DSGVO für kleine Unternehmen: Was Ihre Website wirklich braucht

Die DSGVO sorgt bei vielen kleinen Unternehmen für Verunsicherung. Was muss wirklich auf die Website? Brauche ich einen Cookie-Banner? Reicht ein Generator für die Datenschutzerklärung? In diesem Artikel klären wir die wichtigsten Fragen – verständlich und ohne Juristendeutsch.

Seit Mai 2018 gilt die Datenschutz-Grundverordnung (DSGVO) in der gesamten EU. Für Website-Betreiber bedeutet das: bestimmte Pflichten müssen erfüllt werden, sonst drohen Abmahnungen und Bußgelder. Die gute Nachricht: Für die meisten kleinen Unternehmen ist der Aufwand überschaubar.

Was ist wirklich Pflicht?

Nicht alles, was im Internet über die DSGVO erzählt wird, stimmt. Hier die tatsächlichen Pflichten für Website-Betreiber:

1. Impressum
Das Impressum ist keine DSGVO-Pflicht, sondern ergibt sich aus dem Telemediengesetz (TMG). Es muss auf jeder geschäftsmäßigen Website vorhanden sein, leicht auffindbar und mit maximal zwei Klicks erreichbar.

Was ins Impressum muss:

• Vollständiger Name/Firma
• Anschrift (kein Postfach)
• E-Mail-Adresse
• Telefonnummer
• Vertretungsberechtigte Person (bei GmbH etc.)
• Handelsregister und -nummer (falls vorhanden)
• Umsatzsteuer-ID (falls vorhanden)
• Berufsbezeichnung und Kammer (bei reglementierten Berufen)

2. Datenschutzerklärung
Die Datenschutzerklärung ist DSGVO-Pflicht. Sie muss erklären, welche personenbezogenen Daten auf der Website erhoben werden und was damit passiert.

Was in die Datenschutzerklärung muss:

• Name und Kontaktdaten des Verantwortlichen
• Kontaktdaten des Datenschutzbeauftragten (falls vorhanden)
• Zweck und Rechtsgrundlage der Datenverarbeitung
• Empfänger der Daten (z.B. Hosting-Anbieter)
• Speicherdauer
• Hinweis auf Betroffenenrechte (Auskunft, Löschung, etc.)
• Beschwerderecht bei der Aufsichtsbehörde
• Info über alle eingesetzten Tools (Analytics, Kontaktformular, etc.)

3. Cookie-Banner
Ein Cookie-Banner ist nur Pflicht, wenn du Cookies setzt, die nicht technisch notwendig sind. Technisch notwendige Cookies (z.B. Warenkorb, Login) brauchen keine Einwilligung.

Wann du einen Cookie-Banner brauchst:

• Google Analytics oder andere Tracking-Tools
• Facebook Pixel oder andere Marketing-Cookies
• YouTube-Videos (ohne erweiterten Datenschutzmodus)
• Google Maps eingebettet
• Externe Schriften (Google Fonts)

Wichtig: Keine Tracking-Cookies = kein Cookie-Banner nötig. Eine einfache Website ohne Analytics und externe Dienste braucht oft nur einen Hinweis auf technisch notwendige Cookies.

Generator vs. individuelle Datenschutzerklärung

Datenschutz-Generatoren sind praktisch und für viele kleine Websites ausreichend. Empfehlenswerte kostenlose Generatoren sind:

• e-recht24.de (kostenlose und Premium-Version)
• Datenschutz-Generator.de (Dr. Schwenke)
• activeMind AG Generator

Wann ein Generator reicht: Bei einfachen Websites ohne komplexe Datenverarbeitung, bei Standardfällen wie Kontaktformular und Google Analytics.

Wann du individuell beraten werden solltest: Bei Online-Shops, bei besonderen Datenverarbeitungen (z.B. Gesundheitsdaten), bei internationaler Tätigkeit, bei Unsicherheit.

Cookie-Banner richtig einsetzen

Wenn du einen Cookie-Banner brauchst, muss er bestimmte Anforderungen erfüllen:

Do:

• Opt-In: Nutzer muss aktiv einwilligen, bevor Tracking startet
• Gleichwertige Buttons: "Akzeptieren" und "Ablehnen" gleich prominent
• Keine Tricks: Keine vorausgewählten Checkboxen, kein "Cookie-Wall"
• Transparenz: Erklären, welche Cookies gesetzt werden
• Widerruf: Nutzer muss Einwilligung jederzeit widerrufen können

Don't:

• Tracking vor Einwilligung starten
• "Ablehnen"-Button verstecken oder kleiner machen
• Nutzer zur Einwilligung zwingen ("Cookie-Wall")
• Voreingestellte Häkchen bei nicht-notwendigen Cookies

Typische Fehler und wie du sie vermeidest

Fehler 1: Google Fonts vom Google-Server laden
Google Fonts von fonts.google.com überträgt die IP-Adresse des Besuchers an Google in die USA. Das ist ohne Einwilligung problematisch. Lösung: Fonts lokal auf dem eigenen Server hosten.

Fehler 2: YouTube ohne erweitertem Datenschutzmodus
Normale YouTube-Einbettungen setzen Cookies, auch wenn das Video nicht abgespielt wird. Lösung: Erweiterter Datenschutzmodus oder 2-Klick-Lösung.

Fehler 3: Google Maps direkt einbetten
Google Maps setzt Cookies und überträgt Daten an Google. Lösung: Karte erst nach Klick laden oder statisches Bild mit Link zu Google Maps.

Fehler 4: Kontaktformular ohne SSL
Kontaktformulare übertragen personenbezogene Daten. Ohne SSL-Verschlüsselung (https) ist das ein Verstoß. Lösung: SSL-Zertifikat installieren (oft kostenlos mit Let's Encrypt).

Fehler 5: Unvollständiges Impressum
Fehlende Pflichtangaben sind ein beliebter Abmahngrund. Prüfe dein Impressum regelmäßig auf Vollständigkeit.

Praktische Checkliste

Hier die wichtigsten Punkte zum Abhaken:

Basis-Anforderungen:

• SSL-Zertifikat aktiv (https)
• Impressum vollständig und erreichbar
• Datenschutzerklärung vollständig und aktuell
• Beide Seiten von jeder Unterseite aus erreichbar (Footer)

Wenn du ein Kontaktformular hast:

• Hinweis auf Datenschutzerklärung beim Formular
• SSL-Verschlüsselung aktiv
• Kontaktformular in der Datenschutzerklärung erwähnt

Wenn du Analytics nutzt:

• Cookie-Banner mit echtem Opt-In
• Tracking startet erst nach Einwilligung
• IP-Anonymisierung aktiviert
• Google Analytics in Datenschutzerklärung beschrieben
• Auftragsverarbeitungsvertrag mit Google abgeschlossen

Allgemeine Prüfung:

• Keine Google Fonts vom Google-Server
• Keine externen Inhalte ohne Einwilligung
• Alle eingesetzten Tools in der Datenschutzerklärung genannt

Was passiert bei Verstößen?

Die DSGVO sieht Bußgelder von bis zu 20 Millionen Euro oder 4 Prozent des Jahresumsatzes vor. Für kleine Unternehmen sind diese Höchststrafen unrealistisch. Typische Bußgelder für kleine Verstöße liegen im Bereich von einigen Hundert bis wenigen Tausend Euro.

Häufiger als Behörden-Bußgelder sind Abmahnungen durch Konkurrenten oder spezialisierte Anwälte. Die Kosten einer Abmahnung liegen typischerweise bei 500-2.000 Euro.

Das größte Risiko sind nicht die Strafen, sondern der Vertrauensverlust bei Kunden, wenn bekannt wird, dass du unsauber mit Daten umgehst.

Fazit

Die DSGVO ist kein Hexenwerk. Für die meisten kleinen Websites reichen ein vollständiges Impressum, eine Generator-Datenschutzerklärung, SSL-Verschlüsselung und – falls nötig – ein ordentlicher Cookie-Banner. Der Aufwand ist überschaubar, und einmal richtig eingerichtet, ist das Thema erledigt.

Wenn du unsicher bist, lass deine Website von einem Experten prüfen. Das kostet weniger als eine Abmahnung und gibt dir Sicherheit.