DSGVO für kleine Unternehmen

Was ist die DSGVO und warum betrifft sie auch kleine Unternehmen?

Die Datenschutz-Grundverordnung (DSGVO) ist seit Mai 2018 in der gesamten Europäischen Union gültig und regelt den Umgang mit personenbezogenen Daten. Viele Kleinunternehmer und Selbstständige denken, dass die DSGVO nur für große Konzerne relevant ist. Das stimmt nicht: Die Verordnung gilt für jedes Unternehmen, das personenbezogene Daten verarbeitet — und das tut praktisch jede Website.

Sobald Ihre Website ein Kontaktformular hat, Cookies setzt, Tracking-Tools verwendet oder Newsletter-Anmeldungen anbietet, verarbeiten Sie personenbezogene Daten. Das bedeutet: Sie müssen die DSGVO einhalten. Verstöße können empfindliche Bußgelder nach sich ziehen — in schweren Fällen bis zu 20 Millionen Euro oder 4 % des Jahresumsatzes.

Die wichtigsten DSGVO-Anforderungen für Ihre Website

1. Datenschutzerklärung

Jede Website benötigt eine vollständige Datenschutzerklärung. Diese muss transparent erklären, welche Daten Sie erheben, zu welchem Zweck, auf welcher Rechtsgrundlage und wie lange die Daten gespeichert werden. Außerdem müssen die Rechte der Betroffenen (Auskunft, Löschung, Widerspruch) aufgeführt werden.

Die Datenschutzerklärung muss von jeder Seite Ihrer Website aus erreichbar sein — idealerweise über einen Link im Footer. Wichtig: Verwenden Sie keine veralteten oder kopierten Texte. Dienste wie eRecht24 oder IT-Recht Kanzlei bieten rechtssichere Generatoren an.

2. Impressum

Das Impressum ist zwar keine reine DSGVO-Anforderung, sondern ergibt sich aus dem Telemediengesetz (TMG). Trotzdem gehört es zu den rechtlichen Pflichten jeder geschäftlichen Website. Es muss ebenfalls von jeder Seite aus erreichbar sein und vollständige Angaben zu Ihrem Unternehmen enthalten.

3. Cookie-Banner und Einwilligungsverwaltung

Wenn Ihre Website Cookies setzt, die nicht technisch notwendig sind (z. B. für Tracking, Marketing oder Analyse), müssen Sie vorher die aktive Einwilligung des Nutzers einholen. Ein einfacher Hinweis „Diese Website verwendet Cookies" reicht nicht aus.

Ein DSGVO-konformes Cookie-Banner muss:

• Vor dem Setzen nicht notwendiger Cookies erscheinen
• Eine echte Wahlmöglichkeit bieten (Akzeptieren und Ablehnen gleich prominent)
• Über die verwendeten Cookie-Kategorien informieren
• Die Einwilligung dokumentieren und widerrufbar machen

4. Kontaktformulare und Datenerhebung

Bei jedem Kontaktformular auf Ihrer Website müssen Sie sicherstellen, dass:

• Nur die wirklich notwendigen Daten abgefragt werden (Datensparsamkeit)
• Ein Hinweis auf die Datenschutzerklärung vorhanden ist
• Die Daten verschlüsselt übertragen werden (SSL/TLS)
• Klar ist, wer die Daten erhält und zu welchem Zweck sie verarbeitet werden

5. SSL-Verschlüsselung

Eine SSL-Verschlüsselung (erkennbar am „https" in der Adressleiste) ist für Websites, die personenbezogene Daten verarbeiten, praktisch Pflicht. Sie schützt die Datenübertragung zwischen dem Browser des Nutzers und Ihrem Server. Viele Hosting-Anbieter stellen SSL-Zertifikate kostenlos zur Verfügung.

6. Externe Dienste und Drittanbieter

Viele Websites nutzen externe Dienste wie Google Analytics, Google Fonts, YouTube-Videos oder Social-Media-Plugins. Das Problem: Bei jedem Aufruf werden Daten Ihrer Besucher an diese Drittanbieter übertragen — oft in die USA.

Die DSGVO verlangt, dass Sie für solche Datenübertragungen entweder eine Einwilligung einholen oder technische Alternativen nutzen. Google Fonts können beispielsweise lokal eingebunden werden, YouTube-Videos können im erweiterten Datenschutzmodus geladen werden. Bei einer professionellen Website-Erstellung werden diese Punkte von Anfang an berücksichtigt.

7. Auftragsverarbeitungsverträge (AVV)

Wenn externe Dienstleister Zugriff auf personenbezogene Daten Ihrer Besucher haben (z. B. Ihr Hosting-Anbieter, Ihr E-Mail-Marketing-Tool oder Google Analytics), benötigen Sie einen Auftragsverarbeitungsvertrag (AVV). Die meisten seriösen Anbieter stellen diesen auf Anfrage oder in ihrem Dashboard zur Verfügung.

Häufige DSGVO-Fehler, die Sie vermeiden sollten

• Kein oder veraltetes Cookie-Banner: Nur ein Hinweis statt einer echten Einwilligungslösung
• Google Fonts extern eingebunden: Übermittelt IP-Adressen an Google-Server in den USA
• Fehlende oder unvollständige Datenschutzerklärung: Kopierte Texte oder veraltete Inhalte
• Kontaktformular ohne SSL: Unverschlüsselte Datenübertragung
• Tracking ohne Einwilligung: Google Analytics oder Facebook Pixel ohne vorherige Zustimmung
• Fehlende AVVs: Keine Verträge mit Auftragsverarbeitern geschlossen

DSGVO-Checkliste für Ihre Website

Prüfen Sie Ihre Website anhand dieser Punkte:

1. Ist eine vollständige, aktuelle Datenschutzerklärung vorhanden?
2. Ist das Impressum korrekt und von jeder Seite erreichbar?
3. Gibt es ein DSGVO-konformes Cookie-Banner mit echter Wahlmöglichkeit?
4. Ist die Website SSL-verschlüsselt (https)?
5. Werden Google Fonts lokal eingebunden statt extern geladen?
6. Werden externe Dienste nur mit Einwilligung oder datenschutzkonform eingesetzt?
7. Sind Auftragsverarbeitungsverträge mit allen relevanten Dienstleistern geschlossen?
8. Werden in Formularen nur notwendige Daten abgefragt?

Fazit: DSGVO ist kein Hexenwerk

Die DSGVO mag auf den ersten Blick kompliziert wirken, aber die grundlegenden Anforderungen für eine Website sind überschaubar. Mit einer korrekten Datenschutzerklärung, einem funktionierenden Cookie-Banner, SSL-Verschlüsselung und der datenschutzkonformen Einbindung externer Dienste sind Sie auf einem guten Weg.

Wenn Sie sich unsicher sind, ob Ihre Website den aktuellen Anforderungen entspricht, lassen Sie sich professionell beraten. Eine DSGVO-konforme Website schützt nicht nur Ihre Besucher, sondern auch Ihr Unternehmen vor Abmahnungen und Bußgeldern.