Ihre Website hat kein Impressum, kein Cookie-Banner und kein SSL-Zertifikat? Dann riskieren Sie nicht nur Abmahnungen – Sie verlieren auch das Vertrauen Ihrer Besucher.
Website-Sicherheit und Datenschutz sind für viele Unternehmen ein Thema, das sie am liebsten ignorieren würden. Zu komplex, zu technisch, zu juristisch. Doch die Realität sieht anders aus: Die DSGVO ist seit 2018 in Kraft, die Bußgelder steigen, Abmahnwellen sind real und Browser wie Google Chrome markieren Websites ohne SSL-Verschlüsselung als „nicht sicher”. Besucher, die diese Warnung sehen, verlassen die Seite sofort – Ihr aufwändig aufgebautes Vertrauen ist in einer Sekunde zerstört.
Die gute Nachricht: Die grundlegenden Sicherheits- und Datenschutzanforderungen für Unternehmenswebsites sind klar definiert und mit überschaubarem Aufwand umsetzbar. Sie brauchen kein Jurastudium und kein IT-Sicherheitsteam. Sie brauchen einen klaren Überblick über die Pflichten, die technischen Mindeststandards und die organisatorischen Maßnahmen, die Ihre Website rechtskonform und sicher machen. Genau das liefert dieser Beitrag.
→ Website DSGVO-konform machen lassen – jetzt beraten lassen
SSL-Verschlüsselung: Warum HTTPS heute Pflicht ist
SSL (Secure Sockets Layer) beziehungsweise der moderne Nachfolger TLS (Transport Layer Security) verschlüsselt die Datenübertragung zwischen dem Browser des Besuchers und Ihrem Webserver. Ohne diese Verschlüsselung können sensible Daten wie Kontaktformular-Eingaben, Login-Daten oder persönliche Informationen von Dritten mitgelesen werden.
Seit 2018 markiert Google Chrome Websites ohne HTTPS als „nicht sicher” – ein deutlich sichtbarer Warnhinweis in der Adressleiste, der Besucher sofort abschreckt. Google bestätigt zudem, dass HTTPS ein Ranking-Faktor ist: Verschlüsselte Websites werden in den Suchergebnissen bevorzugt. Die DSGVO verlangt „technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten” – SSL-Verschlüsselung gehört zum absoluten Minimum. Ein SSL-Zertifikat ist bei den meisten Hosting-Anbietern kostenlos über Let’s Encrypt verfügbar. Der aktuelle Standard ist TLS 1.3, mindestens TLS 1.2 sollte implementiert sein. Es gibt keinen Grund, 2026 noch eine Website ohne HTTPS zu betreiben.
DSGVO-Pflichten für Websites: Was Sie konkret umsetzen müssen
Die Datenschutz-Grundverordnung definiert klare Anforderungen für jede Website, die personenbezogene Daten verarbeitet – und das betrifft praktisch jede Unternehmenswebsite, sobald ein Kontaktformular, ein Newsletter-Anmeldeformular oder ein Tracking-Tool eingesetzt wird. Die wichtigsten Pflichten im Überblick.
Eine vollständige, verständliche Datenschutzerklärung ist Pflicht. Sie muss erklären, welche Daten erhoben werden, zu welchem Zweck, auf welcher Rechtsgrundlage und wie lange sie gespeichert werden. Dazu gehören Informationen über Cookies, Analyse-Tools, Kontaktformulare, Social-Media-Plugins und alle weiteren Dienste, die Daten verarbeiten. Die Datenschutzerklärung muss von jeder Seite aus erreichbar sein, typischerweise über einen Link im Footer. Ein rechtswirksames Cookie-Banner mit Opt-in-Funktion ist ebenfalls Pflicht, sobald nicht-essenzielle Cookies eingesetzt werden. Der Besucher muss aktiv zustimmen, bevor Tracking-Cookies gesetzt werden – ein vorausgefülltes Häkchen reicht nicht aus.
→ DSGVO-Check für Ihre Website – kostenlos und unverbindlich
Cookie-Banner richtig umsetzen: Consent Management
Das Cookie-Banner ist das sichtbarste Element des Datenschutzes auf Ihrer Website – und gleichzeitig das Element, das am häufigsten falsch umgesetzt wird. Ein einfaches Banner mit dem Text „Diese Website verwendet Cookies” und einem OK-Button ist nicht DSGVO-konform. Die Rechtsprechung verlangt eine echte Wahlmöglichkeit: Zustimmen oder Ablehnen muss gleich einfach sein.
Ein rechtssicheres Cookie-Banner erfüllt folgende Anforderungen: Es erscheint vor dem Laden nicht-essenzieller Cookies und blockiert diese aktiv, bis eine Einwilligung vorliegt. Es bietet gleichwertige Optionen für „Akzeptieren” und „Ablehnen” – der Ablehnen-Button darf nicht versteckt oder kleiner sein. Es gruppiert Cookies in Kategorien (essenziell, funktional, Analyse, Marketing) und ermöglicht eine granulare Auswahl. Die Einwilligung wird dokumentiert und kann jederzeit widerrufen werden. Professionelle Consent-Management-Plattformen wie Cookiebot, Borlabs Cookie oder Real Cookie Banner übernehmen diese Aufgaben automatisiert und rechtssicher.
Impressum und Anbieterkennzeichnung
Das Impressum ist eine gesetzliche Pflicht nach dem Telemediengesetz (TMG) und muss auf jeder geschäftlichen Website vorhanden sein. Fehlt es oder ist es unvollständig, drohen Abmahnungen mit Kosten von 500 bis 2.000 Euro pro Verstoß. Das Impressum muss leicht erkennbar, unmittelbar erreichbar und ständig verfügbar sein – maximal zwei Klicks von jeder Seite entfernt.
Pflichtangaben im Impressum umfassen: vollständiger Name des Unternehmens oder der verantwortlichen Person, ladungsfähige Anschrift (kein Postfach), E-Mail-Adresse und Telefonnummer, Handelsregisternummer und Registergericht (falls vorhanden), Umsatzsteuer-Identifikationsnummer und bei bestimmten Berufen die zuständige Aufsichtsbehörde und Kammer. Ein häufiger Fehler: Das Impressum als Bild einzubinden, damit es nicht von Crawlern ausgelesen wird. Das ist nicht zulässig – die Informationen müssen als Text verfügbar sein. Verwenden Sie stattdessen einen spezialisierten Impressum-Generator und lassen Sie die Angaben im Zweifel von einem Anwalt prüfen.
WordPress-Sicherheit: Die wichtigsten Schutzmaßnahmen
WordPress betreibt über 40 Prozent aller Websites weltweit und ist deshalb ein bevorzugtes Ziel für Hackerangriffe. Gehackte Websites können für Spam, Phishing oder Malware-Verbreitung missbraucht werden – mit erheblichen rechtlichen und reputativen Folgen für den Betreiber. Grundlegende Sicherheitsmaßnahmen sind deshalb keine Option, sondern Pflicht.
Die wichtigsten WordPress-Sicherheitsmaßnahmen: Halten Sie WordPress-Core, Themes und Plugins immer aktuell – Sicherheitsupdates sollten innerhalb von 24 bis 48 Stunden eingespielt werden. Verwenden Sie starke, einzigartige Passwörter für alle Benutzerkonten und aktivieren Sie Zwei-Faktor-Authentifizierung. Ändern Sie den Standard-Login-Pfad von /wp-admin auf eine individuelle URL. Begrenzen Sie Login-Versuche, um Brute-Force-Angriffe zu blockieren. Installieren Sie ein Sicherheits-Plugin wie Wordfence oder Sucuri, das Malware-Scans, Firewall-Schutz und Login-Überwachung bietet. Und erstellen Sie automatisierte tägliche Backups, die auf einem externen Server gespeichert werden – im Ernstfall ist ein aktuelles Backup der schnellste Weg zur Wiederherstellung.
Website-Sicherheits-Check – kostenlos
Wir prüfen Ihre Website auf DSGVO-Konformität, SSL-Status, Cookie-Banner und die wichtigsten Sicherheitslücken – mit konkreten Handlungsempfehlungen.
Barrierefreiheit: Die neue Pflicht ab 2025
Seit dem 28. Juni 2025 gilt das Barrierefreiheitsstärkungsgesetz (BFSG) in Deutschland. Es verpflichtet viele Unternehmen, ihre digitalen Angebote barrierefrei zu gestalten – basierend auf den Web Content Accessibility Guidelines (WCAG) 2.1 Level AA. Das betrifft nicht nur öffentliche Einrichtungen, sondern auch private Unternehmen, die Produkte oder Dienstleistungen online anbieten.
Barrierefreiheit bedeutet: ausreichende Farbkontraste für sehbehinderte Nutzer, Tastaturnavigation für Menschen, die keine Maus verwenden können, Alt-Texte für alle Bilder, damit Screenreader sie vorlesen können, verständliche Sprache und logische Seitenstruktur. Die Nichteinhaltung kann zu Abmahnungen und Bußgeldern führen. Gleichzeitig verbessert Barrierefreiheit die Nutzererfahrung für alle Besucher und ist ein positives SEO-Signal, da Google barrierefrei gestaltete Websites bevorzugt.
Diese Sicherheits- und Datenschutzfehler kosten Unternehmen teuer
Keine oder veraltete Datenschutzerklärung: Eine fehlende Datenschutzerklärung ist einer der häufigsten Abmahngründe. Standardvorlagen, die seit 2018 nicht aktualisiert wurden, sind ebenfalls ein Risiko, da sich Tools und rechtliche Anforderungen ständig weiterentwickeln.
Cookie-Banner ohne echte Wahlmöglichkeit: Banner, die nur „OK” als Option bieten oder den Ablehnen-Button verstecken, verstoßen gegen die DSGVO. Mehrere Gerichte haben diese Praxis als rechtswidrig eingestuft, und Bußgelder können empfindlich sein.
Google Analytics ohne Einwilligung: Google Analytics setzt Cookies und überträgt personenbezogene Daten in die USA. Ohne vorherige, explizite Einwilligung des Nutzers ist der Einsatz nicht DSGVO-konform. Alternativen wie Matomo (selbst gehostet) oder cookieloses Tracking reduzieren das Risiko.
Keine regelmäßigen Updates und Backups: Veraltete WordPress-Installationen sind das größte Sicherheitsrisiko. Jede bekannte Sicherheitslücke in einem veralteten Plugin ist eine offene Tür für Angreifer. Und ohne Backup kann ein Hackerangriff den vollständigen Verlust Ihrer Website bedeuten.
Kontaktformulare ohne Verschlüsselung: Wenn Formulardaten unverschlüsselt übertragen werden, verstößt das gegen die DSGVO-Anforderung an technische Schutzmaßnahmen. Jedes Kontaktformular muss über HTTPS laufen und eine Datenschutzhinweis-Checkbox enthalten.
→ Website absichern lassen – DSGVO, SSL und Sicherheit aus einer Hand
Was kostet die Absicherung einer Website?
Die grundlegende DSGVO-Konformität einer Website – Datenschutzerklärung, Cookie-Banner, SSL-Zertifikat und Impressum – lässt sich bei einer bestehenden Website für 500 bis 1.500 Euro umsetzen. Bei einem professionellen Website-Neuaufbau (3.000 bis 10.000 Euro) sind diese Maßnahmen bereits im Preis enthalten. Die laufende Sicherheitspflege mit Updates, Backups, Monitoring und Malware-Scans liegt bei 50 bis 300 Euro monatlich.
Diese Investition steht in keinem Verhältnis zu den potenziellen Kosten bei Verstößen: DSGVO-Bußgelder können bis zu 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes betragen. Abmahnkosten liegen typischerweise bei 500 bis 2.000 Euro pro Verstoß. Und der Reputationsschaden durch eine gehackte oder als unsicher markierte Website ist kaum bezifferbar. Prävention ist in jedem Fall günstiger als Schadensbehebung.
Häufige Fragen zu Website-Sicherheit und Datenschutz
Braucht jede Website ein SSL-Zertifikat?
Ja, ohne Ausnahme. Jede Website, die personenbezogene Daten verarbeitet – und dazu gehört bereits ein Kontaktformular, ein Kommentarfeld oder ein Newsletter-Formular – muss per HTTPS verschlüsselt sein. Aber selbst ohne Formulare ist SSL Standard: Google Chrome zeigt Websites ohne HTTPS als „nicht sicher” an, und Google bevorzugt verschlüsselte Websites im Ranking. Bei den meisten Hosting-Anbietern ist ein SSL-Zertifikat über Let’s Encrypt kostenlos verfügbar – die Einrichtung dauert wenige Minuten.
Reicht ein Cookie-Banner-Plugin für die DSGVO-Konformität?
Ein Cookie-Banner-Plugin ist ein wichtiger Baustein, aber nicht ausreichend. Zusätzlich benötigen Sie eine vollständige Datenschutzerklärung, ein korrektes Impressum, HTTPS-Verschlüsselung, Auftragsverarbeitungsverträge mit allen Drittanbietern (Google, Hosting-Provider, Newsletter-Dienst) und ein Verzeichnis der Verarbeitungstätigkeiten. Das Cookie-Banner selbst muss korrekt konfiguriert sein: Es muss nicht-essenzielle Cookies tatsächlich blockieren, bis der Nutzer zustimmt – viele Plugins zeigen nur ein Banner an, ohne die Cookies tatsächlich zu kontrollieren.
Wie oft sollte ich meine Website auf Sicherheitslücken prüfen?
Updates für WordPress, Themes und Plugins sollten wöchentlich geprüft und zeitnah eingespielt werden. Sicherheitsupdates sollten innerhalb von 24 bis 48 Stunden installiert werden, da bekannte Lücken sofort von Angreifern ausgenutzt werden können. Ein automatisierter Malware-Scan sollte täglich laufen. Die Datenschutzerklärung und das Cookie-Banner sollten vierteljährlich überprüft und bei jeder Änderung an eingesetzten Tools oder Diensten aktualisiert werden. Backups sollten täglich automatisiert erstellt und monatlich auf Wiederherstellbarkeit getestet werden.
Was passiert, wenn meine Website gehackt wird?
Ein Hackerangriff kann verschiedene Folgen haben: Ihre Website wird für Spam oder Phishing missbraucht, Kundendaten werden gestohlen, Google stuft Ihre Seite als „gefährlich” ein und entfernt sie aus den Suchergebnissen, oder Ihre gesamten Inhalte werden gelöscht. Bei einem Datenverlust mit personenbezogenen Daten sind Sie nach DSGVO verpflichtet, die zuständige Datenschutzbehörde innerhalb von 72 Stunden zu informieren und betroffene Personen zu benachrichtigen. Die Wiederherstellung einer gehackten Website kostet typischerweise 500 bis 3.000 Euro – mit einem aktuellen Backup und professioneller Sicherheitsbetreuung lässt sich der Schaden minimieren.
