Blog

DSGVO-konform ins Netz: Website-Datenschutz einfach erklärt

Cookie-Banner, Impressum, Analytics – was Sie wirklich brauchen und was Sie weglassen können.

Zurück zum Blog
Ratgeber · 8 Min. Lesezeit
Schloss-Symbol auf digitalem Hintergrund – Symbolbild für Datenschutz und DSGVO auf Websites

DSGVO – vier Buchstaben, vor denen viele Unternehmer zurückschrecken. Dabei ist Website-Datenschutz kein Hexenwerk. Die meisten Pflichten lassen sich mit überschaubarem Aufwand umsetzen, wenn man weiß, worauf es ankommt. In diesem Ratgeber erklären wir Ihnen die wichtigsten DSGVO-Anforderungen für Websites – verständlich, praxisnah und ohne Juristendeutsch.

Eines vorweg: Dieser Artikel ersetzt keine Rechtsberatung. Er gibt Ihnen aber eine solide Orientierung, welche Punkte Sie auf dem Schirm haben sollten – und wo die häufigsten Stolperfallen liegen.

Was die DSGVO für Ihre Website bedeutet (kurz & klar)

Die Datenschutz-Grundverordnung (DSGVO) gilt seit Mai 2018 in der gesamten EU. Sie regelt, wie personenbezogene Daten erhoben, verarbeitet und gespeichert werden dürfen. Für Ihre Website bedeutet das: Sobald Sie Daten von Besuchern erfassen – und sei es nur eine IP-Adresse – gelten bestimmte Regeln.

Die drei wichtigsten Grundsätze für Website-Betreiber:

  • Transparenz: Besucher müssen wissen, welche Daten Sie erheben und warum. Das geschieht über die Datenschutzerklärung.
  • Einwilligung: Für nicht notwendige Datenverarbeitungen (z.B. Tracking, Marketing-Cookies) brauchen Sie die aktive Zustimmung des Nutzers – bevor die Daten erhoben werden.
  • Datenminimierung: Erheben Sie nur die Daten, die Sie tatsächlich brauchen. Weniger ist mehr – und weniger ist auch sicherer.

In der Praxis betrifft das fast jede Unternehmenswebsite: Kontaktformulare, Analyse-Tools, eingebettete Karten, Schriften von externen Servern, Social-Media-Plugins – all das verarbeitet personenbezogene Daten.

Cookie-Consent: Was Sie wirklich brauchen

Cookie-Banner sind zum Sinnbild der DSGVO geworden. Aber nicht jede Website braucht einen. Die Regel ist einfacher, als viele denken:

  • Technisch notwendige Cookies (z.B. Session-Cookies, Warenkorb) dürfen ohne Einwilligung gesetzt werden.
  • Analyse- und Marketing-Cookies (Google Analytics, Facebook Pixel, etc.) brauchen eine aktive Einwilligung – Opt-in, nicht Opt-out.
  • Keine Cookies, kein Banner: Wenn Ihre Website weder Tracking noch externe Dienste mit Cookies nutzt, brauchen Sie keinen Cookie-Banner.

Wenn Sie einen Cookie-Banner einsetzen, muss er bestimmte Anforderungen erfüllen:

  1. Die Ablehnung muss genauso einfach sein wie die Zustimmung – kein versteckter „Ablehnen"-Button.
  2. Dienste dürfen erst nach der Einwilligung laden, nicht vorher.
  3. Die Einwilligung muss dokumentiert und jederzeit widerrufbar sein.
  4. Vorausgewählte Checkboxen sind nicht erlaubt – der Nutzer muss aktiv zustimmen.

Ein häufiger Fehler: Der Cookie-Banner wird angezeigt, aber Google Analytics lädt trotzdem sofort im Hintergrund. Das ist, als würde man an der Haustür klingeln und gleichzeitig durchs Fenster einsteigen.

Beliebte Cookie-Consent-Lösungen wie Cookiebot, Borlabs (für WordPress) oder Klaro bieten eine technisch saubere Umsetzung. Bei einer handcodierten Website lässt sich das oft noch schlanker lösen – oder ganz vermeiden, wenn Sie auf externe Tracking-Dienste verzichten.

Impressum & Datenschutzerklärung – Pflichtangaben

Zwei Seiten, die auf keiner gewerblichen Website fehlen dürfen: das Impressum und die Datenschutzerklärung. Beide müssen von jeder Unterseite aus mit maximal zwei Klicks erreichbar sein – in der Praxis heißt das: im Footer verlinken.

Impressum (nach § 5 TMG / § 5 DDG)

Pflichtangaben im Impressum:

  • Vollständiger Name und Anschrift des Betreibers
  • Kontaktdaten (E-Mail und Telefon oder Kontaktformular)
  • Handelsregister-Eintrag und Registernummer (falls vorhanden)
  • Umsatzsteuer-ID (falls vorhanden)
  • Berufsbezeichnung und Kammer (bei reglementierten Berufen)
  • Verantwortlicher für den Inhalt nach § 18 MStV (bei redaktionellen Inhalten)

Impressum-Generatoren von Anbietern wie eRecht24 oder der IT-Recht-Kanzlei liefern eine gute Basis. Prüfen Sie aber immer, ob die Angaben für Ihre Unternehmensform vollständig sind.

Datenschutzerklärung (nach Art. 13 DSGVO)

Die Datenschutzerklärung muss jeden Dienst auflisten, der personenbezogene Daten verarbeitet. Typische Punkte:

  • Hosting-Provider und Server-Logfiles
  • Kontaktformular (welche Daten, wie lange gespeichert, Rechtsgrundlage)
  • Analyse-Tools (Google Analytics, Matomo, etc.)
  • Extern eingebundene Dienste (Google Fonts, Google Maps, YouTube-Videos)
  • Social-Media-Plugins
  • Newsletter-Tools
  • Rechte der Betroffenen (Auskunft, Löschung, Widerspruch)

Generatoren wie der Datenschutz-Generator von Dr. Thomas Schwenke sind hier eine verlässliche Hilfe. Entscheidend ist: Die Erklärung muss zum tatsächlichen Zustand Ihrer Website passen. Ein Dienst, den Sie nutzen aber nicht auflisten, ist ein Verstoß. Ein Dienst, den Sie auflisten aber nicht nutzen, ist zumindest verwirrend.

Kontaktformulare, Analytics, Schriften – die häufigsten Fallen

Die meisten DSGVO-Verstöße auf Unternehmenswebsites passieren nicht aus böser Absicht, sondern aus Unwissenheit. Hier sind die Klassiker:

Google Fonts über externe Server

Das Landgericht München hat 2022 entschieden: Google Fonts dürfen nicht über die Google-Server geladen werden, weil dabei die IP-Adresse des Besuchers an Google in die USA übertragen wird – ohne Einwilligung ein klarer Verstoß. Die Lösung ist einfach: Fonts herunterladen und vom eigenen Server ausliefern. Bei handcodierten Websites ist das Standard – bei WordPress-Themes oft nicht.

Google Analytics ohne Einwilligung

Google Analytics setzt Cookies und überträgt Daten an Google-Server. Ohne vorherige Einwilligung über einen technisch korrekten Cookie-Banner darf das Tool nicht laden. Alternative: Matomo (selbst gehostet) oder ganz auf Tracking verzichten und stattdessen Server-Logfiles auswerten.

Google Maps und YouTube direkt eingebettet

Wer Google Maps oder YouTube-Videos direkt per iFrame einbettet, überträgt automatisch Daten an Google. Lösung: Einbetten erst nach Klick (sogenannte 2-Klick-Lösung) oder eine statische Kartenvorschau verwenden, die erst bei Interaktion nachlädt.

Kontaktformulare ohne SSL

Jedes Kontaktformular, das personenbezogene Daten überträgt, muss über eine verschlüsselte Verbindung (HTTPS/SSL) laufen. Heute eigentlich selbstverständlich – aber es gibt noch Websites ohne SSL-Zertifikat. Zusätzlich muss das Formular in der Datenschutzerklärung erwähnt werden, inklusive Angabe der Rechtsgrundlage und Speicherdauer.

Social-Media-Plugins

Die klassischen Like- und Share-Buttons von Facebook, Instagram & Co. laden beim Seitenaufruf Daten nach – auch bei Besuchern, die gar nicht eingeloggt sind. Datenschutzkonform geht das nur mit der Shariff-Lösung (2-Klick) oder durch einfache Links zu Ihren Social-Media-Profilen statt eingebetteter Widgets.

Warum statische Custom-Websites oft DSGVO-freundlicher sind

Ein Punkt, der in der DSGVO-Diskussion oft untergeht: Die Wahl Ihrer Website-Technologie beeinflusst den Datenschutz erheblich. Eine handcodierte, statische Website hat in Sachen DSGVO strukturelle Vorteile:

  • Keine Datenbank: Kein CMS wie WordPress bedeutet keine Datenbank, die gehackt werden könnte. Weniger Angriffsfläche, weniger Risiko für Datenlecks.
  • Keine Plugins: WordPress-Plugins laden häufig externe Ressourcen nach – Fonts, Scripts, Tracking-Pixel. Jedes Plugin ist ein potenzieller Datenschutz-Risikofaktor. Eine handcodierte Website enthält nur das, was bewusst eingebaut wurde.
  • Fonts lokal: Bei einer Custom-Website werden Schriften standardmäßig lokal eingebunden. Kein Google-Fonts-Problem.
  • Kein Cookie-Banner nötig: Eine statische Website ohne Tracking, ohne externe Dienste und ohne nicht-notwendige Cookies kommt ganz ohne Cookie-Banner aus. Das ist nicht nur datenschutzfreundlich – es verbessert auch die Nutzererfahrung.
  • Volle Kontrolle: Bei einer handcodierten Website wissen Sie exakt, welche Daten wohin fließen. Es gibt keine versteckten Requests an Drittanbieter, die ein Theme oder Plugin heimlich auslöst.

Das heißt nicht, dass WordPress-Websites nicht DSGVO-konform sein können. Aber der Aufwand ist höher, und die Fehlerquellen sind zahlreicher. Wenn Sie eine Website mit möglichst wenig Datenschutz-Risiko wollen, ist eine handcodierte Lösung der direkteste Weg dorthin.

Sie möchten wissen, wie das in der Praxis aussieht? Melden Sie sich für einen kostenlosen DSGVO-Check Ihrer Website – ich analysiere, wo Ihre Website steht und was verbessert werden kann.

Checkliste: DSGVO-Konformität in 10 Schritten

Nutzen Sie diese Checkliste, um die wichtigsten Datenschutz-Anforderungen für Ihre Website abzuhaken:

  1. SSL-Zertifikat aktiv: Ihre Website läuft über HTTPS (erkennbar am Schloss-Symbol im Browser).
  2. Impressum vollständig: Alle Pflichtangaben vorhanden, von jeder Seite aus erreichbar.
  3. Datenschutzerklärung aktuell: Listet jeden Dienst auf, der personenbezogene Daten verarbeitet.
  4. Cookie-Banner korrekt: Falls Cookies gesetzt werden – Opt-in vor dem Laden, Ablehnen gleichwertig sichtbar.
  5. Google Fonts lokal: Fonts werden vom eigenen Server geladen, nicht von Google-Servern.
  6. Analytics mit Einwilligung: Google Analytics oder vergleichbare Tools laden erst nach Zustimmung – oder Sie nutzen eine datenschutzfreundliche Alternative.
  7. Externe Einbindungen geprüft: Google Maps, YouTube, Social-Media-Widgets nur nach Einwilligung oder per 2-Klick-Lösung.
  8. Kontaktformular abgesichert: SSL-Verschlüsselung, Hinweis auf Datenverarbeitung, Speicherdauer definiert.
  9. AV-Verträge geschlossen: Mit allen Dienstleistern, die Daten verarbeiten (Hosting, E-Mail-Marketing, Analytics), einen Auftragsverarbeitungsvertrag abschließen.
  10. Regelmäßige Prüfung: Mindestens einmal im Jahr checken, ob neue Dienste hinzugekommen sind und die Datenschutzerklärung noch zum Ist-Zustand passt.

Die DSGVO ist kein einmaliges Projekt, sondern ein laufender Prozess. Aber wenn die Basis stimmt, hält sich der Aufwand in Grenzen.

Häufige Fragen zur DSGVO für Websites

Brauche ich einen Cookie-Banner, wenn ich keine Cookies setze?

Nein. Wenn Ihre Website keine Cookies setzt und keine Tracking-Dienste nutzt, brauchen Sie keinen Cookie-Banner. Eine statische Website ohne externe Dienste kommt oft komplett ohne aus.

Reicht ein Impressum-Generator aus dem Internet?

Als Ausgangspunkt ja. Generatoren von eRecht24 oder der IT-Recht-Kanzlei liefern eine solide Basis. Prüfen Sie aber, ob alle Angaben für Ihre spezifische Unternehmensform korrekt und vollständig sind.

Kann ich Google Fonts DSGVO-konform nutzen?

Ja, aber nur lokal eingebunden. Wenn Sie Google Fonts über die Google-Server laden, werden IP-Adressen Ihrer Besucher an Google in die USA übertragen – ohne Einwilligung ein DSGVO-Verstoß. Die Lösung: Fonts herunterladen und vom eigenen Server ausliefern.

Was kostet eine Abmahnung wegen DSGVO-Verstoß?

Abmahnungen wegen DSGVO-Verstößen auf Websites lagen in der Praxis bei 100 bis 500 Euro pro Fall – besonders häufig bei der Einbindung von Google Fonts ohne Einwilligung. Die eigentlichen Bußgelder der Datenschutzbehörden können aber deutlich höher ausfallen.

Ist meine Website automatisch DSGVO-konform, wenn ich einen Cookie-Banner habe?

Nein. Ein Cookie-Banner allein reicht nicht. Entscheidend ist, dass der Banner technisch korrekt funktioniert: Dienste dürfen erst nach Einwilligung laden, die Ablehnung muss genauso einfach sein wie die Zustimmung, und Ihre Datenschutzerklärung muss alle eingesetzten Dienste vollständig dokumentieren.

Sie sind sich nicht sicher, ob Ihre Website DSGVO-konform ist? Im kostenlosen Erstgespräch prüfe ich Ihre Website und zeige Ihnen konkret, wo Handlungsbedarf besteht – verständlich und ohne Fachjargon.

Sascha Düttmann – Webdesigner aus Koblenz

Sascha Düttmann

Webdesigner aus Boppard bei Koblenz.
Baut handcodierte Websites für Unternehmen im Mittelrheintal.

DSGVO-Check für Ihre Website

Kostenlos & unverbindlich: Ich prüfe Ihre Website auf Datenschutz-Probleme und zeige Ihnen, was zu tun ist.

Kostenlosen DSGVO-Check anfragen Leistungen & Preise