Was ist die DSGVO und wen betrifft sie?
Die Datenschutz-Grundverordnung (DSGVO) ist eine EU-Verordnung, die seit Mai 2018 den Umgang mit personenbezogenen Daten regelt. Sie gilt für jedes Unternehmen, das eine Website betreibt und von EU-Bürgern aufgerufen werden kann. Ob Selbstständiger, Handwerksbetrieb oder Mittelständler: Wer eine Website hat, muss die DSGVO einhalten.
Das bedeutet konkret: Jede Website, die ein Kontaktformular hat, Besucher trackt, Newsletter verschickt oder auch nur Schriften von externen Servern lädt, verarbeitet personenbezogene Daten. Und diese Verarbeitung muss den Regeln der DSGVO entsprechen. Unser kostenloser DSGVO-Check prüft die 8 wichtigsten Punkte in 2 Minuten.
Gut zu wissen: Der Check läuft komplett in deinem Browser. Es werden keine Daten an einen Server gesendet, keine Cookies gesetzt und keine Anmeldung benötigt.
Die 8 häufigsten DSGVO-Verstöße auf Websites
Die meisten Websites in Deutschland verstoßen gegen mindestens einen DSGVO-Pflichtpunkt. Hier sind die acht häufigsten Probleme, die unser DSGVO-Check abfragt.
1. Unvollständiges Impressum
Jede geschäftliche Website braucht ein Impressum nach § 5 DDG (ehemals § 5 TMG) mit vollständigem Namen, Anschrift, E-Mail-Adresse und Telefonnummer. Bei juristischen Personen kommen Rechtsform, Vertretungsberechtigte, Registergericht und Registernummer hinzu. Steht auf deiner Website noch "§ 5 TMG"? Das ist seit Mai 2024 veraltet und sollte auf "§ 5 DDG" geändert werden. Fehlt das Impressum komplett, drohen bis zu 50.000 Euro Bußgeld.
2. Fehlende oder unvollständige Datenschutzerklärung
Die Datenschutzerklärung muss erklären, welche personenbezogenen Daten erhoben werden, zu welchem Zweck und auf welcher Rechtsgrundlage. Sie muss von jeder Seite aus erreichbar sein, typischerweise über einen Link im Footer. Pflichtinhalte sind: Verantwortlicher, Datenarten, Zweck, Rechtsgrundlage, Speicherdauer, Betroffenenrechte und zuständige Aufsichtsbehörde.
3. Cookie-Banner ohne echten Ablehnen-Button
Ein Cookie-Banner, das nur einen "OK"- oder "Alle akzeptieren"-Button hat, ist rechtswidrig. Seit dem EuGH-Urteil C-252/23 (Planet49) muss ein gleichwertiger "Ablehnen"-Button auf der ersten Ebene vorhanden sein. Gleiche Größe, gleiche Farbe, gleiche Position. Ein versteckter Link im Kleingedruckten oder ein "Einstellungen"-Button, der auf eine zweite Seite führt, reicht nicht.
4. Google Fonts von externen Servern
Google Fonts sind auf Millionen von Websites im Einsatz. Werden sie direkt von Google-Servern geladen, wird bei jedem Seitenaufruf die IP-Adresse deiner Besucher an Google in die USA übermittelt. Ohne vorherige Einwilligung ist das ein DSGVO-Verstoß. Seit dem LG-München-Urteil (Az. 3 O 17493/20) verschicken Abmahnanwälte standardisierte Abmahnungen mit rund 100 Euro pro betroffenem Besucher. Die Lösung ist einfach: Schriften herunterladen und vom eigenen Server laden.
Klingt kompliziert? Bei KI-WebSichtbar sind Google Fonts ab Werk lokal eingebunden. Kein Datentransfer, kein Risiko.
Jetzt anfragen5. Kein SSL/HTTPS
Art. 32 DSGVO fordert "angemessene technische Maßnahmen" zum Schutz personenbezogener Daten. Eine SSL-Verschlüsselung (erkennbar am "https://" und dem Schloss-Symbol in der Adressleiste) ist Pflicht für jede Website, die personenbezogene Daten verarbeitet. Auch ein einfaches Kontaktformular zählt dazu. Ohne SSL zeigen Browser eine "Nicht sicher"-Warnung, und Google stuft die Seite im Ranking herab.
6. Fehlende AV-Verträge
Jeder Dienstleister, der in deinem Auftrag personenbezogene Daten verarbeitet, braucht einen Auftragsverarbeitungsvertrag (AV-Vertrag) nach Art. 28 DSGVO. Das betrifft deinen Hosting-Anbieter, deinen Newsletter-Dienst, dein Analytics-Tool, dein CRM und jeden anderen externen Service. Die meisten Anbieter stellen AV-Verträge als Download bereit. Du als Websitebetreiber bist verantwortlich dafür, diese abzuschließen.
7. Unverschlüsselter Kontaktformular-Versand
Viele Kontaktformulare senden die eingegebenen Daten unverschlüsselt per E-Mail an den Websitebetreiber. Das ist ein DSGVO-Verstoß, wenn personenbezogene Daten wie Name und E-Mail-Adresse im Klartext versendet werden. Besser: Formulardaten über eine verschlüsselte Verbindung (HTTPS) an den Server senden und dort verarbeiten. Oder eine TLS-verschlüsselte E-Mail-Übertragung sicherstellen.
8. Tracking ohne vorherige Einwilligung
Google Analytics, Facebook Pixel, Hotjar und ähnliche Tracking-Tools dürfen erst aktiviert werden, nachdem der Besucher aktiv zugestimmt hat. Vorher darf kein Skript geladen werden, das Daten an Dritte übermittelt. Viele Websites laden Tracking-Skripte direkt beim Seitenaufruf, noch bevor der Besucher das Cookie-Banner gesehen hat. Das ist eindeutig rechtswidrig.
Was kostet ein DSGVO-Verstoß?
DSGVO-Verstöße können teuer werden. Die Bußgelder richten sich nach Art und Schwere des Verstoßes. Hier eine Übersicht der typischen Kosten für KMU und Selbstständige.
| Verstoß | Typische Kosten | Rechtsgrundlage |
|---|---|---|
| Fehlendes Impressum | Bis zu 50.000 EUR Bußgeld | § 5 DDG, § 33 DDG |
| Google Fonts extern | ~100 EUR pro Besucher | LG München I, 3 O 17493/20 |
| Cookie-Banner ohne Ablehnen | 500 bis 5.000 EUR | DSGVO Art. 83, TDDDG |
| Fehlende Datenschutzerklärung | 500 bis 10.000 EUR | DSGVO Art. 13/14 |
| Fehlende AV-Verträge | Bußgeld nach Ermessen | DSGVO Art. 28, Art. 83 |
| Kein SSL bei Formularen | Bußgeld + Vertrauensverlust | DSGVO Art. 32 |
| Tracking ohne Einwilligung | Bis zu 300.000 EUR | DSGVO Art. 83, TDDDG § 25 |
| Unverschlüsselter E-Mail-Versand | Bußgeld nach Ermessen | DSGVO Art. 32 |
Besonders gefährlich: Serienabmahnungen bei Google Fonts. Abmahnanwälte scannen automatisiert tausende Websites und verschicken standardisierte Abmahnungen. Bei 100 Seitenaufrufen pro Tag kann das schnell in die Tausende gehen.
Wichtig: Seit 2024 gehen Datenschutzbehörden verstärkt gegen KMU vor. Die Zeiten, in denen nur Großkonzerne ins Visier genommen wurden, sind vorbei. Auch Handwerksbetriebe und Einzelunternehmer erhalten Abmahnungen.
Deine Website ist nicht DSGVO-konform? Wir bauen dir eine, die ab Werk alles richtig macht. Festpreis ab 1.499 EUR, fertig in 24 bis 48 Stunden.
Kostenloses ErstgesprächDSGVO-Konformität selbst herstellen: Die wichtigsten Schritte
Wenn dein DSGVO-Check Lücken aufgezeigt hat, kannst du viele Punkte selbst beheben. Hier die Kurzanleitung für die häufigsten Probleme.
- Impressum aktualisieren: Alle Pflichtangaben nach § 5 DDG einfügen. Den Verweis auf "TMG" durch "DDG" ersetzen.
- Datenschutzerklärung erstellen: Einen Datenschutzgenerator nutzen (z.B. von der Kanzlei Dr. Schwenke oder e-recht24) und alle eingesetzten Dienste auflisten.
- Cookie-Banner korrigieren: Einen gleichwertigen Ablehnen-Button auf die erste Ebene setzen. Consent-Management-Tools wie Cookiebot oder Borlabs Cookie helfen dabei.
- Google Fonts lokal einbinden: Schriften über google-webfonts-helper herunterladen und per @font-face vom eigenen Server laden.
- SSL aktivieren: Bei deinem Hosting-Anbieter ein SSL-Zertifikat aktivieren (Let's Encrypt ist kostenlos). HTTP auf HTTPS umleiten.
- AV-Verträge abschließen: Bei jedem Dienstleister den AV-Vertrag herunterladen und unterzeichnen.
- Formular-Versand prüfen: Sicherstellen, dass Formulardaten über HTTPS übertragen werden und nicht unverschlüsselt per E-Mail rausgehen.
- Tracking erst nach Consent laden: Alle Analytics- und Marketing-Skripte erst nach expliziter Zustimmung im Cookie-Banner einbinden.
Klingt nach viel Arbeit? Ist es auch, wenn du es bei einer bestehenden Website nachträglich beheben musst. Bei einem Neubau lässt sich das von Anfang an richtig machen.