DSGVO-Checkliste für Ihre Website: Was Sie beachten müssen
Seit Mai 2018 ist die Datenschutz-Grundverordnung (DSGVO) in Kraft. Für Website-Betreiber hat das weitreichende Konseqünzen. Wer die Vorgaben nicht einhalt, riskiert Abmahnungen und empfindliche Bussgelder.
Viele Unternehmer sind unsicher, welche Anforderungen konkret für ihre Website gelten. Diese Checkliste gibt Ihnen einen praxisnahen Überblick über die wichtigsten Punkte.
Hinweis: Dieser Artikel dient der allgemeinen Information und ersetzt keine rechtliche Beratung.
Warum die DSGVO auch für kleine Unternehmen gilt
Ein weit verbreiteter Irrtum: Die DSGVO betrifft nur große Konzerne. Das stimmt nicht. Jedes Unternehmen, das personenbezogene Daten verarbeitet, muss die Verordnung einhalten. Und auf einer Website werden praktisch immer personenbezogene Daten verarbeitet:
- Durch Kontaktformulare
- Durch Analyse-Tools
- Durch die Erfassung von IP-Adressen beim Seitenaufruf
Auch für Einzelunternehmer, Handwerksbetriebe und kleine Dienstleister in Mönchengladbach und Umgebung sind die Anforderungen relevant. Die gute Nachricht: Mit den richtigen Maßnahmen ist die Umsetzung kein Hexenwerk.
1. Impressum: Pflichtangaben vollständig
Das Impressum ist keine direkte DSGVO-Anforderung, sondern ergibt sich aus dem Telemediengesetz. Da es aber eng mit der rechtlichen Absicherung zusammenhängt, gehört es auf diese Checkliste.
Ihr Impressum muss enthalten:
- Vollständiger Name des Unternehmens oder des Inhabers
- Rechtsform bei Gesellschaften (GmbH, UG, etc.)
- Vollständige Anschrift (kein Postfach)
- Kontaktdaten: E-Mail-Adresse und Telefonnummer
- Vertretungsberechtigte Person bei juristischen Personen
- Handelsregisternummer und Registergericht (falls vorhanden)
- Umsatzsteür-Identifikationsnummer (falls vorhanden)
- Berufsrechtliche Angaben bei reglementierten Berufen (z.B. Handwerkskammer)
- Zuständige Aufsichtsbehorde (falls relevant)
Tipp: Das Impressum muss von jeder Seite Ihrer Website mit maximal zwei Klicks erreichbar sein. Platzieren Sie den Link im Footer, dort erwarten ihn die Besucher.
2. Datenschutzerklärung: Umfassend und verständlich
Die Datenschutzerklärung ist das Herzstuck der DSGVO-Konformitat Ihrer Website. Sie muss vollständig, verstandlich und aktüll sein.
Allgemeine Informationen:
- Name und Kontaktdaten des Verantwortlichen
- Kontaktdaten des Datenschutzbeauftragten (falls vorhanden)
- Zwecke der Datenverarbeitung
- Rechtsgrundlagen für die Verarbeitung
- Speicherdaür der Daten
Betroffenenrechte:
| Recht | Bedeutung |
|---|---|
| Auskunft | Nutzer dürfen erfahren, welche Daten gespeichert sind |
| Berichtigung | Falsche Daten müssen korrigiert werden |
| Loschung | Daten müssen auf Wunsch geloscht werden |
| Einschrankung | Verarbeitung kann eingeschrankt werden |
| Datenübertragbarkeit | Daten müssen in einem gangigen Format bereitgestellt werden |
| Widerspruch | Nutzer können der Verarbeitung widersprechen |
| Beschwerde | Nutzer können sich an die Aufsichtsbehorde wenden |
Technische Datenverarbeitung:
- Server-Log-Dateien
- Cookies und deren Zwecke
- Kontaktformulare
- Alle eingesetzten Drittanbieter-Dienste
Wichtig: Die Datenschutzerklärung muss für jeden Dienst, den Sie auf Ihrer Website einsetzen, einen eigenen Abschnitt enthalten. Google Analytics, YouTube-Videos, Google Maps: alles muss dokumentiert sein.
3. Cookie-Consent: Richtig umsetzen
Seit dem Urteil des Europaischen Gerichtshofs und der Umsetzung durch das TTDSG ist klar: Für nicht technisch notwendige Cookies brauchen Sie die aktive Einwilligung des Nutzers.
Das bedeutet konkret:
- Cookies durfen erst gesetzt werden, nachdem der Nutzer zugestimmt hat
- Vorangekreuzte Checkboxen sind nicht erlaubt
- Der Nutzer muss genauso einfach ablehnen wie zustimmen können
- Die Einwilligung muss dokumentiert werden
- Eine Widerrufsmöglichkeit muss jederzeit verfügbar sein
| Cookie-Typ | Einwilligung erforderlich? |
|---|---|
| Technisch notwendige Cookies (z.B. Session-Cookies) | Nein |
| Marketing-Cookies | Ja |
| Analyse-Tools | Ja |
| Tracking | Ja |
Merke: Achten Sie bei der Gestaltung Ihres Cookie-Banners darauf, dass der “Ablehnen”-Button genauso prominent ist wie der “Akzeptieren”-Button. Dark Patterns, also gestalterische Tricks, die Nutzer zur Zustimmung drangen, sind rechtlich problematisch.
4. Kontaktformulare datenschutzkonform gestalten
Wenn Sie auf Ihrer Website ein Kontaktformular anbieten, verarbeiten Sie personenbezogene Daten. Beachten Sie folgende Punkte:
- Fragen Sie nur die Daten ab, die Sie tatsächlich benötigen (Datensparsamkeit)
- Verlinken Sie unter dem Formular auf Ihre Datenschutzerklärung
- Fügen Sie eine Checkbox zur Kenntnisnahme der Datenschutzerklärung hinzu
- Verschlusseln Sie die Datenübertragung per SSL/TLS (erkennbar am “https”)
- Speichern Sie die Anfragen nicht langer als notwendig
Für eine einfache Anfrage reichen Name und E-Mail-Adresse. Informieren Sie den Nutzer daruber, wie lange seine Daten gespeichert werden und zu welchem Zweck Sie sie verwenden.
5. Google Fonts: Lokales Einbinden ist Pflicht
Im Jahr 2022 sorgte ein Urteil des Landgerichts Munchen für Aufsehen: Die Einbindung von Google Fonts über die Google-Server wurde als Datenschutzverstoß gewertet. Der Grund: Bei jedem Seitenaufruf wird die IP-Adresse des Besuchers an Google in die USA übermittelt.
Die Lösung ist einfach:
- Laden Sie die Schriftdateien herunter
- Speichern Sie sie auf Ihrem eigenen Server
- Binden Sie die Schriften lokal ein
Keine Daten werden an Google übertragen. Als positiver Nebeneffekt verbessert das lokale Einbinden auch die Ladezeit Ihrer Website, da keine externe Serveranfrage notwendig ist.
So prufen Sie es: Offnen Sie den Qülltext Ihrer Seite (Rechtsklick, “Seitenqülltext anzeigen”) und suchen Sie nach “fonts.googleapis.com”. Wenn Sie fundig werden, besteht Handlungsbedarf.
6. Analyse-Tools und Tracking
Viele Unternehmer nutzen Google Analytics oder ahnliche Werkzeuge. Für den Einsatz gilt:
- Einwilligung des Nutzers einholen, bevor das Tool geladen wird
- IP-Anonymisierung aktivieren
- Auftragsverarbeitungsvertrag (AVV) mit dem Anbieter abschließen
- Speicherdaür der Daten begrenzen
- In der Datenschutzerklärung ausfuhrlich informieren
Datenschutzfreundliche Alternativen wie Plausible oder Fathom arbeiten ohne Cookies und erheben keine personenbezogenen Daten. Sie können ohne Cookie-Banner eingesetzt werden, da sie keine Einwilligung erfordern.
7. SSL-Verschlüsselung: Basis-Sicherheit
Eine SSL-Verschlüsselung (erkennbar am Schloss-Symbol und “https://”) ist Pflicht für jede Website, die personenbezogene Daten erhebt. Das schließt praktisch jede Website mit Kontaktformular ein.
Die meisten Hosting-Anbieter stellen kostenlose SSL-Zertifikate über Let’s Encrypt bereit. Prufen Sie, ob Ihre Website vollständig per HTTPS erreichbar ist und ob alle Unterseiten korrekt weitergeleitet werden.
8. Social-Media-Plugins und eingebettete Inhalte
Klassische Social-Media-Buttons übertragen bei der herkömmlichen Einbindung bereits beim Seitenaufruf Daten an Facebook, Twitter und Co. Das ist ohne Einwilligung nicht zulässig. Gleiches gilt für eingebettete YouTube-Videos und Google Maps.
Losungsansatze:
- Shariff-Losung: Social-Media-Buttons, die erst bei Klick eine Verbindung herstellen
- 2-Klick-Losung: Erst ein Vorschaubild anzeigen, Video erst nach Klick laden
- Cookie-Consent: Externe Inhalte erst nach Einwilligung laden
Haeufige DSGVO-Verstösse auf einen Blick
| Verstoß | Risiko |
|---|---|
| Google Fonts wird extern geladen | Abmahnung (bekanntes Urteil LG Munchen) |
| Cookie-Banner ohne echte Ablehnmöglichkeit | Bussgeld |
| Veraltete Datenschutzerklärung | Abmahnung |
| Kontaktformular ohne Datenschutz-Verweis | Bussgeld |
| Google Analytics ohne vorherige Einwilligung | Bussgeld |
| Kein SSL-Zertifikat trotz Kontaktformular | Abmahnung |
| Eingebettete Google Maps ohne Einwilligung | Abmahnung |
Fazit: DSGVO-Konformität ist kein Luxus
Kernaussage: Die Einhaltung der DSGVO ist keine optionale Fleissarbeit, sondern eine rechtliche Pflicht und gleichzeitig ein Vertraünssignal an Ihre Besucher.
Die wichtigsten Punkte zusammengefasst:
- Impressum vollständig und erreichbar
- Datenschutzerklärung aktüll und für jeden eingesetzten Dienst
- Cookie-Consent korrekt umgesetzt mit echter Ablehnmöglichkeit
- Kontaktformulare datenschutzkonform
- Google Fonts lokal eingebunden
- Analyse-Tools nur mit Einwilligung
- SSL-Verschlüsselung aktiv
- Externe Inhalte erst nach Einwilligung laden
Wer transparent mit Daten umgeht, wirkt serioser und professioneller, was sich positiv auf die Wahrnehmung Ihrer gesamten Website auswirkt.
Als Webentwickler in Mönchengladbach achte ich bei jedem Projekt von Anfang an auf DSGVO-Konformität: lokale Schriften, datenschutzfreundliche Lösungen und korrekte Einwilligungsmechanismen. So können Sie sich auf Ihr Kerngeschaft konzentrieren, ohne sich um Abmahnungen sorgen zu müssen.
Brauchen Sie Hilfe bei Ihrer Website?
Lassen Sie uns in einem kostenlosen Erstgespräch besprechen, wie ich Ihnen helfen kann.
Kontakt aufnehmen