DSGVO-Webseite-Checkliste für KMU: kurz, konkret, ohne Anwalts-Pose

DSGVO-Texte sind meistens zwei Sachen: lang und vorsichtig. Wir machen es anders: kurz und konkret. Was Sie als KMU-Betreiber tatsächlich auf Ihrer Webseite haben (oder nicht haben) sollten.

Disclaimer: Wir sind keine Anwälte. Diese Liste ist gebauter Standard, basierend auf der Praxis hunderter Audits. Im Zweifel einen Datenschutzbeauftragten fragen. Die wirklich teuren Bußgelder kommen meist nicht von der DSGVO selbst, sondern davon dass Abmahn-Kanzleien die einfachen Fehler systematisch jagen.

Die 12-Punkte-Checkliste

1. Impressum mit korrekter Anbieterkennzeichnung

Pflicht. § 5 DDG (früher TMG). Vollständiger Name, Anschrift, Vertretungsberechtigte, Kontakt (Telefon + E-Mail), Handelsregister- Nummer falls vorhanden, USt-IdNr falls B2B.

Häufiger Fehler: Impressum als PDF-Link oder im Footer-Kleingedruckten versteckt. Es muss zwei-Klick-erreichbar von jeder Seite sein.

2. Datenschutzerklärung

Pflicht. Art. 13 DSGVO. Wer verarbeitet welche Daten zu welchem Zweck wie lange.

Häufiger Fehler: Generische Datenschutzerklärung kopiert, die Plugins / Tools erwähnt, die Sie gar nicht nutzen. Im Audit-Fall peinlich.

3. SSL/HTTPS auf jeder Seite

Pflicht. Art. 32 DSGVO „Stand der Technik”. Ein nicht-verschlüsselter Login oder Kontaktformular ist heute eine Sicherheitslücke.

Check: in der Browser-Leiste steht https:// mit Schloss-Symbol. Wenn nicht: SOFORT umstellen, das ist 2026 nicht mehr akzeptabel.

4. Cookie-Banner (nur wenn Sie Cookies setzen)

Pflicht wenn Sie nicht-essenzielle Cookies setzen (Tracking, Marketing, externe Embeds). Banner muss vor dem Setzen aller zustimmungspflichtigen Cookies erscheinen und „Ablehnen” muss genauso prominent wie „Akzeptieren” sein.

Häufiger Fehler: „Akzeptieren”-Button bunt, „Ablehnen” grau im Kleingedruckten. Das ist seit BGH-Urteil 2020 abmahnfähig.

Bessere Lösung: Cookie-frei bleiben. Wenn Sie keine Tracker einbinden, brauchen Sie keinen Banner. Das ist unser Standard bei bk-innosoft.

5. Kontaktformular mit Doppel-Opt-In-freier Datennutzung

Wenn Sie nur E-Mail + Name erfragen für eine Anfrage, brauchen Sie keinen Doppel-Opt-In. Sie brauchen aber:

• Datenschutz-Hinweis direkt am Formular
• Klare Zweck-Angabe („für die Bearbeitung Ihrer Anfrage”)
• Keine Pflicht-Felder für nicht zweckdienliche Daten

6. Newsletter: nur mit Doppel-Opt-In

Pflicht. § 7 UWG + Art. 6 DSGVO. Newsletter-Anmeldung muss per Bestätigungs-Mail validiert werden. Kein „direkt aus dem Bestellprozess mit-anmelden”.

7. Google Maps / YouTube / Spotify-Embeds

Diese laden Daten zu externen Servern beim Seitenaufruf. Ohne Einwilligung = DSGVO-Verstoß. Lösung:

• Click-to-Activate (Cover-Image, lädt erst nach User-Klick)
• ODER Einwilligung über Cookie-Banner vorab
• ODER lokal hosten (z.B. statisches Map-Bild)

Wir nutzen für eigene Maps OpenStreetMap mit Click-to-Activate, DSGVO-clean ohne Cookie-Stress.

8. Google Fonts lokal hosten

Pflicht seit LG-München-Urteil 2022. Google Fonts vom Google-CDN laden = IP an Google = Einwilligung nötig. Lösung: Fonts lokal hosten (woff2 im Public-Ordner) oder selbstgehostete Alternative (Bunny Fonts proxy, Google Fonts Open-Source-Kopien).

Bußgeld-Risiko: 100 € pro Fall, abmahnfähig. Quick-Win: Self-hosting innerhalb einer Stunde umzusetzen.

9. Analytics: Plausible statt Google Analytics

Empfehlung. Google Analytics in DE ist kompliziert (Privacy Shield ungültig, EU-USA-Datenschutzrahmen mit Restrisiko). Plausible, Matomo (selbstgehostet) oder Fathom sind Cookie-frei und einwilligungsfrei.

Bei uns: Plausible im Starter-Paket inklusive. Aggregierte Visitor-Stats, keine personenbezogenen Daten, kein Cookie-Banner.

10. Server-Standort EU

Pflicht-Empfehlung. Auch wenn nicht streng vorgeschrieben: wer Server in den USA hostet, hat im Audit ein längeres Erklärungs- Problem. Vercel hat EU-Regions (Frankfurt etc.), unser Hosting läuft in Deutschland.

11. Auftragsverarbeitungs-Vertrag (AVV)

Pflicht mit jedem Dienstleister, der personenbezogene Daten verarbeitet: Hosting-Provider, E-Mail-Versand, Newsletter-Tool, Cloud-Backup, etc. AVV muss schriftlich vorliegen (Mail reicht).

Häufiger Fehler: Bei uns auch früher gesehen. Kein AVV mit dem WordPress-Hoster. Beim Audit: peinlich. Heute Standard.

12. Recht auf Auskunft + Löschung

Nutzer haben ein Recht auf Auskunft (Art. 15) und Löschung (Art. 17) ihrer Daten. Sie müssen das technisch + organisatorisch ermöglichen können.

Praxis: Für eine reine Marketing-Webseite ist das selten relevant. Nur Kontaktformular-Anfragen sind personenbezogene Daten. Diese werden nach Bearbeitung sowieso gelöscht oder im E-Mail-Postfach archiviert.

Die typischen Abmahn-Themen 2026

Abmahn-Kanzleien jagen 2026 vor allem:

• Google Fonts vom CDN (Quick-Win Fix)
• Cookie-Banner mit Dark-Patterns (Ablehnen-Button verbergen)
• Google Analytics ohne korrekte Einwilligung
• Fehlende oder generische Datenschutzerklärung

Das sind genau die Punkte, die Sie binnen 1–2 Stunden fixen können, oder die wir bei jeder neuen bk-innosoft-Webseite automatisch korrekt aufsetzen.

Was Sie heute Nachmittag tun könnten

1. Prüfen: lädt Ihre Webseite Google Fonts vom Google-CDN? Browser- Devtools → Network → nach „fonts.gstatic.com” filtern. Wenn ja: lokal hosten lassen.
2. Cookie-Banner-Test: Inkognito-Fenster → Ihre Seite öffnen → ist „Ablehnen” sofort sichtbar oder versteckt? Wenn versteckt: ändern.
3. Datenschutzerklärung scannen: erwähnt sie Tools, die Sie nicht mehr nutzen? Updaten.
4. AVV-Übersicht erstellen: mit welchen Dienstleistern haben Sie Verträge? Wo fehlen welche?

Nächster Schritt

Wenn Sie wissen wollen, ob Ihre Webseite DSGVO-konform ist, fordern Sie unseren kostenlosen Webseiten-Schnellcheck an. Wir gehen die Punkte 1–12 für Sie durch und sagen, was zu tun ist. Kostenlos, unverbindlich, kein Verkaufsanruf danach.