Vorab, damit es klar ist: Ich bin kein Rechtsanwalt, und dieser Beitrag ersetzt keine Rechtsberatung. Ich baue Websites seit Jahren datensparsam und erlebe, wo Betriebe in die typischen Fallen tappen. Genau diese praktischen Punkte fasse ich hier zusammen — die verbindliche Prüfung im Einzelfall bleibt Ihrem Anwalt vorbehalten.
1. Impressum — vollständig und auffindbar
Das Impressum ist die Pflichtangabe, die am schnellsten kontrolliert wird. Es muss von jeder Unterseite mit einem Klick erreichbar sein und Ihre vollständigen Angaben enthalten: Name beziehungsweise Firma, Rechtsform, Anschrift, Kontaktmöglichkeit und — je nach Rechtsform — Registergericht und Registernummer sowie die Umsatzsteuer-Identifikationsnummer, falls vorhanden.
Der häufigste Fehler bei reglementierten Berufen: Ärzte, Anwälte und Steuerberater müssen zusätzlich berufsrechtliche Angaben machen — die zuständige Kammer, die gesetzliche Berufsbezeichnung samt Verleihungsstaat und die berufsrechtlichen Regelungen. Ein Impressums-Generator vergisst diese Sonderfälle gern. Prüfen Sie die Ausgabe deshalb kritisch.
2. Datenschutzerklärung — passend zu dem, was Sie wirklich einsetzen
Eine Datenschutzerklärung muss beschreiben, welche Daten Sie zu welchem Zweck verarbeiten. Der klassische Fehler ist eine generische Vorlage, die Dienste aufzählt, die Sie gar nicht nutzen — oder umgekehrt Dienste verschweigt, die im Hintergrund laufen. Beides ist falsch. Die Erklärung muss zu Ihrer tatsächlichen Website passen: Kontaktformular, Hosting, eingebundene Karten, Analyse — nur was da ist, gehört hinein, aber das dann vollständig.
3. Cookie-Consent — nur wo er wirklich nötig ist
Ein Einwilligungs-Banner brauchen Sie nicht pauschal, sondern nur, wenn Sie Dienste einsetzen, die eine Einwilligung erfordern: Analyse-Tools, eingebettete Videos, externe Karten oder Schriften, die beim Laden Daten an Dritte übertragen. Die beste Strategie ist deshalb nicht das größte Banner, sondern die wenigsten Fremddienste. Was Sie nicht einbinden, müssen Sie auch nicht per Consent absichern.
Wo ein externer Dienst nötig ist — etwa eine Google-Karte für die Anfahrt —, lade ich ihn erst nach aktivem Klick des Besuchers. Vorher sieht man eine neutrale Vorschau. So verlässt keine Besucher-IP die Seite, bevor der Nutzer zugestimmt hat.
4. Formulare — datensparsam und transparent
Jedes Kontakt- oder Terminformular verarbeitet personenbezogene Daten. Drei Dinge gehören dazu:
- Datensparsamkeit: Fragen Sie nur ab, was Sie wirklich brauchen. Für eine Rückrufbitte genügt Name und Telefonnummer — nicht das Geburtsdatum.
- Transparenz: Ein kurzer Hinweis mit Link zur Datenschutzerklärung, was mit den Daten passiert.
- Sichere Übertragung: Das Formular läuft über eine verschlüsselte Verbindung (HTTPS) und die Daten landen nicht bei einem Drittdienst, der nicht abgesichert ist.
Gerade bei Gesundheits- oder Mandatsdaten ist besondere Vorsicht geboten — solche Informationen gehören selten in ein einfaches Webformular.
5. AVV — Verträge mit Ihren Dienstleistern
Sobald ein Dienstleister in Ihrem Auftrag personenbezogene Daten verarbeitet, brauchen Sie mit ihm einen Vertrag zur Auftragsverarbeitung (AVV). Das betrifft praktisch jeden Hosting-Anbieter, aber auch Newsletter-, Formular- und Analysedienste. Viele Anbieter stellen den AVV bereit oder erklären ihn für gültig, sobald Sie ihre Dienste nutzen — Sie müssen ihn nur einmal ablegen und in Ihrer Datenschutzerklärung berücksichtigen. Fehlt er, ist der Datenschutz auf dem Papier lückenhaft, auch wenn technisch alles sauber läuft.
6. Google Fonts lokal einbinden
Ein Klassiker unter den Abmahngründen: Werden Google Fonts direkt von Googles Servern geladen, überträgt der Browser beim Seitenaufruf die IP-Adresse des Besuchers an Google — ohne Einwilligung. Die Lösung ist einfach: Die Schriften werden einmal heruntergeladen und lokal vom eigenen Server ausgeliefert. Dann verlässt keine Besucher-IP Ihre Seite, und Sie brauchen dafür kein Consent-Banner. Ich binde Schriften grundsätzlich lokal ein — das Gleiche gilt sinngemäß für andere externe Ressourcen wie Icon-Bibliotheken.
Der rote Faden: DSGVO auf der Website ist zu 80 Prozent eine Frage der Sparsamkeit. Jeder externe Dienst, den Sie nicht einbinden, ist eine Einwilligung, die Sie nicht einholen, ein Vertrag, den Sie nicht brauchen, und ein Abmahnrisiko, das Sie nicht haben. Ich baue deshalb schlank — und lade das Wenige, was extern sein muss, erst nach Klick.
Fazit
Eine DSGVO-konforme Website ist kein Hexenwerk, aber sie verzeiht keine Schludrigkeit. Die sechs Punkte dieser Liste — vollständiges Impressum, passende Datenschutzerklärung, Consent nur wo nötig, datensparsame Formulare, AVV und lokal eingebundene Schriften — decken den Großteil der Fälle ab, in denen Betriebe in der Praxis Ärger bekommen. Wenn Sie unsicher sind, ob Ihre Seite sauber ist, schaue ich beim kostenlosen Website-Check gern drauf und sage Ihnen ehrlich, wo es hakt.
