Die Datenschutz-Grundverordnung – kurz DSGVO – ist seit Mai 2018 in Kraft und hat die Art und Weise, wie Unternehmen mit personenbezogenen Daten umgehen müssen, grundlegend verändert. Sieben Jahre nach ihrer Einführung stellen wir fest: Viele kleine und mittlere Unternehmen (KMU) haben ihre Websites nach wie vor nicht vollständig DSGVO-konform gestaltet. Das ist riskant – die Behörden werden zunehmend aktiver, und Abmahnungen durch Wettbewerber sind keine Seltenheit mehr. In diesem Artikel erfahren Sie, worauf es 2025 ankommt.
Wichtiger Hinweis: Dieser Artikel vermittelt allgemeine Informationen zum Thema DSGVO und ersetzt keine Rechtsberatung. Bei konkreten Rechtsfragen wenden Sie sich bitte an einen auf Datenschutzrecht spezialisierten Anwalt oder an Ihren Datenschutzbeauftragten.
Was ist die DSGVO und warum ist sie für Ihre Website relevant?
Die DSGVO (Verordnung (EU) 2016/679) ist eine europäische Datenschutzverordnung, die den Umgang mit personenbezogenen Daten von EU-Bürgern regelt. Personenbezogene Daten sind alle Informationen, die eine natürliche Person direkt oder indirekt identifizierbar machen – also Name, E-Mail-Adresse, IP-Adresse, Standortdaten und vieles mehr.
Für Ihre Website bedeutet das: Sobald Besucher Ihre Seite aufrufen, werden automatisch Daten verarbeitet. Schon das Speichern einer IP-Adresse im Server-Log ist eine Datenverarbeitung im Sinne der DSGVO. Dazu kommen Kontaktformulare, Newsletter-Anmeldungen, Analyse-Tools wie Google Analytics und externe Dienste wie Google Fonts oder YouTube-Einbettungen. All das unterliegt den strengen Anforderungen der Verordnung.
Die DSGVO gilt grundsätzlich für alle Unternehmen, die Daten von EU-Bürgern verarbeiten – unabhängig davon, wo das Unternehmen selbst ansässig ist. Als Kleinunternehmer in Sachsen sind Sie also genauso betroffen wie ein internationaler Konzern.
Die wichtigsten DSGVO-Anforderungen für Websites
Datenschutzerklärung
Jede Website, die personenbezogene Daten verarbeitet, benötigt eine vollständige und aktuelle Datenschutzerklärung. Diese muss leicht auffindbar sein – üblicherweise im Footer jeder Seite verlinkt. Inhaltlich muss sie erklären, welche Daten zu welchem Zweck verarbeitet werden, auf welcher Rechtsgrundlage (Art. 6 DSGVO), wie lange die Daten gespeichert werden, welche Rechte Betroffene haben und ob Daten an Dritte weitergegeben oder in Drittländer übermittelt werden.
Ein häufiger Fehler: Die Datenschutzerklärung wurde einmal erstellt und seitdem nie mehr aktualisiert. Haben Sie seit der letzten Überarbeitung neue Tools eingebunden (z. B. ein neues Chat-Widget, Google Maps, einen Instagram-Feed)? Dann müssen diese Dienste in der Datenschutzerklärung erwähnt werden.
Cookie-Banner & Einwilligungen
Cookies, die nicht technisch notwendig sind – also Marketing-Cookies, Analyse-Cookies und ähnliche – dürfen erst nach ausdrücklicher Einwilligung des Nutzers gesetzt werden. Das Urteil des Europäischen Gerichtshofs (EuGH) von 2019 und spätere Entscheidungen der deutschen Aufsichtsbehörden haben das eindeutig klargestellt.
Was bedeutet das konkret? Ihr Cookie-Banner muss eine echte Wahlmöglichkeit bieten. Die Buttons "Alle akzeptieren" und "Ablehnen" müssen gleichwertig präsentiert werden – ein kleines "Ablehnen"-Link neben einem großen grünen "Akzeptieren"-Button genügt nicht. Vorausgewählte Häkchen sind ebenfalls unzulässig. Die erteilten Einwilligungen müssen dokumentiert und nachweisbar sein.
Kontaktformulare & Datenverarbeitung
Jedes Kontaktformular auf Ihrer Website verarbeitet personenbezogene Daten. Dabei sind mehrere Punkte zu beachten: Erstens benötigen Sie eine Rechtsgrundlage für die Verarbeitung – bei Kontaktformularen ist das in der Regel das berechtigte Interesse (Art. 6 Abs. 1 lit. f DSGVO) oder die Vorbereitung eines Vertragsabschlusses. Zweitens müssen die übermittelten Daten sicher übertragen werden (SSL/TLS-Verschlüsselung ist Pflicht). Drittens müssen Sie im Formular oder in dessen Nähe auf Ihre Datenschutzerklärung hinweisen.
Wenn Sie Formulardaten per E-Mail erhalten, beachten Sie auch die Aufbewahrungsfristen: Geschäftliche Korrespondenz unterliegt Aufbewahrungspflichten (in der Regel 6–10 Jahre), nach deren Ablauf die Daten gelöscht werden müssen.
Google Analytics & externe Dienste
Google Analytics ist das meistgenutzte Web-Analyse-Tool – und gleichzeitig eines der häufigsten DSGVO-Probleme auf deutschen Websites. Nach einer Entscheidung der österreichischen Datenschutzbehörde (die für den gesamten europäischen Raum richtungsweisend ist) ist die Nutzung von Google Analytics in seiner Standardkonfiguration nicht DSGVO-konform, da Daten in die USA übermittelt werden.
Google hat mit Google Analytics 4 (GA4) und der Möglichkeit zur IP-Anonymisierung sowie serverseitigem Tagging Anpassungen vorgenommen. Dennoch empfiehlt sich eine rechtliche Prüfung. Alternativen wie Matomo (selbst gehostet) oder Plausible sind datenschutzfreundlichere Optionen. Ähnliches gilt für Google Fonts, wenn diese direkt von Google-Servern geladen werden – das LG München hat dies 2022 als DSGVO-Verstoß eingestuft. Lösung: Fonts lokal hosten.
DSGVO-Checkliste für KMU
Nutzen Sie diese Checkliste für eine erste Selbstprüfung Ihrer Website:
Checkliste: DSGVO-Compliance für Ihre Website
- Datenschutzerklärung vorhanden und aktuell: Alle genutzten Dienste und Tools sind erwähnt, Rechtsgrundlagen sind angegeben.
- SSL-Zertifikat aktiv: Die Website ist ausschließlich über HTTPS erreichbar (kein unverschlüsseltes HTTP).
- Cookie-Banner DSGVO-konform: Nicht-notwendige Cookies werden erst nach Einwilligung gesetzt; Ablehnen ist ebenso einfach wie Akzeptieren.
- Google Fonts lokal gehostet: Keine direkte Verbindung zu Google-Servern beim Laden von Schriftarten.
- Impressum vollständig: Alle Pflichtangaben gemäß § 5 TMG sind vorhanden und von jeder Seite erreichbar.
- Kontaktformulare abgesichert: Hinweis auf Datenschutzerklärung, SSL-Verschlüsselung, SPAM-Schutz (z. B. Honeypot statt Google reCAPTCHA).
- Auftragsdatenverarbeitungsvertrag (AVV): Mit allen Dienstleistern, die personenbezogene Daten in Ihrem Auftrag verarbeiten, besteht ein AVV.
- Eingebettete externe Inhalte geprüft: YouTube-Videos, Google Maps, Social-Media-Buttons – diese dürfen nur mit Einwilligung oder per 2-Klick-Lösung eingebunden sein.
Häufige Fehler und ihre Folgen
In der Praxis begegnen uns immer wieder dieselben DSGVO-Verstoß-Muster. Fehlende oder veraltete Datenschutzerklärungen sind der Klassiker: Die Seite wurde 2019 mit einem Muster-Text ausgestattet, seitdem wurden fünf neue Plugins installiert – keines davon erwähnt. Das kann als Ordnungswidrigkeit gewertet werden.
Nichts-sagender Cookie-Banner: Viele Websites zeigen einen Banner mit dem Text "Wir nutzen Cookies, um Ihr Erlebnis zu verbessern" und einem einzigen "OK"-Button. Das genügt nicht. Es fehlt die Möglichkeit zur Ablehnung nicht-notwendiger Cookies.
Google Maps direkt eingebunden: Wer Google Maps als iFrame auf der Kontaktseite einbindet, ohne vorherige Einwilligung einzuholen, übermittelt bereits beim Seitenaufruf Daten an Google. Lösung: 2-Klick-Variante oder serverseitiges Rendern des Kartenausschnitts als statisches Bild mit Link.
Die Folgen von DSGVO-Verstößen können empfindlich sein: Bußgelder von Datenschutzbehörden (die Landesdatenschutzbehörden sind in Deutschland zuständig), Abmahnungen durch Wettbewerber oder Verbände sowie Imageschaden bei Kunden, die zunehmend datenschutzsensibel sind. Auch wenn KMU in der Praxis seltener mit Bußgeldern in Millionenhöhe konfrontiert werden als Großkonzerne: Das Risiko ist real.
Fazit: DSGVO als Chance
Es wäre falsch, die DSGVO ausschließlich als lästige Pflicht zu betrachten. Datenschutz ist ein Qualitätsmerkmal. Wer transparent mit Nutzerdaten umgeht, signalisiert Seriosität und baut Vertrauen auf. Gerade in einem lokalen Markt – wie dem Raum Chemnitz und Limbach-Oberfrohna – entscheiden oft weiße Handschuhe und Vertrauen über den Geschäftserfolg.
Eine DSGVO-konforme Website ist zudem oft auch eine technisch bessere Website: schnellere Ladezeiten (durch lokal gehostete Ressourcen statt externer CDNs), klarere Nutzerkommunikation und eine sauberere Codebase. Der Aufwand, Ihre Website DSGVO-konform zu gestalten, zahlt sich also mehrfach aus.
Sie sind unsicher, ob Ihre Website den Anforderungen entspricht? Sprechen Sie uns an – wir überprüfen Ihre Website und entwickeln eine rechtssichere Lösung für Sie.