Zum Hauptinhalt springen
muench·seitenVorschau

Strategie

DSGVO-Checkliste für die Unternehmens-Website 2026.

Veröffentlicht 19. April 2026 · 10 Min. Lesezeit

Die DSGVO (Datenschutzgrundverordnung) gilt seit 2018, aber bei KMU-Websites finden wir bis heute fast überall dieselben Fehler: fehlende Auftragsverarbeitungsverträge, veraltete Datenschutzerklärungen, Cookies, die ohne Einwilligung geladen werden. Dieser Leitfaden fasst zusammen, was 2026 auf deiner Unternehmens-Website Pflicht ist — und was nice-to-have.

Vorweg: Das ist kein Rechtsrat. Bei konkreten Streitfällen spricht mit einem Fachanwalt für IT-Recht. Die Checkliste deckt aber die 95 % der Punkte ab, die bei normalen KMU-Websites relevant sind.

1. Impressum

Jede geschäftlich genutzte Website in Deutschland braucht ein Impressum nach § 5 TMG. Es muss von jeder Seite in maximal zwei Klicks erreichbar sein. Pflichtangaben:

  • Name und Anschrift des Verantwortlichen (ladungsfähige Adresse, kein Postfach).
  • Kontakt: E-Mail plus entweder Telefon oder Online-Kontaktformular.
  • Rechtsform und, bei Gesellschaften, Vertretungsberechtigte.
  • Handelsregister oder vergleichbares Register inklusive Nummer.
  • Umsatzsteuer-ID, falls vorhanden.
  • Aufsichtsbehörde, bei reglementierten Berufen (Ärzte, Anwälte, Steuerberater etc.).

2. Datenschutzerklärung

Die Datenschutzerklärung muss für jeden Besucher einsehbar sein, typischerweise im Footer verlinkt. Sie beschreibt, welche personenbezogenen Daten du erhebst, warum und auf welcher Rechtsgrundlage. Kern-Abschnitte:

  • Verantwortlicher und Datenschutzbeauftragter (falls Pflicht).
  • Server-Logfiles: welche Daten dein Hoster protokolliert und wie lange.
  • Cookies und Tracking-Tools (Plausible, Google Analytics, Meta Pixel usw.).
  • Kontaktformulare und E-Mail-Kontakt: welche Daten, welcher Zweck, Speicherdauer.
  • Newsletter, falls vorhanden: Double-Opt-In, Dienstleister, Abmeldemöglichkeit.
  • Rechte der Betroffenen: Auskunft, Löschung, Widerspruch, Datenübertragbarkeit, Beschwerde bei der Aufsichtsbehörde.

Generatoren wie eRecht24 oder Datenschutzgenerator.de sind ein guter Startpunkt, aber kein Ersatz für eine Prüfung deiner tatsächlich eingesetzten Tools.

3. Cookies und Tracking

Seit dem TTDSG (seit 2021) und nach EuGH-Rechtsprechung gilt: Alle Cookies und Tracker, die nicht technisch zwingend notwendig sind, brauchen eine aktive Einwilligung vor dem Laden. Das heißt:

  • Google Analytics, Meta Pixel, TikTok Pixel, Hotjar: nur nach Zustimmung.
  • Cookie-Banner mit echter Wahlmöglichkeit (Ablehnen muss so prominent sein wie Zustimmen).
  • Kein Nudging, keine vorangekreuzten Checkboxen, keine Dark-Patterns.
  • Einwilligung muss widerrufbar sein — und der Widerruf genauso einfach wie die Erteilung.

Pragmatischer Tipp: Je weniger Tracking-Tools du brauchst, desto weniger Aufwand. Plausible und Matomo sind oft ohne Cookies einsetzbar und damit ohne Banner. Für viele KMU reicht das völlig aus.

4. Auftragsverarbeitungsverträge (AVV)

Für jeden externen Dienstleister, der personenbezogene Daten deiner Website-Besucher verarbeitet, brauchst du einen Vertrag zur Auftragsverarbeitung nach Art. 28 DSGVO. Dazu zählen mindestens:

  • Hosting-Provider (Vercel, Netlify, IONOS, Hetzner etc.).
  • Newsletter-Tool (MailChimp, Brevo, Klaviyo etc.).
  • CRM oder Marketing-Automation (HubSpot, Pipedrive etc.).
  • Analytics (Plausible, Matomo, GA4 etc.).
  • Formular-Plugins, Chatbots, Terminbuchungstools.

Die Anbieter stellen solche AVVs in der Regel als Standard-Vertrag online bereit. Du musst sie aber aktiv abschließen und die Unterlagen aufbewahren.

5. Eingebettete Inhalte

Google Fonts, YouTube-Videos, Google Maps, Social-Share-Buttons: Alles, was Daten zu Drittservern sendet, ohne dass der Nutzer zustimmt, ist problematisch. Die sichersten Varianten:

  • Google Fonts: lokal hosten (Self-Hosting), statt per CDN zu laden.
  • YouTube: „Erweiterter Datenschutz" aktivieren und nur nach Click-to-Load einbetten.
  • Google Maps: Statisches Bild plus Link zu Maps, oder Einbindung erst nach Zustimmung.
  • Social Buttons: Shariff oder reine Links statt iFrame-Widgets.

6. Formulare und Kontaktaufnahme

Jedes Kontakt- oder Anfrageformular braucht:

  • Einen Hinweis auf die Datenschutzerklärung, am besten direkt am Absende-Button.
  • Datensparsamkeit: Nur fragen, was du wirklich brauchst. Pflichtfeld „Telefonnummer" ist oft nicht zu rechtfertigen.
  • Verschlüsselte Übertragung (HTTPS) ist Pflicht.
  • Klare Speicherfristen in der Datenschutzerklärung.

7. Verzeichnis der Verarbeitungstätigkeiten

Fast alle Unternehmen sind verpflichtet, ein Verzeichnis der Verarbeitungstätigkeiten (Art. 30 DSGVO) zu führen. Das Verzeichnis dokumentiert intern, welche personenbezogenen Daten in welchem Zusammenhang verarbeitet werden. Für KMU reicht oft eine einfache Tabelle: Prozess, Datenkategorien, Rechtsgrundlage, Empfänger, Löschfrist.

8. Datenschutzbeauftragter

Die meisten KMU brauchen keinen internen Datenschutzbeauftragten. Pflicht wird es in der Regel erst, wenn mindestens 20 Personen regelmäßig automatisiert personenbezogene Daten verarbeiten. Bei besonderen Kategorien (z. B. Gesundheitsdaten in einer Arztpraxis) kann die Pflicht auch früher greifen. Im Zweifel: prüfen lassen.

Zusammenfassung

90 % der DSGVO-Anforderungen sind kein Hexenwerk — sie sind Routine. Wer seine Website einmal sauber aufsetzt und dann einmal jährlich prüft, fährt deutlich risikoärmer als Unternehmen, die auf Abmahnungen warten. Für die meisten KMU reichen: Impressum, aktuelle Datenschutzerklärung, schlankes Tracking-Setup, AVV-Ordner und ein minimales Verzeichnis der Verarbeitungstätigkeiten.

Bei unseren Projekten ist das alles Standard — Impressum- und Datenschutz-Vorlagen, AVV-Übersicht, cookiefreies Analytics, HTTPS und sauberes Formular-Handling kommen out-of-the-box.

Weiterlesen

DSGVO-Checkliste für die Unternehmens-Website 2026 — muench-seiten