD-Code für KMU, BVDW-Code für Online-Marketing, DGUV-Sektorstandards Gesundheit. Zertifizierung nach Art. 42 DSGVO durch akkreditierte Stellen (z.B. TÜV, DEKRA, EuroPriSe) dokumentiert Sorgfalt, wirkt bußgeldmindernd. Kosten Erstzertifizierung 15.000-80.000 €, Re-Audit alle 3 Jahre.

20. Schnittstelle zu NIS2 und DORA

Sektoren mit KRITIS- oder NIS2-Pflicht müssen ihr Datenschutz-Compliance-System mit dem Cybersecurity-Programm integrieren. Doppelmeldepflichten beachten: Datenpannenmeldung an Datenschutzbehörde nach Art. 33 (Datenpanne melden) UND Cyber-Vorfallmeldung ans BSI nach § 35 NIS2UmsuCG (NIS2 Deutschland) — Fristen 72 h bzw. 24 h. Finanzinstitute zusätzlich DORA-Meldung an BaFin.

21. Häufige strategische Fehler im Sektor

  • Datenschutz wird als reine IT-Aufgabe gesehen, nicht als Geschäftsprozess.
  • DSB ohne Direktzugang zur Geschäftsleitung — Verstoß Art. 38 Abs. 3.
  • Kein Budget für Schulungen — Risiko über Mitarbeiterfehler.
  • Cloud-Migration ohne TIA und ohne Vertragsanpassung.
  • Marketing-Tracking ohne TTDSG-konforme Einwilligung.
  • Keine dokumentierte Schwellenwertanalyse für DSFA-Pflicht.
  • Vorhandene AVV werden nicht regelmäßig auf Aktualität geprüft.

Fazit

Einzelhandel hat hohe Datenschutz-Risiken: Kunden, Mitarbeiter, Video. Nach H&M und Notebooksbilliger ist die Aufsichtssensibilität hoch. Wer Kundenkarte, Videoüberwachung und Beschäftigten-Tracking sauber dokumentiert, schläft ruhiger. Für kleinere Betriebe mit Ladengeschäft und Werkstatt lohnt auch ein Blick in unseren DSGVO-Leitfaden für Handwerksbetriebe. Betriebe mit Bewirtungs- oder Beherbergungsangebot finden passende Hinweise in DSGVO im Hotel- und Gastgewerbe.

FAQ

Wie hoch war das H&M-Bußgeld?

35,3 Mio. € (2020, Hamburgische DPA) für umfassende Mitarbeiter-Profilbildung ohne Rechtsgrundlage.

Wie lange darf ich Videoaufnahmen speichern?

Standard 48-72 Stunden, längere Speicherung nur mit konkretem Grund (z.B. polizeiliche Anforderung).

Brauche ich für Kundenkarten Einwilligung?

Ja, für Marketing-Nutzung und Profilbildung ausdrückliche, granulare Einwilligung nach Art. 6 Abs. 1 lit. a + Art. 7.

Ist Mitarbeiter-Videoüberwachung erlaubt?

Nur bei konkretem Verdacht und mit Mitbestimmung. Dauerüberwachung Arbeitsplatz unzulässig (Notebooksbilliger-Fall).

Was kostet eine Datenpanne im Einzelhandel?

5.000-50.000 € bei kleineren Fällen, 100.000-1 Mio. € bei systematischen Verstößen — siehe H&M und Notebooksbilliger.

Welche Behörde ist für meinen Sektor zuständig?

Grundsätzlich die Landesdatenschutzbehörde am Sitz des Verantwortlichen — siehe etwa BayLDA für Bayern. Bei mehreren Niederlassungen greift One-Stop-Shop nach Art. 56 DSGVO mit Federführung der Hauptniederlassungs-Behörde. Telekommunikation, Post und Bundesbehörden unterliegen dem BfDI. Bei grenzüberschreitenden EU-Verfahren koordiniert der EDSA über das Konsistenzverfahren nach Art. 63 ff.

Brauche ich einen Datenschutzbeauftragten?

Nach § 38 BDSG ab 20 mit der automatisierten Verarbeitung beschäftigten Personen, unabhängig vom Sektor. Zusätzlich Pflicht nach Art. 37 DSGVO bei Kernverarbeitung sensibler Daten oder umfangreicher systematischer Überwachung — typisch bei Pflegediensten, Online-Shops mit Profiling, Influencern mit Tracking. Externer DSB kann beauftragt werden; Vorteile: spezialisierte Expertise, Kosten 6.000-30.000 €/Jahr je nach Unternehmensgröße.

Wie hoch sind realistische Bußgelder im Mittelstand?

Erstverfahren ohne Vorsatz typisch 5.000-50.000 €. Wiederholungsfälle oder vorsätzliche Verstöße können in den 6-stelligen Bereich gehen. Systematische Verstöße (Massenverarbeitung, Profilbildung) bis 7-stellig und höher — siehe Notebooksbilliger 10,4 Mio. €. Die Bemessung folgt EDSA-Guidelines 4/2022 mit Multiplikator nach Konzernumsatz. Kooperation und Mitwirkung senken den Betrag deutlich.

Welche TOM sind im Sektor Pflicht?

Mindestens: Zugangs-, Zutritts-, Weitergabe-, Eingabe-, Auftrags-, Verfügbarkeits- und Trennungskontrolle nach Anlage zu § 9 BDSG a.F. (gilt fort als Auslegungshilfe). Konkret nach DSGVO Art. 32 Sicherheit: Pseudonymisierung, Verschlüsselung (BSI TR-02102), Vertraulichkeit, Integrität, Verfügbarkeit, Belastbarkeit, regelmäßige Wirksamkeitsprüfung. Bei besonderen Kategorien (Art. 9) zusätzlich erweiterte Maßnahmen.

Wie läuft ein Audit der Behörde ab?

Ankündigung (in der Regel 2-6 Wochen vor Ort), Unterlagenanforderung (Art. 30-Verzeichnis, AVV-Liste, DSFA, TOM-Dokumentation, Schulungsnachweise, DSB-Berichte), Vor-Ort-Besuch (1-3 Tage), Befundbericht, Anhörung, Maßnahmenkatalog mit Fristen, bei Verstößen Bußgeldverfahren. Vorbereitung: dokumentierte Compliance, klare Verantwortlichkeiten, geübter DSB als Single Point of Contact.

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →