DSGVO-Checkliste für Ihre Website: 15 Punkte

Von Nico Merk · Co-Founder whitespace Marketing · Webdesign, Conversion, Datenschutz

Inhalt

1. Warum DSGVO-Verstöße kleine Unternehmen besonders hart treffen
2. Die 15-Punkte-Checkliste
3. Wie viel Arbeit steckt dahinter?
4. Häufige Fragen

Warum DSGVO-Verstöße kleine Unternehmen besonders hart treffen

Seit Mai 2018 gilt die Datenschutz-Grundverordnung für jede Website, die sich an Nutzer in der EU richtet — egal ob Handwerksbetrieb, Friseursalon oder Onlineshop. Die Bußgelder sind nach Unternehmensgröße gestaffelt, aber schon Verwarnungen mit Auflagen kosten Zeit und Nerven.

Was viele unterschätzen: Die häufigsten Verstöße sind keine komplexen technischen Probleme. Sie entstehen aus Unwissenheit über drei, vier konkrete Punkte. Abmahnungen wegen fehlendem Impressum oder falsch eingebundenem Google Maps passieren täglich — und lassen sich mit einer einfachen Prüfliste vermeiden.

Diese Checkliste ist kein Rechtsrat. Sie gibt Ihnen einen strukturierten Überblick über die Punkte, die bei einer Website-Überprüfung routinemäßig auffallen. Für Ihre konkrete rechtliche Situation wenden Sie sich an einen Datenschutzanwalt oder Datenschutzbeauftragten.

Zwei Hinweise vorab:

• Vollständigkeit: Die Liste deckt die typischen Pflichtfelder ab. Branchen mit besonderen Anforderungen (Gesundheit, Finanzen) haben zusätzliche Regeln.
• Stand: April 2026. Das Datenschutzrecht entwickelt sich weiter — prüfen Sie regelmäßig auf Änderungen.

Die 15-Punkte-Checkliste

Kategorie 1: Rechtliche Grundlagen

Punkt 1: Impressum vorhanden und vollständig

Was wird geprüft: Jede gewerbliche Website braucht ein Impressum — das regelt nicht die DSGVO, sondern das Telemediengesetz (§ 5 TMG). Trotzdem gehört es zu den häufigsten Abmahn-Gründen.

Pflichtangaben für Einzelunternehmer und GmbHs:

• Vollständiger Name / Firmenname
• Postanschrift (kein Postfach)
• E-Mail-Adresse
• Telefonnummer (seit BGH-Urteil 2022 Pflicht)
• Bei GmbH: Handelsregisternummer, Sitz, Geschäftsführer
• Bei Freiberuflern mit Kammerpflicht: zuständige Kammer, Berufsbezeichnung

Wo: Direkt im Footer verlinkt, in einem Klick erreichbar.

Häufiger Fehler: Nur das Kontaktformular als Erreichbarkeit angeben. Die E-Mail-Adresse muss im Klartext stehen.

Punkt 2: Datenschutzerklärung vorhanden, aktuell und vollständig

Was wird geprüft: Artikel 13 und 14 DSGVO verlangen, dass Sie Nutzer transparent darüber informieren, welche Daten Sie sammeln, zu welchem Zweck, auf welcher Rechtsgrundlage und wie lange.

Pflichtinhalte:

• Verantwortlicher (Name, Adresse)
• Welche Daten werden verarbeitet (Server-Log, Kontaktformular, Cookies, Newsletter …)
• Rechtsgrundlage je Verarbeitungsvorgang (Art. 6 DSGVO)
• Speicherdauer
• Drittanbieter und Datenübermittlung in Drittländer
• Rechte der Betroffenen (Auskunft, Löschung, Widerspruch)
• Kontakt Datenschutzbeauftragter (falls vorhanden oder gesetzlich vorgeschrieben)

Häufiger Fehler: Generierte Datenschutztexte, die nicht zum tatsächlichen Einsatz von Tools passen. Wer Google Analytics nutzt, muss das auch dort stehen haben.

Punkt 3: Datenschutzerklärung in einem Klick erreichbar

Was wird geprüft: Die Erklärung muss von jeder Seite aus direkt erreichbar sein — nicht drei Klicks tief vergraben.

Standard: Link im Footer, neben dem Impressum. Auf Landing Pages zusätzlich im Formular-Bereich.

Kategorie 2: Cookies und Tracking

Punkt 4: Cookie-Banner korrekt eingerichtet

Was wird geprüft: Nicht jede Website braucht einen Cookie-Banner — aber jede, die nicht unbedingt notwendige Cookies setzt (Analytics, Marketing, Social-Media-Pixel).

Pflichtanforderungen laut EuGH und Datenschutzbehörden:

• Ablehnen muss genauso einfach sein wie Zustimmen (gleich prominenter Button)
• Keine vorausgewählten Checkboxen für nicht-notwendige Kategorien
• Keine "Dark Patterns" (grauer Ablehnbutton, verstecktes Weiter-ohne-Zustimmung)
• Widerruf muss jederzeit möglich sein (Link im Footer: "Cookie-Einstellungen")

Häufiger Fehler: "Akzeptieren"-Button groß und farbig, "Ablehnen"-Button als kleiner Textlink. Das ist eine Dark Pattern und wurde von deutschen Datenschutzbehörden bereits abgemahnt.

Tools: Cookiebot, Borlabs Cookie, Usercentrics — alle mit DSGVO-konformer Grundeinstellung, wenn richtig konfiguriert.

Punkt 5: Google Analytics / GA4 korrekt konfiguriert

Was wird geprüft: GA4 darf nur mit gültiger Einwilligung (Opt-in) aktiviert werden. Außerdem muss die Datenübermittlung in die USA über Standardvertragsklauseln (SCCs) abgesichert sein.

Pflichtschritte:

• IP-Anonymisierung aktiviert (in GA4 Standard, aber prüfen)
• Datenfreigabe mit Google deaktiviert (Einstellungen Datenfreigabe)
• Auftragsverarbeitungsvertrag (AVV) mit Google abgeschlossen
• Cookie-Banner blockiert GA4 bis zur Einwilligung

Häufiger Fehler: GA4 lädt beim ersten Seitenaufruf, bevor der Nutzer geklickt hat. Das ist ein klarer Verstoß.

Punkt 6: Google Fonts lokal eingebunden

Was wird geprüft: Wenn Google Fonts direkt von Google-Servern geladen werden, wird die IP-Adresse des Besuchers an Google übermittelt — ohne Einwilligung. Das Landgericht München hat dafür 2022 Schadensersatz (100 €) zugesprochen.

Lösung: Schriften lokal hosten. Die Schrift-Dateien einmalig herunterladen (z. B. über google-webfonts-helper.herokuapp.com) und auf dem eigenen Server einbinden.

Test: Browser-Entwicklertools Netzwerk filtern nach "fonts.googleapis.com" oder "fonts.gstatic.com". Wenn dort Anfragen auftauchen: nicht DSGVO-konform.

Punkt 7: Externe Inhalte nur mit Einwilligung laden (YouTube, Google Maps, Social Media)

Was wird geprüft: YouTube-Videos, Google-Maps-Iframes und Social-Media-Plugins laden beim Einbetten sofort Drittanbieter-Cookies — ohne Einwilligung des Nutzers.

Lösung: Zwei-Klick-Lösung oder Consent-Wrapper. Das Video erscheint erst als Vorschaubild; mit Klick stimmt der Nutzer der Datenübermittlung zu.

Für Google Maps: Entweder Consent-Wrapper oder Alternative ohne Tracking (z. B. OpenStreetMap, statische Karte als Bild mit Link).

Kategorie 3: Formulare und Datenverarbeitung

Punkt 8: Kontaktformular mit Datenschutzhinweis

Was wird geprüft: Jedes Formular, das personenbezogene Daten erfasst, braucht einen Hinweis auf die Datenschutzerklärung direkt am Formular — nicht nur global im Footer.

Pflichttext (Muster): "Mit dem Absenden stimmen Sie der Verarbeitung Ihrer Daten zur Beantwortung Ihrer Anfrage zu. Weitere Informationen: [Datenschutzerklärung]."

Häufiger Fehler: Opt-in-Checkbox für Newsletter fehlt — oder ist vorausgewählt (beides unzulässig).

Punkt 9: SSL-Zertifikat aktiv (HTTPS)

Was wird geprüft: Alle Daten zwischen Browser und Server müssen verschlüsselt übertragen werden. Ohne HTTPS sind Formulardaten im Klartext lesbar — ein Sicherheitsproblem und faktisch ein DSGVO-Verstoß (Art. 32: technische Schutzmaßnahmen).

Test: URL in der Adressleiste. Zeigt der Browser ein Schloss-Symbol? Beginnt die URL mit https://?

Kosten: Kostenlos über Let's Encrypt, den die meisten Hoster automatisch einrichten.

Punkt 10: Auftragsverarbeitungsvertrag (AVV) mit Hosting-Anbieter

Was wird geprüft: Wenn ein externer Dienstleister (Hoster, E-Mail-Marketing-Tool, CRM) personenbezogene Daten für Sie verarbeitet, brauchen Sie einen AVV — Art. 28 DSGVO.

Betroffene Dienstleister: Hoster, Newsletter-Tool (Mailchimp, Brevo), CRM, Buchungssystem, Zahlungsanbieter.

Wo beantragen: Die meisten großen Anbieter haben fertige AVV-Vorlagen in ihren Einstellungen oder auf Anfrage. Bei Hetzner, IONOS, Strato, Mailchimp: AVV im Kundenportal abrufbar.

Kategorie 4: Besondere Verarbeitungen

Punkt 11: Newsletter mit Double-Opt-in

Was wird geprüft: Newsletter dürfen nur mit ausdrücklicher Einwilligung verschickt werden. Double-Opt-in (Bestätigungs-E-Mail) ist zwar nicht gesetzlich vorgeschrieben, aber die einzige rechtssichere Methode zum Nachweis der Einwilligung.

Pflicht: Einwilligungsnachweis speichern (Zeitstempel, IP, Formularversion).

Häufiger Fehler: Newsletter-Tool lädt beim Seitenbesuch Tracking-Pixel, bevor eine Einwilligung vorliegt.

Punkt 12: Datenschutz bei Online-Buchungssystemen und Shops

Was wird geprüft: Buchungssysteme (Calendly, SimplyBook, Bookingkit) und Shopsysteme (Shopify, WooCommerce) verarbeiten sensible Daten. Drei Punkte sind Pflicht:

• AVV mit dem Anbieter
• Datenschutzerklärung benennt das System explizit
• Zahlungsdaten: nur über PCI-DSS-zertifizierte Anbieter (Stripe, PayPal, Klarna)

Punkt 13: Löschkonzept für personenbezogene Daten

Was wird geprüft: Art. 5 Abs. 1 lit. e DSGVO verlangt, dass Daten nicht länger gespeichert werden, als nötig. In der Praxis bedeutet das: Sie brauchen klare Regeln, wie lange Sie was aufbewahren.

Typische Fristen:

• Kontaktanfragen ohne Vertragsschluss: 6 Monate
• Rechnungen / Buchungsbelege: 10 Jahre (Steuerrecht, § 147 AO)
• Newsletter-Einwilligungen: bis zum Widerruf + 3 Jahre Nachweis

Praktisch: Ein einfaches Dokument, das festhält, welche Datenkategorien wie lange aufbewahrt werden, reicht für kleine Unternehmen.

Kategorie 5: Technische Sicherheit

Punkt 14: Sichere Passwörter und Zugangsverwaltung

Was wird geprüft: Art. 32 DSGVO verlangt angemessene technische Schutzmaßnahmen. Dazu zählen sichere Passwörter für CMS, Hosting und E-Mail — und die Regelung, wer Zugang hat.

Mindeststandards:

• Passwörter: 12+ Zeichen, keine Wörterbuchbegriffe, Passwort-Manager
• Zwei-Faktor-Authentifizierung wo möglich (Hosting, Google, CMS)
• Ehemalige Mitarbeiter: Zugänge sofort nach Austritt sperren

Punkt 15: Regelmäßige Updates (CMS, Plugins, Themes)

Was wird geprüft: Veraltete Software ist das häufigste Einfallstor für Hacker. Wenn durch eine Sicherheitslücke Kundendaten abfließen, ist das ein meldepflichtiger Datenschutzverstoß (Art. 33 DSGVO: Meldung an die Behörde innerhalb von 72 Stunden).

Besonders betroffen: WordPress-Installationen mit vielen Plugins. Jedes Plugin ist ein potenzielles Sicherheitsrisiko — besonders wenn es selten gepflegt wird.

Hinweis aus unserer Praxis: In der Arbeit an über 100 Seiten für kleine Unternehmen war veraltetes WordPress mit ungepflegten Plugins der mit Abstand häufigste Sicherheitsbefund. Wir sehen regelmäßig Installationen mit 20+ Plugins, von denen ein Drittel seit mehr als einem Jahr kein Update erhalten hat. Das ist kein Einzelfall, sondern ein strukturelles Problem des Plugin-Modells.

Wie viel Arbeit steckt dahinter?

Die ehrliche Antwort: Das hängt stark davon ab, welche Technologie Ihre Website nutzt.

Eine statisch gebaute Website — also ohne Datenbank, ohne Plugin-System — hat strukturell weniger Angriffsfläche. Kein CMS bedeutet keine CMS-Updates, keine Plugin-Konflikte, kein Datenbank-Passwort, das kompromittiert werden kann. DSGVO-Punkte wie Punkt 15 (Updates) entfallen oder reduzieren sich erheblich.

Eine WordPress-Website erfordert laufende Pflege: Core-Updates, Plugin-Updates, Theme-Updates — am besten wöchentlich geprüft. Dazu Backup-Strategie, Sicherheits-Plugin, Hosting-AVV. Das ist machbar, aber es kostet Zeit.

Aus unserer Erfahrung mit kleinen Unternehmen: Die meisten Betreiber unterschätzen den laufenden Pflege-Aufwand beim Website-Start. Wer das selbst übernehmen will, sollte realistisch mit 1–2 Stunden pro Monat für Wartung rechnen — zuzüglich der Zeit für inhaltliche Pflege.

Whitespace Marketing baut alle Websites auf Astro — einem statischen Framework, das auch Google und Microsoft für ihre Entwickler-Dokumentation einsetzen. Keine Plugins, keine Datenbank, keine Update-Flut. Das vereinfacht die technische Seite der DSGVO-Compliance erheblich: Was nicht läuft, kann auch keine Sicherheitslücke haben.

Für die rechtlichen Punkte (Datenschutzerklärung, AVV, Löschkonzept) gilt: Einmal sauber aufgesetzt, brauchen diese Dokumente nur bei Änderungen im Betrieb oder neuen Tools eine Aktualisierung. Das ist kein Dauerprojekt, sondern eine Grundlage, die man einmal richtig legt.

Ein Blick auf unsere Leistungen im Bereich Webdesign zeigt, wie wir DSGVO-konforme Grundstrukturen von Beginn an einbauen — nicht als Nacharbeit.

Häufige Fragen

Brauche ich immer einen Cookie-Banner?

Nein. Wenn Ihre Website ausschließlich technisch notwendige Cookies setzt (Session-Cookie für ein Formular, kein Analytics, kein Marketing), brauchen Sie keinen Consent-Banner. Sie müssen in der Datenschutzerklärung aber trotzdem erklären, welche Cookies gesetzt werden und warum.

Ist Google Analytics noch erlaubt?

Ja, mit den richtigen Maßnahmen: Opt-in über Cookie-Banner, IP-Anonymisierung, AVV mit Google, keine Datenfreigabe an Google. Ohne diese Voraussetzungen: nein.

Was passiert, wenn ich gegen die DSGVO verstoße?

Verwarnungen, Bußgelder (gestaffelt nach Schwere und Unternehmensgröße), zivilrechtliche Schadensersatzansprüche. In der Praxis beginnen die meisten Verfahren mit einer Beschwerde bei der zuständigen Datenschutzbehörde — ausgelöst durch Mitbewerber oder unzufriedene Kunden.

Brauche ich einen Datenschutzbeauftragten?

Als kleines Unternehmen in der Regel nicht (Ausnahme: bestimmte Branchen oder wenn regelmäßig besondere Datenkategorien verarbeitet werden). Die genauen Schwellenwerte regelt Art. 37 DSGVO — im Zweifel rechtlich prüfen lassen.

Kann ich eine fertige Datenschutzerklärung aus dem Internet nutzen?

Als Ausgangsbasis ja — aber Sie müssen sie auf Ihre tatsächliche Situation anpassen. Eine generierte Erklärung, die Google Analytics erwähnt, obwohl Sie es nicht nutzen (oder umgekehrt), ist fehlerhaft und kann zu Abmahnungen führen.

Nico Merk ist Co-Founder von whitespace Marketing und betreut kleine Unternehmen beim Aufbau und der Optimierung ihrer Online-Präsenz. Dieser Artikel ersetzt keine Rechtsberatung.