Eine Abmahnung wegen eines fehlerhaften Cookie-Banners kostet schnell 5.000 Euro. Eine unvollständige Datenschutzerklärung kann noch teurer werden. Und das Ärgerliche daran: Die meisten Verstöße lassen sich in ein paar Stunden beheben.
Trotzdem sind nach unserer Erfahrung gut 70 Prozent aller KMU-Websites in mindestens einem Punkt nicht DSGVO-konform. Meistens wissen die Betreiber das nicht mal. Sie haben die Seite vor drei Jahren erstellen lassen, seitdem hat sich die Rechtslage geändert, und niemand hat die Datenschutz-Einstellungen aktualisiert.
In diesem Artikel gehen wir jeden einzelnen Pflichtpunkt durch, den Ihre Unternehmenswebsite erfüllen muss. Mit konkreten Handlungsschritten, Tool-Empfehlungen und einer Checkliste, die Sie abhaken können.
Warum Sie das ernst nehmen sollten
DSGVO-Bußgelder können bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes betragen. Für KMU relevanter: Abmahnwellen durch spezialisierte Anwälte und Verbraucherschutzverbände haben seit 2024 deutlich zugenommen. Die Google-Fonts-Abmahnwelle allein hat tausende deutsche Unternehmen getroffen, mit Forderungen von 100 bis 5.000 Euro pro Fall.
Die DSGVO-Checkliste: 10 Pflichten für jede Unternehmenswebsite
Diese zehn Punkte decken die häufigsten Datenschutz-Anforderungen ab. Gehen Sie sie der Reihe nach durch. Wenn Sie bei einem Punkt unsicher sind, finden Sie weiter unten im Artikel die Details.
10 Punkte, die Ihre Website erfüllen muss
- 1
SSL-Verschlüsselung (HTTPS)
Ihre gesamte Website muss über HTTPS erreichbar sein. Ohne SSL-Zertifikat zeigt der Browser "Nicht sicher" an. Bei den meisten Hostern ist das heute kostenlos inklusive. Prüfen Sie: Erscheint ein Schloss-Symbol in der Adresszeile?
- 2
Datenschutzerklärung
Jede Website braucht eine vollständige, aktuelle Datenschutzerklärung nach Art. 13/14 DSGVO. Sie muss von jeder Unterseite aus mit maximal einem Klick erreichbar sein (typisch: im Footer). Nicht mit dem Impressum vermischen.
- 3
Impressum
Pflichtangaben nach § 5 TMG: Firmenname, Adresse, Telefon/E-Mail, Vertretungsberechtigte Person, Handelsregister/Registernummer, USt-IdNr. Muss ebenfalls von jeder Seite erreichbar sein.
- 4
Cookie-Banner mit Opt-In
Cookies, die nicht technisch notwendig sind (Analytics, Marketing, Tracking), dürfen erst nach aktiver Einwilligung des Nutzers gesetzt werden. Der Ablehnen-Button muss genauso sichtbar sein wie der Akzeptieren-Button.
- 5
Kontaktformular absichern
Vor dem Absenden muss der Nutzer bestätigen, dass die Daten verarbeitet werden dürfen. Link zur Datenschutzerklärung direkt am Formular. Nur die Felder abfragen, die wirklich nötig sind (Datensparsamkeit).
- 6
Google Fonts lokal einbinden
Google Fonts dürfen nicht von Google-Servern geladen werden, da dabei die IP-Adresse an Google in die USA übertragen wird. Lösung: Fonts herunterladen und vom eigenen Server ausliefern. Dauert 15 Minuten, verhindert Abmahnungen.
- 7
Drittanbieter-Dienste prüfen
Google Analytics, Google Maps, YouTube-Videos, Facebook Pixel, Instagram Feeds: Jeder dieser Dienste überträgt Nutzerdaten an Dritte. Alle brauchen entweder eine Einwilligung via Cookie-Banner oder eine datenschutzfreundliche Einbindung (z.B. 2-Klick-Lösung für YouTube).
- 8
Newsletter mit Double-Opt-In
Wer einen Newsletter anbietet, braucht ein Double-Opt-In-Verfahren: Der Nutzer trägt seine E-Mail-Adresse ein und bestätigt die Anmeldung per Klick in einer Bestätigungs-Mail. Jede Newsletter-Ausgabe muss einen Abmeldelink enthalten.
- 9
Auftragsverarbeitungsverträge (AVV)
Mit jedem Dienstleister, der Zugriff auf personenbezogene Daten Ihrer Website-Besucher hat, brauchen Sie einen AVV. Das betrifft Ihren Hoster, Ihren Newsletter-Anbieter, Ihr Analytics-Tool und Ihr Cookie-Consent-Tool.
- 10
Löschkonzept und Auskunftsrecht
Sie müssen auf Anfrage innerhalb von 30 Tagen Auskunft geben können, welche Daten Sie über eine Person gespeichert haben. Und Sie brauchen einen Prozess, um Daten auf Wunsch zu löschen. Das betrifft vor allem Kontaktformular-Eingaben und Newsletter-Listen.
Cookie-Banner richtig umsetzen
Das Cookie-Banner ist der häufigste Stolperstein. Viele Websites haben zwar eines, aber es funktioniert nicht rechtskonform. Die wichtigsten Regeln:
Opt-In vor dem Laden
Tracking-Cookies und Marketing-Cookies dürfen erst geladen werden, nachdem der Nutzer aktiv zugestimmt hat. Das heißt: Bevor jemand auf "Akzeptieren" klickt, darf kein Google Analytics, kein Facebook Pixel und kein Marketing-Cookie aktiv sein. Viele Banner sehen zwar gut aus, laden die Cookies aber trotzdem sofort. Das ist rechtswidrig.
Ablehnen-Button muss sichtbar sein
Der Nutzer muss Cookies genauso einfach ablehnen können wie akzeptieren. Ein großer grüner "Alles akzeptieren"-Button und ein winziger grauer "Einstellungen"-Link darunter reicht nicht. Das ist ein sogenanntes Dark Pattern und wird von Datenschutzbehörden zunehmend abgestraft.
Welche Cookies brauchen eine Einwilligung?
- Technisch notwendige Cookies: Keine Einwilligung nötig (Session-Cookies, Warenkorb, Login)
- Statistik-Cookies (Google Analytics, Matomo mit Cookies): Einwilligung nötig
- Marketing-Cookies (Facebook Pixel, Google Ads Remarketing): Einwilligung nötig
- Präferenz-Cookies (Sprachwahl, Darkmode): Einwilligung empfohlen, aber umstritten
Cookie-Banner: Richtig vs. Falsch
Rechtskonform
- Opt-In: Cookies laden erst nach Einwilligung
- Ablehnen-Button gleichwertig sichtbar wie Akzeptieren
- Granulare Auswahl: Nutzer kann Kategorien einzeln wählen
- Keine vorausgewählten Checkboxen
- Einwilligung wird dokumentiert und ist widerrufbar
Problematisch
- Nur ein "Alles akzeptieren"-Button ohne echte Wahl
- Cookies laden schon vor der Einwilligung
- Dark Patterns: Ablehnen-Button versteckt oder ausgegraut
- Cookie Wall: Website nur nutzbar nach Zustimmung
- Vorausgewählte Marketing-Checkboxen
Cookie-Consent-Tools für KMU
Drei bewährte Tools für rechtskonforme Cookie-Banner: 1. Cookiebot (ab 0 Euro für kleine Websites, ab 9 Euro/Monat für mehr Seiten) - automatischer Cookie-Scan, einfache Integration 2. Borlabs Cookie (einmalig 39 Euro, WordPress-Plugin) - sehr beliebt in Deutschland, guter Support 3. Usercentrics (ab 0 Euro Basis, ab 15 Euro/Monat für KMU) - DSGVO und ePrivacy zertifiziert Alle drei bieten Vorlagen, die den aktuellen Anforderungen der deutschen Datenschutzbehörden entsprechen.
Datenschutzerklärung: Was muss rein?
Die Datenschutzerklärung muss jeden Dienst auflisten, der auf Ihrer Website personenbezogene Daten verarbeitet. "Personenbezogene Daten" sind dabei breiter gefasst als die meisten denken. Dazu gehört schon die IP-Adresse eines Besuchers.
Pflichtangaben nach Art. 13/14 DSGVO
- Name und Kontaktdaten des Verantwortlichen
- Kontaktdaten des Datenschutzbeauftragten (falls vorhanden)
- Zweck und Rechtsgrundlage jeder Datenverarbeitung
- Empfänger der Daten (z.B. Google, Newsletter-Anbieter, Hoster)
- Übermittlung in Drittländer (z.B. USA) und die Schutzmaßnahmen
- Speicherdauer oder Kriterien für die Festlegung der Dauer
- Rechte der Betroffenen (Auskunft, Löschung, Widerspruch, Beschwerde)
- Hinweis auf Beschwerderecht bei der Aufsichtsbehörde
Diese Dienste müssen Sie aufführen
Gehen Sie Ihre Website einmal komplett durch und listen Sie jeden externen Dienst auf. Die häufigsten:
- Hosting-Anbieter (Server-Logfiles mit IP-Adressen)
- Google Analytics oder andere Analyse-Tools
- Google Fonts (wenn extern geladen)
- Google Maps (wenn eingebettet)
- YouTube-Videos (wenn eingebettet)
- Social-Media-Plugins (Facebook, Instagram, LinkedIn)
- Newsletter-Tool (Mailchimp, CleverReach, Brevo)
- Kontaktformular (welche Daten, wohin gespeichert)
- Online-Terminbuchung (Calendly, Cal.com)
- Bewerbungsformulare oder Job-Portale
Datenschutzerklärungs-Generator oder Anwalt?
Für die meisten KMU-Websites reicht ein guter Generator als Ausgangspunkt. Der Datenschutzerklärungs-Generator von eRecht24 oder der IT-Recht Kanzlei München deckt die gängigsten Fälle ab. Wenn Sie besondere Datenverarbeitungen haben (Gesundheitsdaten, Minderjährige, komplexe Drittanbieter-Ketten), sollten Sie einen spezialisierten Anwalt einschalten.
Wichtig: Eine generierte Datenschutzerklärung ist nur so gut wie die Angaben, die Sie eingeben. Wenn Sie einen Dienst vergessen, fehlt er in der Erklärung, und das ist ein Verstoß.
Google Fonts, Analytics und Co.: Drittanbieter DSGVO-konform einbinden
Die häufigsten DSGVO-Probleme auf Websites entstehen durch externe Dienste, die Nutzerdaten an Server außerhalb der EU übertragen. Hier die wichtigsten Dienste mit Problem und Lösung:
Drittanbieter-Dienste: Problem und Lösung
| Merkmal | Problem | LösungEmpfohlen | Einwilligung? |
|---|---|---|---|
| Google Fonts | IP-Übertragung an Google USA | Lokal einbinden (vom eigenen Server) | Nein (wenn lokal) |
| Google Analytics | Tracking ohne Einwilligung | Opt-In via Cookie-Banner oder Matomo nutzen | Ja |
| Google Maps | IP + Standort an Google | 2-Klick-Lösung oder Opt-In | Ja |
| YouTube-Videos | Cookies + IP an Google | 2-Klick-Lösung (Vorschaubild + Klick zum Laden) | Ja |
| Facebook Pixel | Tracking ohne Opt-In | Nur nach Cookie-Consent laden | Ja |
| Instagram Feed | Cookies + Daten an Meta | Nur nach Cookie-Consent laden | Ja |
Quick Win: Google Fonts lokal einbinden
Google Fonts lokal einzubinden dauert 15 Minuten und eliminiert eines der häufigsten Abmahnrisiken komplett. Sie laden die Schriftdateien von fonts.google.com herunter, legen sie auf Ihrem eigenen Server ab und passen die CSS-Datei an. Danach wird keine Verbindung mehr zu Google-Servern aufgebaut. Fertig. Kein Cookie-Banner nötig, kein Consent, kein Risiko.
Auftragsverarbeitung: Wann brauchen Sie einen AVV?
Ein Auftragsverarbeitungsvertrag (AVV) ist ein Vertrag zwischen Ihnen und jedem Dienstleister, der in Ihrem Auftrag personenbezogene Daten verarbeitet. Das klingt komplizierter als es ist. Ihr Hoster speichert Server-Logfiles mit IP-Adressen Ihrer Besucher? AVV nötig. Ihr Newsletter-Tool verwaltet E-Mail-Adressen Ihrer Abonnenten? AVV nötig.
Mit diesen Dienstleistern brauchen Sie typischerweise einen AVV
- Webhosting-Anbieter (Hetzner, IONOS, All-Inkl, Strato)
- Newsletter-Tool (Mailchimp, CleverReach, Brevo, Rapidmail)
- Cookie-Consent-Tool (Cookiebot, Usercentrics)
- Analytics-Tool (Google Analytics, Matomo Cloud)
- CRM-System (HubSpot, Pipedrive, Zoho)
- Cloud-Speicher (Google Workspace, Microsoft 365, Dropbox)
- Buchhaltungssoftware (Lexware, SevDesk, wenn Cloud-basiert)
- Online-Terminbuchung (Calendly, Cal.com)
Wo finden Sie AVV-Vorlagen?
Die gute Nachricht: Fast alle seriösen Anbieter stellen fertige AVV-Formulare bereit. Bei den meisten können Sie den AVV direkt im Kunden-Dashboard abschließen (zum Beispiel bei Hetzner, IONOS, Mailchimp oder Google). Sie müssen also keinen Anwalt beauftragen. Prüfen Sie einmal alle Ihre Dienstleister durch und schließen Sie die fehlenden AVVs ab. Das dauert insgesamt vielleicht eine Stunde.
Kontaktformular und Newsletter: Die Stolperfallen
Kontaktformular richtig absichern
Ihr Kontaktformular muss drei Dinge erfüllen: Erstens, fragen Sie nur die Daten ab, die Sie wirklich brauchen. Name und E-Mail-Adresse reichen für eine Kontaktanfrage. Die Telefonnummer sollte ein optionales Feld sein, kein Pflichtfeld.
Zweitens, direkt unter dem Formular muss ein Hinweis stehen, der auf die Datenschutzerklärung verlinkt. Etwas wie: "Mit dem Absenden stimmen Sie der Verarbeitung Ihrer Daten gemäß unserer Datenschutzerklärung zu." Der Link muss funktionieren und auf die richtige Stelle zeigen.
Drittens, die Daten müssen verschlüsselt übertragen werden (HTTPS) und sollten nicht unbegrenzt gespeichert werden. Legen Sie eine Löschfrist fest, zum Beispiel 6 Monate nach Abschluss der Anfrage.
Newsletter: Double-Opt-In ist Pflicht
Ohne Double-Opt-In dürfen Sie in Deutschland keinen Newsletter versenden. Der Ablauf: Der Nutzer gibt seine E-Mail-Adresse ein. Er erhält eine Bestätigungs-Mail mit einem Link. Erst wenn er diesen Link klickt, wird er in den Verteiler aufgenommen. Dieses Verfahren ist Ihre Beweissicherung, dass die Person tatsächlich zugestimmt hat.
Jede einzelne Newsletter-Ausgabe muss einen funktionierenden Abmeldelink enthalten. Kein Verstecken, kein umständlicher Prozess. Ein Klick reicht.
DSGVO-Verstöße: Was passiert wenn es schiefgeht?
DSGVO-Verstöße sind kein theoretisches Risiko. Seit Inkrafttreten der DSGVO 2018 wurden in der EU Bußgelder in Milliardenhöhe verhängt. Für KMU relevanter sind allerdings die Abmahnungen durch Anwälte und Wettbewerber.
DSGVO-Bußgelder in Zahlen
>1,7 Mrd. €
Bußgelder in der EU seit 2018
5.000 €
Typische Abmahnkosten (z.B. Google Fonts)
4%
Maximales Bußgeld vom Jahresumsatz
Die häufigsten Abmahngründe bei KMU-Websites:
- Google Fonts extern geladen (Abmahnwelle 2022/2023, trifft immer noch verspätete Fälle)
- Cookie-Banner setzt Tracking-Cookies vor der Einwilligung
- Datenschutzerklärung fehlt oder ist unvollständig
- Kein Impressum oder fehlende Pflichtangaben
- Kontaktformular ohne Datenschutzhinweis
- Newsletter-Versand ohne Double-Opt-In-Nachweis
Tipp: Die meisten Abmahnungen kommen nicht von Datenschutzbehörden, sondern von spezialisierten Anwälten oder Wettbewerbern. Die scannen gezielt Websites nach genau diesen Schwachstellen. Je schneller Sie die Punkte oben abarbeiten, desto geringer Ihr Risiko.
DSGVO-Check: So prüfen Sie Ihre Website selbst
Sie müssen kein Datenschutzexperte sein, um die gröbsten Probleme zu finden. Mit diesen fünf Schritten prüfen Sie Ihre Website in unter einer Stunde.
Ihre Website in 5 Schritten prüfen
- 1
Website-Scanner nutzen
Öffnen Sie den kostenlosen Cookiebot-Scanner (cookiebot.com/de/cookie-checker) oder Webbkoll (webbkoll.dataskydd.net). Geben Sie Ihre URL ein. Das Tool zeigt Ihnen, welche Cookies und Drittanbieter-Verbindungen Ihre Website aufbaut, bevor der Nutzer irgendetwas angeklickt hat.
- 2
Browser-DevTools: Netzwerk-Tab
Öffnen Sie Ihre Website im Chrome-Inkognito-Modus. Drücken Sie F12, wechseln Sie zum Reiter "Netzwerk" und laden Sie die Seite neu. Schauen Sie, ob Verbindungen zu fonts.googleapis.com, google-analytics.com oder facebook.com aufgebaut werden, obwohl Sie noch nichts akzeptiert haben. Falls ja: Problem.
- 3
Datenschutzerklärung abgleichen
Vergleichen Sie Ihre aktuelle Datenschutzerklärung mit einem Generator (eRecht24 oder IT-Recht Kanzlei). Nutzen Sie dieselben Dienste, die Sie tatsächlich auf der Website einsetzen. Fehlt ein Dienst in der Erklärung? Dann nachbessern.
- 4
Cookie-Banner im Inkognito-Modus testen
Öffnen Sie Ihre Seite im Inkognito-Fenster. Erscheint ein Cookie-Banner? Gibt es einen sichtbaren Ablehnen-Button? Klicken Sie auf Ablehnen und prüfen Sie dann im Netzwerk-Tab, ob tatsächlich keine Tracking-Cookies gesetzt werden.
- 5
Formulare auf Datenschutzhinweis prüfen
Gehen Sie jedes Formular auf Ihrer Website durch (Kontakt, Newsletter, Bewerbung, Terminbuchung). Steht überall ein Hinweis auf die Datenschutzerklärung mit funktionierendem Link? Werden nur die nötigsten Felder als Pflichtfelder abgefragt?
Fazit: DSGVO-Compliance ist kein Hexenwerk
Die zehn Punkte aus der Checkliste oben decken gut 95 Prozent aller KMU-Websites ab. Das meiste davon ist in einem Nachmittag erledigt, wenn Sie wissen, worauf es ankommt. SSL aktivieren, Google Fonts lokal einbinden, Cookie-Banner korrekt konfigurieren, Datenschutzerklärung aktualisieren, AVVs abschließen. Das sind keine Mammutprojekte.
Nehmen Sie sich die Zeit lieber jetzt als nach einer Abmahnung. Denn dann wird es nicht nur teurer, sondern auch stressiger. Und wenn Sie sich unsicher sind, lassen Sie Ihre Website einmal professionell prüfen. Das kostet weniger als eine einzige Abmahnung.
Unsicher, ob Ihre Website DSGVO-konform ist?
Wir prüfen Ihre Website auf die häufigsten Datenschutz-Verstöße und zeigen Ihnen genau, was zu tun ist. Kostenlos und unverbindlich.
Häufige Fragen zur DSGVO-konformen Website
FAQ
Ja, wenn Sie Cookies setzen, die nicht technisch notwendig sind. Dazu gehören alle Analyse- und Marketing-Cookies (Google Analytics, Facebook Pixel, Hotjar). Für eine rein statische Website ohne Tracking reicht theoretisch ein Hinweis in der Datenschutzerklärung. In der Praxis nutzt aber fast jede Website mindestens ein Analyse-Tool, und dann ist das Banner Pflicht.
Nein, das ist in Deutschland nach aktueller Rechtsprechung nicht ohne Einwilligung erlaubt. Beim Laden von Google-Servern wird die IP-Adresse des Besuchers an Google in die USA übertragen. Das LG München hat das 2022 als Datenschutzverstoß gewertet, und seitdem gab es tausende Abmahnungen. Lösung: Fonts herunterladen und lokal vom eigenen Server einbinden.
Ja, aber nur unter bestimmten Bedingungen: Sie brauchen eine Einwilligung via Cookie-Banner (Opt-In), müssen IP-Anonymisierung aktivieren, einen AVV mit Google abschließen und Google Analytics in Ihrer Datenschutzerklärung aufführen. Alternativ können Sie auf Matomo umsteigen, das sich ohne Cookies und ohne Einwilligung DSGVO-konform betreiben lässt.
Einen betrieblichen Datenschutzbeauftragten brauchen Sie, wenn mindestens 20 Mitarbeiter regelmäßig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Für die meisten kleinen Unternehmen mit einer normalen Website ist das also nicht der Fall. Wenn Sie allerdings besonders sensible Daten verarbeiten (Gesundheitsdaten, Daten von Kindern), kann die Pflicht auch bei weniger Mitarbeitern greifen.
Die reinen Anwaltskosten einer Abmahnung liegen typischerweise bei 500 bis 5.000 Euro, je nach Verstoß und Streitwert. Dazu können Unterlassungserklärungen und Vertragsstrafen bei Wiederholung kommen. Bußgelder von Datenschutzbehörden sind für KMU eher selten, können aber in die Zehntausende gehen. Die Google-Fonts-Abmahnungen lagen meist bei 100 bis 170 Euro pro Fall, aber die Masse machte es teuer.
Immer dann, wenn sich etwas ändert: ein neues Tool eingebunden, ein Dienst entfernt, ein neuer Hoster, ein neues Kontaktformular. Es gibt keine feste Frist wie "einmal im Jahr". Die Praxis-Empfehlung: Prüfen Sie Ihre Datenschutzerklärung einmal pro Quartal oder immer dann, wenn Sie an der Website etwas ändern. Tragen Sie sich einen wiederkehrenden Termin im Kalender ein.
Website-Sicherheit prüfen: 15-Punkte-Audit für Ihre Unternehmenswebsite
Von SSL über Updates bis Malware-Scans. Die komplette Sicherheits-Checkliste.
/posts/dsgvo-website-checkliste
Datenschutz-Audit für KMU: Was Sie 2026 prüfen müssen
Über die Website hinaus: Verarbeitungsverzeichnis, Löschkonzept und Mitarbeiter-Schulung.
/posts/dsgvo-website-checkliste
Ähnliche Beiträge
Google Ads Kosten 2026: Was zahlen Sie wirklich? (mit Rechenbeispielen)
Was kostet Google Ads? Klickpreise nach Branche, monatliche Budgets für KMU, versteckte Kosten und 3 Rechenbeispiele. Transparent erklärt vom Profi.
SEO-Grundlagen für KMU: Der komplette Einstieg für 2026
SEO lernen als KMU? Dieser Guide erklärt die wichtigsten Grundlagen der Suchmaschinenoptimierung - verständlich, praxisnah, mit Checkliste und kostenlosen Tools.
Headless CMS vs. WordPress: Welches System passt zu Ihrem Unternehmen?
WordPress oder Headless CMS? Vergleich mit 5-Kriterien-Framework, TCO-Rechnung über 3 Jahre und konkreter Migrations-Roadmap. Für DACH-Mittelständler.