Zum Inhalt springen
Zurück zum Blog
Recht & Compliance
8. Juni 202611 Min. Lesezeit

DSGVO-konforme Website 2026: Checkliste für kleine Unternehmen

Abmahnungen wegen dynamisch geladener Google Fonts, fehlende oder fehlerhafte Cookie-Banner, Kontaktformulare ohne Verschlüsselung: Bei der DSGVO scheitern kleine Unternehmen selten an bösem Willen, sondern an Details, die im Alltag untergehen. Diese Checkliste fasst zusammen, worauf es 2026 bei einer datenschutzkonformen Website wirklich ankommt — verständlich, praxisnah und ohne Juristendeutsch.

MM

Mathias Manz

Gründer & Webentwickler, M² WEBVISION

Warum Datenschutz auch kleine Websites betrifft

Ein verbreiteter Irrglaube lautet: „Wir sind nur ein kleiner Betrieb, die DSGVO betrifft uns kaum." Tatsächlich gilt die Datenschutz-Grundverordnung für jede Verarbeitung personenbezogener Daten — unabhängig von der Unternehmensgröße. Und personenbezogene Daten entstehen auf praktisch jeder Website: Schon die IP-Adresse eines Besuchers gilt nach der Rechtsprechung des Europäischen Gerichtshofs als personenbezogenes Datum. Wer Schriftarten von externen Servern lädt, ein Kontaktformular betreibt oder Statistik-Tools einsetzt, verarbeitet solche Daten.

Das Risiko ist real, aber selten dramatisch: Die häufigste Folge sind nicht Bußgelder der Aufsichtsbehörden, sondern Abmahnungen — teils durch Mitbewerber, teils durch spezialisierte Kanzleien. Die gute Nachricht: Die meisten Probleme lassen sich mit überschaubarem Aufwand technisch sauber lösen. Es geht weniger um perfekte Jura als um solide Handwerkskunst bei der Umsetzung.

Die Rechtsgrundlagen in Kürze

Drei Regelwerke bestimmen, was auf deutschen Websites erlaubt ist:

  • DSGVO: Die EU-Datenschutz-Grundverordnung regelt, wann und wie personenbezogene Daten verarbeitet werden dürfen. Zentrale Prinzipien sind Rechtmäßigkeit, Zweckbindung, Datenminimierung und Transparenz (Art. 5 DSGVO).
  • TDDDG: Das Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (bis 2024 als TTDSG bekannt) regelt in § 25 den Zugriff auf Informationen im Endgerät des Nutzers — also insbesondere Cookies und vergleichbare Technologien. Ohne Einwilligung sind nur technisch notwendige Cookies erlaubt.
  • BDSG: Das Bundesdatenschutzgesetz ergänzt die DSGVO national, etwa bei der Frage, wann ein Datenschutzbeauftragter benannt werden muss.

Für die Praxis heißt das: Alles, was über das technisch Notwendige hinausgeht — Analyse, Marketing, externe Einbindungen —, braucht in der Regel eine aktive, vorherige Einwilligung des Besuchers.

Der Cookie-Banner ist der sichtbarste — und am häufigsten falsch umgesetzte — Baustein. Ein rechtskonformes Consent-Banner erfüllt mehrere Bedingungen gleichzeitig:

  • Vorherige Einwilligung: Nicht notwendige Cookies (Analyse, Marketing, eingebettete Videos) dürfen erst nach aktiver Zustimmung gesetzt werden — nicht schon beim Laden der Seite.
  • Ablehnen so einfach wie Zustimmen: Ein „Alle akzeptieren"-Button ohne gleichwertig sichtbaren „Alle ablehnen"-Button auf derselben Ebene gilt als unzulässig. Beide Optionen gehören auf die erste Banner-Ebene.
  • Keine vorausgewählten Häkchen: Voreingestellte Zustimmungen sind nach dem „Planet49"-Urteil des EuGH nicht erlaubt.
  • Widerruf jederzeit möglich: Besucher müssen ihre Einwilligung so einfach zurücknehmen können, wie sie sie erteilt haben — etwa über einen dauerhaft erreichbaren Link im Footer.

Wichtig: Ein Banner allein macht eine Seite nicht konform. Er muss technisch dafür sorgen, dass die entsprechenden Skripte tatsächlich erst nach Einwilligung laden. Genau hier scheitern viele Baukasten-Lösungen, bei denen der Banner nur Kosmetik ist und das Tracking trotzdem sofort startet.

2. Google Fonts, Maps und externe Dienste

Der Klassiker unter den Abmahnungen: dynamisch nachgeladene Google Fonts. Das Landgericht München I entschied 2022, dass das Einbinden von Google Fonts direkt von Google-Servern gegen die DSGVO verstößt, weil dabei ungefragt die IP-Adresse des Besuchers in die USA übertragen wird. Die Lösung ist technisch simpel: Schriftarten lokal auf dem eigenen Server hosten (Self-Hosting). Moderne Frameworks wie Next.js tun das mit ihrer eingebauten Schriftoptimierung automatisch.

Dasselbe Prinzip gilt für weitere externe Einbindungen:

  • Google Maps: Karten erst nach Einwilligung laden, etwa über eine Klick-Lösung („Karte laden") oder eine statische Vorschau.
  • YouTube und Vimeo: Videos im datenschutzfreundlichen Modus einbetten und erst nach Zustimmung aktivieren.
  • Social-Media-Plugins: Keine direkten „Like"-Buttons, die sofort Daten übertragen — stattdessen verlinken oder Consent-gesteuert nachladen.
  • Schriften, Icons, Skripte: Möglichst lokal einbinden statt von fremden CDNs.

3. Kontaktformulare und Datensparsamkeit

Kontaktformulare verarbeiten unmittelbar personenbezogene Daten. Drei Punkte sind entscheidend:

  • Verschlüsselte Übertragung: Das Formular — und die gesamte Website — muss über HTTPS laufen, damit Eingaben nicht im Klartext übertragen werden.
  • Datenminimierung: Fragen Sie nur ab, was Sie wirklich brauchen. Pflichtfelder auf das Nötigste beschränken; je weniger Daten, desto geringer das Risiko — und desto höher die Ausfüllrate.
  • Transparenz: Ein kurzer Hinweis mit Verlinkung zur Datenschutzerklärung erklärt, wozu die Daten genutzt werden.

Für Newsletter gilt zusätzlich das Double-Opt-in: Erst nach Bestätigung über einen Link in einer Bestätigungsmail darf die Adresse in den Verteiler aufgenommen werden.

4. Hosting, Auftragsverarbeitung und Server-Standort

Wer Daten verarbeiten lässt — durch einen Hoster, ein Newsletter-Tool oder einen Analyse-Anbieter —, braucht in der Regel einen Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO. Seriöse Anbieter stellen diesen standardmäßig bereit.

Beim Server-Standort gilt: Hosting in der EU (etwa Frankfurt oder Nürnberg) ist die unkomplizierteste Wahl. Übertragungen in die USA sind seit dem EU-US Data Privacy Framework von 2023 wieder möglich, sofern der Anbieter zertifiziert ist — das betrifft etwa Google. Dennoch bleibt EU-Hosting die risikoärmste Option und ein gutes Argument gegenüber datensensiblen Kunden.

5. Die Datenschutzerklärung

Die Datenschutzerklärung ist Pflicht (Art. 13 DSGVO) und muss von jeder Seite aus leicht erreichbar sein. Sie informiert verständlich über:

  • welche Daten zu welchem Zweck verarbeitet werden,
  • auf welcher Rechtsgrundlage das geschieht,
  • welche Dienste und Empfänger beteiligt sind (Hosting, Analyse, Schriftarten),
  • wie lange Daten gespeichert werden,
  • welche Rechte Betroffene haben (Auskunft, Löschung, Widerspruch) und an wen sie sich wenden können.

Generatoren liefern eine solide Grundlage, müssen aber an die tatsächlich eingesetzten Tools angepasst werden. Eine Standard-Erklärung, die Dienste auflistet, die gar nicht verwendet werden — oder umgekehrt eingesetzte Tools verschweigt —, ist wertlos.

6. Technische Sicherheit als Datenschutzpflicht

Art. 32 DSGVO verlangt „angemessene technische und organisatorische Maßnahmen". Für eine Website heißt das konkret:

  • HTTPS/TLS auf der gesamten Seite, inklusive automatischer Weiterleitung von HTTP.
  • Aktuelle Software: CMS, Plugins und Server-Komponenten regelmäßig aktualisieren — veraltete Erweiterungen sind das häufigste Einfallstor.
  • Backups und Zugriffsschutz: Regelmäßige Sicherungen und starke Zugangsdaten schützen Daten vor Verlust und Missbrauch.

Datenschutz und Sicherheit sind also zwei Seiten derselben Medaille. Mehr dazu in unserem Beitrag zu WordPress-Sicherheit.

Die kompakte DSGVO-Checkliste

Zum Abhaken vor dem nächsten Website-Launch:

  • Cookie-Banner mit gleichwertigem „Ablehnen", vorheriger Einwilligung und Widerrufsmöglichkeit
  • Tracking-Skripte laden erst nach Zustimmung
  • Schriftarten lokal gehostet (keine dynamischen Google Fonts)
  • Maps, Videos und Social-Einbindungen Consent-gesteuert
  • Kontaktformular über HTTPS, datensparsam, mit Datenschutzhinweis
  • Newsletter mit Double-Opt-in
  • AVV mit allen Dienstleistern abgeschlossen
  • Aktuelle, auf die echten Tools zugeschnittene Datenschutzerklärung
  • HTTPS, aktuelle Software, regelmäßige Backups
  • Impressum vollständig und erreichbar

Fazit

Eine DSGVO-konforme Website ist 2026 kein Hexenwerk, sondern das Ergebnis sauberer technischer Umsetzung. Die größten Risiken für kleine Unternehmen sind dynamisch geladene Google Fonts, fehlerhafte Cookie-Banner und Tracking, das ohne Einwilligung startet — allesamt vermeidbar. Wer Schriften lokal hostet, externe Dienste erst nach Zustimmung lädt, Formulare verschlüsselt und datensparsam betreibt sowie eine ehrliche, auf die tatsächlich genutzten Tools zugeschnittene Datenschutzerklärung bereitstellt, hat die häufigsten Abmahngründe bereits ausgeräumt. Datenschutz ist dabei kein lästiges Beiwerk, sondern ein Vertrauenssignal gegenüber Kunden. Dieser Beitrag ersetzt keine Rechtsberatung, gibt aber die Prioritäten vor, an denen sich eine seriöse Umsetzung orientiert.

Mehr aus dem Blog

Weiterlesen

Recht & Compliance

BFSG: Was das Barrierefreiheitsstärkungsgesetz für Ihre Website bedeutet

10 Min. Lesezeit
Webdesign

Handwerker-Website: Kosten, Förderung und was sich wirklich rechnet

11 Min. Lesezeit
SEO

Google Business Profile optimieren: Die Schritt-für-Schritt-Anleitung

13 Min. Lesezeit