Zum Inhalt springen
MPasko
Zurück zum Blog

DSGVO-konforme Websites — Checkliste 2026 für KMU

12-Punkte-Checkliste für DSGVO-konforme Websites: Von Impressum und Cookie-Banner bis zum Auftragsverarbeitungsvertrag — was KMU 2026 zwingend beachten müssen.

  • Business
  • 2026-04-30
  • 10 min
DSGVO-konforme Websites — Checkliste 2026 für KMU

Warum DSGVO-Compliance kein Nice-to-Have ist

Die Datenschutz-Grundverordnung (DSGVO) ist seit Mai 2018 in Kraft — und dennoch verstoßen erschreckend viele Unternehmenswebsites noch immer gegen ihre Grundanforderungen. Das ist kein Kavaliersdelikt: Die Bußgelder der Datenschutzbehörden können bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes betragen. Für KMU sind selbst niedrigere Bußgelder im fünfstelligen Bereich existenzgefährdend.

Hinzu kommt das Abmahnrisiko: Seit dem Inkrafttreten des Gesetzes gegen unlauteren Wettbewerb (UWG) und der Rechtsprechung des EuGH sind Datenschutzverstöße auf Websites ein lukratives Abmahnthema für Mitbewerber und spezialisierte Abmahnkanzleien. Fehlende Datenschutzerklärungen, rechtswidriger Cookie-Einsatz oder ein unvollständiges Impressum können teure Abmahnungen nach sich ziehen.

Diese Checkliste hilft Ihnen, die wichtigsten Pflichten zu überblicken und gezielt zu handeln. Sie richtet sich an KMU-Geschäftsführer, Marketing-Verantwortliche und alle, die eine Website betreiben oder beauftragen.

Disclaimer: Diese Checkliste ersetzt keine Rechtsberatung. Im Zweifel konsultieren Sie einen Fachanwalt für IT-Recht.

12-Punkte-Checkliste: DSGVO-konforme Website 2026

Punkt 1: Impressum (TMG + DDG 2024)

Jede gewerbliche Website in Deutschland benötigt ein vollständiges Impressum gemäß § 5 Telemediengesetz (TMG) bzw. dem im Jahr 2024 aktualisierten Digitale-Dienste-Gesetz (DDG). Pflichtangaben: vollständiger Name oder Firma, ladungsfähige Anschrift (kein Postfach), Kontaktdaten (E-Mail und Telefon), bei GmbH/AG: Handelsregisternummer, Registergericht und Gesellschafter, bei Freiberuflern: zuständige Aufsichtsbehörde und Umsatzsteuer-ID (falls vorhanden). Das Impressum muss von jeder Unterseite in maximal zwei Klicks erreichbar sein — üblicherweise über den Footer.

Punkt 2: Datenschutzerklärung

Die Datenschutzerklärung muss klar, verständlich und vollständig informieren: Wer ist der Verantwortliche (Art. 13 DSGVO)? Welche Daten werden erhoben, zu welchem Zweck, auf welcher Rechtsgrundlage (Art. 6 DSGVO)? Wie lange werden Daten gespeichert? An wen werden Daten weitergegeben (Auftragsverarbeiter, Drittlandsübermittlung)? Welche Rechte haben Betroffene? Die Datenschutzerklärung muss aktuell gehalten werden — bei jedem neuen Tool oder Dienst auf der Website ist eine Aktualisierung nötig. Generatoren wie activeMind oder der Generator der Deutschen Vereinigung für Datenschutz helfen beim Erstellen, ersetzen aber keine rechtliche Prüfung.

Punkt 3: Cookie-Banner mit aktiver Einwilligung (Opt-In)

Nach dem EuGH-Urteil "Planet49" (2019) und dem BGH-Urteil "Cookie-Einwilligung II" (2020) ist klar: Nicht-essentielle Cookies (insbesondere Tracking- und Marketing-Cookies) dürfen nur mit aktiver, informierter Einwilligung der Nutzer gesetzt werden. Vorangehakte Checkboxen oder Banner, bei denen Weitersurfen als Einwilligung gilt, sind rechtswidrig. Anforderungen an ein rechtskonformes Cookie-Consent-Tool: Ablehnen muss genauso einfach sein wie Zustimmen, Einwilligungen müssen dokumentiert und widerrufbar sein, Cookies dürfen erst nach Einwilligung geladen werden (kein "Pre-Loading"), und die Einwilligung muss granular für verschiedene Kategorien möglich sein.

Punkt 4: Tracking nur nach Consent (GA4, FB Pixel, LinkedIn Insight)

Google Analytics 4, Meta Pixel, LinkedIn Insight Tag und ähnliche Tracking-Tools dürfen ohne Einwilligung nicht geladen werden. Das bedeutet konkret: Diese Skripte müssen im Tag-Manager oder im Code durch eine Consent-Bedingung gesperrt sein, bis der Nutzer dem jeweiligen Zweck zustimmt. Wer einen Google Tag Manager verwendet, muss zusätzlich den "Consent Mode v2" konfigurieren, den Google seit März 2024 für alle GA4-Nutzer mit EU-Traffic verlangt. Tipp: Matomo (selbst gehostet) kann unter bestimmten Voraussetzungen einwilligungsfrei betrieben werden — eine datenschutzfreundliche Alternative für KMU, die keine komplexe Consent-Lösung wollen.

Punkt 5: Kontaktformular DSGVO-konform

Ein Kontaktformular verarbeitet personenbezogene Daten — Name, E-Mail-Adresse, Nachrichteninhalt. Anforderungen: Pflichtfelder auf das notwendige Minimum beschränken (Datenminimierung, Art. 5 Abs. 1 lit. c DSGVO), Hinweis auf Datenschutzerklärung und Verarbeitungszweck direkt beim Formular, kein Versenden von Daten an Dritte ohne Einwilligung (z. B. kein automatischer Eintrag in Newsletter-Listen), SSL/TLS-Verschlüsselung der Datenübertragung. Wenn Sie Formulardienste wie HubSpot, Typeform oder Mailchimp verwenden, muss ein Auftragsverarbeitungsvertrag (AVV) abgeschlossen sein.

Punkt 6: SSL/HTTPS überall

Eine Website ohne HTTPS-Verschlüsselung ist 2026 nicht nur ein Sicherheitsproblem, sondern schadet aktiv dem SEO (Google kennzeichnet HTTP-Seiten als "Nicht sicher") und kann bei der Verarbeitung personenbezogener Daten einen DSGVO-Verstoß darstellen. Let's Encrypt bietet kostenlose SSL-Zertifikate, die von praktisch jedem modernen Hoster automatisch bereitgestellt werden. Prüfen Sie: Ist HTTPS für alle Seiten aktiv? Gibt es automatische HTTP-zu-HTTPS-Weiterleitungen? Ist das Zertifikat gültig und wird es automatisch erneuert? Ein gemischter Inhalt (HTTP-Ressourcen auf HTTPS-Seiten) muss ebenfalls beseitigt werden.

Punkt 7: Server-Standort EU oder angemessener Drittlandtransfer

Personenbezogene Daten dürfen nur in Länder übermittelt werden, die ein angemessenes Datenschutzniveau bieten. Innerhalb der EU/EWR ist das problemlos. Für die USA gilt seit dem EU-US Data Privacy Framework (2023) eine grundsätzliche Übermittlungsmöglichkeit — aber nur für zertifizierte Unternehmen. Prüfen Sie: Wo liegen die Server Ihres Hosters? Verwenden Sie US-amerikanische Dienste (Google, AWS, Cloudflare)? Sind die entsprechenden Datenverarbeitungsvereinbarungen und Standardvertragsklauseln (SCCs) abgeschlossen? Europäische Hosting-Alternativen: Hetzner, IONOS, all-inkl.com (Deutschland), Infomaniak (Schweiz).

Punkt 8: Auftragsverarbeitungsvertrag (AVV) mit Hosting und CMS-Anbietern

Wenn Sie Dienstleister beauftragen, die in Ihrem Auftrag personenbezogene Daten verarbeiten (Hoster, E-Mail-Dienste, CRM, Newsletter-Tools, Analytics), sind Sie als Verantwortlicher verpflichtet, einen Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO abzuschließen. Dieser muss den Gegenstand und die Dauer der Verarbeitung, Art und Zweck der Verarbeitung, die Art der personenbezogenen Daten und Kategorien von Betroffenen, sowie die Pflichten und Rechte des Verantwortlichen regeln. Große Anbieter (Google, Mailchimp, HubSpot) stellen AVV-Vorlagen bereit, die online akzeptiert werden können. Bei kleineren Dienstleistern müssen Sie den AVV aktiv anfordern.

Punkt 9: Dateninventar / Verarbeitungsverzeichnis

Unternehmen mit mehr als 250 Mitarbeitern sind zur Führung eines Verarbeitungsverzeichnisses (Art. 30 DSGVO) verpflichtet. KMU sind zwar häufig ausgenommen, aber: Wenn Ihre Kerntätigkeit in der Verarbeitung besonderer Datenkategorien (Gesundheitsdaten, politische Überzeugungen etc.) besteht oder Sie Daten verarbeiten, die Risiken für Betroffene bergen, gilt die Pflicht auch für kleinere Unternehmen. Selbst ohne Pflicht empfiehlt sich ein Verarbeitungsverzeichnis — es hilft beim Überblick, bei Auskunftsersuchen von Betroffenen und bei Behördenanfragen.

Punkt 10: Datenschutzbeauftragter (wann erforderlich)

Nicht jedes KMU braucht einen Datenschutzbeauftragten (DSB). Gemäß § 38 BDSG ist ein DSB in Deutschland verpflichtend, wenn in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, oder wenn bestimmte Verarbeitungstypen durchgeführt werden (z. B. Profiling, Verarbeitung besonderer Datenkategorien). Freiwillig benannt muss der DSB ebenfalls der Aufsichtsbehörde gemeldet werden. Externe DSBs sind für KMU häufig die wirtschaftlich sinnvollere Lösung gegenüber internen Vollzeit-DSBs.

Punkt 11: Datenpannen-Meldung — 72-Stunden-Pflicht

Bei einer Verletzung des Schutzes personenbezogener Daten (Datenpanne) müssen Sie die zuständige Datenschutzbehörde innerhalb von 72 Stunden nach Bekanntwerden informieren (Art. 33 DSGVO) — sofern die Verletzung voraussichtlich ein Risiko für die Rechte und Freiheiten natürlicher Personen darstellt. Wenn ein hohes Risiko besteht, müssen auch die betroffenen Personen unverzüglich benachrichtigt werden (Art. 34 DSGVO). Erstellen Sie intern einen Notfallplan: Wer wird im Falle einer Datenpanne informiert? Welche Schritte werden unternommen? Wo ist der Meldeweg zur Aufsichtsbehörde dokumentiert? In Deutschland sind die Landesbeauftragten für Datenschutz zuständig (je nach Bundesland).

Punkt 12: Betroffenenrechte umsetzen

Ihre Website-Besucher haben umfangreiche Rechte, die Sie technisch und organisatorisch umsetzen müssen: Auskunftsrecht (Art. 15) — Betroffene können Auskunft über gespeicherte Daten verlangen. Recht auf Berichtigung (Art. 16) — falsche Daten müssen korrigiert werden. Recht auf Löschung (Art. 17) — das "Recht auf Vergessenwerden". Recht auf Einschränkung (Art. 18) — Verarbeitung kann eingeschränkt werden. Recht auf Datenübertragbarkeit (Art. 20) — Daten müssen in einem maschinenlesbaren Format übermittelt werden. Widerspruchsrecht (Art. 21) — besonders bei Direktmarketing. Richten Sie eine dedizierte E-Mail-Adresse (z. B. datenschutz@ihredomain.de) ein und beantworten Sie Anfragen innerhalb von einem Monat.

Die 5 häufigsten DSGVO-Fehler auf Unternehmenswebsites

  • Google Fonts direkt von Google-Servern eingebunden: Dabei werden IP-Adressen der Besucher an Google-Server in den USA übertragen — ohne Einwilligung und ohne Rechtsgrundlage. Lösung: Google Fonts lokal hosten oder GDPR-konforme Schriftdienste nutzen
  • Google Analytics ohne Consent-Management: Der Klassiker. GA4 darf erst nach aktiver Einwilligung laden. Wer das ignoriert, riskiert Bußgelder und Abmahnungen
  • Cookie-Banner, der "Ablehnen" versteckt: Rechtsprechung und Aufsichtsbehörden sind inzwischen klar: Ablehnen und Zustimmen müssen auf derselben Ebene, gleich prominent, gleichsam einfach sein
  • Fehlende oder veraltete Datenschutzerklärung: Eine Datenschutzerklärung von 2019 deckt weder GA4 noch aktuelle Dienste ab. Jede Änderung an der Website-Technologie erfordert eine Aktualisierung
  • Kein AVV mit Hoster oder E-Mail-Dienst: Viele KMU-Betreiber wissen nicht, dass allein schon das Betreiben eines Kontaktformulars einen AVV mit dem Hoster erfordert. Ohne diesen Vertrag bewegen Sie sich in einer rechtlichen Grauzone

Tools, die bei DSGVO-Compliance helfen

  • Cookiebot / Usercentrics: Professionelle Consent-Management-Plattformen (CMP) mit automatischem Cookie-Scan, Dokumentation der Einwilligungen und Google Consent Mode v2 Integration. Kosten ab ca. 10–50 €/Monat
  • Matomo (selbst gehostet): Open-Source-Webanalyse-Alternative zu Google Analytics. Bei Self-Hosting auf europäischen Servern unter bestimmten Voraussetzungen ohne Einwilligung betreibbar — ideal für datenschutzbewusste KMU
  • Borlabs Cookie (WordPress): WordPress-Plugin für Cookie-Consent mit DSGVO-konformem Opt-In, ab ca. 49 €/Jahr
  • eRecht24 Premium / Datenschutz-Generator: Deutsche Generatoren für Datenschutzerklärungen und Impressum mit regelmäßigen Updates bei Rechtsänderungen
  • Webbkoll (webbkoll.dataskydd.net): Kostenloser Scanner, der Ihre Website auf häufige Datenschutzprobleme prüft (Third-Party-Requests, Cookies, HTTPS)

DSGVO-Compliance ist keine einmalige Aufgabe, sondern ein fortlaufender Prozess. Neue Dienste, Rechtsänderungen und aktualisierte Aufsichtsbehörden-Leitlinien erfordern regelmäßige Überprüfungen — mindestens einmal jährlich empfohlen.

Fazit — DSGVO-Audit für Ihre Website

Wenn Sie unsicher sind, ob Ihre Website die aktuellen Datenschutzanforderungen erfüllt, biete ich ein DSGVO-Website-Audit an: Technische Überprüfung auf Cookie-Tracking ohne Consent, eingebundene externe Ressourcen (Google Fonts, CDNs), Kontaktformular-Konfiguration und SSL-Einrichtung — mit konkreten Handlungsempfehlungen.

Das Audit wird in Form eines schriftlichen Berichts geliefert und ist keine Rechtsberatung, aber eine solide technische Grundlage für das Gespräch mit Ihrem Datenschutzbeauftragten oder IT-Rechtsanwalt.

DSGVO-Website-Audit anfragen →

Verwandte Artikel

Warum ist Ihre Website langsam und wie kann man das beheben? (2025)
Performance · 5 min

Warum ist Ihre Website langsam und wie kann man das beheben? (2025)

Eine langsame Website kostet Kunden und Umsatz. Entdecken Sie die 5 häufigsten Ursachen für schlechte Website-Performance und erfahren Sie, wie Next.js Ihr Online-Geschäft transformieren kann.

Weiterlesen
Professionelle Website - Vorteile der Remote-Entwicklung
Remote Services · 5 min

Professionelle Website - Vorteile der Remote-Entwicklung

Brauchen Sie eine Website für Ihr Unternehmen? Remote-Zusammenarbeit bietet Komfort, Zeitersparnis und Zugang zu Top-Spezialisten ohne geografische Einschränkungen.

Weiterlesen
Next.js vs WordPress - Welche Plattform für Ihr Unternehmen?
Technology · 6 min

Next.js vs WordPress - Welche Plattform für Ihr Unternehmen?

WordPress oder Next.js? Vergleichen Sie zwei beliebte Web-Plattformen. Finden Sie heraus, welche am besten zu Ihren Geschäftszielen passt.

Weiterlesen

Brauchen Sie eine Website, die konvertiert?

Angebot in 24 h. Unverbindlich, ohne Verkaufsskripte.

Brief senden