Internetagentur RHEINFORMAT
Projekt anfragen

Wissen

...

DSGVO Website Checkliste: Was dein Online-Auftritt wirklich braucht

Websites & Plattformen Ratgeber

DSGVO und Website - was musst du wirklich umsetzen? Die wichtigsten Anforderungen an Datenschutzerklärung, Cookie-Consent, SSL, Formulare und Google Fonts auf einen Blick.

Du hast eine Website. Sie läuft. Kunden finden dich darüber. Aber hast du dich in letzter Zeit gefragt, ob dein Online-Auftritt datenschutzrechtlich sauber aufgestellt ist?

Viele Unternehmer schieben das Thema DSGVO vor sich her. Verständlich - die Verordnung ist komplex, die Anforderungen ändern sich, und die Abmahnrisiken fühlen sich abstrakt an. Bis die erste Abmahnung im Briefkasten liegt. Oder bis ein Besucher merkt, dass Google Fonts von US-Servern geladen werden und 100 Euro Schmerzensgeld fordert.

Das muss dir nicht passieren. Diese Checkliste zeigt dir Punkt für Punkt, was deine Website braucht, um DSGVO-konform zu sein. Pragmatisch, verständlich und mit dem Blick eines Praktikers, der seit 25 Jahren Websites betreut.

Datenschutzerklärung: Das Fundament

Jede Website braucht eine Datenschutzerklärung. Das ist gesetzliche Pflicht nach Art. 13 und 14 DSGVO. Aber "eine Datenschutzerklärung haben" reicht längst nicht.

Deine Datenschutzerklärung muss vollständig und aktuell sein. Das bedeutet: Sie beschreibt jeden Dienst, der personenbezogene Daten verarbeitet. Jedes Kontaktformular, jedes Tracking-Tool, jedes eingebundene Video, jeden Newsletter-Dienst.

Was konkret rein muss:

  • Name und Kontaktdaten des Verantwortlichen
  • Kontaktdaten des Datenschutzbeauftragten (falls vorhanden)
  • Zweck und Rechtsgrundlage jeder Datenverarbeitung
  • Empfänger oder Kategorien von Empfängern
  • Speicherdauer oder Kriterien für die Festlegung
  • Hinweis auf Betroffenenrechte (Auskunft, Löschung, Widerspruch)
  • Recht auf Beschwerde bei der Aufsichtsbehörde

Mein Tipp: Prüfe deine Datenschutzerklärung mindestens zweimal im Jahr. Jedes neue Tool, das du einbindest - sei es ein Chat-Widget, ein Analyse-Tool oder ein neues Formular - muss dort dokumentiert werden. Generatoren wie der von der Kanzlei Siebert Lexow sind ein guter Startpunkt, ersetzen aber keine individuelle Prüfung.

Impressum: Pflichtangaben vollständig?

Das Impressum ist zwar streng genommen kein DSGVO-Thema (es basiert auf dem TMG bzw. DDG), gehört aber zur rechtlichen Grundausstattung jeder Website. Fehlt es oder ist es unvollständig, riskierst du Abmahnungen.

Pflichtangaben für Gewerbetreibende:

  • Vollständiger Name und Anschrift
  • E-Mail-Adresse und Telefonnummer
  • Handelsregisternummer (falls vorhanden)
  • Umsatzsteuer-Identifikationsnummer
  • Berufsbezeichnung und zuständige Kammer (bei reglementierten Berufen)

Wichtig: Das Impressum muss von jeder Unterseite deiner Website mit maximal zwei Klicks erreichbar sein. Am besten im Footer verlinkt, zusammen mit der Datenschutzerklärung.

Cookie-Consent: Der häufigste Stolperstein

Kein Thema sorgt für so viel Unsicherheit wie der Cookie-Banner. Und kein Thema wird so häufig falsch umgesetzt.

Die Regel ist eigentlich klar: Bevor du Cookies setzt, die für den Betrieb der Website technisch nicht erforderlich sind, brauchst du eine aktive Einwilligung des Nutzers. Das betrifft insbesondere:

  • Google Analytics und andere Tracking-Tools
  • Facebook Pixel, LinkedIn Insight Tag
  • YouTube-Videos (im Standard-Modus)
  • Google Maps Einbindungen
  • Marketing- und Retargeting-Cookies

Was "aktive Einwilligung" bedeutet: Der Nutzer muss bewusst zustimmen. Vorangekreuzte Checkboxen sind unzulässig. "Durch die weitere Nutzung stimmen Sie zu" - das reicht ebenfalls nicht. Und der "Ablehnen"-Button darf optisch dem "Akzeptieren"-Button gleichgestellt sein. Kein verstecktes Kreuzchen.

Technisch essenzielle Cookies (Session-Cookies, Warenkorb, Cookie-Consent-Speicherung selbst) darfst du ohne Einwilligung setzen. Dafür brauchst du keinen Banner.

Ich setze bei meinen Projekten auf eine saubere Cookie-Consent-Lösung, die alle Dienste erst nach Einwilligung lädt. Das ist technisch aufwendiger als ein einfacher Banner, aber rechtlich sauber.

SSL-Verschlüsselung: Pflicht seit Jahren

HTTPS ist Pflicht. Punkt. Art. 32 DSGVO verlangt "geeignete technische Maßnahmen" zum Schutz personenbezogener Daten. Sobald deine Website ein Kontaktformular hat (und das hat sie vermutlich), musst du die Übertragung verschlüsseln.

Prüfe:

  • Ist ein gültiges SSL-Zertifikat installiert?
  • Wird HTTP automatisch auf HTTPS umgeleitet?
  • Gibt es Mixed-Content-Warnungen (HTTP-Ressourcen auf HTTPS-Seiten)?
  • Ist der HSTS-Header gesetzt?

SSL-Zertifikate sind heute kostenlos (Let's Encrypt) und bei den meisten Hostern mit einem Klick aktivierbar. Es gibt keinen Grund, das noch aufzuschieben.

Google Fonts lokal einbinden

Das Thema Google Fonts hat 2022 eine Welle von Abmahnungen ausgelöst - und das Risiko besteht weiterhin.

Der Hintergrund: Wenn du Google Fonts über die Google-Server lädst (das ist die Standard-Einbindung), wird bei jedem Seitenaufruf die IP-Adresse deines Besuchers an Google in die USA übermittelt. Ohne Einwilligung. Das ist ein DSGVO-Verstoß.

Die Lösung ist einfach: Google Fonts lokal hosten. Du lädst die Schriftdateien herunter und bindest sie direkt von deinem eigenen Server ein. Dann fließen keine Daten an Google.

So prüfst du, ob deine Website betroffen ist:

  • Öffne deine Website im Browser
  • Rechtsklick → "Untersuchen" → Reiter "Netzwerk"
  • Lade die Seite neu und filtere nach "fonts.googleapis.com" oder "fonts.gstatic.com"
  • Wenn Einträge auftauchen: Die Fonts werden extern geladen

Das gleiche Prinzip gilt übrigens für andere externe Ressourcen: Font Awesome, jQuery von CDNs, Bootstrap von externen Servern. Alles, was Daten an Dritte übermittelt, braucht entweder eine Einwilligung oder muss lokal gehostet werden.

Kontaktformulare und Einwilligungen

Jedes Formular auf deiner Website verarbeitet personenbezogene Daten. Name, E-Mail, Telefonnummer, Nachricht - das sind alles Daten, die unter die DSGVO fallen.

Was du bei Formularen beachten musst:

  • Datenminimierung: Frage nur ab, was du wirklich brauchst. Wenn eine E-Mail-Adresse reicht, frag kein Geburtsdatum ab.
  • Hinweis auf Datenschutzerklärung: Unter dem Formular ein Verweis auf die Datenschutzerklärung mit konkreter Angabe, was mit den Daten passiert.
  • Checkbox für Newsletter: Wenn du die Daten auch für Newsletter nutzen willst, brauchst du eine separate, freiwillige Checkbox. Kein Opt-out, sondern Opt-in.
  • Verschlüsselte Übertragung: Das Formular muss über HTTPS übertragen werden (siehe SSL-Punkt oben).

Bei Bewerbungsformularen gelten zusätzliche Regeln zur Speicherdauer. Bewerbungsdaten darfst du in der Regel maximal 6 Monate nach Abschluss des Verfahrens aufbewahren.

Tracking und Analyse: Google Analytics richtig einsetzen

Google Analytics ist das meistgenutzte Analyse-Tool - und gerade wenn du Google Ads schaltest, wird es oft parallel eingesetzt. Gleichzeitig ist es eines der problematischsten Werkzeuge aus DSGVO-Sicht.

Wenn du Google Analytics nutzt, beachte:

  • Einwilligung vor dem Tracking: Google Analytics darf erst laden, nachdem der Nutzer im Cookie-Banner zugestimmt hat. Vorher: kein Script, kein Cookie, kein Tracking.
  • IP-Anonymisierung: In Google Analytics 4 (GA4) ist die IP-Anonymisierung standardmäßig aktiv. Prüfe trotzdem, ob deine Konfiguration stimmt.
  • Auftragsverarbeitungsvertrag (AVV): Du brauchst einen AVV mit Google. Den kannst du in den Google-Analytics-Einstellungen abschließen.
  • Datenschutzerklärung aktualisieren: Google Analytics muss in deiner Datenschutzerklärung dokumentiert sein - mit Hinweis auf Opt-out-Möglichkeit.

Alternative: Matomo (selbstgehostet) verarbeitet alle Daten auf deinem eigenen Server. Damit umgehst du die Drittland-Problematik komplett. Für viele KMU ist das die sauberere Lösung.

Das Thema Sichtbarkeit und Tracking hängt eng zusammen. Eine durchdachte Content- und Sichtbarkeitsstrategie berücksichtigt den Datenschutz von Anfang an.

Auftragsverarbeitungsverträge (AVV)

Jeder externe Dienstleister, der in deinem Auftrag personenbezogene Daten verarbeitet, braucht einen AVV. Das betrifft mehr Dienste, als die meisten denken:

  • Hosting-Provider
  • E-Mail-Marketing-Tools (Mailchimp, CleverReach, Brevo)
  • CRM-Systeme
  • Cloud-Speicher
  • Analyse-Tools (Google Analytics, Hotjar)
  • Formular-Dienste
  • CDN-Anbieter (Cloudflare)

Die meisten seriösen Anbieter stellen einen AVV bereit - oft direkt in den Kontoeinstellungen zum Download. Sammle diese Verträge und halte sie aktuell. Eine Tabelle mit allen Dienstleistern, dem Zweck der Verarbeitung und dem Status des AVV hilft dir, den Überblick zu behalten.

Hosting: Serverstandort beachten

Wo steht der Server, auf dem deine Website liegt? Innerhalb der EU ist unkompliziert. Wenn dein Hoster Server in den USA betreibt, wird es komplexer.

Seit dem EU-US Data Privacy Framework (Juli 2023) ist die Datenübertragung in die USA unter bestimmten Bedingungen wieder möglich. Aber: Das Framework gilt nur für zertifizierte US-Unternehmen. Und es kann jederzeit wieder gekippt werden (wie schon Privacy Shield und Safe Harbor).

Mein Rat: Wenn möglich, wähle einen Hoster mit Serverstandort in Deutschland oder der EU. Das macht die DSGVO-Konformität deutlich einfacher. Gute Optionen: Hetzner, IONOS, Mittwald, all-inkl.

Social-Media-Einbindungen

Like-Buttons, Share-Widgets, eingebettete Instagram-Feeds - Social-Media-Einbindungen übertragen Daten an die jeweiligen Plattformen. Oft schon beim Laden der Seite, bevor der Nutzer überhaupt geklickt hat.

Datenschutzkonforme Lösungen:

  • 2-Klick-Lösung: Social-Media-Inhalte werden erst nach bewusster Aktivierung durch den Nutzer geladen.
  • Shariff: Eine Open-Source-Lösung, die Social-Media-Buttons ohne Datenübertragung anzeigt.
  • Einfache Links: Statt eingebetteter Widgets einfach einen Textlink zur Social-Media-Seite setzen.

YouTube-Videos bindest du am besten im erweiterten Datenschutzmodus ein (youtube-nocookie.com). Damit werden erst beim Abspielen Daten an YouTube übertragen.

Die DSGVO-Checkliste zum Abhaken

Hier die kompakte Übersicht. Geh jeden Punkt durch:

  • Datenschutzerklärung vollständig, aktuell und von jeder Seite erreichbar
  • Impressum mit allen Pflichtangaben vorhanden
  • Cookie-Consent-Banner mit echter Einwilligung (Opt-in, gleichberechtigte Buttons)
  • SSL-Zertifikat aktiv, HTTPS-Weiterleitung eingerichtet
  • Google Fonts und andere externe Ressourcen lokal gehostet
  • Kontaktformulare mit Datenschutzhinweis und Datenminimierung
  • Tracking erst nach Einwilligung aktiv
  • Auftragsverarbeitungsverträge mit allen Dienstleistern abgeschlossen
  • Hosting auf EU-Servern (oder Drittland-Transfer rechtlich abgesichert)
  • Social-Media-Einbindungen datenschutzkonform (2-Klick oder Shariff)
  • Regelmäßige Überprüfung (mindestens halbjährlich)

Häufige Fragen zur DSGVO und Websites

Brauche ich als kleines Unternehmen einen Datenschutzbeauftragten?

Einen Datenschutzbeauftragten brauchst du, wenn mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Für die meisten KMU mit unter 20 Mitarbeitenden ist das formal noch keine Pflicht. Trotzdem musst du die DSGVO einhalten - auch ohne Beauftragten.

Was kostet eine Abmahnung wegen DSGVO-Verstößen?

Die Kosten variieren stark. Die Google-Fonts-Abmahnwelle hat 100-170 Euro pro Fall gefordert. Bei ernsteren Verstößen können Bußgelder der Aufsichtsbehörden deutlich höher ausfallen - bis zu 20 Millionen Euro oder 4% des Jahresumsatzes (in der Praxis für KMU aber deutlich darunter). Tipp: Besser vorher investieren als nachher zahlen.

Reicht ein Cookie-Banner-Generator?

Ein Generator ist ein Startpunkt, aber keine Garantie. Der Banner muss technisch korrekt implementiert sein: Cookies dürfen erst nach Zustimmung gesetzt werden, die Einstellungen müssen jederzeit änderbar sein, und die Dokumentation muss stimmen. Ein professionelles Consent-Management-Tool (wie Cookiebot, Borlabs oder CookieFirst) ist in den meisten Fällen die bessere Wahl.

Muss ich meine Website jedes Jahr auf DSGVO prüfen?

Mindestens. Besser alle 6 Monate. Und zusätzlich immer dann, wenn du etwas änderst: ein neues Tool einbindest, den Hoster wechselst, ein Formular hinzufügst oder ein Plugin aktualisierst. Ein fester Prüfrhythmus als Teil deiner Website-Betreuung ist die sicherste Lösung.

Gilt die DSGVO auch für reine Informationsseiten ohne Formulare?

Ja. Sobald du einen Webserver betreibst, werden IP-Adressen verarbeitet (Server-Logfiles). Das sind personenbezogene Daten. Auch ohne Kontaktformular brauchst du eine Datenschutzerklärung und musst prüfen, welche Dienste Daten erheben.

Dein nächster Schritt

DSGVO-Konformität ist kein Projekt mit Enddatum. Es ist ein laufender Prozess. Aber mit dieser Checkliste hast du einen klaren Rahmen, den du systematisch abarbeiten kannst.

Egal ob Handwerker-Website oder B2B-Plattform - wenn du unsicher bist, wo deine Website steht: Ich prüfe das gerne im Rahmen eines Digitalchecks. Datenschutz, Performance, Sichtbarkeit - alles in einer strukturierten Analyse.

Lass uns über dein Projekt sprechen

zurück
Samstag, 11.04.2026
0221 / 294 66 25 info[at]rheinformat.com

© RHEINFORMAT – Studio für digitale Kommunikation 2026