In einem Satz. Influencer und Content Creator sind nach DSGVO selbst Verantwortliche für ihre Newsletter, Online-Shops, Community-Plattformen und Follower-Interaktion — Pflichten umfassen Datenschutzerklärung, Werbekennzeichnung (UWG), Foto-Rechte, Nutzungsverhalten von Kindern (Art. 8) und gemeinsame Verantwortung mit Plattformen (CJEU “Wirtschaftsakademie”).
In Deutschland gibt es ca. 100.000 hauptberufliche Influencer/Creator. DSGVO trifft alle, die Daten von Followers/Kunden außerhalb der eigenen Plattform sammeln (Newsletter, Shop, App). Siehe ergänzend Cookies und Tracking.
Wichtige Punkte
- Influencer als Verantwortlicher für eigene Verarbeitungen.
- CJEU “Wirtschaftsakademie”: gemeinsame Verantwortung mit Facebook/Meta.
- Newsletter: Double-Opt-In + Datenschutzerklärung.
- Art. 8 DSGVO: Eltern-Einwilligung bei Minderjährigen.
- UWG: Werbung deutlich kennzeichnen.
1. Rechtsgrundlagen
| Verarbeitung | Rechtsgrundlage |
|---|---|
| Newsletter | Art. 6 lit. a + UWG § 7 |
| Shop-Bestellung | Art. 6 lit. b |
| Foto-Veröffentlichung | KunstUrhG + DSGVO |
| Tracking eigene Website | TDDDG + Einwilligung |
| Insights Plattform | Gemeinsame Verantwortung |
| Kommentare | Art. 6 lit. f / lit. b |
2. Eigene Verarbeitungen
- Newsletter (Mailchimp, Klaviyo, Substack, Beehiiv).
- Online-Shop (Shopify, WooCommerce).
- Linktree/Beacons/Custom Landing Pages.
- Mitglieder-Community (Patreon, Substack, Discord).
- E-Mail-Auswertungen (Open Rates, Klicks).
3. Gemeinsame Verantwortung Plattform
CJEU-Urteil “Wirtschaftsakademie” (2018): Fanpage-Betreiber + Facebook = gemeinsam Verantwortliche für Insights. Auswirkungen:
- Vereinbarung über gemeinsame Verantwortung (Art. 26) erforderlich.
- Information Follower über Datenverarbeitung.
- Beschwerderecht bei beiden Verantwortlichen.
4. Newsletter — Pflichten
- Double-Opt-In (Bestätigungs-E-Mail).
- Datenschutzerklärung beim Eintrag.
- Unsubscribe-Link in jeder Mail.
- AVV mit Newsletter-Provider.
- Bei US-Provider (Mailchimp): TIA.
5. Foto- und Videoaufnahmen
- Eigene Person: kein Datenschutzproblem (Persönlichkeitsrecht).
- Andere Personen identifizierbar: KunstUrhG § 22 + DSGVO.
- Minderjährige: Eltern-Einwilligung.
- Live-Streaming mit zufälligen Personen: rechtlich heikel.
6. Werbung und Sponsoring
UWG verlangt klare Kennzeichnung:
- “Anzeige”, “Werbung”, “#Anzeige” (nicht “#ad” in DE).
- LG München 2022 zu Cathy Hummels: klare Standards.
- Affiliate-Links: Kennzeichnung Pflicht.
- DSGVO: AVVs mit Werbenetzwerken (Awin, Tradedoubler).
7. Minderjährige
- DSGVO Art. 8: Eltern-Einwilligung unter 16 Jahren.
- Kid-Influencer (eigene Kinder): Rechte des Kindes (Persönlichkeit).
- Jugendschutz (JuSchG): zusätzliche Einschränkungen.
- TikTok/Instagram-Reichweite bei Minderjährigen: besondere Sorgfalt.
8. Community-Plattformen
- Discord, Patreon, Substack: AVV prüfen.
- Mitgliederdaten: Verzeichnis nach Art. 30.
- Foren-Moderation: berechtigtes Interesse.
- Bei Bezahlinhalten: Bestelldaten 10 Jahre HGB.
9. Insights und Analytics
- Plattform-Insights: gemeinsame Verantwortung.
- Eigene Website: Cookie-Banner Pflicht.
- Pixel (Meta, TikTok, Pinterest): Einwilligung + TIA.
- Server-Side-Tracking als datenschutzfreundlichere Alternative.
10. Datenpannen
- Newsletter-Versand mit allen E-Mails im To statt BCC: meldepflichtig.
- Shop-Hack: Art. 33 + Art. 34.
- Verlorenes Smartphone mit Kontaktdaten: meldepflichtig.
11. Tool-Unterstützung
Legiscope liefert Creator-Vorlagen für Datenschutzerklärung, Newsletter-Compliance und Werbe-Kennzeichnung.
11. Sektor-spezifische Enforcement-Fälle
| Jahr | Behörde | Fall | Sanktion | Lehre |
|---|---|---|---|---|
| 2020 | LfDI BW | H&M Hamburg (Retail-Beispiel) | 35.300.000 € | exzessive Mitarbeiterprofile |
| 2020 | LfD Berlin | Deutsche Wohnen (Immobilien) | 14.500.000 € | Aufbewahrungsverstoß |
| 2021 | LfDI Niedersachsen | Notebooksbilliger (E-Commerce) | 10.400.000 € | dauerhafte Videoüberwachung |
| 2022 | LDA Bayern | VW (Industrie) | 1.100.000 € | unzureichende AVV-Kontrolle |
| 2023 | HmbBfDI | Vattenfall (Energie) | 900.000 € | unzulässige Bonitätsprüfung |
| 2023 | LfD Berlin | Online-Plattform | 525.000 € | unzulässiges Targeted Advertising |
| 2024 | LDA Bayern | Pflegedienst | 280.000 € | Patientenakten ungesichert |
Aus diesen Fällen lassen sich Branchenmuster ableiten: Sanktionen treffen typisch Großbetriebe mit jahrelang aufgebauten unzulässigen Praktiken (Massenüberwachung, Profilbildung) oder mittelständische Akteure mit systematischen TOM-Defiziten.
12. Sektor-Standards und Codes of Conduct
Branchenspezifische Standards reduzieren das Compliance-Risiko:
- B3S (Branchenspezifische Sicherheitsstandards) nach § 8a BSI-Gesetz / NIS2UmsuCG.
- ISO 27001:2022 für ISMS-Zertifizierung.
- ISO 27701:2019 für Privacy Information Management (PIMS).
- BSI IT-Grundschutz Bausteine pro Sektor (siehe BSI-Grundschutz).
- TISAX für Automotive-Lieferketten.
- C5 (Cloud Computing Compliance Criteria Catalogue) für Cloud-Anbieter.
- Branchenkodizes nach Art. 40 DSGVO (Verband akkreditiert).
Zertifizierung allein schützt nicht vor Sanktionen, dokumentiert aber Sorgfalt — wirkt sich bußgeldmindernd aus.
13. AVV-Anforderungen im Sektor
Auftragsverarbeitungsverträge nach Art. 28 DSGVO sind sektorkritisch. Mindestinhalt: Gegenstand, Dauer, Art und Zweck, Datenkategorien, Betroffene, Weisungsrecht, Verschwiegenheit, TOM, Sub-Auftragsverarbeiter-Klausel, Audit-Recht, Löschung bei Vertragsende, Haftung. Mustervorlage: Auftragsverarbeitungsvertrag AVV.
Typische Sub-Auftragsverarbeiter im Sektor: Cloud-Hoster (AWS, Azure, GCP, Deutsche Cloud-Anbieter), CRM-Anbieter (HubSpot, Salesforce, Pipedrive), E-Mail-Versender (Brevo, Mailjet, Inxmail), Hosting (Hetzner, Strato), Analytics (Matomo, Plausible). Jeder benötigt eigenen AVV plus TIA bei Drittlandstransfer.
14. 5-Schritte-Compliance-Plan für den Sektor
- Bestandsaufnahme (Datenkartierung, Datenkategorien, Empfänger, Aufbewahrungsfristen, Sub-Prozessoren).
- Risikoanalyse pro Verarbeitungstätigkeit nach Standard-Datenschutzmodell (SDM), mit Schwellenwertanalyse für DSFA-Pflicht nach Art. 35.
- Rechtsgrundlagen-Mapping: Art. 6 Abs. 1 (a-f) pro Tätigkeit, bei besonderen Kategorien Art. 9 Abs. 2.
- TOM und AVV nach DSGVO Art. 32 Sicherheit und Art. 28.
- Wirksamkeitsprüfung mindestens jährlich, DSB-Bericht an Geschäftsleitung, Re-Audit nach Vorfällen.
15. Häufige Audit-Befunde im Sektor
- Verarbeitungsverzeichnis unvollständig oder veraltet (häufigster Befund, 70 % der Audits).
- AVV-Lücken bei IT-Dienstleistern, Druckerei, Lohnbüro.
- Fehlende oder unvollständige DSFA bei Hochrisiko-Verarbeitungen.
- Cookie-Banner ohne TTDSG-konforme Reject-Option.
- Bewerberdaten länger als 6 Monate gespeichert (Verstoß Art. 5 Abs. 1 lit. e).
- Newsletter ohne dokumentierten Double-Opt-In-Nachweis.
- Kameraüberwachung ohne Beschilderung und Interessensabwägung.
- Mitarbeiterüberwachung (Bossware) ohne Information / Betriebsvereinbarung.
- Backups unverschlüsselt oder offen erreichbar.
- Verspätete Datenpannenmeldung — siehe Datenpanne melden.
16. Branchenvergleich Sanktionsrisiko
| Branche | Typisches Sanktionsvolumen | Häufigste Verstöße |
|---|---|---|
| Handel/E-Commerce | 50.000 - 10 Mio. € | Marketing-Tracking, AVV-Lücken |
| Industrie | 100.000 - 35 Mio. € | Beschäftigtendatenschutz |
| Gesundheit/Pflege | 30.000 - 1 Mio. € | TOM-Defizite, Akten ungesichert |
| Energie/Versorger | 50.000 - 900.000 € | SCHUFA-Abfragen, Smart-Meter |
| Bildung | 5.000 - 100.000 € | MS 365 ohne TIA, Schülerdaten |
| Vereine/NGO | 1.000 - 50.000 € | fehlender DSB, AVV-Lücken |
| Influencer/Creator | 5.000 - 200.000 € | Cookie-Banner, Tracking-Pixel |
Höhere Sanktionen treten meist erst nach systematischen Verstößen oder Wiederholungsfällen auf. Erstverfahren enden in 60-70 % der Fälle mit Verwarnung oder Anordnung.
18. DSFA-Pflicht im Sektor
Eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO ist im Sektor regelmäßig erforderlich bei: systematischer Überwachung von Personen, Verarbeitung besonderer Kategorien in großem Umfang, Profiling mit Rechtsfolgen, Einsatz neuer Technologien (KI, Biometrie, IoT). Die DSK-Liste “Muss-DSFA” gibt verbindliche Beispiele. Ablauf: (1) Schwellenwertanalyse, (2) systematische Beschreibung, (3) Notwendigkeits- und Verhältnismäßigkeitsprüfung, (4) Risikobewertung, (5) Schutzmaßnahmen, (6) DSB-Stellungnahme, ggf. Konsultation Aufsichtsbehörde nach Art. 36.
Praxis-Tipp: DSFA-Templates der DSK oder der CNIL (PIA-Tool) verwenden — beide werden von deutschen Aufsichten anerkannt.
19. Branchenkodex und Zertifizierung
Branchenspezifische Verhaltensregeln nach Art. 40 DSGVO können bei akkreditiertem Verband bindende Wirkung entfalten. Bestehende Kodizes: GDD-Code für KMU, BVDW-Code für Online-Marketing, DGUV-Sektorstandards Gesundheit. Zertifizierung nach Art. 42 DSGVO durch akkreditierte Stellen (z.B. TÜV, DEKRA, EuroPriSe) dokumentiert Sorgfalt, wirkt bußgeldmindernd. Kosten Erstzertifizierung 15.000-80.000 €, Re-Audit alle 3 Jahre.
20. Schnittstelle zu NIS2 und DORA
Sektoren mit KRITIS- oder NIS2-Pflicht müssen ihr Datenschutz-Compliance-System mit dem Cybersecurity-Programm integrieren. Doppelmeldepflichten beachten: Datenpannenmeldung an Datenschutzbehörde nach Art. 33 (Datenpanne melden) UND Cyber-Vorfallmeldung ans BSI nach § 35 NIS2UmsuCG (NIS2 Deutschland) — Fristen 72 h bzw. 24 h. Finanzinstitute zusätzlich DORA-Meldung an BaFin.
21. Häufige strategische Fehler im Sektor
- Datenschutz wird als reine IT-Aufgabe gesehen, nicht als Geschäftsprozess.
- DSB ohne Direktzugang zur Geschäftsleitung — Verstoß Art. 38 Abs. 3.
- Kein Budget für Schulungen — Risiko über Mitarbeiterfehler.
- Cloud-Migration ohne TIA und ohne Vertragsanpassung.
- Marketing-Tracking ohne TTDSG-konforme Einwilligung.
- Keine dokumentierte Schwellenwertanalyse für DSFA-Pflicht.
- Vorhandene AVV werden nicht regelmäßig auf Aktualität geprüft.
Fazit
Influencer sind Unternehmer — und damit DSGVO-Verantwortliche für alles außerhalb der reinen Plattform-Nutzung. Newsletter, Shops und Community-Tools brauchen vollständige Compliance. Mit Standard-Vorlagen und Bewusstsein für CJEU-Wirtschaftsakademie ist es machbar. Wer einen eigenen Shop betreibt, findet die vollständigen Pflichten in unserem Leitfaden für Online-Shops und E-Commerce.
FAQ
Bin ich als Influencer DSGVO-pflichtig?
Ja, sobald du Daten außerhalb der reinen Plattform-Nutzung verarbeitest (Newsletter, Shop, eigene Website, App).
Brauche ich eine Datenschutzerklärung?
Für eigene Website, Newsletter und Shop ja. Für reine Plattform-Profile auf der Plattform selbst nicht direkt.
Wie kennzeichne ich Werbung?
Klar und gut sichtbar: “Anzeige” oder “Werbung”. “#Anzeige” am Anfang. LG München (Cathy Hummels) gibt Standards.
Was ist gemeinsame Verantwortung mit Meta?
CJEU “Wirtschaftsakademie”: Du bist mit Meta gemeinsam Verantwortlicher für Insights deiner Fanpage. Information Follower erforderlich.
Brauche ich Eltern-Einwilligung für Newsletter?
Bei Empfängern unter 16 Jahren ja (DSGVO Art. 8). Bei Kid-Content auf der Zielgruppe achten.
Welche Behörde ist für meinen Sektor zuständig?
Grundsätzlich die Landesdatenschutzbehörde am Sitz des Verantwortlichen — siehe etwa BayLDA für Bayern. Bei mehreren Niederlassungen greift One-Stop-Shop nach Art. 56 DSGVO mit Federführung der Hauptniederlassungs-Behörde. Telekommunikation, Post und Bundesbehörden unterliegen dem BfDI. Bei grenzüberschreitenden EU-Verfahren koordiniert der EDSA über das Konsistenzverfahren nach Art. 63 ff.
Brauche ich einen Datenschutzbeauftragten?
Nach § 38 BDSG ab 20 mit der automatisierten Verarbeitung beschäftigten Personen, unabhängig vom Sektor. Zusätzlich Pflicht nach Art. 37 DSGVO bei Kernverarbeitung sensibler Daten oder umfangreicher systematischer Überwachung — typisch bei Pflegediensten, Online-Shops mit Profiling, Influencern mit Tracking. Externer DSB kann beauftragt werden; Vorteile: spezialisierte Expertise, Kosten 6.000-30.000 €/Jahr je nach Unternehmensgröße.
Wie hoch sind realistische Bußgelder im Mittelstand?
Erstverfahren ohne Vorsatz typisch 5.000-50.000 €. Wiederholungsfälle oder vorsätzliche Verstöße können in den 6-stelligen Bereich gehen. Systematische Verstöße (Massenverarbeitung, Profilbildung) bis 7-stellig und höher — siehe Notebooksbilliger 10,4 Mio. €. Die Bemessung folgt EDSA-Guidelines 4/2022 mit Multiplikator nach Konzernumsatz. Kooperation und Mitwirkung senken den Betrag deutlich.
Welche TOM sind im Sektor Pflicht?
Mindestens: Zugangs-, Zutritts-, Weitergabe-, Eingabe-, Auftrags-, Verfügbarkeits- und Trennungskontrolle nach Anlage zu § 9 BDSG a.F. (gilt fort als Auslegungshilfe). Konkret nach DSGVO Art. 32 Sicherheit: Pseudonymisierung, Verschlüsselung (BSI TR-02102), Vertraulichkeit, Integrität, Verfügbarkeit, Belastbarkeit, regelmäßige Wirksamkeitsprüfung. Bei besonderen Kategorien (Art. 9) zusätzlich erweiterte Maßnahmen.
Wie läuft ein Audit der Behörde ab?
Ankündigung (in der Regel 2-6 Wochen vor Ort), Unterlagenanforderung (Art. 30-Verzeichnis, AVV-Liste, DSFA, TOM-Dokumentation, Schulungsnachweise, DSB-Berichte), Vor-Ort-Besuch (1-3 Tage), Befundbericht, Anhörung, Maßnahmenkatalog mit Fristen, bei Verstößen Bußgeldverfahren. Vorbereitung: dokumentierte Compliance, klare Verantwortlichkeiten, geübter DSB als Single Point of Contact.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial