Zum Hauptinhalt springen
muench·seiten
Vorschau

Recht & Datenschutz

DSGVO-Checkliste für die Unternehmens-Website 2026.

Von muench-seiten · Veröffentlicht 19. April 2026 · Aktualisiert 10. Mai 2026 · 10 Min. Lesezeit

Laptop zeigt Cookie-Consent-Banner auf einer Website neben einer DSGVO-Checkliste auf Papier

Auf einen Blick

  • 8 Pflichtpunkte: Impressum, Datenschutzerklärung, Cookies, AVV, Einbettungen, Formulare, Verarbeitungsverzeichnis, DSB.
  • Pragmatisch: Je weniger Tracking-Tools, desto weniger Aufwand. Cookiefreies Analytics spart den Banner.
  • Jährlich prüfen: Eine saubere Ersteinrichtung plus jährliche Prüfung reicht für die meisten KMU.

Die DSGVO gilt seit 2018, aber bei KMU-Websites finden wir bis heute fast überall dieselben Fehler: fehlende Auftragsverarbeitungsverträge, veraltete Datenschutzerklärungen, Cookies, die ohne Einwilligung geladen werden. Dieser Leitfaden fasst zusammen, was 2026 auf Ihrer Unternehmens-Website Pflicht ist.

Vorweg: Das ist kein Rechtsrat. Bei konkreten Streitfällen sprechen Sie mit einem Fachanwalt für IT-Recht. Die Checkliste deckt die 95 Prozent der Punkte ab, die bei normalen KMU-Websites relevant sind.

1. Was gehört ins Impressum?

Jede geschäftlich genutzte Website in Deutschland braucht ein Impressum nach § 5 TMG. Es muss von jeder Seite in maximal zwei Klicks erreichbar sein. Pflichtangaben:

  • Name und Anschrift des Verantwortlichen (ladungsfähige Adresse, kein Postfach).
  • Kontakt: E-Mail plus Telefon oder Online-Kontaktformular.
  • Rechtsform und, bei Gesellschaften, Vertretungsberechtigte.
  • Handelsregister oder vergleichbares Register inklusive Nummer.
  • Umsatzsteuer-ID, falls vorhanden.
  • Aufsichtsbehörde, bei reglementierten Berufen (Ärzte, Anwälte, Steuerberater).

2. Was muss in die Datenschutzerklärung?

Die Datenschutzerklärung muss für jeden Besucher einsehbar sein, typischerweise im Footer verlinkt. Kern-Abschnitte:

  • Verantwortlicher und Datenschutzbeauftragter (falls Pflicht).
  • Server-Logfiles: welche Daten Ihr Hoster protokolliert.
  • Cookies und Tracking-Tools (Plausible, Google Analytics, Meta Pixel).
  • Kontaktformulare: welche Daten, welcher Zweck, Speicherdauer.
  • Newsletter: Double-Opt-In, Dienstleister, Abmeldemöglichkeit.
  • Rechte der Betroffenen: Auskunft, Löschung, Widerspruch, Beschwerde.

Generatoren wie eRecht24 oder Datenschutzgenerator.de sind ein guter Startpunkt, aber kein Ersatz für eine Prüfung Ihrer tatsächlich eingesetzten Tools.

Nahaufnahme eines Schlosssymbols und HTTPS-Indikators in der Browser-Adressleiste

3. Welche Cookies brauchen eine Einwilligung?

Seit dem TTDSG (2021) und nach EuGH-Rechtsprechung gilt: Alle Cookies und Tracker, die nicht technisch zwingend notwendig sind, brauchen eine aktive Einwilligung vor dem Laden:

  • Google Analytics, Meta Pixel, TikTok Pixel, Hotjar: nur nach Zustimmung.
  • Cookie-Banner mit echter Wahlmöglichkeit (Ablehnen muss gleich prominent sein).
  • Kein Nudging, keine vorangekreuzten Checkboxen, keine Dark Patterns.
  • Einwilligung muss widerrufbar sein, so einfach wie die Erteilung.

Pragmatischer Tipp: Plausible und Matomo sind oft ohne Cookies einsetzbar und damit ohne Banner. Für viele KMU reicht das völlig aus. Wir setzen bei unseren Projekten standardmäßig auf cookiefreies, performantes Analytics.

4. Was ist ein AVV und wann brauche ich einen?

Für jeden externen Dienstleister, der personenbezogene Daten Ihrer Website-Besucher verarbeitet, brauchen Sie einen Vertrag zur Auftragsverarbeitung nach Art. 28 DSGVO:

  • Hosting-Provider (Vercel, Netlify, IONOS, Hetzner).
  • Newsletter-Tool (MailChimp, Brevo, Klaviyo).
  • CRM oder Marketing-Automation (HubSpot, Pipedrive).
  • Analytics (Plausible, Matomo, GA4).
  • Formular-Plugins, Chatbots, Terminbuchungstools.

5. Wie gehe ich mit eingebetteten Inhalten um?

Google Fonts, YouTube-Videos, Google Maps, Social-Share-Buttons: Alles, was Daten zu Drittservern sendet, ist problematisch. Die sicheren Varianten:

  • Google Fonts: lokal hosten (Self-Hosting).
  • YouTube: Erweiterter Datenschutz + Click-to-Load.
  • Google Maps: Statisches Bild + Link, oder nach Zustimmung einbetten.
  • Social Buttons: Shariff oder reine Links statt iFrame-Widgets.
Checkliste auf einem Klemmbrett mit Häkchen neben einem Laptop mit rechtlicher Compliance-Seite

6. Was muss ich bei Formularen beachten?

  • Hinweis auf die Datenschutzerklärung direkt am Absende-Button.
  • Datensparsamkeit: nur fragen, was Sie wirklich brauchen.
  • Verschlüsselte Übertragung (HTTPS) ist Pflicht.
  • Klare Speicherfristen in der Datenschutzerklärung.

7. Brauche ich ein Verarbeitungsverzeichnis?

Fast alle Unternehmen sind verpflichtet, ein Verzeichnis der Verarbeitungstätigkeiten (Art. 30 DSGVO) zu führen. Für KMU reicht oft eine einfache Tabelle: Prozess, Datenkategorien, Rechtsgrundlage, Empfänger, Löschfrist.

8. Brauche ich einen Datenschutzbeauftragten?

Die meisten KMU brauchen keinen internen Datenschutzbeauftragten. Pflicht wird es in der Regel erst, wenn mindestens 20 Personen regelmäßig automatisiert personenbezogene Daten verarbeiten. Bei besonderen Kategorien (z.B. Gesundheitsdaten in einer Arztpraxis) kann die Pflicht früher greifen. Im Zweifel: prüfen lassen.

Zusammenfassung: die DSGVO ist kein Hexenwerk

90 Prozent der DSGVO-Anforderungen sind Routine. Wer seine Website einmal sauber aufsetzt und dann einmal jährlich prüft, fährt deutlich risikoärmer als Unternehmen, die auf Abmahnungen warten. Für die meisten KMU reichen: Impressum, aktuelle Datenschutzerklärung, schlankes Tracking-Setup, AVV-Ordner und ein minimales Verarbeitungsverzeichnis.

Bei unseren Projekten ist das alles Standard: Impressum- und Datenschutz-Vorlagen, AVV-Übersicht, cookiefreies Analytics, HTTPS und sauberes Formular-Handling kommen out-of-the-box. Mehr dazu auf unserer Leistungsseite. Und wenn Ihre aktuelle Seite nicht DSGVO-konform ist: Wann lohnt sich ein Relaunch?

Häufige Fragen zur DSGVO und Websites

Braucht meine Website ein Impressum?

Ja, jede geschäftlich genutzte Website in Deutschland braucht ein Impressum nach § 5 TMG. Es muss von jeder Seite in maximal zwei Klicks erreichbar sein. Pflichtangaben: Name, Anschrift, Kontakt, Rechtsform, Register und Umsatzsteuer-ID.

Brauche ich einen Cookie-Banner?

Nur wenn Sie Cookies setzen, die nicht technisch notwendig sind. Google Analytics, Meta Pixel oder Hotjar brauchen eine aktive Einwilligung vor dem Laden. Cookiefreie Analytics wie Plausible oder Matomo sind oft ohne Banner einsetzbar.

Was ist ein AVV und brauche ich einen?

Ein Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO ist Pflicht für jeden externen Dienstleister, der personenbezogene Daten verarbeitet: Hoster, Newsletter-Tool, Analytics, CRM. Die Anbieter stellen AVVs als Standard-Vertrag bereit.

Darf ich Google Fonts über das CDN laden?

Nicht ohne Einwilligung. Beim Laden über das Google-CDN werden IP-Adressen an Google übertragen. Die sichere Alternative: Fonts lokal hosten (Self-Hosting). Das ist auch schneller und DSGVO-konform ohne Banner.

Braucht mein KMU einen Datenschutzbeauftragten?

In der Regel erst, wenn mindestens 20 Personen regelmäßig automatisiert personenbezogene Daten verarbeiten. Bei besonderen Datenkategorien (z.B. Gesundheitsdaten) kann die Pflicht früher greifen. Die meisten KMU brauchen keinen.

DSGVO-Checkliste für KMU-Websites 2026: 8 Punkte — muench-seiten