Die DSGVO ist seit 2018 in Kraft — trotzdem haben nach Schätzungen der Verbraucherzentralen über 60 % der deutschen KMU-Websites formale Mängel. Das ist kein bürokratisches Detail: Abmahnungen kosten 500 – 5.000 €, Bußgelder können höher liegen. Dieser Artikel gibt dir die komplette Checkliste, was eine DSGVO-konforme Website 2026 braucht.

Warum das nicht nur „lästig" ist

Drei konkrete Risiken bei nicht-konformer Website:

  • Abmahnungen: spezialisierte Kanzleien scannen systematisch nach typischen Verstößen (fehlendes Impressum, Google Fonts extern, kein Cookie-Consent). Die üblichen Kosten: 500 – 2.500 € plus Unterlassungserklärung.
  • Bußgelder: Aufsichtsbehörden können bei gravierenden Verstößen bis zu 20 Millionen € oder 4 % des Vorjahresumsatzes verhängen. Für KMU realistisch sind 1.000 – 50.000 € bei dokumentierten Verstößen.
  • Vertrauensverlust: B2B-Kunden prüfen vor größeren Aufträgen DSGVO-Konformität. Eine Seite mit fehlendem Impressum oder US-Tracking kostet Deals.

Die gute Nachricht: DSGVO-Konformität ist solides Handwerk, kein Mysterium. Wer die Checkliste abarbeitet, hat das Thema.

1. Impressum — §5 DDG

Jede geschäftlich genutzte Website braucht ein Impressum, maximal zwei Klicks erreichbar (typisch: Footer-Link). Pflichtangaben:

  • Voller Name / Firmenname (bei juristischen Personen mit Rechtsform)
  • Postadresse (kein Postfach)
  • E-Mail oder Telefonnummer
  • USt-ID falls umsatzsteuerpflichtig
  • Bei regulierten Berufen: Kammer, Berufsbezeichnung, verleihender Staat
  • Bei journalistischen Inhalten: redaktionell Verantwortlicher nach § 18 MStV
  • EU-Streitschlichtungshinweis

Wer das fehlerhaft oder unvollständig macht, öffnet die bevorzugte Angriffsfläche für Abmahnungen — vor allem das fehlende Impressum wird systematisch gescannt.

2. Datenschutzerklärung — Art. 13 DSGVO

Die Datenschutzerklärung beschreibt, welche personenbezogenen Daten verarbeitet werden, wofür, auf welcher Rechtsgrundlage und wie lange. Mindestpunkte:

  • Verantwortlicher (Name, Kontakt)
  • Hosting-Provider (mit Auftragsverarbeitung)
  • Server-Log-Files (IP, Zeit, URL — meist 7–14 Tage Speicherung)
  • Kontaktformular (welche Felder, warum, wie lange)
  • Cookies & Tracking (falls eingesetzt)
  • Externe Dienste (Fonts, Maps, Embed-Videos)
  • Rechte der Betroffenen
  • Beschwerderecht bei Aufsichtsbehörde

Datenschutzerklärung darf nicht pauschal aus Generator kopiert werden, wenn die Seite Besonderheiten hat (z. B. eingebundenes YouTube-Video — das muss explizit erwähnt werden). Falscher Text = falsche Erklärung = Abmahnungs-Grund.

3. SSL/TLS — HTTPS überall

Alle Seiten müssen verschlüsselt ausgeliefert werden. Let's-Encrypt-Zertifikate sind kostenlos bei jedem seriösen Hoster, bei all-inkl, Hetzner oder Strato mit 1 Klick aktivierbar. HTTP-Seiten sind 2026 nicht mehr akzeptabel — Browser warnen aktiv, Formulare funktionieren teils nicht mehr.

4. EU-Hosting oder dokumentierter EU-US-Transfer

Hosting in der EU ist für DSGVO-Compliance der sicherste Weg. Wer US-Hosting nutzt (AWS us-east-1, Vercel default), muss den EU-US Data Privacy Framework vertraglich dokumentieren und in der Datenschutzerklärung erwähnen.

Praxis-Empfehlung: für 95 % der KMU-Projekte ist EU-Hosting (all-inkl, Hetzner, Strato, IONOS) die sauberste Lösung. Performance ist 2026 vergleichbar, Kosten niedriger, Rechtslage klar.

5. Cookie-Consent — aber nur wo wirklich nötig

Cookie-Banner sind 2026 ein verbreiteter Reflex — aber oft überflüssig und manchmal sogar kontraproduktiv. Consent ist nur nötig, wenn nicht-technisch notwendige Cookies gesetzt werden.

Konkret: Wenn deine Seite nur Formular-Session-Cookies setzt (die sind technisch notwendig und brauchen keinen Consent), kein Tracking nutzt, keine Google Fonts extern lädt — dann brauchst du keinen Cookie-Banner. Stattdessen reicht der Hinweis in der Datenschutzerklärung.

Wenn Tracking (Google Analytics, Meta Pixel) oder externe Medien (YouTube-Embeds) eingebunden sind: Consent ist Pflicht. Kostenlose Tools dafür: Klaro, CCM19 (deutsche Lösung), Borlabs Cookie (für WordPress).

6. Google Fonts lokal einbinden

Ein Klassiker unter den Abmahngründen: Google Fonts extern geladen, ohne Consent. Das Landgericht München hat 2022 entschieden, dass Google Fonts als Drittanbieter-Dienst Consent-pflichtig ist.

Lösung: Google Fonts einmal herunterladen, lokal auf dem eigenen Server einbinden. Dauert 10 Minuten, beseitigt das Abmahnrisiko. Wer WordPress nutzt: Plugin „OMGF – Host Google Fonts Locally".

7. Formulare: Datenminimierung

Grundsatz der DSGVO: so wenig Daten wie möglich, nur das Nötige. Bei einem Kontaktformular heißt das:

  • Name und E-Mail sind vertretbar als Pflichtfelder (um antworten zu können)
  • Telefonnummer nicht als Pflicht, wenn E-Mail-Kontakt reicht
  • Geburtsdatum, Adresse, Firmenname: nur wenn du sie wirklich brauchst
  • Pflichtfelder explizit markieren
  • Datenschutz-Checkbox ist nicht automatisch Pflicht — bei reinen Kontaktanfragen reicht der Hinweis auf die Datenschutzerklärung

8. Auftragsverarbeitungsverträge (AV)

Mit jedem externen Dienstleister, der in deinem Auftrag personenbezogene Daten verarbeitet, brauchst du einen AV-Vertrag (Art. 28 DSGVO). Betrifft meist:

  • Hoster (all-inkl, Hetzner, etc.) — Standard-AV meist online abrufbar
  • E-Mail-Marketing-Dienst (Mailchimp, Rapidmail, Cleverreach)
  • CRM-System (HubSpot, Pipedrive, Salesforce)
  • Zahlungsabwickler (Stripe, PayPal)
  • Analytics-Anbieter (auch DSGVO-konforme wie Plausible, wenn extern gehostet)

AV-Verträge müssen nicht gedruckt werden — digital unterzeichnet oder im Admin-Bereich des Anbieters akzeptiert ist gültig. Aber: sie müssen existieren und abrufbar sein.

9. Tracking: nur mit Consent oder komplett verzichten

Die einfachste, sauberste Lösung: komplett auf Tracking verzichten oder nur Tools nutzen, die ohne Cookies funktionieren und anonymisiert arbeiten.

  • Plausible: cookielos, anonymisiert, EU-hosted — kein Consent nötig. 9 €/Monat
  • Matomo: selbst gehostet, konfigurierbar cookielos — kein Consent nötig wenn korrekt eingestellt. Kostenlos oder 19 €/Monat (Cloud)
  • Umami: open-source, cookielos — kein Consent nötig. Kostenlos (selbst gehostet) oder 9 €/Monat (Cloud)

Google Analytics ist aktuell in Deutschland juristisch umstritten und braucht in jedem Fall Consent — inklusive ablehnbare Variante mit gleicher Prominenz wie Akzeptieren. Datenschutzbehörden haben in mehreren Bundesländern GA4-Einsatz bereits als problematisch eingestuft.

10. Rechte der Betroffenen

Nutzer haben laut DSGVO Rechte auf Auskunft (Art. 15), Berichtigung (Art. 16), Löschung (Art. 17), Einschränkung (Art. 18), Widerspruch (Art. 21) und Datenübertragbarkeit (Art. 20). Die Datenschutzerklärung muss diese Rechte auflisten, und du musst sie in der Praxis umsetzen können.

Heißt konkret: wenn jemand eine Löschanfrage stellt, musst du wissen wo die Daten liegen (Formular-Ablage, CRM, Mail-Archiv) und sie auch tatsächlich löschen können. Bei Standardtools (CRM, Mailing-Tool) ist das meist im Admin-Panel möglich.

Was häufig vergessen wird

  • Kontaktformular-Hinweis: Direkt am Formular muss ein Link zur Datenschutzerklärung stehen.
  • Newsletter-Double-Opt-In: E-Mail-Bestätigung vor Aufnahme in den Verteiler, Dokumentation der Zustimmung.
  • Karriereseite: Bewerbungsprozess erzeugt besondere Kategorien persönlicher Daten — zusätzliche Erklärung erforderlich.
  • Kundenportale mit Login: eigene Session-Cookies sind technisch notwendig, aber User-Tracking darin ist consent-pflichtig.
  • YouTube-Embeds: im „Privacy-Enhanced Mode" (`youtube-nocookie.com`) oder mit Consent-Wall einbinden.

Konsequenzen bei Verstößen — realistisch

Was bei realen Verstößen passiert:

  • Abmahnung durch Kanzlei: häufigster Fall, 500 – 2.500 € plus Unterlassungserklärung. Typische Auslöser: fehlendes Impressum, Google Fonts extern, kein Cookie-Consent obwohl Tracking eingesetzt.
  • Datenschutzbehörden-Verfahren: meist nach Beschwerde eines Betroffenen. Starten mit Aufforderung zur Stellungnahme, enden je nach Sachverhalt mit Verwarnung, Anordnung oder Bußgeld.
  • Bußgeld: eher selten bei KMU, aber möglich. Die Spannweite im Bundes-Datenschutzbehörden-Bericht reicht von 500 € für kleine Verstöße bis 6-stellig für schwerere Fälle.

Wie wir bei goldlab das umsetzen

Bei jedem Projekt gehen wir die obige Liste durch. Standard-Setup für Kundenprojekte:

  • Hosting bei all-inkl oder Hetzner — EU-Server, AV-Vertrag abrufbar
  • SSL automatisch via Let's Encrypt
  • Datenschutzerklärung nach Projektspezifika angepasst, nicht generisch
  • Fonts ausschließlich lokal eingebunden, nie von Google
  • Kontaktformular mit Datenminimierung und klarem Datenschutz-Hinweis
  • Keine Cookie-Banner wenn kein Tracking — sonst Klaro oder CCM19
  • Wenn Tracking gewünscht: Plausible als Default

Du hast eine bestehende Website und willst wissen ob sie DSGVO-konform ist? Schick uns den Link, wir machen einen kurzen Audit und sagen dir die wichtigsten Baustellen.

Häufige Fragen

Brauche ich wirklich einen Cookie-Banner?

Nur wenn du nicht-technisch notwendige Cookies setzt oder externe Ressourcen nachlädst, die personenbezogene Daten (insb. IP-Adressen) an Dritte übertragen. Eine reine Informations-Website ohne Tracking und ohne externe Fonts braucht keinen Banner — stattdessen reicht der Datenschutzhinweis.

Kann ich Texte aus dem Datenschutz-Generator übernehmen?

Als Startpunkt ja, als Endstand nein. Generatoren liefern einen soliden Basistext, der für Standard-Fälle passt. Wenn deine Seite Besonderheiten hat (Kundenportal, Chat-Tool, spezielle Tracking-Setups, Nicht-Standard-Plugins), musst du den Text anpassen. Copy-Paste ohne Prüfung ist Abmahnrisiko.

Was ist mit ChatGPT-Integrationen auf der Website?

KI-Chat-Bots und Embeds (OpenAI, Anthropic, Hugging Face) übertragen Nutzer-Eingaben an Drittanbieter, oft in die USA. Sie sind consent-pflichtig und müssen in der Datenschutzerklärung explizit erwähnt werden — inklusive Zweck, Rechtsgrundlage, Drittlandtransfer.

Gilt DSGVO auch für Impressum von Solo-Unternehmern?

Ja. Das Impressum ist unabhängig von der Unternehmensgröße Pflicht für alle geschäftlich genutzten Websites (auch Freelancer, Kleinunternehmer, Mini-Betriebe). Der Umfang variiert je nach Berufsgruppe — zum Beispiel brauchen Kammerberufe zusätzliche Angaben zur Kammer und Berufsbezeichnung.

Was kostet ein DSGVO-Audit?

Einfaches Audit einer bestehenden Website: 400 – 1.200 €. Umfassendes Audit mit Dokumentation und Umsetzungsbegleitung: 1.500 – 5.000 €. Wichtig: ein Audit allein reicht nicht, die Mängel müssen danach tatsächlich behoben werden.

Was ist mit Barrierefreiheit (BFSG)?

Seit Juni 2025 gilt das Barrierefreiheitsstärkungsgesetz (BFSG) für bestimmte digitale Produkte — insbesondere E-Commerce-Websites, Finanzdienstleister und öffentlich zugängliche Services. Kleine Unternehmen (unter 10 Mitarbeitern oder 2 Mio. € Jahresumsatz) sind ausgenommen. Das ist technisch und rechtlich ein eigenes Thema, das wir in einem separaten Artikel behandeln.