Ratgeber

Website DSGVO-konform machen. Checkliste 2026.

Datenschutz auf der eigenen Website klingt nach Bürokratie — ist aber vor allem gesunder Menschenverstand: so wenig fremde Dienste wie möglich, sauber erklärt und mit Einwilligung, wo sie nötig ist. Diese Checkliste führt Sie durch die sechs Punkte, an denen es in der Praxis am häufigsten hakt.

Vorab, damit es klar ist: Ich bin kein Rechtsanwalt, und dieser Beitrag ersetzt keine Rechtsberatung. Ich baue Websites seit Jahren datensparsam und erlebe, wo Betriebe in die typischen Fallen tappen. Genau diese praktischen Punkte fasse ich hier zusammen — die verbindliche Prüfung im Einzelfall bleibt Ihrem Anwalt vorbehalten.

1. Impressum — vollständig und auffindbar

Das Impressum ist die Pflichtangabe, die am schnellsten kontrolliert wird. Es muss von jeder Unterseite mit einem Klick erreichbar sein und Ihre vollständigen Angaben enthalten: Name beziehungsweise Firma, Rechtsform, Anschrift, Kontaktmöglichkeit und — je nach Rechtsform — Registergericht und Registernummer sowie die Umsatzsteuer-Identifikationsnummer, falls vorhanden.

Der häufigste Fehler bei reglementierten Berufen: Ärzte, Anwälte und Steuerberater müssen zusätzlich berufsrechtliche Angaben machen — die zuständige Kammer, die gesetzliche Berufsbezeichnung samt Verleihungsstaat und die berufsrechtlichen Regelungen. Ein Impressums-Generator vergisst diese Sonderfälle gern. Prüfen Sie die Ausgabe deshalb kritisch.

2. Datenschutzerklärung — passend zu dem, was Sie wirklich einsetzen

Eine Datenschutzerklärung muss beschreiben, welche Daten Sie zu welchem Zweck verarbeiten. Der klassische Fehler ist eine generische Vorlage, die Dienste aufzählt, die Sie gar nicht nutzen — oder umgekehrt Dienste verschweigt, die im Hintergrund laufen. Beides ist falsch. Die Erklärung muss zu Ihrer tatsächlichen Website passen: Kontaktformular, Hosting, eingebundene Karten, Analyse — nur was da ist, gehört hinein, aber das dann vollständig.

Ein Einwilligungs-Banner brauchen Sie nicht pauschal, sondern nur, wenn Sie Dienste einsetzen, die eine Einwilligung erfordern: Analyse-Tools, eingebettete Videos, externe Karten oder Schriften, die beim Laden Daten an Dritte übertragen. Die beste Strategie ist deshalb nicht das größte Banner, sondern die wenigsten Fremddienste. Was Sie nicht einbinden, müssen Sie auch nicht per Consent absichern.

Wo ein externer Dienst nötig ist — etwa eine Google-Karte für die Anfahrt —, lade ich ihn erst nach aktivem Klick des Besuchers. Vorher sieht man eine neutrale Vorschau. So verlässt keine Besucher-IP die Seite, bevor der Nutzer zugestimmt hat.

4. Formulare — datensparsam und transparent

Jedes Kontakt- oder Terminformular verarbeitet personenbezogene Daten. Drei Dinge gehören dazu:

  • Datensparsamkeit: Fragen Sie nur ab, was Sie wirklich brauchen. Für eine Rückrufbitte genügt Name und Telefonnummer — nicht das Geburtsdatum.
  • Transparenz: Ein kurzer Hinweis mit Link zur Datenschutzerklärung, was mit den Daten passiert.
  • Sichere Übertragung: Das Formular läuft über eine verschlüsselte Verbindung (HTTPS) und die Daten landen nicht bei einem Drittdienst, der nicht abgesichert ist.

Gerade bei Gesundheits- oder Mandatsdaten ist besondere Vorsicht geboten — solche Informationen gehören selten in ein einfaches Webformular.

5. AVV — Verträge mit Ihren Dienstleistern

Sobald ein Dienstleister in Ihrem Auftrag personenbezogene Daten verarbeitet, brauchen Sie mit ihm einen Vertrag zur Auftragsverarbeitung (AVV). Das betrifft praktisch jeden Hosting-Anbieter, aber auch Newsletter-, Formular- und Analysedienste. Viele Anbieter stellen den AVV bereit oder erklären ihn für gültig, sobald Sie ihre Dienste nutzen — Sie müssen ihn nur einmal ablegen und in Ihrer Datenschutzerklärung berücksichtigen. Fehlt er, ist der Datenschutz auf dem Papier lückenhaft, auch wenn technisch alles sauber läuft.

6. Google Fonts lokal einbinden

Ein Klassiker unter den Abmahngründen: Werden Google Fonts direkt von Googles Servern geladen, überträgt der Browser beim Seitenaufruf die IP-Adresse des Besuchers an Google — ohne Einwilligung. Die Lösung ist einfach: Die Schriften werden einmal heruntergeladen und lokal vom eigenen Server ausgeliefert. Dann verlässt keine Besucher-IP Ihre Seite, und Sie brauchen dafür kein Consent-Banner. Ich binde Schriften grundsätzlich lokal ein — das Gleiche gilt sinngemäß für andere externe Ressourcen wie Icon-Bibliotheken.

Der rote Faden: DSGVO auf der Website ist zu 80 Prozent eine Frage der Sparsamkeit. Jeder externe Dienst, den Sie nicht einbinden, ist eine Einwilligung, die Sie nicht einholen, ein Vertrag, den Sie nicht brauchen, und ein Abmahnrisiko, das Sie nicht haben. Ich baue deshalb schlank — und lade das Wenige, was extern sein muss, erst nach Klick.

Fazit

Eine DSGVO-konforme Website ist kein Hexenwerk, aber sie verzeiht keine Schludrigkeit. Die sechs Punkte dieser Liste — vollständiges Impressum, passende Datenschutzerklärung, Consent nur wo nötig, datensparsame Formulare, AVV und lokal eingebundene Schriften — decken den Großteil der Fälle ab, in denen Betriebe in der Praxis Ärger bekommen. Wenn Sie unsicher sind, ob Ihre Seite sauber ist, schaue ich beim kostenlosen Website-Check gern drauf und sage Ihnen ehrlich, wo es hakt.

Häufige Fragen

Gut zu wissen.

Ihre Frage ist nicht dabei? Schreiben Sie mir einfach — ich antworte meist innerhalb von 24 Stunden.

Nur wenn Ihre Website Dienste einsetzt, die eine Einwilligung erfordern — etwa Analyse-Tools, eingebettete Videos oder externe Karten, die beim Laden Daten übertragen. Eine schlanke Website, die technisch notwendige Cookies nutzt und externe Dienste erst nach Klick lädt, kommt oft ganz ohne Banner aus. Weniger Fremddienste heißt weniger Consent-Aufwand.

Wenn Sie Google Fonts direkt von Googles Servern laden, wird beim Seitenaufruf die IP-Adresse Ihrer Besucher an Google übertragen — das war Gegenstand von Abmahnungen. Sicherer ist, die Schriften lokal auf dem eigenen Server auszuliefern. Dann verlässt keine Besucher-IP Ihre Seite. Ich binde Schriften grundsätzlich lokal ein.

Als Grundgerüst oft ja, aber Generatoren decken Sonderfälle nicht immer ab — etwa berufsrechtliche Pflichtangaben bei Ärzten, Anwälten oder Steuerberatern. Prüfen Sie die Ausgabe kritisch und ergänzen Sie fehlende Angaben. Im Zweifel lohnt der Blick eines Fachanwalts, gerade bei reglementierten Berufen.

Ja. Sobald ein Dienstleister in Ihrem Auftrag personenbezogene Daten verarbeitet — und ein Hoster tut das —, brauchen Sie einen Vertrag zur Auftragsverarbeitung. Viele Anbieter stellen ihn bereit oder erklären ihn für gültig, sobald Sie ihre Dienste nutzen. Das gilt auch für Newsletter-, Formular- und Analysedienste.

Unsicher, ob Ihre Seite sauber ist?

Beim kostenlosen Website-Check schaue ich mir Ihre Seite an und sage Ihnen ehrlich, wo Datenschutz, Technik und Auffindbarkeit hakt — ohne Verpflichtung.

Kostenloser Website-Check Oder: Erstgespräch buchen
Kostenloses Erstgespräch buchen