DSGVO-Checkliste für deine Website

DSGVO klingt kompliziert. Muss es aber nicht sein.

Seit 2018 ist die DSGVO in Kraft. Und seitdem haben Millionen Website-Betreiber Angst vor Abmahnungen. Die gute Nachricht: Wenn du ein paar Grundregeln befolgst, bist du sicher. Hier ist deine Checkliste — ohne Juristendeutsch.

Die Checkliste: 12 Punkte die du prüfen solltest

1. SSL-Zertifikat (HTTPS)

Pflicht. Deine Firmenwebsite muss über HTTPS erreichbar sein. Das Schloss-Symbol im Browser ist nicht optional — es ist gesetzlich vorgeschrieben sobald du personenbezogene Daten verarbeitest (und ein Kontaktformular zählt schon).

Check: Beginnt deine URL mit https://? Wenn ja: erledigt.

2. Impressum

Pflicht. Jede gewerbliche Website braucht ein Impressum. Es muss von jeder Seite mit maximal 2 Klicks erreichbar sein.

Inhalt: - Vollständiger Name und Anschrift - Kontaktdaten (E-Mail, Telefon) - Handelsregisternummer (falls vorhanden) - USt-IdNr. (falls vorhanden) - Verantwortlicher für den Inhalt

3. Datenschutzerklärung

Pflicht. Eine eigene Seite die erklärt welche Daten du sammelst und warum. Muss von jeder Seite erreichbar sein (Footer-Link reicht).

Muss enthalten: - Welche Daten du erhebst - Warum (Rechtsgrundlage) - Wie lange du sie speicherst - Welche Rechte der Besucher hat - Wer Zugriff hat (Auftragsverarbeiter)

4. Cookie-Banner

Kommt drauf an. Wenn du nur technisch notwendige Cookies setzt (Session, Warenkorb), brauchst du keinen Banner. Wenn du Tracking-Cookies setzt (Google Analytics, Facebook Pixel, Marketing-Tools), brauchst du einen — mit Opt-in VOR dem Setzen.

Tipp: Die einfachste Lösung? Kein Tracking. Dann brauchst du keinen Banner.

5. Kontaktformulare

Bei jedem Formular: - Hinweis auf die Datenschutzerklärung - Nur Pflichtfelder die wirklich nötig sind (Datensparsamkeit) - Verschlüsselte Übertragung (HTTPS) - Keine vorausgefüllten Checkboxen für Newsletter

6. Google Analytics & Tracking

Achtung: Google Analytics ist datenschutzrechtlich problematisch — Daten gehen in die USA, Einwilligung ist Pflicht, und die Konfiguration ist fehleranfällig.

Alternativen: - Serverseitiges Tracking ohne Cookies - Datenschutzfreundliche Alternativen (Plausible, Fathom) - Oder einfach: verzichten und sich auf den Inhalt konzentrieren

7. Bilder und Schriften

Google Fonts: Wenn du Google Fonts von Googles Server lädst, überträgst du IP-Adressen in die USA. Lösung: Fonts lokal einbinden (auf deinem eigenen Server hosten).

Stockfotos: Lizenz prüfen. Die meisten erlauben Website-Nutzung — aber lies das Kleingedruckte.

8. Social Media Plugins

Keine „Gefällt mir"-Buttons direkt einbinden — die übertragen Daten an Facebook/Meta noch bevor jemand klickt. Stattdessen: Einfache Links zu deinen Social-Media-Profilen. Sicher und ausreichend.

9. Newsletter

Doppeltes Opt-in Pflicht. Der Nutzer meldet sich an, bekommt eine Bestätigungs-E-Mail, klickt den Link — erst dann ist er eingetragen. Abmelde-Link in jeder E-Mail.

10. Auftragsverarbeitung (AVV)

Wenn ein externer Dienstleister Zugriff auf personenbezogene Daten hat (Hoster, E-Mail-Provider, CRM), brauchst du einen AVV-Vertrag mit diesem Anbieter.

Tipp: Seriöse Anbieter bieten den AVV standardmäßig an — oft als Download im Kundenbereich.

11. Recht auf Löschung

Wenn ein Nutzer seine Daten gelöscht haben will, musst du dem nachkommen. Stelle sicher dass du weißt wo welche Daten liegen und wie du sie löschen kannst.

12. Regelmäßige Updates

DSGVO-Konformität ist kein einmaliger Check. Prüfe regelmäßig: - Sind alle eingebundenen Dienste noch konform? - Ist die Datenschutzerklärung aktuell? - Werden Daten nur so lange gespeichert wie nötig? Das gilt auch für Rechnungen — dort gelten eigene Aufbewahrungspflichten.

Die Kurzversion: 5 goldene Regeln

1. HTTPS — immer
2. So wenig Daten wie möglich sammeln
3. Keine US-Dienste die du nicht brauchst
4. Kein Tracking ohne Einwilligung
5. Transparenz — sag den Leuten was du tust

Was passiert wenn ich es nicht mache?

• Abmahnung durch Wettbewerber: 1.000–5.000 EUR (ja, das passiert)
• Bußgeld durch Datenschutzbehörde: Theoretisch bis 20 Mio EUR — praktisch bei kleinen Unternehmen 500–10.000 EUR
• Vertrauensverlust: Kunden die merken dass du es nicht ernst nimmst, kommen nicht wieder

Die einfachste Lösung

Ehrlich? Die einfachste Art DSGVO-konform zu sein: Verzichte auf alles was du nicht brauchst.

• Kein Google Analytics → kein Cookie-Banner nötig
• Kein Facebook Pixel → keine Datenübertragung in die USA
• Fonts lokal einbinden → kein Google-Server-Kontakt
• Deutsche Server → Daten bleiben in Deutschland

Je weniger du sammelst, desto weniger kann schiefgehen. Für Online-Shops gelten darüber hinaus noch weitere rechtliche Pflichten.

Datenschutz ist kein Papierkram. Es ist Respekt vor den Menschen die dir vertrauen.