Zurück zur Übersicht

DSGVO-konforme Website: Was Unternehmen 2025 wirklich umsetzen müssen

März 18, 2026
-
DSGVO-konforme Website: Was Unternehmen 2025 wirklich umsetzen müssen Webdesign - David - Keiser - Website - erstellen - lassen

Ihre Website ist online – aber ist sie auch rechtssicher? Die meisten Unternehmenswebsites verstoßen gegen die DSGVO, ohne dass die Betreiber es wissen. Ein fehlendes Cookie-Banner, falsch eingebundene Schriftarten oder ein unvollständiges Impressum können Abmahnungen auslösen, die schnell vierstellig werden.

Die Datenschutz-Grundverordnung ist seit 2018 in Kraft – und die Kontrollen werden strenger. Aufsichtsbehörden prüfen aktiver, Abmahnanwälte scannen automatisiert. Wer seine Website nicht DSGVO-konform aufgestellt hat, riskiert nicht nur Bußgelder, sondern auch massiven Vertrauensverlust bei Kunden und Geschäftspartnern.

Unsicher, ob Ihre Website DSGVO-konform ist? Wir prüfen das für Sie – kostenlos und unverbindlich →

Cookie-Banner und Einwilligungsmanagement richtig umsetzen

Das Cookie-Banner ist der häufigste DSGVO-Verstoß auf deutschen Websites. Die Anforderungen sind klar: Vor der Einwilligung des Nutzers dürfen keine tracking-relevanten Cookies gesetzt werden. Das bedeutet: Google Analytics, Facebook Pixel, Marketing-Tools – alles muss blockiert sein, bis der Nutzer aktiv zustimmt. Ein einfacher Hinweis „Diese Website verwendet Cookies” reicht längst nicht mehr aus.

Ein professionelles Consent-Management-Tool wie Borlabs Cookie oder Cookiebot übernimmt die technische Umsetzung. Es blockiert Skripte vor der Einwilligung, dokumentiert jede Zustimmung revisionssicher und bietet eine Möglichkeit zum Widerruf. Wichtig: Der Ablehnen-Button muss genauso prominent sein wie der Zustimmen-Button – alles andere ist ein Verstoß gegen die ePrivacy-Richtlinie.

Google Fonts, Maps und externe Ressourcen lokal einbinden

Das Urteil des Landgerichts München aus 2022 hat für Aufsehen gesorgt: 100 Euro Schadenersatz für jede dynamische Einbindung von Google Fonts. Was wie ein kleiner Betrag klingt, wurde zur Massenabmahnung. Tausende Unternehmen erhielten Post vom Anwalt – und mussten zahlen oder klagen.

Die Lösung: Google Fonts lokal hosten. Statt die Schriften von Googles Servern zu laden, werden sie auf dem eigenen Webserver gespeichert. Gleiches gilt für Google Maps, YouTube-Videos und andere externe Ressourcen. Jeder externe Aufruf überträgt die IP-Adresse des Besuchers an Drittanbieter – ohne Einwilligung ein klarer DSGVO-Verstoß. YouTube lässt sich über den erweiterten Datenschutzmodus einbinden, Google Maps über eine Consent-Lösung oder als statisches Bild mit Link.

Impressum und Datenschutzerklärung vollständig und aktuell halten

Das Impressum muss nach § 5 TMG bestimmte Pflichtangaben enthalten: Name, Anschrift, Kontaktdaten, Handelsregistereintrag, USt-IdNr. Falls vorhanden, berufsspezifische Angaben. Was viele vergessen: Auch die Datenschutzerklärung muss jedes Tool, jeden Dienst und jede Datenverarbeitung aufführen, die auf der Website stattfindet.

Verwenden Sie Google Analytics? Dann muss es in der Datenschutzerklärung stehen – mit Beschreibung der Verarbeitung, Rechtsgrundlage und Widerspruchsmöglichkeit. Nutzen Sie ein Kontaktformular? Gleiches Spiel. Jedes Plugin, jede Einbindung, jeder externe Dienst erzeugt eine Dokumentationspflicht. Generatoren wie der von eRecht24 oder der Datenschutz-Generator von Dr. Schwenke helfen, nichts zu vergessen.

DSGVO-Check für Ihre Website anfragen – bevor es der Abmahnanwalt tut →

SSL-Verschlüsselung und sichere Datenübertragung

Eine SSL-Verschlüsselung (erkennbar am https:// in der Adresszeile) ist seit der DSGVO Pflicht für jede Website, die personenbezogene Daten erhebt. Das betrifft praktisch jede Unternehmensseite – denn schon ein Kontaktformular oder ein Newsletter-Anmeldeformular erhebt personenbezogene Daten.

Die meisten Hosting-Anbieter stellen kostenlose SSL-Zertifikate über Let’s Encrypt bereit. Wichtig ist die korrekte Weiterleitung: Alle HTTP-Aufrufe müssen automatisch auf HTTPS umgeleitet werden. Mixed-Content-Warnungen – wenn einzelne Ressourcen noch über HTTP geladen werden – müssen behoben werden. Ein SSL-Check-Tool zeigt, ob die Verschlüsselung korrekt konfiguriert ist.

Kontaktformulare und E-Mail-Kommunikation absichern

Jedes Kontaktformular auf Ihrer Website verarbeitet personenbezogene Daten. Die DSGVO verlangt dafür: eine klare Information, welche Daten erhoben werden und warum, einen Hinweis auf die Datenschutzerklärung direkt am Formular, die Erhebung nur der tatsächlich notwendigen Daten (Datensparsamkeit), und eine sichere Übertragung über SSL.

Verzichten Sie auf vorausgewählte Checkboxen für Newsletter oder Marketing-Einwilligungen. Das Double-Opt-In-Verfahren ist bei Newsletter-Anmeldungen Pflicht: Der Nutzer bestätigt seine Anmeldung über einen Link in einer Bestätigungs-E-Mail. Ohne diesen Nachweis haben Sie im Streitfall keine gültige Einwilligung.

Kostenloser DSGVO-Quick-Check für Ihre Website

Wir prüfen Ihre Website auf die häufigsten DSGVO-Verstöße und zeigen Ihnen konkret, was zu tun ist – verständlich, ohne Juristendeutsch.

Jetzt DSGVO-Check anfordern

Auftragsverarbeitungsverträge mit allen Dienstleistern abschließen

Jeder externe Dienst, der personenbezogene Daten Ihrer Website-Besucher verarbeitet, erfordert einen Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO. Das betrifft Ihren Hosting-Anbieter, Ihren E-Mail-Marketing-Dienst, Google Analytics, Ihren Newsletter-Anbieter und jeden weiteren Dienstleister in der Kette.

Die meisten großen Anbieter stellen AVVs digital bereit – oft im Kundenbereich oder auf Anfrage. Dokumentieren Sie jeden abgeschlossenen Vertrag. Bei einer Prüfung durch die Aufsichtsbehörde müssen Sie nachweisen können, dass alle Verarbeitungen vertraglich abgesichert sind. Fehlt ein AVV, ist die gesamte Datenverarbeitung rechtswidrig – unabhängig davon, ob die Einwilligung des Nutzers vorliegt.

Die häufigsten DSGVO-Fehler auf Unternehmenswebsites

Diese Verstöße finden wir bei fast jedem Website-Check: Google Fonts werden extern geladen statt lokal gehostet. Das Cookie-Banner setzt Tracking-Cookies bereits vor der Einwilligung. Die Datenschutzerklärung listet nicht alle verwendeten Dienste auf. Kontaktformulare haben keinen Hinweis auf die Datenschutzerklärung. Alte Plugins übertragen Daten an Server außerhalb der EU. Social-Media-Buttons laden Tracking-Skripte ohne Einwilligung. Es fehlen Auftragsverarbeitungsverträge mit Hosting-Anbietern oder Tool-Providern.

Jeder einzelne dieser Punkte kann eine Abmahnung oder ein Bußgeld auslösen. Die Kosten für eine professionelle DSGVO-Anpassung Ihrer Website liegen bei 500 bis 2.000 Euro – deutlich weniger als eine einzige Abmahnung, die schnell 5.000 Euro und mehr kosten kann.

Lassen Sie Ihre Website jetzt DSGVO-sicher machen – bevor es teuer wird →

Was kostet es, eine Website DSGVO-konform zu machen?

Die Kosten hängen vom aktuellen Zustand Ihrer Website ab. Ein einfacher DSGVO-Check mit Handlungsempfehlungen beginnt bei wenigen hundert Euro. Die vollständige Umsetzung – Cookie-Banner, lokale Fonts, Datenschutzerklärung, Formulare, AVVs – kostet je nach Umfang zwischen 500 und 2.000 Euro. Bei komplexen Websites mit vielen externen Diensten, Shops oder Mitgliederbereichen kann es auch mehr werden.

Wie oft muss die Datenschutzerklärung aktualisiert werden?

Immer dann, wenn sich etwas an der Datenverarbeitung ändert. Neues Analytics-Tool eingebunden? Datenschutzerklärung anpassen. Hosting-Anbieter gewechselt? Datenschutzerklärung anpassen. Neues Plugin installiert, das externe Verbindungen aufbaut? Datenschutzerklärung anpassen. Eine vierteljährliche Prüfung ist empfehlenswert – mindestens aber bei jeder technischen Änderung.

Reicht ein Cookie-Banner-Plugin für die DSGVO-Konformität?

Nein. Ein Cookie-Banner ist nur ein Baustein. Die DSGVO betrifft die gesamte Datenverarbeitung auf Ihrer Website. Das Banner regelt die Einwilligung für Cookies und Tracking – aber Sie brauchen zusätzlich eine vollständige Datenschutzerklärung, korrekt eingebundene externe Dienste, gesicherte Formulare, AVVs mit allen Dienstleistern und eine dokumentierte Verarbeitungsübersicht. Das Cookie-Banner allein schützt Sie nicht vor Abmahnungen.

Was passiert bei einem DSGVO-Verstoß auf der Website?

Die Konsequenzen reichen von Abmahnungen durch Mitbewerber oder spezialisierte Kanzleien über Beschwerden bei der Aufsichtsbehörde bis hin zu Bußgeldern. Für kleine und mittlere Unternehmen bewegen sich Bußgelder typischerweise im vier- bis fünfstelligen Bereich. Dazu kommen Anwaltskosten und der Aufwand für die nachträgliche Umsetzung unter Zeitdruck. Der größte Schaden ist oft der Vertrauensverlust bei Kunden und Partnern.

Schützen Sie Ihr Unternehmen – DSGVO-konforme Website vom Profi umsetzen lassen →

Autor

David Keiser

David Keiser bringt über 10 Jahre Erfahrung im Webdesign und der Suchmaschinenoptimierung mit und gilt als ausgewiesener Experte.

Rückruf vereinbaren

Wir melden uns innerhalb von 24 Stunden zurück.

Trage dich in das Kontaktformular ein und wir melden uns, innerhalb von 24 Stunden bei dir.

Der Rückruf ist kostenlos und du erhälst keine Werbung.

Du hast ein spannendes Projekt? Lass uns darüber sprechen.

Schicke uns einfach eine unverbindliche Anfrage und wir melden uns innerhalb von 24 Stunden zurück.
100% unverbindlich & persönlich.

+49 2361 9086 0 59

info@davidkeiser.de