DSGVO-konforme Website 2026: Was kleine und mittlere Unternehmen wissen müssen

Bußgelder von bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes – die DSGVO kennt empfindliche Strafen für Verstöße. Doch die gute Nachricht: Mit den richtigen Maßnahmen lässt sich eine Website rechtssicher gestalten, ohne dabei die Benutzerfreundlichkeit zu opfern. Dieser Leitfaden zeigt Ihnen als Inhaber eines kleinen oder mittleren Unternehmens, welche konkreten Anforderungen 2026 gelten und wie Sie diese praktisch umsetzen.

Die Datenschutz-Grundverordnung gilt seit Mai 2018 und betrifft jede Website, die personenbezogene Daten verarbeitet. Das bedeutet: Sobald Sie ein Kontaktformular anbieten, einen Newsletter versenden oder Analyse-Tools wie Google Analytics einsetzen, müssen Sie DSGVO-konform arbeiten. Im Jahr 2025 kamen zusätzliche Anforderungen durch den EU AI Act, die NIS2-Richtlinie und verschärfte Kontrollen der Datenschutzbehörden hinzu. Die Zeiten, in denen Datenschutzverstöße bei kleinen Unternehmen ignoriert wurden, sind vorbei.

Die rechtlichen Grundlagen verstehen

Für Websites greifen zwei zentrale Regelwerke ineinander. Die DSGVO regelt den Umgang mit personenbezogenen Daten – also allen Informationen, die sich auf eine identifizierte oder identifizierbare Person beziehen. Das Telekommunikation-Telemedien-Datenschutz-Gesetz (TDDDG, früher TTDSG) regelt hingegen den Zugriff auf Endgeräte der Nutzer, beispielsweise das Setzen von Cookies.

Diese Unterscheidung ist wichtig: Selbst wenn ein Cookie keine personenbezogenen Daten speichert, benötigen Sie nach dem TDDDG eine Einwilligung, sofern der Cookie nicht technisch notwendig ist. Die Anforderungen beider Gesetze müssen Sie parallel erfüllen. Bei Missachtung des TDDDG drohen Bußgelder von bis zu 300.000 Euro – zusätzlich zu möglichen DSGVO-Strafen.

Jede Datenverarbeitung auf Ihrer Website braucht eine Rechtsgrundlage. Die häufigsten sind die Einwilligung des Nutzers, die Erfüllung eines Vertrags oder ein berechtigtes Interesse Ihrerseits. Für Tracking-Cookies und Marketing-Tools ist fast immer eine aktive Einwilligung erforderlich. Technisch notwendige Cookies für Warenkörbe oder Spracheinstellungen dürfen Sie hingegen ohne Zustimmung setzen.

Der Cookie-Banner: Mehr als ein Hinweis

Ein rechtssicherer Cookie-Banner ist 2026 deutlich mehr als ein einfacher Hinweistext. Die Datenschutzkonferenz der deutschen Aufsichtsbehörden hat klare Anforderungen formuliert, die viele bestehende Cookie-Banner nicht erfüllen.

Ein konformer Banner muss echte Wahlfreiheit bieten. Das bedeutet: Die Schaltflächen für Zustimmung und Ablehnung müssen gleichwertig gestaltet sein. Ein großer grüner Button für “Alle akzeptieren” neben einem kleinen grauen Link für “Einstellungen” reicht nicht aus. Nutzer müssen Cookies genauso einfach ablehnen können wie annehmen. Vorausgewählte Häkchen sind unzulässig – jede Einwilligung muss aktiv durch den Nutzer erfolgen.

Transparenz ist Pflicht. Der Banner muss klar benennen, welche Cookies gesetzt werden, zu welchem Zweck, wie lange sie gespeichert werden und an welche Drittanbieter Daten übermittelt werden. Allgemeine Formulierungen wie “Wir nutzen Cookies zur Verbesserung der Nutzererfahrung” genügen nicht.

Für WordPress-Websites haben sich spezialisierte Plugins etabliert. Real Cookie Banner und Borlabs Cookie sind die beiden meistgenutzten Lösungen im deutschsprachigen Raum. Beide unterstützen die rechtlichen Anforderungen der DSGVO und des TDDDG, bieten vorkonfigurierte Dienste für gängige Tools und dokumentieren Einwilligungen revisionssicher. Die Investition von 40 bis 60 Euro pro Jahr für eine professionelle Lösung ist angesichts möglicher Bußgelder mehr als gerechtfertigt.

Datenschutzerklärung richtig erstellen

Die Datenschutzerklärung ist das Herzstück Ihrer DSGVO-Compliance. Sie muss von jeder Seite Ihrer Website aus mit einem Klick erreichbar sein – üblicherweise über einen Link im Footer. Inhaltlich muss sie alle Datenverarbeitungsvorgänge vollständig und verständlich beschreiben.

Folgende Angaben sind Pflicht: Name und Kontaktdaten des Verantwortlichen, gegebenenfalls Kontaktdaten des Datenschutzbeauftragten, Zwecke und Rechtsgrundlagen der Datenverarbeitung, Empfänger der Daten, Speicherdauer, Hinweise auf Betroffenenrechte sowie das Beschwerderecht bei einer Aufsichtsbehörde. Bei Datenübermittlung in Drittländer außerhalb der EU müssen Sie zusätzlich die Garantien für ein angemessenes Datenschutzniveau erläutern.

Generatoren können einen ersten Entwurf liefern, ersetzen aber keine individuelle Anpassung. Jede Website setzt unterschiedliche Dienste ein, und die Datenschutzerklärung muss exakt widerspiegeln, was auf Ihrer konkreten Website passiert. Wenn Sie Google Analytics nutzen, muss dies beschrieben werden. Wenn Sie YouTube-Videos einbetten, gehört auch das hinein. Eine generische Vorlage, die Dienste auflistet, die Sie gar nicht verwenden, kann sogar kontraproduktiv sein.

Externe Dienste datenschutzkonform einbinden

Viele gängige Website-Funktionen laden Daten von externen Servern und übertragen dabei automatisch IP-Adressen der Besucher. Dies betrifft eingebettete YouTube-Videos, Google Maps-Karten, Social-Media-Buttons, extern gehostete Schriftarten und Analyse-Tools. Ohne Einwilligung ist diese Datenübertragung in den meisten Fällen unzulässig.

Die Lösung ist die sogenannte Zwei-Klick-Lösung oder die Integration über Ihren Cookie-Banner. Der externe Inhalt wird zunächst blockiert und erst nach aktiver Zustimmung des Nutzers geladen. Gute Cookie-Plugins bieten diese Funktion als “Content Blocker” an und ersetzen beispielsweise YouTube-Videos automatisch durch einen Platzhalter mit Hinweis.

Google Fonts verdienen besondere Aufmerksamkeit. Das Laden von Schriftarten direkt von Google-Servern hat zu tausenden Abmahnungen geführt, da dabei IP-Adressen in die USA übertragen werden. Die Lösung ist einfach: Laden Sie die benötigten Schriftarten herunter und hosten Sie diese lokal auf Ihrem eigenen Server. Bei WordPress-Websites lässt sich dies mit Plugins wie “OMGF” automatisieren.

Für Newsletter-Anmeldungen gilt das Double-Opt-in-Verfahren als Standard. Der Nutzer trägt seine E-Mail-Adresse ein und erhält anschließend eine Bestätigungsmail mit einem Link. Erst nach Klick auf diesen Link wird die Anmeldung wirksam. Dieses Verfahren dokumentiert die Einwilligung nachweisbar und schützt vor Missbrauch.

Auftragsverarbeitungs-Verträge nicht vergessen

Ein oft übersehener Aspekt: Mit jedem Dienstleister, der in Ihrem Auftrag personenbezogene Daten verarbeitet, müssen Sie einen Auftragsverarbeitungsvertrag (AVV) abschließen. Das betrifft Ihren Webhoster, Ihren Newsletter-Anbieter, Cloud-Speicher-Dienste, Analyse-Tool-Anbieter und viele weitere.

Die meisten professionellen Anbieter stellen AVVs in ihrem Kundenportal bereit oder senden diese auf Anfrage zu. Prüfen Sie Ihre Vertragsunterlagen und fordern Sie fehlende AVVs aktiv an. Ohne gültigen Vertrag ist die Datenverarbeitung durch den Dienstleister formal unzulässig – ein Verstoß, der bei Kontrollen regelmäßig aufgedeckt wird.

Deutsche Hoster bieten hier einen Vorteil: Die Daten bleiben in Deutschland, die Verträge entsprechen deutschem Recht, und der Support spricht Ihre Sprache. Bei amerikanischen Anbietern müssen Sie zusätzlich prüfen, ob ein angemessenes Datenschutzniveau gewährleistet ist – seit dem Schrems-II-Urteil keine triviale Frage.

Betroffenenrechte gewährleisten

Jeder Besucher Ihrer Website hat nach der DSGVO umfangreiche Rechte. Dazu gehören das Recht auf Auskunft über gespeicherte Daten, das Recht auf Berichtigung falscher Daten, das Recht auf Löschung, das Recht auf Einschränkung der Verarbeitung, das Recht auf Datenübertragbarkeit sowie das Widerspruchsrecht.

Wenn ein Kunde Sie kontaktiert und Auskunft über seine gespeicherten Daten verlangt, müssen Sie innerhalb eines Monats antworten. Bereiten Sie sich auf solche Anfragen vor: Wissen Sie, welche Daten in Ihrem Kontaktformular, Ihrer Newsletter-Datenbank und Ihren Analyse-Tools gespeichert werden? Können Sie diese Daten auf Anfrage zusammenstellen und gegebenenfalls löschen?

Ein Löschkonzept sollte dokumentieren, welche Daten wie lange gespeichert werden und wann sie automatisch gelöscht werden. Kontaktanfragen müssen nicht ewig aufbewahrt werden – nach Abschluss des Anliegens und Ablauf eventueller Gewährleistungsfristen sollten die Daten gelöscht werden.

Praktische Checkliste für Ihre Website

Die Umsetzung der DSGVO-Anforderungen lässt sich systematisch angehen. Beginnen Sie mit einer Bestandsaufnahme: Welche Daten werden auf Ihrer Website erhoben? Welche externen Dienste sind eingebunden? Welche Cookies werden gesetzt?

Prüfen Sie anschließend die technischen Grundlagen. SSL-Verschlüsselung ist Pflicht – Ihre URL muss mit “https://” beginnen. Google Fonts und andere externe Ressourcen sollten lokal gehostet werden. Ihr Cookie-Banner muss vor dem Laden nicht-notwendiger Cookies erscheinen und echte Wahlfreiheit bieten.

Kontrollieren Sie Ihre Rechtstexte. Impressum und Datenschutzerklärung müssen vollständig und aktuell sein. Beide Seiten müssen von jeder Unterseite aus erreichbar sein. Die Datenschutzerklärung muss alle tatsächlich verwendeten Dienste beschreiben.

Dokumentieren Sie Ihre Maßnahmen. Ein Verzeichnis der Verarbeitungstätigkeiten ist für die meisten Unternehmen Pflicht. Auch wenn Sie weniger als 20 Mitarbeiter haben und keine sensiblen Daten verarbeiten: Die Dokumentation hilft Ihnen, den Überblick zu behalten und bei Anfragen schnell reagieren zu können.

Datenschutz als Vertrauenssignal

Eine DSGVO-konforme Website ist nicht nur rechtliche Pflicht, sondern auch ein Wettbewerbsvorteil. Kunden achten zunehmend darauf, wie Unternehmen mit ihren Daten umgehen. Ein transparenter Umgang mit Datenschutz signalisiert Professionalität und schafft Vertrauen.

Die Investition in professionelle Datenschutz-Compliance zahlt sich mehrfach aus: Sie vermeiden Bußgelder und Abmahnungen, stärken das Vertrauen Ihrer Kunden und positionieren sich als seriöser Geschäftspartner. Im Vergleich zu möglichen Strafen sind die Kosten für einen rechtssicheren Cookie-Banner, eine professionelle Datenschutzerklärung und sicheres deutsches Hosting überschaubar.

Die DSGVO-Konformität ist kein einmaliges Projekt, sondern ein fortlaufender Prozess. Prüfen Sie Ihre Website regelmäßig auf neue Dienste, aktualisieren Sie Ihre Datenschutzerklärung bei Änderungen und bleiben Sie über rechtliche Entwicklungen informiert. Mit dieser systematischen Herangehensweise meistern Sie die Datenschutz-Anforderungen auch ohne juristischen Hintergrund.

Hinweis: Dieser Artikel dient der allgemeinen Information und ersetzt keine individuelle Rechtsberatung. Bei konkreten rechtlichen Fragen sollten Sie einen spezialisierten Rechtsanwalt oder Datenschutzbeauftragten konsultieren.