Ob Handwerksbetrieb, Praxis oder Dienstleister: Sobald eine Website Besucher empfängt, verarbeitet sie personenbezogene Daten, oft schon beim ersten Seitenaufruf über die IP-Adresse. Die Datenschutz-Grundverordnung (DSGVO) und das deutsche Digitale-Dienste-Gesetz (DDG) setzen dafür klare Regeln. Verstöße sind kein theoretisches Risiko: Der Bußgeldrahmen reicht bis zu 20 Millionen Euro (Art. 83 DSGVO) oder 4 Prozent (Art. 83 DSGVO) des weltweiten Jahresumsatzes, und abmahnfähige Details wie extern geladene Schriftarten haben Gerichte bereits mit 100 Euro (LG München I, Az. 3 O 17493/20) Schadenersatz je Fall belegt. Dieser Beitrag fasst die fünf zentralen Bausteine einer datenschutzkonformen Website als praktische Checkliste zusammen: Impressum, Datenschutzerklärung, Cookies, Formulare und Hosting. Der Text ist sachlich gehalten und ersetzt keine Rechtsberatung im Einzelfall, er soll Ihnen aber eine belastbare Orientierung geben, welche Punkte typischerweise zu prüfen sind.
Warum Datenschutz zur Grundausstattung jeder Website gehört
Datenschutz auf der Website ist kein reines Formalthema, sondern berührt Vertrauen und Reputation. Eine aktuelle Erhebung zeigt, dass 68 Prozent (Cisco Consumer Privacy Survey) der Verbraucher sich um den Umgang mit ihren Daten im Internet sorgen und ein erheblicher Teil davon Anbieter meidet, denen sie beim Datenschutz nicht vertrauen. Gleichzeitig steigt der Aufwand für Aufsichtsbehörden und Betroffene: Seit Inkrafttreten der DSGVO wurden europaweit Bußgelder in Summe von mehr als 5,8 Milliarden Euro (DLA Piper GDPR Fines Survey) verhängt. Für kleine und mittlere Betriebe geht es dabei selten um Rekordsummen, sondern um Abmahnungen, Beschwerden und den Zeitaufwand, den ein vermeidbarer Fehler nach sich zieht.
Die gute Nachricht: Die meisten Anforderungen lassen sich mit überschaubarem Aufwand sauber umsetzen, wenn man sie von Anfang an mitdenkt. Wer eine Website neu aufsetzt oder relauncht, kann Datenschutz direkt in die Struktur einbauen, statt später nachzurüsten. Wie sich ein solcher Umbau planen lässt, ohne Sichtbarkeit und Funktion zu verlieren, beschreibt unser Beitrag dazu, welche Fehler man beim Website-Relaunch vermeiden sollte. Die folgenden fünf Bausteine bilden das Gerüst, an dem sich die meisten Prüfungen orientieren.
Kurz eingeordnet: DSGVO, DDG und TDDDG
Baustein 1: Das Impressum richtig aufsetzen
Nahezu jede geschäftsmäßige Website in Deutschland braucht ein Impressum, also eine Anbieterkennzeichnung nach Paragraf 5 DDG. Die Pflicht gilt nicht nur für Onlineshops, sondern auch für die Website eines Handwerksbetriebs, einer Praxis oder eines Vereins, sobald sie über rein private oder familiäre Zwecke hinausgeht. Das Impressum muss leicht erkennbar, unmittelbar erreichbar und ständig verfügbar sein. In der Praxis bedeutet das einen klar benannten Link, etwa Impressum im Footer, der von jeder Unterseite mit einem Klick erreichbar ist. Formulierungen wie Kontakt oder Über uns als alleiniger Zugang gelten als nicht ausreichend.
Inhaltlich gehören dazu je nach Rechtsform unter anderem der vollständige Name und die Anschrift, bei juristischen Personen die Vertretungsberechtigten, eine schnelle elektronische Kontaktmöglichkeit samt E-Mail-Adresse, gegebenenfalls Registereintrag und Registernummer, die Umsatzsteuer-Identifikationsnummer sowie bei bestimmten Berufsgruppen zusätzliche Angaben wie Kammer, Berufsbezeichnung und berufsrechtliche Regelungen. Bei Ärzten, Steuerberatern, Rechtsanwälten oder Handwerkern mit Meisterpflicht sind diese Zusatzangaben besonders relevant. Ein unvollständiges Impressum ist einer der häufigsten Abmahngründe, obwohl es sich mit geringem Aufwand vermeiden lässt.
Schnellcheck Impressum
Baustein 2: Die Datenschutzerklärung transparent gestalten
Die Datenschutzerklärung informiert Besucher darüber, welche Daten die Website zu welchem Zweck und auf welcher Rechtsgrundlage verarbeitet. Grundlage sind vor allem die Informationspflichten aus Artikel 13 DSGVO. Anders als das Impressum ist die Datenschutzerklärung kein statischer Standardtext, sondern muss die tatsächlich eingesetzten Dienste und Verarbeitungen abbilden. Wer ein Kontaktformular, eine Reichweitenmessung, eine Karteneinbindung oder einen Newsletter nutzt, muss genau diese Verarbeitungen benennen. Eine aus dem Netz kopierte Erklärung, die nicht zur eigenen Website passt, ist im Zweifel wertlos oder sogar irreführend.
Zu den üblichen Bestandteilen gehören Angaben zum Verantwortlichen, die Kategorien verarbeiteter Daten, Zwecke und Rechtsgrundlagen, Empfänger und Auftragsverarbeiter, Speicherdauer beziehungsweise Löschfristen sowie die Rechte der Betroffenen auf Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit und Widerspruch. Ergänzt wird das um einen Hinweis auf das Beschwerderecht bei einer Aufsichtsbehörde. Werden Daten in Länder außerhalb der EU übermittelt, etwa durch Dienste mit Servern in Drittstaaten, braucht es dafür eine geeignete Rechtsgrundlage und einen entsprechenden Hinweis. Die Erklärung sollte in klarer, verständlicher Sprache formuliert und ohne Registrierung erreichbar sein.
Lebendes Dokument statt Einmalaufgabe
Baustein 3: Cookies und Einwilligung sauber lösen
Cookies und vergleichbare Technologien dürfen nur dann ohne Einwilligung gesetzt werden, wenn sie für den vom Nutzer ausdrücklich gewünschten Dienst unbedingt erforderlich sind, etwa ein Warenkorb oder die Speicherung der Cookie-Auswahl selbst. Für alles andere, insbesondere Reichweitenmessung, Marketing und externe Einbindungen, ist nach Paragraf 25 TDDDG und der Rechtsprechung des Europäischen Gerichtshofs eine aktive, informierte Einwilligung erforderlich. Der EuGH hat im Planet49-Urteil (Az. C-673/17) klargestellt, dass vorangekreuzte Kästchen keine wirksame Einwilligung darstellen. Eine wirksame Zustimmung setzt eine bewusste Handlung voraus.
Für die praktische Umsetzung mit einem Einwilligungsbanner haben sich einige Grundregeln etabliert: Nicht notwendige Dienste dürfen erst nach der Einwilligung laden, nicht schon beim Seitenaufruf. Ablehnen muss so einfach möglich sein wie Zustimmen, idealerweise auf derselben Ebene und mit gleich sichtbaren Schaltflächen. Voreinstellungen dürfen keine Zustimmung vortäuschen, und die einmal getroffene Wahl muss jederzeit widerrufbar sein. Zudem sollte dokumentiert werden, wer wann in welche Verarbeitung eingewilligt hat. Diese Nachweisbarkeit ist Teil der Rechenschaftspflicht aus der DSGVO.
| Aspekt | Nicht konform | Konform |
|---|---|---|
| Ladezeitpunkt | Tracking lädt schon beim Seitenaufruf | Nicht notwendige Dienste laden erst nach Einwilligung |
| Buttons | Nur Akzeptieren sichtbar, Ablehnen versteckt | Akzeptieren und Ablehnen gleichwertig sichtbar |
| Voreinstellung | Häkchen vorab gesetzt | Keine Vorauswahl für nicht notwendige Dienste |
| Widerruf | Keine Möglichkeit zum Ändern | Auswahl jederzeit widerrufbar |
| Nachweis | Keine Protokollierung | Einwilligungen dokumentiert und abrufbar |
Ein oft unterschätzter Sonderfall sind extern geladene Ressourcen wie Schriftarten, Kartendienste oder Videoeinbettungen. Werden sie direkt von fremden Servern geladen, wird schon dabei die IP-Adresse der Besucher an Dritte übertragen, bevor irgendeine Einwilligung vorliegt. Genau das war Gegenstand des erwähnten Google-Fonts-Urteils. Der saubere Weg ist, solche Ressourcen lokal einzubinden oder erst nach Einwilligung zu laden. Wie sich das technisch ohne Tempoverlust umsetzen lässt, greift unser Beitrag zu den Core Web Vitals und der Ladezeit auf.
Baustein 4: Formulare und Datensparsamkeit
Kontakt-, Anfrage- und Newsletterformulare sind für viele Betriebe der wichtigste Kanal für neue Aufträge und zugleich ein sensibler Punkt im Datenschutz. Zwei Prinzipien stehen im Vordergrund: Datensparsamkeit und Transparenz. Datensparsamkeit bedeutet, nur die Angaben abzufragen, die für den jeweiligen Zweck wirklich nötig sind. Für eine Rückfrage genügt meist Name, Nachricht und eine Kontaktmöglichkeit. Pflichtfelder wie eine vollständige Anschrift oder das Geburtsdatum sind bei einer einfachen Anfrage in der Regel nicht erforderlich und sollten optional bleiben oder ganz entfallen.
Technisch muss die Übertragung verschlüsselt erfolgen. Eine durchgängige TLS-Verschlüsselung, erkennbar am https in der Adresszeile, ist heute Mindeststandard und zugleich ein Rankingsignal. Am Formular selbst gehört ein kurzer, verständlicher Datenschutzhinweis mit Verweis auf die Datenschutzerklärung. Für einen Newsletter ist zusätzlich das Double-Opt-in-Verfahren üblich, bei dem die Anmeldung über einen Bestätigungslink verifiziert wird. So lässt sich nachweisen, dass die Einwilligung tatsächlich von der angegebenen Person stammt. Auch beim Formular gilt die Nachweispflicht: Es sollte dokumentierbar sein, welche Einwilligung mit welchem Text zu welchem Zeitpunkt erteilt wurde.
- Nur wirklich benötigte Felder als Pflicht kennzeichnen, den Rest optional halten oder streichen
- Durchgängige TLS-Verschlüsselung für die gesamte Website sicherstellen
- Klarer Datenschutzhinweis am Formular mit Link zur Datenschutzerklärung
- Bei Newslettern Double-Opt-in mit protokolliertem Bestätigungsschritt
- Spamschutz ohne unnötige Datenweitergabe an Dritte einsetzen
- Eingegangene Anfragen nur so lange speichern, wie es der Zweck erfordert
Ein gut gebautes Formular verbindet Datenschutz und Wirkung: Weniger Pflichtfelder senken die Hürde zur Kontaktaufnahme und erhöhen zugleich die Datensparsamkeit. Beides zahlt auf dasselbe Ziel ein. Wie sich Formulare und Seitenaufbau gezielt auf mehr Anfragen ausrichten lassen, vertieft unser Beitrag zur Conversion-Optimierung für mehr Anfragen.
Baustein 5: Hosting in Deutschland und Auftragsverarbeitung
Wer den Betrieb einer Website an einen Hosting-Anbieter auslagert, gibt die Verarbeitung personenbezogener Daten wie Server-Logs mit IP-Adressen in fremde Hände. Dafür verlangt Artikel 28 DSGVO einen Vertrag zur Auftragsverarbeitung, kurz AVV oder AV-Vertrag. Er regelt, dass der Anbieter die Daten nur nach Weisung und im vereinbarten Rahmen verarbeitet. Ohne einen solchen Vertrag ist die Zusammenarbeit datenschutzrechtlich angreifbar. Seriöse Hoster stellen den AV-Vertrag standardmäßig bereit, oft direkt im Kundenkonto zum Abschluss.
Ein Serverstandort in Deutschland oder zumindest innerhalb der EU vereinfacht die Rechtslage erheblich, weil dann keine Datenübermittlung in unsichere Drittstaaten erfolgt und keine zusätzlichen Garantien nötig sind. Hosting in Deutschland ist damit nicht nur ein Vertrauensargument gegenüber Kunden, sondern reduziert auch den dokumentarischen Aufwand. Bei der Wahl des Anbieters lohnt der Blick auf Serverstandort, angebotenen AV-Vertrag, technische Sicherheitsmaßnahmen und Löschkonzepte. Wie ein zuverlässiges, datenschutzfreundliches Hosting-Setup aussieht, beschreibt unsere Seite zum Webhosting im Detail.
Häufig übersehen
Datenschutz als laufender Prozess
Die fünf Bausteine bilden ein solides Fundament, doch Datenschutz ist kein Zustand, den man einmal herstellt und dann abhakt. Websites verändern sich: Es kommen Funktionen hinzu, Dienstleister wechseln, Rechtsprechung entwickelt sich weiter. Deshalb gehört zu einer datenschutzkonformen Website ein regelmäßiger Blick auf die eingebundenen Dienste, die Aktualität der Datenschutzerklärung und die Funktion des Einwilligungsbanners. Aus über 50 umgesetzten Website-Projekten (Projekterfahrung) zeigt sich, dass die meisten Probleme nicht aus bösem Willen entstehen, sondern aus einer Website, die schneller wächst als ihre Dokumentation.
Wer diese Pflege nicht selbst leisten kann oder will, kann sie an eine laufende Website-Betreuung übergeben, die technische Updates, Sicherheit und Datenschutz zusammen im Blick behält. Ergänzend lohnt der Gedanke an Barrierefreiheit, denn seit 2025 gelten für viele Anbieter neue Pflichten. Wie das zusammenhängt, erläutert unser Beitrag zur BFSG-Pflicht für barrierefreie Websites. Datenschutz, Sicherheit und Barrierefreiheit greifen ineinander: Alle drei sorgen dafür, dass eine Website nicht nur gut aussieht, sondern auch verlässlich und rechtlich sauber funktioniert.