DSGVO-konforme Website: Die 15-Punkte-Checkliste für KMU 2026

Warum DSGVO bei der Website kein Nice-to-have ist

Seit dem 25. Mai 2018 gilt die Datenschutz-Grundverordnung (DSGVO) europaweit. Sie regelt, wie Unternehmen mit personenbezogenen Daten umgehen dürfen – und das beginnt bereits bei jedem Aufruf Ihrer Website. Eine IP-Adresse, eine Cookie-ID, eine Formulareingabe: alles personenbezogene Daten im Sinne der DSGVO.

Was viele KMU unterschätzen: DSGVO-Verstöße werden in der Praxis selten von Behörden, sondern von Wettbewerbern und spezialisierten Kanzleien abgemahnt. Die wirtschaftliche Realität sieht so aus:

• Abmahnung wegen Google Fonts extern: typisch 170–500 € Schadenersatzforderung.
• Abmahnung wegen fehlendem Cookie-Banner: 500–2.000 €.
• Abmahnung wegen unzureichender Datenschutzerklärung: 800–1.500 € Anwaltskosten plus Unterlassungserklärung.

Wer die folgenden 15 Punkte abarbeitet, eliminiert die mit Abstand häufigsten Risiken.

Die 15-Punkte-Checkliste

1. Impressum vollständig und auffindbar

Pflichtangaben nach § 5 DDG (Digitale-Dienste-Gesetz) und § 18 MStV: vollständiger Name, ladungsfähige Anschrift, E-Mail, Telefon, Vertretungsberechtigte, Handelsregister/Kammer, USt-ID. Das Impressum muss mit maximal zwei Klicks von jeder Seite erreichbar sein.

Häufiger Fehler: nur Postfach-Adresse, fehlende Telefonnummer, kein Verantwortlicher i.S.d. § 18 Abs. 2 MStV bei journalistisch-redaktionellen Inhalten (gilt auch für Blogs).

2. Datenschutzerklärung – aktuell und vollständig

Sie muss alle eingesetzten Tools, Plugins, Schriftarten, Tracking-Dienste und Analyse-Tools namentlich nennen. Pauschalformulierungen wie „wir nutzen ggf. Cookies" reichen nicht.

Pflichtbestandteile (Art. 13 DSGVO):

• Name und Kontaktdaten des Verantwortlichen
• Zweck der Datenverarbeitung
• Rechtsgrundlage (Art. 6 DSGVO)
• Speicherdauer
• Empfänger (Hoster, Newsletter-Tool, Formular-Anbieter)
• Drittlandtransfers (z. B. USA)
• Betroffenenrechte (Auskunft, Löschung, Widerspruch)
• Beschwerderecht bei Aufsichtsbehörde

→ Generatoren wie eRecht24 oder Dr. Schwenke liefern eine solide Basis. Die Endkontrolle gehört trotzdem in Anwaltshand.

3. SSL/TLS-Verschlüsselung (HTTPS)

Eine Website ohne HTTPS ist heute ein klarer DSGVO-Verstoß, sobald personenbezogene Daten übertragen werden – also spätestens bei Kontaktformular oder Newsletter. Die meisten Hoster bieten Let's-Encrypt-Zertifikate kostenlos an. Achten Sie auf automatische Erneuerung.

→ Mehr dazu: SSL-Zertifikat: Bedeutung für Website und SEO.

4. Cookie-Banner – nur wenn nötig, aber dann richtig

Pflicht laut § 25 TTDSG (heute TDDDG) und EuGH („Planet49"): Vor dem Setzen technisch nicht notwendiger Cookies braucht es eine aktive Einwilligung.

• Notwendige Cookies (Session, Sprache, Warenkorb): kein Banner nötig.
• Tracking, Marketing, eingebettete YouTube-Videos: Banner mit gleichwertiger „Akzeptieren"- und „Ablehnen"-Option auf Stufe 1.

Vorausgewählte Häkchen, versteckte „Ablehnen"-Buttons oder Cookie-Walls sind unzulässig.

→ Detail-Artikel folgt: Cookie-Banner rechtssicher einbinden (TTDSG, Consent Mode v2).

5. Google Fonts lokal einbinden

Das LG München I, Urteil vom 20.01.2022 (Az. 3 O 17493/20) hat die externe Einbindung von Google Fonts ohne Einwilligung als DSGVO-Verstoß eingestuft. Konsequenz: Schadenersatz von 100 € pro Besucher möglich.

Lösung: Schriftarten lokal hosten – also Font-Dateien (woff2) auf dem eigenen Server ablegen und per @font-face-Regel einbinden. Das ist auch performance-technisch die bessere Wahl.

6. Externe Einbindungen (YouTube, Maps, Social) absichern

Jedes externe iframe lädt Daten beim Drittanbieter. Lösungen:

• Two-Click-Lösung (z. B. Embetty, Borlabs Cookie): Vorschau-Bild statt Live-iframe; Ladevorgang erst nach Klick.
• Datenschutz-freundliche Alternativen: youtube-nocookie.com, OpenStreetMap statt Google Maps.
• Ohne Einwilligung niemals direkt einbetten.

7. Auftragsverarbeitungsvertrag (AV-Vertrag) mit dem Hoster

Nach Art. 28 DSGVO ist ein AV-Vertrag verpflichtend, sobald ein Dienstleister personenbezogene Daten verarbeitet – und das tut jeder Hoster. Seriöse Anbieter (IONOS, Hetzner, All-Inkl, Vercel, Netlify) stellen den AV-Vertrag im Kundenkonto bereit.

Prüfen Sie auch: Newsletter-Tool, Formular-Anbieter, Cloud-Speicher, Backup-Service. Jeder externe Verarbeiter braucht einen AV-Vertrag.

8. Kontaktformulare DSGVO-konform

Vier Anforderungen:

1. 1
   HTTPS-Übertragung.
2. 2
   Datensparsamkeit: nur Pflichtfelder kennzeichnen, sonst keine Pflicht zur Eingabe.
3. 3
   Hinweistext mit Verlinkung zur Datenschutzerklärung direkt am Formular.
4. 4
   Einwilligungs-Checkbox , falls über die Anfragenbeantwortung hinausgehende Verarbeitung erfolgt (z. B. Newsletter-Anmeldung im selben Formular).

9. Newsletter mit Double-Opt-In

Pflicht nach Art. 6 Abs. 1 lit. a DSGVO und § 7 Abs. 2 UWG: Einwilligung muss dokumentiert werden – inkl. IP, Zeitstempel, exaktem Wortlaut. Double-Opt-In (Bestätigungslink per Mail) ist Stand der Technik. Tools wie CleverReach, Brevo, Rapidmail bieten das standardmäßig – AV-Vertrag prüfen.

10. Tracking und Analyse nur mit Einwilligung

Google Analytics, Meta-Pixel, LinkedIn Insight Tag, Hotjar und alle vergleichbaren Tools dürfen erst nach aktiver Einwilligung geladen werden. Server-Side-Tracking ohne personenbezogenen Bezug (z. B. anonymisierte First-Party-Tools wie Plausible mit Anonymisierung) kann je nach Konfiguration einwilligungsfrei sein – die rechtliche Bewertung ist im Einzelfall zu prüfen.

→ Unsere Position: Wir setzen bewusst auf einwilligungsfreie, datensparsame Lösungen ohne Marketing-Tracking. Das vermeidet Bannerpflicht, Performance-Verlust und rechtliches Restrisiko.

11. Kontakt- und Datenschutz-Verantwortliche benennen

Jedes Unternehmen, das regelmäßig personenbezogene Daten verarbeitet, sollte intern einen Verantwortlichen benennen. Ab 20 Personen, die ständig automatisiert Daten verarbeiten, ist nach § 38 BDSG ein Datenschutzbeauftragter verpflichtend zu bestellen und in der Datenschutzerklärung zu nennen.

12. Server-Logs und Speicherdauer

Webserver protokollieren standardmäßig IPs, User-Agent und Zeitstempel. Lösung: anonymisierte Logs, IP-Kürzung um das letzte Oktett, Speicherdauer auf 7–14 Tage begrenzen. Längere Aufbewahrung nur mit konkreter Begründung (z. B. Abwehr von Angriffen).

13. Backups und Löschkonzepte

Auch Backups enthalten personenbezogene Daten. Erforderlich:

• Definierte Aufbewahrungsfrist (z. B. 30 Tage Rolling-Backups).
• Löschkonzept für Anfrage-, Newsletter- und Bewerber-Daten.
• AV-Vertrag mit Backup-Anbieter.

14. Bewerber- und Kundendaten – Aufbewahrungsfristen einhalten

• Bewerberdaten: spätestens 6 Monate nach Absage löschen, sofern keine Einwilligung zur weiteren Aufbewahrung vorliegt.
• Kundendaten: Steuer- und HGB-rechtliche Aufbewahrungsfristen (6/8/10 Jahre) einhalten, danach löschen.
• Werbe-Einwilligungen: widerrufbar, Widerruf dokumentieren.

15. Regelmäßige Überprüfung – mindestens einmal pro Jahr

DSGVO-Konformität ist kein Einmalprojekt. Empfehlung:

• Jährlicher Audit der Datenschutzerklärung (neue Tools? geänderte Drittlandtransfers?).
• Quartalsweise Prüfung der Cookie-Banner-Konfiguration.
• Sofortige Anpassung bei Tool-Wechseln, neuen Plugins oder relevanten Urteilen.

Häufige Fehler in der Praxis

Quick-Check: Sind Sie DSGVO-konform?

Beantworten Sie diese 8 Fragen ehrlich:

1. 1
   Ist Ihr Impressum von jeder Seite mit max. 2 Klicks erreichbar?
2. 2
   Listet Ihre Datenschutzerklärung alle eingesetzten Tools namentlich auf?
3. 3
   Läuft Ihre Website komplett über HTTPS?
4. 4
   Werden Google Fonts lokal eingebunden?
5. 5
   Haben Sie einen AV-Vertrag mit Ihrem Hoster und allen Drittanbietern?
6. 6
   Wird Tracking (Analytics, Pixel) erst nach Einwilligung geladen?
7. 7
   Hat Ihr Kontaktformular einen Hinweistext mit Link zur Datenschutzerklärung?
8. 8
   Nutzt Ihr Newsletter Double-Opt-In mit dokumentierter Einwilligung?

Mehr als zwei Fragen mit „Nein"? Dann besteht akuter Handlungsbedarf.

Wichtiger rechtlicher Hinweis

Dieser Artikel fasst zentrale Anforderungen zusammen und ersetzt keine individuelle rechtliche Beratung. Die DSGVO ist im Detail komplex, Urteile und Aufsichtsbehörden-Praxis ändern sich. Für rechtssichere Texte (Datenschutzerklärung, Impressum, AGB) und individuelle Bewertung empfehlen wir die Zusammenarbeit mit einem Fachanwalt für IT-Recht oder einem zertifizierten Datenschutzbeauftragten.

Fazit

DSGVO-Konformität ist kein Hexenwerk – aber Detailarbeit. Wer die 15 Punkte einmal sauber abarbeitet und einmal jährlich prüft, ist auf der sicheren Seite und vermeidet die typischen Abmahnfallen.

Sie wissen nicht, ob Ihre Website konform ist?

Wir prüfen Ihre Bestands-Website auf die 15 Punkte und liefern eine ehrliche Einschätzung mit konkreten Handlungsempfehlungen – ohne Werbe-Sprech.

→ [Kostenlose Erstberatung anfragen](/kontakt)

Weiterführende Inhalte

• SSL-Zertifikat: Bedeutung für Website und SEO
• Webdesign-Agentur finden: 12 Kriterien
• Was kostet eine Website 2026?
• Webdesign – Unsere Pakete und unser Ansatz