Stand: Juni 2026
Die DSGVO-konforme Website — der praktische Überblick
Viele Betriebe sind unsicher, ob ihre Website sauber ist — und merken erst bei einer Abmahnung, dass etwas fehlte. Dabei lässt sich das meiste von Anfang an richtig machen. Dieser Überblick zeigt, worauf es ankommt, und verlinkt zu den Details.
Was die DSGVO von einer Website verlangt
Für jede Verarbeitung personenbezogener Daten braucht es eine Rechtsgrundlage (Art. 6 DSGVO). Es gilt der Grundsatz der Datensparsamkeit (Art. 5): erheben Sie nur, was Sie wirklich brauchen. Besucher müssen transparent informiert werden — über eine verständliche Datenschutzerklärung (Art. 13). Technische Schutzmaßnahmen wie eine TLS-Verschlüsselung sind Pflicht (Art. 32). Und für jeden Dienstleister, der in Ihrem Auftrag Daten verarbeitet (Hosting, Newsletter, Formulare), brauchen Sie einen Auftragsverarbeitungsvertrag (Art. 28).
Die vier häufigsten Stolperstellen
- Tracking ohne wirksame Einwilligung. Analyse- und Marketing-Cookies brauchen eine Einwilligung (§ 25 TDDDG). Wer ohne Banner trackt — oder ein fehlerhaftes Banner einsetzt — riskiert eine Abmahnung. → Website ohne Cookie-Banner
- Drittland-Transfer durch US-Dienste. Google Fonts, Maps, YouTube oder US-Analytics übertragen beim Laden oft unbemerkt die IP-Adresse Ihrer Besucher in die USA. → Drittland-Transfer & US-Dienste
- Hosting & Auftragsverarbeitung. Wo Ihre Daten liegen und mit wem Sie einen AVV haben, entscheidet mit über die Rechtmäßigkeit. → DSGVO-konformes Hosting
- Fehlende oder generische Datenschutzerklärung. Eine Erklärung „aus dem Generator", die nicht zur tatsächlich eingesetzten Technik passt, schützt nicht.
Wie ich das angehe
Ich baue Websites datensparsam: ohne zustimmungspflichtige Cookies, ohne extern nachgeladene Schriften oder US-Tracker, mit Hosting in Deutschland und einer Datenschutzerklärung, die zur eingesetzten Technik passt. Datenschutzfreundlichkeit ist bei mir der Standard — nicht das teure Extra.
Häufige Fragen
Braucht jede Website ein Cookie-Banner?
Nein. Ein Einwilligungs-Banner ist nur nötig, wenn zustimmungspflichtige Technologien (z. B. Tracking-Cookies) eingesetzt werden.
Sind Google Fonts ein Problem?
Dynamisch von Google nachgeladene Schriften können einen unzulässigen Drittland-Transfer auslösen. Lokal gehostete Schriften lösen das.
Reicht eine Datenschutzerklärung aus dem Generator?
Nur, wenn sie exakt zur tatsächlich verwendeten Technik passt. Generische Texte sind oft unvollständig.
Was kostet eine datenschutzfreundliche Website?
Nicht mehr als eine andere — wenn sie von Anfang an richtig gebaut wird. Siehe Was kostet eine Website?
Dieser Beitrag dient der allgemeinen Information und stellt keine Rechtsberatung dar. Für die Beurteilung Ihres konkreten Falls wenden Sie sich bitte an eine Fachanwältin/einen Fachanwalt für IT-Recht oder Ihre/n Datenschutzbeauftragte/n.