DSGVO-konforme Website: Pflichten für KMU

Eine DSGVO-konforme Website ist für jedes Unternehmen in Deutschland Pflicht — nicht optional. Seit 2018 gelten strenge Regeln für die Verarbeitung personenbezogener Daten; der TTDSG ergänzt seit 2021 die Anforderungen an Cookies und Tracking. Verstöße können Bußgelder, Abmahnungen und Vertrauensverlust nach sich ziehen. Dieser Ratgeber zeigt KMU Schritt für Schritt, welche Bausteine jede Unternehmenswebsite braucht, welche Fehler teuer werden und wie Sie Compliance ohne Rechtsunsicherheit umsetzen.

Warum DSGVO für Webseiten wichtig ist

Jede Website verarbeitet personenbezogene Daten: Server-Logs mit IP-Adressen, Kontaktformular-Eingaben, Newsletter-Anmeldungen, Analytics-Tools. Die DSGVO verlangt eine Rechtsgrundlage, Transparenz und technische Schutzmaßnahmen. Als Verantwortlicher (Website-Betreiber) haften Sie — nicht allein Ihr Webdesigner oder Hosting-Anbieter.

Typische Konsequenzen bei Verstößen: Abmahnungen durch Wettbewerber oder Verbraucherschutzverbände (500 bis 5.000 Euro pro Fall), Bußgelder der Aufsichtsbehörde (theoretisch bis 20 Mio. Euro oder 4 % des Jahresumsatzes, in der Praxis bei KMU oft 5.000 bis 50.000 Euro), Reputationsschaden und Google-Ranking-Verlust bei Sicherheitswarnungen. Prävention kostet einen Bruchteil: Rechtstexte 200 bis 800 Euro einmalig, Cookie-Consent-Lösung 0 bis 30 Euro/Monat, saubere Umsetzung im Webprojekt 500 bis 2.000 Euro.

Impressum: Pflicht nach § 5 TMG

Jede geschäftsmäßige Website braucht ein vollständiges Impressum — erreichbar von jeder Seite mit maximal zwei Klicks (Footer-Link ist Standard).

Pflichtangaben:

• Name und Anschrift des Betreibers (bei juristischen Personen: Firma, Rechtsform, Vertretungsberechtigte)
• Kontaktdaten: E-Mail und Telefon (Pflicht), optional Fax
• Handelsregister, Registernummer, Registergericht (falls eingetragen)
• Umsatzsteuer-Identifikationsnummer (falls vorhanden)
• Bei regulierten Berufen: Kammer, Berufsbezeichnung, berufsrechtliche Regelungen

Fehler, die Abmahnungen provozieren: fehlende Telefonnummer, Postfach statt ladungsfähiger Anschrift, Impressum nur als Bild (nicht maschinenlesbar), Impressum hinter Login oder in PDF versteckt. Das Impressum muss auf Mobilgeräten genauso leicht erreichbar sein wie auf Desktop.

Datenschutzerklärung: Transparenz über alle Verarbeitungen

Die Datenschutzerklärung beschreibt alle Datenverarbeitungen auf Ihrer Website — nicht nur das Kontaktformular. Standard-Bausteine:

1. Verantwortlicher und ggf. Datenschutzbeauftragter
2. Zwecke und Rechtsgrundlagen (Art. 6 DSGVO: Vertrag, Einwilligung, berechtigtes Interesse)
3. Empfänger und ggf. Drittlandübermittlungen (USA: SCCs, Data Privacy Framework)
4. Speicherdauer pro Datenkategorie
5. Betroffenenrechte (Auskunft, Löschung, Widerspruch, Beschwerde bei Aufsichtsbehörde)
6. Pflicht zur Bereitstellung und Folgen der Nichtbereitstellung
7. Automatisierte Entscheidungsfindung (falls relevant)

Konkret dokumentieren: Server-Logfiles (IP, Timestamp, User-Agent), Kontaktformulare, Newsletter, eingebettete Dienste (YouTube, Google Maps, reCAPTCHA), Analytics, Social-Media-Plugins, Chat-Widgets, Payment-Anbieter im Shop.

Wichtig: Nach jedem Tool-Wechsel Datenschutzerklärung aktualisieren. Veraltete Erklärungen sind ein häufiger Abmahngrund. Generatoren (e-recht24, IT-Recht Kanzlei) liefern gute Vorlagen — 200 bis 400 Euro/Jahr für Updates inklusive.

Cookie-Banner und TTDSG: Einwilligung vor Tracking

Das Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) § 25 verbietet das Speichern von Informationen auf Endgeräten oder den Zugriff darauf ohne Einwilligung — ausser technisch notwendige Cookies.

Tracking-Cookies (Google Analytics, Facebook Pixel, Hotjar, Matomo ohne Consent-Mode) dürfen erst nach aktiver Einwilligung gesetzt werden. Nicht zulässig:

• Voreingestellte Häkchen bei Marketing-Cookies
• Cookie-Walls („Nur mit Cookies weiter")
• „Weiter surfen = Einverstanden"-Banner ohne echte Wahl
• Laden von Tracking-Skripten vor Consent (auch über Tag Manager)

Technisch notwendige Cookies (Session, Warenkorb, Consent-Speicher) brauchen keine Einwilligung, müssen aber in der Datenschutzerklärung genannt werden.

Empfohlene Consent-Tools: Usercentrics, Cookiebot, Borlabs Cookie (WordPress) — 0 bis 30 Euro/Monat. Achten Sie auf: Opt-in vor Script-Load, granulare Kategorien, Widerrufsmöglichkeit, Consent-Protokollierung.

Kontaktformulare DSGVO-konform

Kontaktformulare sind der häufigste Dateneingang auf KMU-Websites. Pflicht-Checkliste:

• Checkbox für Datenschutz-Einwilligung — nicht voreingefüllt, mit Link zur Datenschutzerklärung
• Zweck der Verarbeitung klar benennen („Bearbeitung Ihrer Anfrage")
• Speicherdauer angeben (z. B. „bis Abschluss der Anfrage, max. 24 Monate")
• SSL-Verschlüsselung (HTTPS) — ohne HTTPS keine sensiblen Formulardaten übertragen
• Keine Pflichtfelder für Daten, die nicht benötigt werden (Geburtstag, Anrede optional)
• Spam-Schutz ohne DSGVO-Verstoss: honeypot, serverseitige Validierung; reCAPTCHA nur mit Consent und AV-Vertrag mit Google

Double-Opt-in für Newsletter ist Pflicht (§ 7 UWG). Speichern Sie Einwilligungsnachweise (Timestamp, IP, Text der Checkbox).

Mehr zu technischer Absicherung: Website-Sicherheit: SSL, Backups & Schutz.

Typische DSGVO-Fallen bei Websites

Google Fonts ohne Einwilligung

Fonts von Google-Servern laden überträgt IP-Adressen in die USA — ohne Consent oder lokales Hosting problematisch. Lösung: Fonts lokal einbinden (Self-Hosting) oder Consent vor Laden.

Google Analytics ohne Consent

GA4 setzt Cookies und übermittelt Daten — nur nach Einwilligung oder mit Consent Mode v2 und korrekter Konfiguration. Alternativen: Matomo (Self-Hosted), Plausible, Fathom — datenschutzfreundlicher, teils ohne Cookie.

Eingebettete YouTube-Videos

YouTube-iframe lädt Tracking — „Datenschutzmodus" (youtube-nocookie.com) reduziert, ersetzt aber keinen vollständigen Consent bei Marketing-Cookies. Thumbnail mit Klick-to-Load ist die sicherste Variante.

Google Maps

Karten-Einbettung überträgt IP an Google — Consent oder statisches Kartenbild mit Link zu Google Maps.

Fehlende AV-Verträge

Jeder Auftragsverarbeiter (Hosting, E-Mail, Newsletter-Tool, Consent-Tool) braucht einen Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO. Die meisten Anbieter stellen Standard-AVVs bereit — Sie müssen sie aktiv abschliessen und dokumentieren.

Hosting-Auswahl beeinflusst Compliance: Hosting & Domain: Die richtige Wahl.

AV-Verträge und Auftragsverarbeitung

Typische Auftragsverarbeiter auf KMU-Websites:

| Dienst | AVV noetig? | Typische Kosten | |--------|-------------|-----------------| | Webhosting | Ja | Im Vertrag enthalten | | E-Mail (Microsoft 365, Google) | Ja | Im Vertrag enthalten | | Newsletter (Mailchimp, Brevo) | Ja | Kostenlos abschliessen | | Consent-Tool | Ja | Im Vertrag enthalten | | Analytics (GA4) | Ja | Google Ads Terms | | Payment (Stripe, PayPal) | Ja | Im Händlervertrag |

Verarbeitungsverzeichnis (Art. 30 DSGVO) ist für Unternehmen ab 20 Mitarbeitern Pflicht — für kleinere freiwillig empfohlen. Dokumentieren Sie: welche Daten, welcher Zweck, welche Löschfrist, welcher Dienstleister.

Barrierefreiheit und Datenschutz

Der European Accessibility Act (EAA) und WCAG-Anforderungen überschneiden sich mit Datenschutz: Formular-Fehlermeldungen müssen verständlich sein, Consent-Banner müssen per Tastatur bedienbar sein. Mehr dazu: Barrierefreiheit Website & EAA.

Bei Relaunch oder CMS-Wechsel Compliance von Anfang an einplanen — nachträgige Nachrüstung ist teurer: CMS-Auswahl für Unternehmen.

DSGVO-Checkliste für Unternehmenswebsites

• [ ] Impressum vollständig, von jeder Seite in max. 2 Klicks erreichbar
• [ ] Datenschutzerklärung aktuell und deckt alle eingesetzten Tools ab
• [ ] Cookie-Banner mit echtem Opt-in vor Tracking-Skripten
• [ ] HTTPS auf allen Seiten aktiv
• [ ] Kontaktformular mit Consent-Checkbox (nicht vorgefüllt)
• [ ] Newsletter nur mit Double-Opt-in
• [ ] AV-Verträge mit Hosting, E-Mail, Newsletter, Analytics abgeschlossen
• [ ] Google Fonts lokal eingebunden oder Consent vor Laden
• [ ] YouTube/Maps: Consent oder Klick-to-Load
• [ ] Verarbeitungsverzeichnis geführt (empfohlen auch unter 20 MA)
• [ ] Löschkonzept für Formular- und Newsletter-Daten dokumentiert

Kosten für DSGVO-konforme Umsetzung

| Massnahme | Einmalig | Laufend | |-----------|----------|---------| | Rechtstexte (Impressum + Datenschutz) | 200–800 € | 100–400 €/Jahr Updates | | Cookie-Consent-Tool | 0–500 € Setup | 0–30 €/Monat | | Fonts Self-Hosting | 0–200 € (Dev) | 0 € | | AV-Verträge | 0 € (Standard) | 0 € | | Datenschutz-Audit (optional) | 1.500–5.000 € | — | | Datenschutzbeauftragter (ab 20 MA oft Pflicht) | — | 500–2.000 €/Monat extern |

Bei Neuprojekten DSGVO-Anforderungen im Angebot fixieren — siehe Webdesign-Angebot vergleichen. Professionelle Agenturen für Webdesign integrieren Consent, SSL und Rechtstexte standardmässig.

Fazit

DSGVO-Compliance ist kein Einmal-Projekt, sondern laufende Pflege: Tools ändern sich, Rechtsprechung entwickelt sich, neue Plugins kommen dazu. Die Grundbausteine — Impressum, Datenschutzerklärung, Consent vor Tracking, HTTPS, AV-Verträge — sind für jedes KMU machbar und deutlich günstiger als Abmahnungen.

Planen Sie eine neue Website oder einen Relaunch? Jetzt kostenlos Angebote einholen — und prüfen Sie, ob DSGVO-Umsetzung im Leistungsumfang enthalten ist.

Hinweis: Dieser Artikel ersetzt keine individuelle Rechtsberatung. Bei Unsicherheiten oder branchenspezifischen Anforderungen (Gesundheitswesen, Finanzdienstleister) konsultieren Sie einen Fachanwalt für IT-Recht.