Dieser Artikel richtet sich an Unternehmer und Website-Betreiber, die sicherstellen möchten, dass ihre Website den aktuellen Datenschutzanforderungen entspricht.
Die DSGVO (Datenschutz-Grundverordnung) ist seit 2018 in Kraft – und trotzdem verstoßen viele Unternehmenswebsites noch immer gegen grundlegende Datenschutzregeln. Die Konsequenzen reichen von Abmahnungen über Bußgelder bis hin zu Vertrauensverlust bei Ihren Kunden. In diesem Beitrag erhalten Sie eine praxistaugliche Checkliste, mit der Sie Ihre Website DSGVO-konform aufstellen.
Wichtiger Hinweis: Dieser Artikel bietet eine allgemeine Orientierung und ersetzt keine individuelle Rechtsberatung. Bei konkreten Datenschutzfragen sollten Sie einen spezialisierten Anwalt oder Datenschutzbeauftragten konsultieren.
Warum DSGVO-Konformität für Ihre Website unverzichtbar ist
Die DSGVO gilt für jede Website, die personenbezogene Daten von EU-Bürgern verarbeitet – und das tut praktisch jede Website. Schon die IP-Adresse eines Besuchers zählt als personenbezogenes Datum. Kontaktformulare, Newsletter-Anmeldungen, Analytics-Tools und Social-Media-Einbindungen verarbeiten weitere Daten.
Verstöße können teuer werden: Die DSGVO sieht Bußgelder von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes vor. Für kleine Unternehmen sind Abmahnungen durch Wettbewerber oder Betroffene das realistischere Risiko – diese können bereits mehrere Tausend Euro kosten.
Die DSGVO-Checkliste für Ihre Website
1. Datenschutzerklärung
Jede Website braucht eine vollständige, aktuelle Datenschutzerklärung. Sie muss von jeder Seite aus mit maximal einem Klick erreichbar sein (üblicherweise im Footer).
Was enthalten sein muss:
- Name und Kontaktdaten des Verantwortlichen
- Kontaktdaten des Datenschutzbeauftragten (falls vorhanden)
- Welche personenbezogenen Daten erhoben werden und warum
- Die Rechtsgrundlage für jede Datenverarbeitung (z. B. Art. 6 Abs. 1 DSGVO)
- Empfänger oder Kategorien von Empfängern der Daten
- Speicherdauer oder Kriterien für die Festlegung der Dauer
- Hinweis auf die Rechte der Betroffenen (Auskunft, Löschung, Widerspruch etc.)
- Hinweis auf das Beschwerderecht bei einer Aufsichtsbehörde
- Information über alle eingesetzten Tools und Dienste (Analytics, Social Media, Fonts etc.)
Tipp: Nutzen Sie einen Datenschutzgenerator wie den von eRecht24 oder der Deutschen Gesellschaft für Datenschutz als Ausgangsbasis – passen Sie die generierte Erklärung aber immer an Ihre tatsächliche Datenverarbeitung an.
2. Cookie-Consent-Banner
Seit den Urteilen des EuGH und des BGH ist klar: Vor dem Setzen nicht-notwendiger Cookies müssen Sie die aktive Einwilligung der Nutzer einholen. Ein einfacher Hinweis „Diese Website verwendet Cookies” reicht nicht aus.
Anforderungen an ein DSGVO-konformes Cookie-Banner:
- Keine vorausgewählten Checkboxen – Opt-in statt Opt-out
- Klare Unterscheidung zwischen notwendigen und optionalen Cookies
- „Alle ablehnen” muss genauso einfach sein wie „Alle akzeptieren”
- Keine Dark Patterns (z. B. versteckter Ablehnen-Button)
- Dokumentation der Einwilligungen (Consent Management)
- Möglichkeit, die Einwilligung jederzeit zu widerrufen
Empfehlenswerte Cookie-Consent-Tools für WordPress sind Borlabs Cookie, Complianz und Real Cookie Banner.
3. SSL-Verschlüsselung
Eine SSL-Verschlüsselung (erkennbar am https:// in der URL) ist Pflicht für jede Website, die personenbezogene Daten überträgt – also auch für Kontaktformulare oder Newsletter-Anmeldungen. Ohne SSL stuft auch Google Ihre Website als „nicht sicher” ein, was sich negativ auf Ihr SEO-Ranking auswirkt.
4. Kontaktformulare
- Erheben Sie nur die Daten, die Sie tatsächlich benötigen (Datenminimierung)
- Verlinken Sie die Datenschutzerklärung im Formular
- Fügen Sie einen Hinweis hinzu, wie die eingegebenen Daten verarbeitet werden
- Eine aktive Checkbox zur Einwilligung ist empfehlenswert (je nach Rechtsgrundlage)
- Speichern Sie die Formulardaten nicht länger als nötig
5. Google Analytics und Tracking-Tools
Das Einbinden von Tracking-Tools wie Google Analytics erfordert besondere Aufmerksamkeit:
- Analytics darf erst nach aktiver Einwilligung des Nutzers geladen werden
- IP-Anonymisierung aktivieren (bei GA4 standardmäßig aktiv)
- Auftragsverarbeitungsvertrag (AVV) mit Google abschließen
- Datenübertragung in die USA: Seit dem EU-US Data Privacy Framework wieder möglich, prüfen Sie aber den aktuellen Stand
- Alternative: Matomo als datenschutzfreundliche Analytics-Lösung mit Hosting in Deutschland
6. Google Fonts lokal einbinden
Die Einbindung von Google Fonts über die Google-Server ist seit dem Urteil des LG München I (Januar 2022) ohne Einwilligung nicht zulässig, da dabei die IP-Adresse an Google übertragen wird.
Lösung: Laden Sie die Fonts herunter und binden Sie sie lokal auf Ihrem eigenen Server ein. So wird keine Verbindung zu Google hergestellt. In WordPress gibt es dafür Plugins wie „OMGF” (Optimize My Google Fonts) oder Sie konfigurieren es manuell.
7. Social-Media-Einbindungen
- Standard-Social-Media-Buttons laden oft Daten ohne Einwilligung – nutzen Sie stattdessen die 2-Klick-Lösung oder Shariff
- Eingebettete YouTube-Videos: Nutzen Sie den erweiterten Datenschutzmodus (youtube-nocookie.com)
- Instagram- und Facebook-Feeds: Nur mit Cookie-Consent laden
- Google Maps: Nur nach Einwilligung einbinden oder als statisches Bild mit Link
8. Newsletter und E-Mail-Marketing
- Double-Opt-in ist Pflicht: Nach der Anmeldung muss der Nutzer per E-Mail bestätigen
- Jede E-Mail muss einen funktionierenden Abmelde-Link enthalten
- Dokumentieren Sie die Einwilligungen (Zeitpunkt, IP-Adresse, Anmeldetext)
- Schließen Sie mit Ihrem E-Mail-Anbieter einen AVV ab
9. Impressum
Neben der Datenschutzerklärung ist auch ein vollständiges Impressum Pflicht (nach § 5 TMG bzw. DDG). Es muss von jeder Seite aus mit maximal zwei Klicks erreichbar sein und unter anderem Name, Anschrift, Kontaktdaten und Handelsregisternummer enthalten.
10. Auftragsverarbeitungsverträge (AVV)
Für jeden externen Dienst, der personenbezogene Daten Ihrer Website-Besucher verarbeitet, benötigen Sie einen AVV. Das betrifft unter anderem Ihren Hosting-Anbieter, Newsletter-Dienst, Analytics-Anbieter, CRM-System und Cloud-Speicher.
Häufig gestellte Fragen zur DSGVO für Websites
Gilt die DSGVO auch für kleine Unternehmen und Freelancer?
Ja, die DSGVO gilt unabhängig von der Unternehmensgröße für alle, die personenbezogene Daten verarbeiten. Auch eine einfache Unternehmenswebsite mit Kontaktformular fällt darunter. Die Pflichten sind für alle gleich – lediglich die Pflicht zur Bestellung eines Datenschutzbeauftragten greift erst ab 20 Mitarbeitern, die regelmäßig mit Datenverarbeitung befasst sind.
Was passiert, wenn meine Website nicht DSGVO-konform ist?
Das häufigste Risiko für kleine Unternehmen sind Abmahnungen durch Wettbewerber oder spezialisierte Kanzleien. Die Kosten liegen typischerweise zwischen 1.000 und 5.000 € pro Abmahnung. Zusätzlich können Aufsichtsbehörden Bußgelder verhängen. Am schwerwiegendsten ist oft der Vertrauensverlust bei Kunden.
Brauche ich einen Cookie-Banner, wenn ich keine Cookies setze?
Wenn Ihre Website tatsächlich keine Cookies setzt und keine Daten an Dritte überträgt (kein Analytics, kein YouTube, keine Google Fonts extern, keine Social-Media-Buttons), benötigen Sie kein Cookie-Banner. In der Praxis ist das aber bei den wenigsten Websites der Fall.
Reicht ein Datenschutzgenerator aus?
Als Ausgangsbasis ja – aber die generierte Datenschutzerklärung muss immer an Ihre tatsächliche Datenverarbeitung angepasst werden. Prüfen Sie genau, welche Tools und Dienste Sie einsetzen, und stellen Sie sicher, dass alle in der Erklärung aufgeführt sind. Bei Unsicherheiten empfiehlt sich eine Prüfung durch einen Fachanwalt.
Fazit: Datenschutz ist kein einmaliges Projekt
DSGVO-Konformität ist keine einmalige Aufgabe, sondern ein laufender Prozess. Neue Tools, Plugins oder Dienste auf Ihrer Website können neue Datenschutzanforderungen mit sich bringen. Prüfen Sie Ihre Website regelmäßig – idealerweise bei jedem Update und mindestens einmal jährlich.
Starten Sie mit den wichtigsten Punkten: Cookie-Banner, Datenschutzerklärung, lokale Fonts und SSL-Verschlüsselung. Von dort aus arbeiten Sie sich durch die restlichen Punkte der Checkliste.
Sie möchten Ihre Website auf Datenschutz und technische Qualität prüfen lassen? Fordern Sie unseren kostenlosen Website-Report an – oder sprechen Sie uns an für eine professionelle Einschätzung. Auch bei der regelmäßigen Wartung Ihrer Website achten wir auf Datenschutzkonformität.
