DSGVO-Checkliste für KMU-Websites: Was du wirklich brauchst (ohne Juristendeutsch)

Auf einen Blick

Du betreibst eine Website für dein Unternehmen und willst nicht abgemahnt werden. Verständlich. Die DSGVO klingt kompliziert, ist aber für KMU-Websites auf 10 konkrete Punkte reduzierbar. Diese Checkliste zeigt dir genau, was deine Website braucht, was du weglassen kannst und wo die teuren Fallen lauern.

Warum ist DSGVO für deine Website überhaupt relevant?

Jede Website, die personenbezogene Daten verarbeitet, fällt unter die DSGVO. Personenbezogene Daten sind nicht nur Name und E-Mail. Schon die IP-Adresse deiner Besucher zählt dazu. Das bedeutet: Sobald jemand deine Website aufruft, verarbeitest du personenbezogene Daten.

Die Strafen sind real und treffen auch kleine Unternehmen:

  • Bußgelder bis zu 20 Millionen Euro oder 4 % des Jahresumsatzes (je nachdem, was höher ist)
  • Höchstes deutsches Bußgeld 2024: 900.000 EUR (Hamburg, Quelle: HmbBfDI Tätigkeitsbericht)
  • Abmahnkosten: ab 170 EUR pro Fall (Google Fonts Abmahnwelle: über 100.000 Briefe, Quelle: Verbraucherzentrale)
  • Schadensersatzansprüche: ab 100 EUR pro betroffenem Besucher
DSGVO-Strafen für Websites: Von 100 EUR bis 20 Millionen
DSGVO-Strafen für Websites: Von 100 EUR bis 20 Millionen

Die gute Nachricht: Für eine typische KMU-Website sind die Anforderungen überschaubar. Kein Jurastudium nötig.

DSGVO-Checkliste Übersicht: 10 Pflichtpunkte für KMU-Websites
DSGVO-Checkliste Übersicht: 10 Pflichtpunkte für KMU-Websites

Die 10-Punkte-Checkliste: Was deine Website braucht

Hier ist die komplette Übersicht. Danach gehen wir jeden Punkt im Detail durch.

Nr. Pflichtpunkt Aufwand Risiko bei Verstoß
1 Impressum 10 Min Abmahnung (ab 500 EUR)
2 Datenschutzerklärung 30-60 Min Bußgeld + Abmahnung
3 SSL-Verschlüsselung (HTTPS) 5 Min Bußgeld + Vertrauensverlust
4 Cookie-Banner 15-30 Min Bußgeld (bis 300.000 EUR)
5 Google Fonts lokal einbinden 15 Min Schadensersatz (100 EUR/Besucher)
6 Kontaktformular absichern 10 Min Bußgeld
7 AV-Verträge abschließen 30 Min Bußgeld (bis 10 Mio. EUR)
8 Externe Dienste prüfen 20 Min Bußgeld + Schadensersatz
9 Verzeichnis der Verarbeitungstätigkeiten 60 Min Bußgeld
10 Datenschutzbeauftragter (ab 20 MA) variabel Bußgeld
← Tabelle seitlich scrollen →

Du willst eine Website, die wirklich Kunden bringt?

KI-WebSichtbar entdecken

1. Impressum: In 10 Minuten erledigt

Das Impressum muss von jeder Seite deiner Website erreichbar sein, maximal zwei Klicks entfernt. Fehlt es oder ist es unvollständig, droht eine Abmahnung.

Was muss rein:

  • Vollständiger Name und Anschrift des Unternehmens
  • Rechtsform und Vertretungsberechtigte
  • E-Mail-Adresse und Telefonnummer
  • Umsatzsteuer-ID (falls vorhanden)
  • Handelsregisternummer (falls vorhanden)
  • Zuständige Aufsichtsbehörde (bei erlaubnispflichtigen Tätigkeiten)
  • Berufsspezifische Angaben (z. B. Kammerzugehörigkeit bei Handwerkern)
Wichtig
Das Impressum nur auf der Startseite verlinken reicht nicht. Es muss im Footer stehen, damit es von jeder Unterseite aus erreichbar ist.

Tipp
Nutze einen kostenlosen Impressum-Generator (z. B. von e-recht24.de oder der IHK). Das dauert 10 Minuten und ist rechtssicher.

2. Datenschutzerklärung: Was wirklich rein muss

Die Datenschutzerklärung ist das Herzstück der DSGVO-Konformität. Sie muss vollständig, aktuell und verständlich sein. Genau wie das Impressum muss sie von jeder Seite aus erreichbar sein (eigener Link im Footer).

Pflichtinhalte nach Art. 13 DSGVO:

  • Name und Kontaktdaten des Verantwortlichen
  • Kontaktdaten des Datenschutzbeauftragten (falls vorhanden)
  • Zweck und Rechtsgrundlage der Datenverarbeitung
  • Empfänger der Daten (z. B. Hosting-Anbieter, Newsletter-Dienst)
  • Speicherdauer oder Kriterien für die Festlegung
  • Hinweis auf Betroffenenrechte (Auskunft, Löschung, Widerspruch)
  • Hinweis auf Beschwerderecht bei der Aufsichtsbehörde
  • Info zu Cookies und Tracking-Tools (welche, warum, wie lange)

Häufiger Fehler: Veraltete Datenschutzerklärung. Wenn du ein neues Tool einbindest (z. B. ein Buchungstool oder einen Newsletter-Dienst), muss die Datenschutzerklärung sofort aktualisiert werden.

Tipp
Nutze einen Generator wie den von datenschutz-generator.de oder e-recht24.de. Prüfe die Erklärung mindestens einmal im Jahr.

3. SSL-Verschlüsselung: Kein HTTPS = kein Vertrauen

Deine Website muss über HTTPS erreichbar sein. Ohne SSL-Zertifikat zeigt der Browser eine Warnung ("Nicht sicher") an, was Besucher sofort abschreckt. Außerdem ist die unverschlüsselte Übertragung personenbezogener Daten ein DSGVO-Verstoß.

Was du tun musst:

  • SSL-Zertifikat aktivieren (bei den meisten Hostern kostenlos über Let's Encrypt)
  • HTTP-zu-HTTPS-Weiterleitung einrichten
  • Prüfen, ob alle Ressourcen (Bilder, Skripte) über HTTPS laden (Mixed Content vermeiden)

Kosten: 0 EUR. Let's Encrypt ist kostenlos und wird von fast jedem Hoster unterstützt.

Häufiger Fehler: SSL aktiviert, aber einzelne Bilder laden noch über HTTP. Das ergibt Mixed-Content-Warnungen und kann das grüne Schloss im Browser verschwinden lassen.

4. Cookie-Banner: Ablehnen muss genauso einfach sein wie Akzeptieren

Seit dem TDDDG (ehemals TTDSG) brauchst du für nicht-essenzielle Cookies eine aktive Einwilligung. Ein einfacher Hinweis "Diese Website nutzt Cookies" reicht nicht. Der Besucher muss aktiv zustimmen, bevor Tracking-Cookies gesetzt werden.

Anforderungen an einen rechtskonformen Cookie-Banner:

  • "Ablehnen" muss gleich prominent sein wie "Akzeptieren" (gleiche Größe, gleiche Farbe)
  • Keine vorausgewählten Checkboxen
  • Cookies dürfen erst nach Einwilligung gesetzt werden (Opt-in, nicht Opt-out)
  • Einwilligung muss jederzeit widerrufbar sein
  • Dokumentation der Einwilligungen (Consent-Log)

Was viele falsch machen:

  • Der "Ablehnen"-Button ist grau, klein oder versteckt
  • Cookies werden schon beim Seitenaufruf gesetzt (vor der Einwilligung)
  • Kein "Einstellungen ändern"-Link auf der Website

Brauchst du überhaupt ein Cookie-Banner? Wenn deine Website nur technisch notwendige Cookies setzt (Session-Cookies, CSRF-Token), brauchst du kein Banner. Statische Websites ohne Tracking kommen oft ohne aus.

Tipp: Tools wie Cookiebot, Borlabs Cookie oder Real Cookie Banner helfen bei der Umsetzung. Kosten: 0 bis 39 EUR/Monat je nach Anbieter.

5. Google Fonts lokal einbinden: Die 100-EUR-pro-Besucher-Falle

Die Google Fonts Abmahnwelle hat tausende Website-Betreiber getroffen. Das Problem: Wenn du Google Fonts dynamisch einbindest (über fonts.googleapis.com), wird bei jedem Seitenaufruf die IP-Adresse des Besuchers an Google in die USA übertragen. Ohne Einwilligung ist das ein DSGVO-Verstoß.

Das LG München urteilte (Az. 3 O 17493/20): 100 EUR Schadensersatz pro betroffenem Besucher. Eine Abmahnwelle mit über 100.000 Briefen folgte. Die Forderungen lagen bei 170 EUR pro Fall.

Später urteilten Gerichte, dass die massenhafte Abmahnung rechtsmissbräuchlich war (LG Baden-Baden, AG Ludwigsburg). Das ändert aber nichts daran, dass die dynamische Einbindung ein echter Verstoß bleibt.

Die Lösung ist einfach:

  1. Google Fonts herunterladen (fonts.google.com)
  2. Schriftarten lokal auf deinem Server speichern
  3. CSS anpassen, sodass Fonts vom eigenen Server laden
  4. Testen, ob keine externen Aufrufe mehr stattfinden (Browser-Entwicklertools, Netzwerk-Tab)

Aufwand: 15 Minuten für einen Entwickler. Oder du nutzt einen Anbieter, der Fonts von Anfang an lokal einbindet.

6. Kontaktformulare DSGVO-konform gestalten

Jedes Kontaktformular verarbeitet personenbezogene Daten (mindestens Name und E-Mail). Deshalb brauchst du direkt am Formular einen Hinweis auf die Datenverarbeitung.

Checkliste für dein Kontaktformular:

  • Hinweis auf Zweck der Datenverarbeitung (z. B. "Wir nutzen Ihre Daten ausschließlich zur Bearbeitung Ihrer Anfrage")
  • Link zur Datenschutzerklärung
  • Checkbox mit Einwilligung (empfohlen, aber nicht immer rechtlich erforderlich, da Art. 6 Abs. 1 lit. b DSGVO greifen kann)
  • Nur notwendige Felder als Pflichtfelder (Datensparsamkeit)
  • SSL-Verschlüsselung für die Übertragung

Häufiger Fehler: 15 Pflichtfelder im Kontaktformular. Je weniger Daten du abfragst, desto besser. Name, E-Mail und Nachricht reichen für die meisten Zwecke.

7. Auftragsverarbeitungsverträge (AV-Verträge): Oft vergessen, immer nötig

Wenn ein externer Dienstleister personenbezogene Daten in deinem Auftrag verarbeitet, brauchst du einen AV-Vertrag nach Art. 28 DSGVO. Ohne AV-Vertrag drohen Bußgelder bis zu 10 Millionen EUR.

Wann brauchst du einen AV-Vertrag?

Dienst AV-Vertrag nötig?
Hosting-Anbieter (z. B. Strato, IONOS, Hetzner) Ja
Newsletter-Tool (z. B. Mailchimp, Brevo) Ja
Analytics (z. B. Google Analytics, Matomo Cloud) Ja
Cookie-Consent-Tool (z. B. Cookiebot) Ja
Buchungstool (z. B. Calendly, wenn Daten verarbeitet) Ja
Reiner Zahlungsanbieter (z. B. PayPal, Stripe) Nein (eigenverantwortlich)
Social-Media-Plugins (z. B. Facebook Like-Button) Gemeinsame Verantwortlichkeit
← Tabelle seitlich scrollen →

Tipp: Die meisten großen Anbieter haben fertige AV-Verträge. Du findest sie unter "Datenschutz" oder "DPA" in den Einstellungen. Einfach abschließen und ablegen.

8. Externe Dienste: Google Maps, YouTube, Analytics und Co.

Jeder externe Dienst, der Daten an Dritte überträgt, muss in der Datenschutzerklärung stehen und braucht entweder eine Einwilligung oder eine Rechtsgrundlage.

Die häufigsten Problemfälle:

  • Google Analytics: Nur mit Cookie-Einwilligung und AV-Vertrag. Alternative: Matomo (selbst gehostet, kein Cookie-Banner nötig).
  • Google Maps: Überträgt IP-Adresse an Google. Lösung: Nur mit Einwilligung laden oder statisches Kartenbild verwenden.
  • YouTube-Videos: Standard-Einbindung setzt Cookies. Lösung: "youtube-nocookie.com" verwenden oder Zwei-Klick-Lösung (erst Vorschaubild, Video lädt nach Klick).
  • Social-Media-Buttons: Facebook, Instagram und Co. tracken Besucher. Lösung: Einfache Links statt eingebetteter Buttons.

Faustregel: Jeder externe Aufruf (Script, Font, Karte, Video) ist ein potenzielles DSGVO-Problem. Je weniger externe Dienste, desto sicherer. Das ist einer der Gründe, warum statische Websites ohne WordPress deutlich DSGVO-freundlicher sind.

Tipp
Teste deine Website mit den Browser-Entwicklertools (F12, Reiter "Netzwerk"). Jeder Aufruf an eine fremde Domain ist ein potenzieller DSGVO-Verstoß, der in der Datenschutzerklärung stehen muss.

9. Verzeichnis der Verarbeitungstätigkeiten: Klingt schlimmer als es ist

Nach Art. 30 DSGVO musst du dokumentieren, welche personenbezogenen Daten du wo, wie und warum verarbeitest. Das klingt nach Bürokratie, ist für eine einfache Website aber in einer Stunde erledigt.

Was du dokumentieren musst:

  • Welche Daten du erhebst (z. B. IP-Adressen, E-Mail-Adressen über Kontaktformular)
  • Warum du sie erhebst (Zweck)
  • Auf welcher Rechtsgrundlage (z. B. berechtigtes Interesse, Einwilligung)
  • An wen du sie weitergibst (z. B. Hosting-Anbieter)
  • Wie lange du sie speicherst
  • Welche Schutzmaßnahmen du triffst (z. B. SSL, Passwortschutz)
Tipp
Lade dir eine Vorlage herunter (z. B. vom Bayerischen Landesamt für Datenschutz). Für eine einfache Firmenwebsite passt alles auf eine DIN-A4-Seite.

10. Datenschutzbeauftragter: Ab wann Pflicht?

Einen Datenschutzbeauftragten brauchst du laut § 38 BDSG, wenn mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Für die meisten KMU mit einer einfachen Website ist das nicht der Fall.

Ausnahmen: Wenn du besonders sensible Daten verarbeitest (Gesundheitsdaten, religiöse Überzeugungen) oder Daten geschäftsmäßig zur Übermittlung erhebst, kann die Pflicht auch bei weniger als 20 Personen greifen.

Fazit: Für 95 % der KMU-Websites kein Thema. Aber es schadet nicht, es zu wissen.

Fazit zur Checkliste: Klingt nach viel? Die meisten Punkte sind einmal erledigt und dann dauerhaft abgehakt. Die größten Risiken (Google Fonts, Cookie-Banner, AV-Verträge) lassen sich in unter 2 Stunden beheben.

Bonus: 5-Minuten-Schnelltest für deine Website

Bevor du alles im Detail prüfst, mach diesen Schnelltest:

  1. Rufe deine Website auf. Steht "https://" in der Adresszeile? Wenn nicht: SSL fehlt.
  2. Scrolle zum Footer. Siehst du Links zu "Impressum" und "Datenschutz"? Wenn nicht: nachbessern.
  3. Öffne die Browser-Entwicklertools (F12, Reiter "Netzwerk"). Lade die Seite neu. Siehst du Aufrufe zu fonts.googleapis.com? Wenn ja: Google Fonts nicht lokal.
  4. Klicke auf "Datenschutz". Steht da mehr als eine halbe Seite? Werden alle genutzten Dienste erwähnt? Ist das Datum aktuell?
  5. Prüfe den Cookie-Banner. Ist "Ablehnen" genauso groß und sichtbar wie "Akzeptieren"?

Wenn du bei einem Punkt unsicher bist, lies den passenden Abschnitt oben noch mal.

Die drei häufigsten DSGVO-Fehler bei KMU-Websites

Fehler 1: Google Fonts dynamisch einbinden. Immer noch der häufigste Verstoß. Die Lösung dauert 15 Minuten, spart aber potenziell tausende Euro.

Fehler 2: Cookie-Banner mit "Trick-Design". Der Akzeptieren-Button ist groß und bunt, der Ablehnen-Button klein und grau. Das ist ein Verstoß und wird von Aufsichtsbehörden aktiv verfolgt.

Fehler 3: Keine AV-Verträge. Du nutzt Hosting, Analytics und einen Newsletter-Dienst, aber hast mit keinem einen AV-Vertrag. Drei Verstöße auf einmal.

Wichtig
Besonders wenn du deine Website selber baust, ist das Risiko für DSGVO-Fehler hoch. Baukästen laden oft externe Dienste, ohne dass du es merkst. Mehr dazu im Artikel Website selber machen oder machen lassen?

DSGVO-konform ohne Kopfschmerzen: Geht das?

Ja. Wenn deine Website von Anfang an richtig aufgebaut ist, hast du mit DSGVO im Alltag nichts zu tun. Die meisten Probleme entstehen durch Baukästen und Templates, die externe Dienste standardmäßig einbinden, ohne dass du es merkst.

Statische Websites haben hier einen klaren Vorteil: Keine Datenbank, keine Plugins, keine externen Aufrufe (wenn richtig gebaut). Das bedeutet weniger Angriffsfläche für Datenschutzprobleme.

Bei KI-WebSichtbar ist DSGVO ab Werk Standard: Lokale Fonts, korrektes Impressum, Datenschutzerklärung, SSL. Kein Nachdenken nötig, keine bösen Überraschungen. Und das zum Festpreis ab 1.499 EUR netto.

Kostenlose Erstberatung buchen

FAQ: Häufige Fragen zur DSGVO für Websites

Brauche ich für meine Website eine Datenschutzerklärung?

Ja, ausnahmslos. Jede Website, die von Personen aus der EU aufgerufen werden kann, braucht eine Datenschutzerklärung. Selbst wenn du kein Kontaktformular hast, verarbeitet dein Hoster IP-Adressen. Das muss dokumentiert sein.

Reicht ein einfacher Cookie-Hinweis?

Nein. Seit dem TDDDG (ehemals TTDSG) brauchst du eine aktive Einwilligung für nicht-essenzielle Cookies. Ein Banner mit nur "OK" oder "Verstanden" ist nicht rechtskonform. Es muss eine echte Wahl zwischen Akzeptieren und Ablehnen geben.

Was kostet ein DSGVO-Verstoß?

Die DSGVO erlaubt Bußgelder bis 20 Millionen EUR. In der Praxis liegen Strafen für KMU zwischen 500 und 50.000 EUR. Dazu kommen Abmahnkosten (ab 170 EUR) und Schadensersatzansprüche. Das höchste deutsche Bußgeld 2024 lag bei 900.000 EUR.

Kann ich Google Analytics noch nutzen?

Ja, aber nur mit Cookie-Einwilligung, AV-Vertrag und korrekter Konfiguration (IP-Anonymisierung, Speicherdauer begrenzen). Datenschutzfreundlichere Alternative: Matomo (selbst gehostet) oder Plausible Analytics.

Brauche ich einen Datenschutzbeauftragten?

Nur wenn mindestens 20 Personen in deinem Unternehmen ständig mit automatisierter Datenverarbeitung beschäftigt sind (§ 38 BDSG). Für die meisten KMU mit weniger als 20 Mitarbeitern ist das nicht erforderlich.

Was sind AV-Verträge und brauche ich die?

AV-Verträge (Auftragsverarbeitungsverträge) schließt du mit jedem Dienstleister ab, der in deinem Auftrag personenbezogene Daten verarbeitet. Das betrifft deinen Hoster, dein Newsletter-Tool und dein Analytics-Tool. Ohne AV-Vertrag drohen Bußgelder bis 10 Millionen EUR.

Sind Social-Media-Buttons ein DSGVO-Problem?

Ja, wenn sie Tracking-Code laden (z. B. Facebook Like-Button). Die sichere Lösung: Einfache Text-Links zu deinen Profilen verwenden statt eingebetteter Buttons. Kein Tracking, kein Problem.

Wie oft muss ich meine Datenschutzerklärung aktualisieren?

Immer dann, wenn sich etwas ändert: Neues Tool eingebunden, Hoster gewechselt, Newsletter-Dienst hinzugefügt. Zusätzlich empfiehlt sich eine jährliche Prüfung, ob alle Angaben noch stimmen.