Eine Vorbemerkung in eigener Sache: Ich bin Webdesigner, kein Rechtsanwalt. Dieser Beitrag ist eine sorgfältig recherchierte Orientierungshilfe, keine Rechtsberatung im Einzelfall. Bei konkreter Unsicherheit hilft die Datenschutzaufsicht (in Baden-Württemberg der LfDI) oder ein Anwalt.

Auf einen Blick · Stand 2026

Praktisch jede geschäftliche Website braucht eine Datenschutzerklärung (Art. 13 DSGVO) und ein Impressum (§ 5 DDG) – allein schon, weil der Server die IP-Adresse jedes Besuchers protokolliert. Aber: Ein Cookie-Banner, eine Einwilligungs-Checkbox am Kontaktformular oder ein teures Consent-Tool sind nicht automatisch Pflicht. Sie werden erst nötig, wenn Ihre Seite Tracker, externe Schriften, Karten oder Videos von fremden Servern lädt. Wer das weglässt, spart sich den halben Aufwand – ganz legal.

Das Wichtigste in 6 Punkten
  • Datenschutzerklärung: echte Pflicht, für jede Seite – aber bei einer schlanken Seite oft kurz.
  • Impressum: Pflicht, folgt aber aus dem DDG, nicht aus der DSGVO.
  • Cookie-Banner: nur Pflicht, wenn nicht-notwendige Cookies/Drittdienste laden (§ 25 TDDDG). Reine Info-Seite = oft keins nötig.
  • Kontaktformular: keine Einwilligungs-Checkbox nötig – und für Spamschutz brauchen Sie nicht zwingend Google.
  • Google Fonts, Maps, YouTube, Analytics, reCAPTCHA: laden ungefragt Besucher-Daten zu Fremd-Servern. Lokal hosten oder weglassen – dann entfällt das Problem.
  • Bußgeld-Panik unbegründet: Die 20 Mio. € (bzw. 4 % Jahresumsatz) sind der Höchstwert für Konzerne. Für kleine Betriebe ist ein Bußgeld die seltene Ausnahme.

Stand: Juni 2026, geprüft gegen die aktuellen Gesetzestexte (TDDDG, DDG, DSGVO). Geschrieben von Andreas Breuninger, der selbst datensparsame Websites baut – Orientierung, keine Rechtsberatung.

Direkt springen: Die Checkliste · Brauche ich ein Cookie-Banner? · Statt X nimm Y · Nach Branche · Was jetzt tun? · Selbst prüfen

Worum es geht: Pflicht, Mythos und Datensparsamkeit

Praktisch jede geschäftliche Website braucht eine Datenschutzerklärung – aber längst nicht jede braucht ein Cookie-Banner, eine Einwilligungs-Checkbox oder ein Consent-Tool. Was Pflicht ist, hängt nicht von Ihrer Branche ab, sondern davon, was Ihre Seite technisch tut.

Der Grund, warum Datenschutz schon bei der schlichtesten Seite greift: Sobald Ihre Website online ist, verarbeitet sie personenbezogene Daten – mindestens die IP-Adresse jedes Besuchers, die der Webserver standardmäßig in den Logdateien protokolliert. IP-Adressen gelten nach der „Breyer"-Rechtsprechung des Europäischen Gerichtshofs (C-582/14) in aller Regel als personenbezogene Daten. Damit greift die Informationspflicht aus Art. 13 DSGVO – und deshalb braucht praktisch jede Seite eine Datenschutzerklärung.

Das ist aber auch schon der Kern der schlechten Nachricht. Der Rest der DSGVO-Anforderungen hängt davon ab, was Sie zusätzlich einbauen. Und genau hier liegt die zentrale Erkenntnis dieser Checkliste:

Was Sie gar nicht erst einbauen, müssen Sie auch nicht rechtlich absichern. Jeder Tracker, jede externe Schrift, jede eingebettete Karte, die Sie weglassen, ist ein Punkt weniger auf der Liste: kein Cookie-Banner, kein Auftragsverarbeitungsvertrag, keine US-Transfer-Prüfung, weniger Abmahnfläche.

Diese Liste ist deshalb bewusst ehrlich – inklusive der Punkte, die Sie sich komplett sparen können. Im Folgenden zuerst der zeitliche Stand, dann die Checkliste zum Abhaken, dann jeder Punkt im Detail.

Rechtsstand 2026 in der Zeitleiste

Die Begriffe haben sich geändert, die Grundregeln nicht: Seit Mai 2024 heißt es TDDDG statt TTDSG und DDG statt TMG – wer noch die alten Kürzel liest, liest veraltete Ratgeber.

Zeitleiste zum DSGVO-Rechtsstand 2026 Chronologie der wichtigsten Gesetze, Urteile und Praxis-Termine von 2018 bis 2026: 2018 gilt die DSGVO EU-weit; 2019 wird der Datenschutzbeauftragte erst ab 20 Personen Pflicht; 2020 verlangt der BGH ein aktives Opt-in fuer Cookies; 2023 tritt das EU-US Data Privacy Framework in Kraft; im Mai 2024 loesen DDG und TDDDG die alten Gesetze TMG und TTDSG ab; 2025 ergehen mehrere Urteile zu Dark Patterns, Google Fonts und dem Data Privacy Framework; 2026 startet eine EU-Pruefaktion zu Transparenzpflichten und Google wird beim reCAPTCHA-Einsatz Auftragsverarbeiter. AUSBLICK · 2026 25.05.2018DSGVO gilt EU-weit 2019DSB erst ab 20 Personen (§ 38 BDSG) 28.05.2020BGH: aktives Opt-in für Cookies 10.07.2023EU-US Data Privacy Framework 14.05.2024DDG & TDDDG lösen TMG/TTDSG ab 19.03.2025VG Hannover: Dark Patterns & GTM 01.04.2025EinwV in Kraft (freiwillig) 28.08.2025BGH legt EuGH Google Fonts vor 03.09.2025DPF-Klage abgewiesen („Schrems III“) 19.03.2026EU-Prüfaktion: Transparenzpflichten 02.04.2026Google reCAPTCHA = Auftragsverarbeiter
Der DSGVO-Rechtsstand 2026 auf einen Blick – Gesetze (blau), Urteile (orange), Aufsicht & Praxis (grün). Die ausführliche Fassung mit Aktenzeichen steht direkt darunter.
  • Gesetz / Verordnung
  • Gerichtsurteil
  • Aufsicht & Praxis (2026)
Ausführliche Zeitleiste mit Aktenzeichen
  1. 25.05.2018 Gesetz

    DSGVO wird in der ganzen EU anwendbar.

  2. 2019 Gesetz

    Schwelle für den Datenschutzbeauftragten von 10 auf 20 Personen angehoben (§ 38 BDSG).

  3. 28.05.2020 Urteil

    BGH: aktives Opt-in für Cookies nötig (I ZR 7/16).

  4. 10.07.2023 Beschluss

    EU-US Data Privacy Framework tritt in Kraft – US-Transfer wieder möglich.

  5. 14.05.2024 Gesetz

    DDG ersetzt TMG, TDDDG ersetzt TTDSG – nur umbenannt, Regeln gleich.

  6. 19.03.2025 Urteil

    VG Hannover: Dark Patterns & Google Tag Manager im Cookie-Banner beanstandet.

  7. 01.04.2025 Verordnung

    Einwilligungsverwaltungsverordnung (EinwV) in Kraft – freiwillige Consent-Dienste.

  8. 28.08.2025 Urteil

    BGH legt dem EuGH Grundsatzfragen zu Google Fonts vor (VI ZR 258/24).

  9. 03.09.2025 Urteil

    EU-Gericht weist Klage gegen das Data Privacy Framework ab – Rechtsmittel läuft („Schrems III").

  10. 19.03.2026 Aufsicht · 2026

    EU-Aufsichtsbehörden starten die koordinierte Prüfaktion 2026 zu Transparenz-/Informationspflichten.

  11. 02.04.2026 Praxis · 2026

    Google wird beim reCAPTCHA-Einsatz zum Auftragsverarbeiter statt eigener Verantwortlicher.

Kurz gesagt: Steht auf Ihrer Seite noch „§ 5 TMG" oder „TTDSG", ist sie veraltet – heute gilt § 5 DDG und § 25 TDDDG.

Die DSGVO-Checkliste auf einen Blick

Die abhakbare Liste – sortiert nach „echte Pflicht", „empfohlen" und „kommt darauf an, was Ihre Seite lädt". Die Details zu jedem Punkt stehen in den Kapiteln darunter.

🟦 Pflicht – das braucht praktisch jede geschäftliche Website

🟩 Empfohlen – macht Sie deutlich sicherer (und oft einfacher)

🟨 Kommt darauf an – nur, wenn Ihre Seite das wirklich nutzt

Checkliste als PDF zum Abhaken

Alle Punkte kompakt auf einer DIN-A4-Seite – zum Ausdrucken, Mitnehmen oder Weitergeben. Kostenlos und ohne E-Mail-Eingabe (datensparsam, wie es sich gehört).

PDF herunterladen

Jeder Punkt aus der gelben Liste, den Sie streichen können, weil Ihre Seite den Dienst gar nicht lädt, spart echte Arbeit.

Datenschutzerklärung: der eine Punkt, den jede Website braucht

Sobald Ihre Website online ist, verarbeitet sie personenbezogene Daten – mindestens die IP-Adresse in den Server-Logs. Deshalb braucht praktisch jede Website eine Datenschutzerklärung mit einem festen Katalog an Pflichtangaben nach Art. 13 DSGVO.

Was hineingehört (Art. 13 Abs. 1 und 2 DSGVO):

  • Verantwortlicher mit Kontaktdaten – und, falls bestellt, der Datenschutzbeauftragte.
  • Zwecke der Verarbeitung und je Zweck die passende Rechtsgrundlage (Art. 6); bei „berechtigtem Interesse" auch das konkrete Interesse.
  • Empfänger oder Empfängerkategorien.
  • Geplante Drittland-Übermittlung (z. B. USA) samt Garantie.
  • Speicherdauer oder die Kriterien dafür.
  • Betroffenenrechte: Auskunft (15), Berichtigung (16), Löschung (17), Einschränkung (18), Datenübertragbarkeit (20), Widerspruch (21).
  • Widerrufsrecht der Einwilligung und Beschwerderecht bei einer Aufsichtsbehörde.
  • Ob die Bereitstellung der Daten erforderlich ist, und ggf. Hinweise zu automatisierten Entscheidungen.

Pro Website-Funktion gehört eine eigene Rechtsgrundlage in die Erklärung. Eine pauschale Floskel „berechtigtes Interesse" ohne Zweck ist ein klassischer Mangel. Als Orientierung:

FunktionRechtsgrundlage (Art. 6 Abs. 1)
Server-Logfiles (Sicherheit/Betrieb)lit. f – berechtigtes Interesse
Kontaktformularlit. b (vorvertraglich) bzw. lit. f
nicht-notwendige Cookies / Trackinglit. a – Einwilligung
gesetzliche Aufbewahrung (z. B. Rechnungen)lit. c – rechtliche Pflicht

Zur Erreichbarkeit verlangt Art. 12 DSGVO eine „leicht zugängliche" Form: ein klar benannter Link (üblich im Footer), von jeder Unterseite erreichbar. Eine eigene, separate Seite ist üblich und empfohlen, aber gesetzlich nicht zwingend – verboten ist nur, die Datenschutzerklärung im Impressum zu verstecken.

Ein aktueller Grund, jetzt hinzuschauen (ohne Panik): 2026 prüfen europäische Aufsichtsbehörden im Rahmen einer koordinierten Aktion gezielt die Transparenz- und Informationspflichten (Art. 12–14 DSGVO) – also genau die Datenschutzerklärung. Kein Grund zur Sorge, aber ein guter Anlass, die eigene Erklärung einmal gegen die tatsächlich genutzten Dienste abzugleichen.

Kurz gesagt: Bei einer schlanken Seite ist die Datenschutzerklärung oft erfreulich kurz – aber sie muss exakt zu Ihrer Seite passen, ohne Bausteine für Dienste, die Sie gar nicht nutzen.

So bauen Sie Ihre Datenschutzerklärung (Generator vs. Muster)

Generatoren liefern ein brauchbares Gerüst, ersetzen aber nicht die Anpassung an die Dienste, die Ihre Seite wirklich nutzt – kreuzen Sie nur Bausteine an, die Sie tatsächlich einsetzen.

  1. Bestandsaufnahme: Erst herausfinden, was Ihre Seite überhaupt lädt – am schnellsten mit dem Selbst-Check (F12 → Netzwerk). Erst dann wissen Sie, welche Bausteine Sie brauchen.
  2. Gerüst holen: Ein seriöser Datenschutz-Generator liefert die formalen Bausteine. Das ist ein Ausgangspunkt, kein Freibrief.
  3. Bausteine rein/raus. Rein: Verantwortlicher, Hosting/Server-Logs, Kontaktformular (falls vorhanden), jeder real genutzte Drittdienst, Betroffenenrechte. Raus: alle Muster-Bausteine für Analytics, Maps, Fonts, Newsletter, die Sie nicht einsetzen – der häufigste Fehler.
  4. Aktuell halten: Bei jedem neuen Tool den passenden Baustein nachziehen.
Kurz gesagt: Eine Datenschutzerklärung ist kein Schmuck, sondern eine Beschreibung Ihrer Seite – je weniger Ihre Seite tut, desto kürzer fällt sie aus.

Impressum: Pflicht ja – aber keine DSGVO-Pflicht

Das Impressum ist Pflicht für geschäftliche Websites, folgt aber aus § 5 DDG (Digitale-Dienste-Gesetz) – nicht aus der DSGVO. Das DDG hat am 14. Mai 2024 das TMG abgelöst; Verweise auf „§ 5 TMG" sind seitdem veraltet.

Sauber getrennt:

  • Impressum = Anbieterkennzeichnung, Website-Recht (§ 5 DDG): Name, Anschrift, Kontakt usw.
  • Datenschutzerklärung = Datenschutzrecht (Art. 13 DSGVO): Information über die Datenverarbeitung.

Beide gehören getrennt und von jeder Seite erreichbar. (Die Rechtsgrundlage im Impressum ausdrücklich zu nennen, ist nicht zwingend.)

Kurz gesagt: Impressum ja – aber nach DDG, nicht DSGVO. Und alte „TMG"-/„TTDSG"-Verweise auf DDG/TDDDG aktualisieren.

Cookie-Banner: der größte Mythos

Ein Cookie-Banner ist NICHT für jede Website Pflicht. Eine Einwilligung nach § 25 TDDDG brauchen Sie nur für technisch nicht notwendige Cookies und Drittdienste. Eine datensparsame Seite ohne Tracker, externe Fonts, Videos oder Karten kommt oft ganz ohne Banner aus.

Die maßgebliche Norm heißt seit dem 14. Mai 2024 § 25 TDDDG (vorher § 25 TTDSG – inhaltlich praktisch unverändert). Sie verlangt eine Einwilligung, bevor etwas auf dem Endgerät gespeichert oder ausgelesen wird – also für Cookies und vergleichbare Techniken.

Die Ausnahme (§ 25 Abs. 2 TDDDG): nur „unbedingt erforderliche" Zugriffe. „Erforderlich" bemisst sich am Zweck des vom Nutzer gewünschten Dienstes, nicht daran, dass eine Software technisch Cookies setzt. Konkret: Analyse-, Marketing- und Tracking-Cookies sind nie technisch notwendig – sie brauchen immer eine Einwilligung. Ein Warenkorb oder eine Login-Session dagegen schon.

Wenn Ihre Seite keine solchen Dienste lädt, brauchen Sie kein Banner. Das ist der größte Mythos rund um die DSGVO.

Falls Sie doch eins brauchen, muss die Einwilligung wirksam sein:

  • Aktives Opt-in – keine vorangekreuzten Kästchen (BGH, 28.05.2020, I ZR 7/16 „Cookie-Einwilligung II").
  • Vorab, freiwillig, informiert, granular und ebenso leicht widerrufbar wie erteilbar (Art. 7 DSGVO).
  • „Alle ablehnen" gleichwertig zu „Alle akzeptieren" – auf der ersten Ebene, gleiche Klickdistanz und Gewichtung.
  • Keine Dark Patterns / kein Nudging. Das VG Hannover (19.03.2025, 10 A 5385/22) beanstandete u. a. einen irreführenden Schließen-Button „Akzeptieren & schließen ✕". (Erstinstanzlich, nicht rechtskräftig – aber ein klares Signal.)

Zwei verbreitete Missverständnisse:

  • Schon der Google Tag Manager ist einwilligungspflichtig – nicht erst die geladenen Tags (VG Hannover, erstinstanzlich). Erst nach Einwilligung laden.
  • EinwV und „Consent Mode v2" ersetzen kein Banner. Die Einwilligungsverwaltungsverordnung (seit 01.04.2025) sollte zentrale Einwilligungsdienste ermöglichen, ist aber freiwillig; der erste anerkannte Dienst kam erst im Oktober 2025, und sie gilt als praktisch wirkungslos. Googles Consent Mode v2 ist eine technische Google-Anforderung für Werbekunden, keine gesetzliche Pflicht.

Ob Ihre konkrete Seite ein Banner braucht, hängt vom Einzelfall ab; das hier ist Orientierung, keine verbindliche Rechtsauskunft.

Brauche ich ein Cookie-Banner? (Entscheidungshilfe)

Die Faustregel: Lädt Ihre Seite nur eigene, lokale Inhalte und höchstens technisch notwendige Cookies, brauchen Sie kein Banner – erst fremde Tracker, Embeds oder Analyse-Cookies machen es nötig. Das Schaubild führt in zwei Schritten zur Antwort.

Entscheidungsbaum: Brauche ich ein Cookie-Banner? Ablaufdiagramm in zwei Fragen. Erste Frage: Laedt die Seite fremde Dienste oder setzt sie nicht-notwendige Cookies? Wenn nein, ist kein Cookie-Banner noetig; technisch notwendige Cookies wie Warenkorb oder Login sind erlaubt. Wenn ja, zweite Frage: Laesst sich der Dienst lokal loesen oder ganz weglassen? Wenn ja, Dienst ersetzen, dann ist kein Banner noetig. Wenn nein, ist eine Einwilligung vor dem Laden erforderlich: aktives Opt-in, gleichwertiges Ablehnen, granular, keine Dark Patterns. Ihre Website Lädt die Seite fremde Dienste oder nicht-notwendige Cookies? Maps · Fonts-CDN · YouTube · reCAPTCHA Kein Banner nötig Login/Warenkorb erlaubt Lässt sich der Dienst lokal lösen / weglassen? lokale Fonts · statische Karte Dienst ersetzen = kein Banner Einwilligung VOR dem Laden Opt-in · „Ablehnen“ gleichwertig granular · keine Dark Patterns NEIN JA JA NEIN
In zwei Fragen zur Antwort: Wer fremde Dienste weglässt oder lokal löst, braucht meist gar kein Banner.
Ausführliche Variante in drei Fragen (als Text)
  1. Lädt Ihre Seite nur eigene, lokale Inhalte? (lokale Schriften, eigene Bilder, kein fremder Tracker, kein externes Embed) → Kein Banner nötig.
  2. Setzt sie nur technisch notwendige Cookies? (Warenkorb, Login-Session, Spracheinstellung) → Kein Einwilligungs-Banner (§ 25 Abs. 2 TDDDG).
  3. Lädt sie Drittdienste oder Tracker? (Analytics, Maps-Embed, YouTube, externe Fonts, Meta-Pixel, reCAPTCHA) → Einwilligung VOR dem Laden nötig – Banner mit gleichwertigem „Ablehnen" oder den Dienst weglassen/lokal lösen (dann entfällt das Banner).
Ihre SituationBanner?
Reine Info-Seite, lokale Fonts, keine Tracker🟢 nein
Onlineshop mit Warenkorb, sonst nichts Externes🟢 nein (Warenkorb = notwendig)
Externe Google Fonts / Maps / YouTube / Analytics / reCAPTCHA🔴 ja – oder Dienst ersetzen
Zu kompliziert? In einem Satz: Kein fremder Dienst auf der Seite → kein Banner. Sobald etwas von Google, Meta & Co. lädt → Einwilligung oder weglassen.

Kontaktformular & Spamschutz: Checkbox-Mythos und reCAPTCHA

Ein Kontaktformular braucht in der Regel KEINE Einwilligungs-Checkbox (Art. 6 Abs. 1 lit. b oder f) – und für den Spamschutz brauchen Sie nicht zwingend Google: Ein serverseitiger Honeypot hält Bots fern, ohne einen einzigen Drittdienst zu laden.

Worauf es beim Formular ankommt:

  • Keine Pflicht-Checkbox – Fachleute raten sogar davon ab.
  • Datenminimierung (Art. 25, Art. 5): nur nötige Pflichtfelder.
  • HTTPS für die Übertragung.
  • Klarer Hinweis mit Link zur Datenschutzerklärung.
  • Keine besonderen Daten (Art. 9, z. B. Gesundheitsdaten) über ein einfaches Formular – relevant für Arztpraxen.
  • Newsletter ist anders: Der braucht ein Double-Opt-In.

Und reCAPTCHA? Google reCAPTCHA greift auf das Endgerät zu und überträgt Daten an Google – damit ist es grundsätzlich einwilligungspflichtig nach § 25 TDDDG, nicht „technisch notwendig". Eine wichtige 2026-Änderung, ehrlich eingeordnet: Seit dem 2. April 2026 ist Google beim reCAPTCHA-Einsatz nur noch weisungsgebundener Auftragsverarbeiter (statt eigener Verantwortlicher) – das erleichtert die Vertragslage (AVV), beseitigt aber nicht die Einwilligungspflicht, den US-Transfer und die Frage, ob das Tool überhaupt erforderlich ist.

Die datensparsame Reihenfolge:

  1. Serverseitiger Honeypot oder Zeit-Token – ein verstecktes Feld, das nur Bots ausfüllen. Kein Drittdienst, keine Einwilligung, kein US-Transfer. Für die allermeisten kleinen Formulare reicht das.
  2. Falls wirklich ein sichtbares Captcha nötig ist: Friendly Captcha (Anbieter aus Deutschland, cookielos) statt Google. (Cloudflare Turnstile und hCaptcha sind technisch schlanker als reCAPTCHA, werden aber von US-Unternehmen betrieben – also ebenfalls mit US-Transfer.)
Kurz gesagt: Der beste Spam-Schutz ist der, den der Besucher nie sieht und der keine Daten an Google schickt.

Drittdienste & US-Transfer: Fonts, Maps, YouTube, Analytics & Co.

Jeder extern nachgeladene Dienst überträgt beim Seitenaufruf die IP-Adresse Ihrer Besucher an einen fremden Server – das ist nicht „technisch erforderlich" und braucht grundsätzlich eine Einwilligung. Die einfachste Lösung: lokal hosten oder per Zwei-Klick einbinden. Dann entfällt das Problem ganz.

Die wichtigsten Dienste im Ampel-Überblick:

DienstWas beim Laden passiertAmpelSaubere Lösung
Google Fonts (CDN)Besucher-IP fließt an Google (USA)🔴Schriften lokal hosten
Google MapsIP an Google, Cookies🔴statisches Kartenbild / Zwei-Klick
YouTube-EmbedIP an Google, Cookies🔴Zwei-Klick (youtube-nocookie ersetzt Einwilligung nicht)
Google AnalyticsTracking, US-Transfer🟡nur mit Einwilligung – oder cookielose Statistik
reCAPTCHAEndgeräte-Zugriff, IP an Google🔴Honeypot / Friendly Captcha
Lokal gehostete eigene Schriftennichts fließt ab🟢

Google Fonts – Rechtsstand 2026. Das LG München I sprach am 20.01.2022 (3 O 17493/20) 100 € Schadensersatz zu, weil eine Seite Google Fonts dynamisch lud und ungefragt die Besucher-IP übertrug. Einordnung: erstinstanzliches Einzelfallurteil, kein fester „Tarif"; die folgende Abmahnwelle galt teils als rechtsmissbräuchlich, und der BGH hat am 28.08.2025 (VI ZR 258/24) Grundsatzfragen dem EuGH vorgelegt – die Entscheidung steht aus. Die praktische Empfehlung bleibt: lokal hosten, dann fließt nichts ab.

US-Transfer & Data Privacy Framework. Transfers in die USA sind seit dem Angemessenheitsbeschluss vom 10.07.2023 zulässig – aber nur an Anbieter, die unter dem EU-US Data Privacy Framework zertifiziert sind (prüfbar auf dataprivacyframework.gov). Das Framework ist juristisch angegriffen: Das EU-Gericht wies eine Klage am 03.09.2025 ab, ein Rechtsmittel zum EuGH läuft („Schrems III"). Eine Einwilligung bleibt für die Einbindung trotzdem nötig.

Zu kompliziert? In einem Satz: Daten in die USA sind nur erlaubt, wenn der Anbieter zertifiziert ist – und selbst dann brauchen Sie eine Einwilligung; am einfachsten ist, US-Dienste wegzulassen oder in der EU zu hosten.

Weitere typische Drittdienste, kurz eingeordnet:

  • Buchungstools (z. B. Calendly): speichern auf US-Servern und setzen beim Einbetten Cookies. Calendly ist zwar unter dem Data Privacy Framework zertifiziert, das Embed braucht aber dennoch eine Einwilligung oder Zwei-Klick. Datensparsamer: EU-Tools (Cituro, meetergo, selbst gehostetes Cal.com) – oder schlicht ein Mailto-/Telefon-Link.
  • Google-Bewertungs-Widgets: übertragen die Besucher-IP an Google und laden Namen/Profilbilder Dritter → Einwilligung. Datensparsam: Bewertungen serverseitig abrufen und statisch ausliefern.
  • Chat-/WhatsApp-Widgets: laden Drittcode und setzen oft Cookies → Einwilligung + AVV; in der Datenschutzerklärung muss die Meta-Verarbeitung transparent stehen. Für kleine Betriebe reicht meist Mailto/Telefon/eigenes Formular.
  • Newsletter: mit einem EU-Anbieter (z. B. CleverReach/Oldenburg, rapidmail/Freiburg, Brevo/DE+FR) lässt sich der AVV (Art. 28) sofort abschließen – mit Double-Opt-In.

Auftragsverarbeitungsverträge (AVV). Mit jedem Dienstleister, der auf personenbezogene Daten zugreifen könnte, brauchen Sie einen AVV nach Art. 28 DSGVO – nicht nur mit dem Hoster.

Statt X nimm Y: datensparsame Tool-Alternativen

Für fast jeden bequemen US-Drittdienst gibt es eine datensparsame Alternative, die das Problem gar nicht erst entstehen lässt – meist lokal oder aus der EU.

AufgabeBequeme Lösung (das Problem)Datensparsame AlternativeWas Sie sich sparen
SchriftenGoogle Fonts (CDN)lokal selbst gehostetIP-Abfluss, Abmahnrisiko
StatistikGoogle AnalyticsMatomo (self-hosted, cookielos) · Plausible (EU) · etracker (Hamburg)Banner, US-Transfer
KartenGoogle Mapsstatisches Kartenbild (am saubersten) · OpenStreetMapCookies, meist Banner
VideoYouTube-EmbedZwei-Klick · kurzes lokales MP4IP an Google
Spam-SchutzGoogle reCAPTCHAHoneypot · Friendly Captcha (DE)Drittdienst, Einwilligung
NewsletterUS-AnbieterCleverReach · rapidmail · Brevo (EU) + AVVDrittland-Prüfung

Zwei ehrliche Hinweise, damit es kein Pseudo-Siegel wird:

  • „Ohne Banner" gilt nur bei sauberer Konfiguration. Matomo, Plausible & Co. laufen nur dann ohne Einwilligung, wenn sie cookielos und ohne Zugriff aufs Endgerät konfiguriert sind (§ 25 TDDDG).
  • Auch OpenStreetMap-Kacheln übertragen die Besucher-IP an Dritt-Server. Wirklich sorgenfrei ist nur ein statisches Kartenbild oder ein eigener Kartenserver. „Keine Cookies" heißt eben nicht „kein Datenabfluss".
Kurz gesagt: Honeypot, lokale Schriften und ein statisches Kartenbild sind kein Verzicht – sie sind der kürzere Weg zur Konformität.

Fotos von Mitarbeitern, Kunden und Mitgliedern

Personenfotos sind personenbezogene Daten: Wer erkennbare Mitarbeiter, Kunden oder Vereinsmitglieder auf der Website zeigt, braucht in der Regel die Einwilligung jeder abgebildeten Person – am besten schriftlich, mit Widerrufsrecht.

Das wird in fast jeder DSGVO-Liste vergessen, betrifft aber jedes Team-, Referenz- und Vereinsfoto. Die Eckpunkte:

  • Doppelter Rahmen: Recht am eigenen Bild (§ 22 KunstUrhG) und DSGVO (Art. 6 Abs. 1 lit. a). Bei Mitarbeitenden ist die saubere Grundlage eine freiwillige, schriftliche Einwilligung (§ 26 Abs. 2 BDSG) – das reine Arbeitsverhältnis genügt nicht.
  • Jederzeit widerrufbar (Art. 7 Abs. 3 DSGVO): Bei Widerruf oder Ausscheiden das Foto entfernen. Schriftlich festhalten, wofür (Zweck, Umfang, Dauer).
  • Kinder/Jugendliche: Es entscheiden die Sorgeberechtigten; ältere Jugendliche wirken in der Regel mit.
  • Ausnahmen (§ 23 KunstUrhG): Personen als reines Beiwerk, Versammlungen/Aufzüge, Zeitgeschehen – hier ist nicht immer eine Einwilligung nötig.

Branchen-konkret: das Vereins-Mannschaftsfoto, das Handwerker-Referenzfoto mit Kunde im Bild, das Praxis-Team auf der Über-uns-Seite – überall gilt: vorher fragen, schriftlich festhalten.

Kurz gesagt: Erkennbare Personen aufs Bild nur mit Einwilligung – und die kann jederzeit widerrufen werden. (Auch das ist keine Rechtsberatung.)

DSGVO nach Branche: Handwerk, Praxis, Verein, Onlineshop

Welche Pflichten Sie wirklich treffen, hängt davon ab, was Ihre Seite tut – hier vier typische Profile, an denen Sie Ihren eigenen Fall ablesen können.

🔨 Handwerker (reine Info-Seite)

Typische Seite: Leistungen, Referenzen, Kontakt. Pflicht: Datenschutzerklärung (Hosting/Logs) + Impressum (DDG) + HTTPS. Was wegfällt: kein Cookie-Banner, keine Checkbox – wenn Schriften lokal und kein Tracker. Anfahrt als statisches Kartenbild. Stolperfalle: Google Fonts, die unbemerkt vom CDN laden.

🩺 Arztpraxis (mit Kontakt-/Rückruf-Formular)

Zusätzlich: Gesundheitsdaten (Art. 9) – keine Symptome/Diagnosen über ein einfaches Formular abfragen. Schweigepflicht (§ 203 StGB): IT-/Hosting-Dienstleister müssen ausdrücklich zur Verschwiegenheit verpflichtet werden – ein normaler AVV allein genügt nicht. Entlastung: Eine einzelne kleine Praxis gilt in der Regel nicht als „umfangreiche" Verarbeitung – also meist kein Datenschutzbeauftragter und keine Datenschutz-Folgenabschätzung (ErwG 91).

👥 Verein (Mitglieder & Fotos)

Gleiche Pflichten wie ein Unternehmen – Ehrenamt befreit nicht. Mitgliederdaten brauchen eine Rechtsgrundlage, Personenfotos eine Einwilligung (siehe oben), Helfer sind auf Vertraulichkeit zu verpflichten. Das Verarbeitungsverzeichnis (Art. 30) gilt auch hier; einen Datenschutzbeauftragten braucht ein Verein nicht allein wegen seines Status.

🛒 Onlineshop

Hier ist real eher mehr nötig als bei einer Visitenkarten-Seite: Der Warenkorb-Cookie ist technisch notwendig (dafür kein Banner), aber Zahlungsdienstleister und Versand bedeuten AVV und ggf. US-Transfer, und für Rechnungen gilt die gesetzliche Aufbewahrung (Art. 6 Abs. 1 lit. c). Ein Shop braucht außerdem oft Tracking fürs Marketing – und dann ein sauberes Banner.

Kurz gesagt: Je näher Ihre Seite am reinen Schaufenster ist, desto kürzer die Liste – je mehr sie verkauft und einbindet, desto mehr Pflichten.

Technik & Sicherheit: HTTPS und Datensparsamkeit

Art. 32 DSGVO verlangt angemessene technische Maßnahmen. Für eine kleine Firmen-Website ist der Aufwand überschaubar – HTTPS ist aber nicht verhandelbar. Wer Schriften und Skripte lokal hostet, erfüllt Datenschutz durch Architektur statt durch Tool-Pflaster.

Das Pflichtprogramm:

  • HTTPS erzwingen. Gültiges TLS-Zertifikat (ein kostenloses Let's-Encrypt-Zertifikat genügt), automatische Weiterleitung von HTTP auf HTTPS, moderne Verschlüsselung (mindestens TLS 1.2/1.3 nach BSI-Mindeststandard). Aber: HTTPS verschlüsselt nur die Übertragung – es macht Ihre Seite nicht automatisch DSGVO-konform.
  • Privacy by Design & Default (Art. 25). Nur nötige Daten, keine vorausgewählten Häkchen, Drittdienste standardmäßig aus.
  • Datensparsame Server-Logs. IP kürzen oder kurz aufbewahren – verbreitete Praxis sind rund 7 Tage, bis etwa 30 gelten als vertretbar (Art. 6 Abs. 1 lit. f).
  • Backups mit getestetem Restore.
  • Keine externen CDN-Skripte/Webfonts – und das vor dem Start prüfen.

Hier zahlt sich eine handcodierte Seite ohne CMS doppelt aus: kleinere Angriffsfläche, weniger Update-Pflicht, weniger Plugins, die heimlich Daten zu Fremd-Servern schicken (mehr dazu im Ratgeber Website ohne WordPress).

Kurz gesagt: HTTPS ist Pflicht, der Rest ist überschaubar – lokal hosten erspart die meisten Risiken.

Hinter den Kulissen: Verzeichnis, Datenschutzbeauftragter, Fristen

Hinter der Website laufen Pflichten, die nichts mit der Datenschutzerklärung zu tun haben: ein internes Verarbeitungsverzeichnis (fast immer Pflicht), ggf. ein Datenschutzbeauftragter, Fristen für Auskunft und Löschung sowie die 72-Stunden-Meldepflicht bei Datenpannen.

  • Verzeichnis von Verarbeitungstätigkeiten (Art. 30). Faktisch fast immer Pflicht; die Ausnahme für Betriebe unter 250 Mitarbeitenden greift kaum, weil die Verarbeitung nicht „nur gelegentlich" erfolgt. Es ist ein internes Dokument – es wird nicht veröffentlicht und gehört nicht in die Datenschutzerklärung.
  • Datenschutzbeauftragter (§ 38 BDSG). Pflicht in der Regel erst ab 20 Personen, die ständig mit automatisierter Verarbeitung beschäftigt sind. Unabhängig davon kann Art. 37 DSGVO greifen (umfangreiche sensible Daten). Hinweis: Die Bundesregierung hat in der Modernisierungsagenda vom 04.12.2025 angekündigt, diese 20-Personen-Pflicht bis Ende 2026 abzuschaffen – Stand Juni 2026 ist das nicht in Kraft, die 20-Personen-Grenze gilt weiter.
  • Datenschutz-Folgenabschätzung (Art. 35) nur bei voraussichtlich hohem Risiko – eine einzelne kleine Praxis oder ein Handwerksbetrieb löst sie in der Regel nicht aus.
  • Betroffenenrechte binnen 1 Monat beantworten (Art. 12 Abs. 3), Verlängerung um max. 2 Monate möglich.
  • Datenpannen binnen 72 Stunden an die Aufsichtsbehörde melden (Art. 33), bei hohem Risiko auch an die Betroffenen (Art. 34). Keine Kleinbetriebs-Ausnahme.
Kurz gesagt: Diese Pflichten sieht der Besucher nie – aber sie sind echt. Das Verarbeitungsverzeichnis ist intern, die 72-Stunden-Frist gilt auch für den kleinsten Betrieb.

Abmahnung & Bußgeld: Was wirklich droht (ohne Panik)

Der Bußgeldrahmen klingt dramatisch, ist aber der Höchstwert für Großkonzerne. Für einen Handwerksbetrieb, eine Praxis oder einen Verein ist ein DSGVO-Bußgeld die Ausnahme. Das größere reale Risiko waren rechtsmissbräuchliche Abmahnwellen – und die lassen sich technisch sauber vermeiden.

  • Art. 83 DSGVO: bis 20 Mio. € oder 4 % des weltweiten Jahresumsatzes (der höhere Wert). Das ist der Höchstrahmen für schwere Verstöße – die tatsächliche Höhe richtet sich nach Verhältnismäßigkeit, Schwere und Umsatz. Für kleine Betriebe bedeutet das in der Praxis sehr niedrige Beträge, eher Hinweise und Auflagen.
  • Die Realität in Zahlen: 2025 wurden in Deutschland rund 249 Bußgelder mit zusammen etwa 46,9 Mio. € verhängt – davon allein 45 Mio. € gegen ein einziges Großunternehmen. Bußgelder gegen kleine Betriebe sind sehr selten.
  • Abmahnungen durch Mitbewerber sind möglich (EuGH „Lindenapotheke", C-21/23; BGH 2025) – aber nur bei Verstößen mit Marktbezug, nicht bei jedem Formfehler.
  • Schadensersatz (Art. 82) kennt keine Bagatellgrenze, setzt aber einen konkreten Schaden voraus; der bloße Verstoß genügt nicht.

Die häufigsten realen Auslöser bei kleinen Betrieben sind banal: eine fehlende oder veraltete Datenschutzerklärung, dynamisch geladene Drittdienste und fehlende AVV – alle drei durch eine datensparsame Seite vermeidbar.

Falls Sie eine Abmahnung erhalten: Nicht vorschnell zahlen oder die beigelegte Unterlassungserklärung unterschreiben – erst anwaltlich prüfen lassen. Viele der Massenabmahnungen der letzten Jahre waren rechtsmissbräuchlich und nicht durchsetzbar. Das ist keine Rechtsberatung – im konkreten Fall gehört ein Anwalt eingeschaltet.

Warum eine datensparsame Website es Ihnen leichter macht

Jeder Drittdienst, den Sie weglassen, ist ein Punkt weniger auf dieser Checkliste: kein AVV, keine Drittland-Prüfung, oft kein Cookie-Banner, weniger Abmahnfläche. Genau das ist der Vorteil einer handcodierten Seite mit lokalen Assets gegenüber Baukasten- und WordPress-Seiten voller Plugins.

Datenschutz lässt sich auf zwei Wegen erreichen: durch immer mehr Werkzeuge, die nachträglich Probleme verwalten (Cookie-Tool, Consent-Plugin, Scanner) – oder durch eine Architektur, die die Probleme gar nicht erst entstehen lässt. Ich baue bewusst nach dem zweiten Prinzip:

  • Lokale Schriften statt Google-CDN → kein US-Transfer, kein Abmahnrisiko.
  • Statisches Kartenbild statt Google-Maps-Tracker → keine Einwilligung nötig.
  • Honeypot statt reCAPTCHA → kein Google im Formular.
  • Cookielose, selbst gehostete Statistik → oft gar kein Cookie-Banner.
  • Wenige bis keine Drittdienste → kürzeres Verzeichnis, schlankere Datenschutzerklärung, weniger AVVs.
Aus der Praxis: Diese Seite hier macht es vor. Die Schriften liegen lokal auf dem Server (kein Google-CDN), und die Besuchsstatistik läuft cookielos und selbst gehostet – deshalb kommt sie ohne Cookie-Banner aus. Machen Sie ruhig den F12-Test.

Das ist kein Zufallsprodukt, sondern eine Entscheidung beim Bauen. Als fester Ansprechpartner in Donaueschingen baue ich Seiten für Handwerksbetriebe, Praxen und Vereine im Schwarzwald-Baar-Kreis so, dass Datenschutz von Anfang an mitgedacht ist. Derselbe Architektur-Gedanke gilt übrigens für die Barrierefreiheit: Worauf es beim BFSG ankommt, lesen Sie im Ratgeber Muss meine Website barrierefrei sein?

Wissen, was Ihre Seite kosten würde?

In knapp zwei Minuten unverbindlich durchrechnen – oder schildern Sie mir kurz Ihren Fall. Ehrliche Einschätzung, kein Verkaufsdruck.

Website-Preis berechnen Lieber direkt fragen? Kurze Frage stellen – ich melde mich persönlich.

Was jetzt tun? Ihre Schritt-für-Schritt-Roadmap

Nach dem Lesen brauchen Sie keine zwölf parallelen Pflichten, sondern eine Reihenfolge – fangen Sie mit dem Selbst-Check an, der die meisten Probleme auf einen Schlag sichtbar macht.

  1. Selbst-Check (F12): Was lädt meine Seite ungefragt von fremden Servern?
  2. Drittdienste eliminieren/lokalisieren: Fonts lokal, Maps → statisch, Analytics → cookielos, reCAPTCHA → Honeypot. Das beseitigt die meisten Pflichten auf einmal.
  3. Pflicht-Basis schaffen: Datenschutzerklärung + Impressum (DDG) + HTTPS.
  4. Banner-Frage klären: Brauchen Sie nach Schritt 2 überhaupt noch eins? (siehe Entscheidungshilfe)
  5. AVVs einsammeln: Hoster, Newsletter, Formular-/Buchungstool.
  6. Internes regeln: Verarbeitungsverzeichnis, Prozess für Auskunft/Löschung, 72-Stunden-Datenpanne.
  7. Aktuell halten: bei jeder neuen Funktion die Datenschutzerklärung nachziehen.
Kurz gesagt: Schritte 1–3 lösen den größten Teil. Wer ohnehin neu baut, lässt sie gleich richtig anlegen – dann steht die Basis von Anfang an.

So prüfen Sie Ihre Seite selbst

Mit dem Browser sehen Sie in unter einer Minute, ob Ihre Website ungefragt Daten an fremde Server schickt – die häufigste versteckte DSGVO-Falle.

  1. Öffnen Sie Ihre Website und drücken Sie F12 (Entwicklertools).
  2. Wechseln Sie auf den Tab „Netzwerk" / „Network".
  3. Laden Sie die Seite neu (F5) – bevor Sie irgendein Cookie-Banner anklicken.
  4. Schauen Sie die Liste durch. Fremde Domains wie fonts.googleapis.com, googletagmanager.com, google-analytics.com, maps.google.com, youtube.com oder recaptcha.net bedeuten: Ihre Seite lädt ungefragt von Dritten.

Das Ziel einer sauber datensparsamen Seite: null ungefragte externe Verbindungen beim ersten Aufruf.

Kostenlose Helfer, ehrlich eingeordnet:

  • Webbkoll (webbkoll.5july.net) – laienverständlicher Datenschutz-Scanner, prüft Drittanfragen, Cookies, HTTPS und Sicherheits-Header mit Erklärungen; selbst datensparsam (keine IP-Speicherung).
  • uBlock Origin und Privacy Badger (EFF) – Browser-Erweiterungen, die Tracker aus Besuchersicht sichtbar machen.
  • Kostenlose Cookie-Scanner geben eine grobe Ersteinschätzung – sie prüfen je nach Tool aber nur einen Teil der Seite und sind keine Compliance-Garantie.

Ehrliche Grenze: Scanner finden technische Drittverbindungen, ersetzen aber keine rechtliche Einzelfallbewertung.

Glossar: Begriffe kurz erklärt

Die wichtigsten Begriffe dieser Checkliste in je ein, zwei Sätzen – ohne Fachchinesisch.

DSGVO
Datenschutz-Grundverordnung der EU; das zentrale Gesetz dafür, wie personenbezogene Daten verarbeitet werden dürfen (seit 25.05.2018).
TDDDG
Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz; löste am 14.05.2024 das TTDSG ab und regelt in § 25 die Cookie-Einwilligung.
DDG
Digitale-Dienste-Gesetz; ersetzt seit 14.05.2024 das TMG und enthält in § 5 die Impressumspflicht.
AVV
Auftragsverarbeitungsvertrag nach Art. 28 DSGVO mit jedem Dienstleister, der in Ihrem Auftrag Daten verarbeitet.
Verantwortlicher vs. Auftragsverarbeiter
Verantwortlicher entscheidet über Zweck und Mittel (meist Sie); der Auftragsverarbeiter (z. B. Hoster) handelt nur auf Weisung.
Data Privacy Framework (DPF)
seit 10.07.2023 die Grundlage für Datentransfers an zertifizierte US-Anbieter; juristisch angegriffen („Schrems III").
TOM
technische und organisatorische Maßnahmen nach Art. 32 (z. B. HTTPS, Backups, Zugriffsschutz).
Personenbezogene Daten
alle Angaben zu einer identifizierbaren Person, ausdrücklich auch die IP-Adresse.
Einwilligung
freiwillige, informierte, vorab und aktiv erteilte Zustimmung (Art. 6 Abs. 1 lit. a); kein vorangekreuztes Kästchen, jederzeit widerrufbar.
DSFA
Datenschutz-Folgenabschätzung nach Art. 35; nur bei voraussichtlich hohem Risiko Pflicht.

Häufige Fragen

Ist eine Datenschutzerklärung für jede Website Pflicht?

Praktisch ja. Schon eine schlichte Visitenkarten-Website ohne Formular speichert in den Server-Logfiles die IP-Adresse jedes Besuchers – und das ist eine Verarbeitung personenbezogener Daten. Damit greift die Informationspflicht aus Art. 13 DSGVO. Bei einer datensparsamen Seite ist diese Erklärung allerdings oft kurz: Häufig reichen die Bausteine Hosting/Server-Logfiles und – falls vorhanden – Kontaktformular.

Braucht meine Website 2026 zwingend ein Cookie-Banner?

Nein, nicht automatisch. Ein Cookie-Banner ist nach § 25 TDDDG nur Pflicht, wenn Ihre Seite technisch nicht notwendige Cookies setzt oder Drittdienste lädt (z. B. Google Analytics, Maps, eingebettete Videos, externe Fonts, reCAPTCHA). Eine Seite mit lokalen Schriften, ohne fremde Tracker und ohne externe Embeds kommt häufig ganz ohne Banner aus.

Cookie-Banner: ja oder nein?

Die kurze Regel: Sie brauchen ein Einwilligungs-Banner nur, wenn Ihre Seite nicht notwendige Cookies setzt oder Drittdienste lädt. Lädt sie nur eigene, lokale Inhalte und höchstens notwendige Cookies wie Warenkorb oder Login-Session, brauchen Sie keins. Wer fremde Dienste weglässt oder lokal löst, spart sich das Banner ganz.

Brauche ich beim Kontaktformular eine Einwilligungs-Checkbox?

In der Regel nicht. Die Verarbeitung Ihrer Anfrage stützt sich auf Art. 6 Abs. 1 lit. b oder f DSGVO – dafür ist keine separate Einwilligungs-Checkbox nötig. Fachleute raten sogar davon ab. Nötig sind ein klarer Datenschutzhinweis mit Link zur Datenschutzerklärung, HTTPS und Datenminimierung. Anders beim Newsletter: Der braucht ein Double-Opt-In.

Ist Google reCAPTCHA 2026 DSGVO-konform?

reCAPTCHA greift auf das Endgerät Ihrer Besucher zu und überträgt Daten an Google – damit ist es grundsätzlich einwilligungspflichtig nach § 25 TDDDG, nicht „technisch notwendig". Seit dem 2. April 2026 ist Google beim reCAPTCHA-Einsatz weisungsgebundener Auftragsverarbeiter, was die Vertragslage erleichtert; die Erforderlichkeitsprüfung, die US-Transfer-Frage und die Transparenzpflicht bleiben aber bestehen. Am einfachsten umgehen Sie die ganze Diskussion mit einem serverseitigen Honeypot oder einer EU-Lösung wie Friendly Captcha.

Sind extern eingebundene Google Fonts wirklich abmahnbar?

Das dynamische Nachladen von Google Fonts überträgt ungefragt die Besucher-IP in die USA. Das LG München I sprach dafür 100 € Schadensersatz zu (20.01.2022, 3 O 17493/20). Wichtig: erstinstanzliches Einzelfallurteil, kein fester „Tarif"; der BGH hat 2025 Grundsatzfragen dem EuGH vorgelegt. Die einfache, sichere Lösung bleibt dieselbe: Schriften lokal vom eigenen Server ausliefern.

Wie binde ich Google Maps DSGVO-konform ein?

Eine direkt eingebettete Google-Karte überträgt schon beim Seitenaufruf Daten in die USA und ist einwilligungspflichtig. Saubere Alternativen: ein statisches Kartenbild (am saubersten) oder eine Zwei-Klick-Lösung. Auch OpenStreetMap-Kacheln übertragen die Besucher-IP an Dritt-Server – für einen lokalen Betrieb, der nur die Anfahrt zeigt, ist das statische Bild deshalb meist die einfachste und sicherste Wahl.

Darf ich Calendly oder ein anderes Buchungstool nutzen?

Eingebettete US-Buchungstools wie Calendly übertragen beim Laden Daten in die USA und setzen Cookies. Calendly ist zwar unter dem Data Privacy Framework zertifiziert, das Embed braucht aber trotzdem eine Einwilligung oder eine Zwei-Klick-Einbindung. Datensparsamer sind EU-gehostete Tools (z. B. Cituro, meetergo, selbst gehostetes Cal.com) mit AVV – oder für kleine Betriebe schlicht ein Mailto-/Telefon-Link beziehungsweise das eigene Formular.

Darf ich Team- oder Kundenfotos ohne Einwilligung auf die Website stellen?

In der Regel nicht. Fotos erkennbarer Personen sind personenbezogene Daten; ihre Veröffentlichung braucht eine Rechtsgrundlage – meist die Einwilligung jeder abgebildeten Person, bei Mitarbeitenden am besten schriftlich (§ 26 Abs. 2 BDSG). Diese Einwilligung ist jederzeit widerrufbar; das Foto sollte dann entfernt werden. Bei Minderjährigen entscheiden die Sorgeberechtigten. Ein reines Arbeitsverhältnis genügt als Grundlage nicht.

Was ist der Unterschied zwischen Impressum und Datenschutzerklärung?

Zwei verschiedene Pflichten. Das Impressum (Anbieterkennzeichnung) folgt aus § 5 DDG – dem Digitale-Dienste-Gesetz, das im Mai 2024 das alte TMG abgelöst hat – und gehört zum Website-Recht, nicht zur DSGVO. Die Datenschutzerklärung folgt aus der DSGVO (Art. 13) und informiert über die Datenverarbeitung. Beide sollten getrennt und von jeder Seite erreichbar sein. „§ 5 TMG" oder „TTDSG" sind veraltete Verweise.

Brauche ich als Solo-Selbstständiger oder kleiner Betrieb einen Datenschutzbeauftragten?

Meistens nicht. Eine Pflicht nach § 38 BDSG besteht erst, wenn in der Regel mindestens 20 Personen ständig mit automatisierter Datenverarbeitung beschäftigt sind. Für typische Handwerksbetriebe, Vereine oder kleine Praxen greift das selten. Unabhängig davon kann Art. 37 DSGVO greifen – etwa bei umfangreicher Verarbeitung sensibler Daten. Eine einzelne kleine Arztpraxis gilt dabei in der Regel nicht als „umfangreich". Die diskutierte Abschaffung der 20-Personen-Schwelle ist Stand 2026 noch nicht in Kraft.

Kann ich meine Datenschutzerklärung mit einem Generator erstellen?

Ja, als Gerüst. Generatoren liefern brauchbare Bausteine, ersetzen aber nicht die Anpassung an die Dienste, die Ihre Seite wirklich nutzt. Der häufigste Fehler: Muster-Bausteine für Analytics, Maps oder Newsletter übernehmen, die gar nicht eingesetzt werden. Prüfen Sie deshalb zuerst per Selbst-Check, was Ihre Seite tatsächlich lädt, und kreuzen Sie nur diese Bausteine an. Bei einer schlanken Seite ist die Erklärung oft erfreulich kurz.

Wie hoch ist das Bußgeld- und Abmahnrisiko für einen kleinen Betrieb wirklich?

Der oft zitierte Rahmen von bis zu 20 Mio. € oder 4 % des Jahresumsatzes ist der gesetzliche Höchstwert für schwere Verstöße – in der Praxis trifft er Großkonzerne. 2025 entfielen in Deutschland 45 von rund 46,9 Mio. € Gesamtbußgeld auf ein einziges Unternehmen. Für kleine Betriebe ist ein Bußgeld die Ausnahme; realistischer sind behördliche Hinweise oder Abmahnungen. Letztere lassen sich technisch vermeiden. Bei einer Abmahnung: nicht vorschnell zahlen, sondern prüfen lassen.

Darf ich Google Analytics 2026 noch nutzen?

Grundsätzlich ja – aber nur mit wirksamer, vorheriger Einwilligung über ein korrektes Banner, transparentem Hinweis auf den US-Transfer und (von Google verlangt) Consent Mode v2. Das ist viel Aufwand. Für viele kleine Betriebe ist die ehrlichere Lösung eine cookielose, datensparsame Statistik (z. B. selbst gehostetes Matomo oder serverseitige Auswertung) – das spart Banner und US-Transfer komplett.

Brauche ich einen Auftragsverarbeitungsvertrag (AVV) mit meinem Hoster?

Ja. Sobald ein Dienstleister auf personenbezogene Daten zugreifen könnte – und das kann Ihr Hoster, weil die Daten auf seinen Servern liegen –, brauchen Sie einen AVV nach Art. 28 DSGVO. Seriöse Anbieter stellen ihn fertig zum Abruf bereit. Das gilt nicht nur für den Hoster, sondern für jeden Auftragsverarbeiter – auch Newsletter-, Analyse- und Formular-Dienste.

Wie prüfe ich selbst, ob meine Website DSGVO-relevante Drittverbindungen aufbaut?

In unter einer Minute mit dem Browser: Entwicklertools öffnen (F12), Tab „Netzwerk", Seite neu laden. Dort sehen Sie jede externe Verbindung – etwa zu fonts.googleapis.com, googletagmanager.com oder maps.google.com. Alternativ gibt es kostenlose Scanner wie Webbkoll. Das Ziel einer sauber datensparsamen Seite: null ungefragte externe Verbindungen beim ersten Aufruf.

Muss meine Datenschutzerklärung eine eigene Seite sein?

Empfohlen ja, zwingend nein. Die DSGVO (Art. 12) verlangt nur, dass die Erklärung leicht zugänglich, klar benannt und von jeder Unterseite erreichbar ist – üblich über einen Footer-Link. Verboten ist lediglich, sie im Impressum zu verstecken. Eine eigene Seite ist die saubere, übliche Lösung.

So entstand diese Checkliste (Methodik)

Diese Checkliste ist gegen die Primärquellen geprüft und auf den Stand 2026 gebracht – damit Sie sich darauf verlassen können, dass hier nicht mehr „TMG" oder „TTDSG" steht.

Wie geprüft wurde: Jede rechtlich tragende Aussage wurde gegen Primärquellen abgeglichen – die Gesetzestexte (gesetze-im-internet.de, EUR-Lex), Veröffentlichungen von BfDI, Datenschutzkonferenz (DSK) und LfDI Baden-Württemberg sowie die zitierten Gerichtsurteile. Auf dem Stand 2026: TDDDG statt TTDSG, § 5 DDG statt § 5 TMG, das Data Privacy Framework samt „Schrems III"-Stand. Diese Seite wird bei Gesetzes- oder Urteilsänderungen geprüft; das Datum oben zeigt den letzten Stand. Und noch einmal klar: Das ist eine Orientierungshilfe, keine Rechtsberatung.
Andreas Breuninger, Inhaber von Donauwebdesign

Andreas Breuninger – Donauwebdesign

Ich bin Webdesigner und Inhaber von donauwebdesign in Donaueschingen (Schwarzwald-Baar-Kreis) und baue handcodierte, datensparsame Websites – ohne WordPress, Baukasten oder Plugin-Wildwuchs – für Handwerksbetriebe, Praxen und Vereine. Mein Ansatz: „Ich baue meine Kundenseiten so, dass die halbe DSGVO-Liste gar nicht erst entsteht." Ehrliche Grenze: Ich bin Webdesigner, kein Anwalt – bei rechtlicher Unsicherheit hilft die Aufsichtsbehörde (LfDI Baden-Württemberg) oder ein Fachanwalt. Weitere Ratgeber im Blog, mehr über mich und meine Referenzen.

Verwandte Ratgeber

Quellen
  1. DSGVO – Volltext (Art. 5, 6, 9, 12–18, 20–22, 25, 28, 30, 32–35, 37, 82, 83): dsgvo-gesetz.de · dejure.org/gesetze/DSGVO
  2. TDDDG – § 25 (Cookies/Endgeräte-Zugriff), § 26 (EinwV): gesetze-im-internet.de/tdddg/
  3. DDG – § 5 (Impressum, ersetzt § 5 TMG seit 14.05.2024): gesetze-im-internet.de/ddg/__5.html
  4. BDSG – § 26 (Beschäftigtendaten), § 38 (Datenschutzbeauftragter): gesetze-im-internet.de/bdsg_2018/
  5. EuGH, C-582/14 (Breyer) – IP-Adressen als personenbezogene Daten
  6. BGH, 28.05.2020, I ZR 7/16 („Cookie-Einwilligung II"); EuGH C-673/17 (Planet49)
  7. VG Hannover, 19.03.2025, 10 A 5385/22 (Cookie-Banner / Dark Patterns / Google Tag Manager)
  8. LG München I, 20.01.2022, 3 O 17493/20 (Google Fonts); BGH-Vorlage an EuGH 28.08.2025, VI ZR 258/24
  9. EU-US Data Privacy Framework – Durchführungsbeschluss (EU) 2023/1795 v. 10.07.2023; EuG T-553/23 (03.09.2025), Rechtsmittel C-703/25 P
  10. EinwV (Einwilligungsverwaltungsverordnung), seit 01.04.2025; erster anerkannter Dienst „Consenter" 17.10.2025 (BfDI)
  11. Google reCAPTCHA – Auftragsverarbeiter-Umstellung ab 02.04.2026 (Google Cloud Docs); Einordnung proliance.ai / datenschutzticker.de
  12. EDPB – Coordinated Enforcement Framework 2026 (Transparenz, Art. 12–14), Start 19.03.2026: edpb.europa.eu
  13. § 203 StGB (Berufsgeheimnisträger) · DSK Kurzpapiere (Verarbeitungsverzeichnis, DSFA): gesetze-im-internet.de/stgb/__203.html
  14. Recht am eigenen Bild – §§ 22, 23 KunstUrhG; EuGH C-34/21 (§ 26 Abs. 1 BDSG): e-recht24.de / dr-datenschutz.de
  15. BSI – Technische Richtlinie TR-02102-2 (TLS): bsi.bund.de
  16. EuGH „Lindenapotheke" C-21/23 (04.10.2024) & BGH 2025 – Abmahnbarkeit mit Marktbezug · EuGH zu Art. 82 (C-300/21)
  17. § 38-BDSG-Reform – Modernisierungsagenda v. 04.12.2025 (Stand 2026 nicht in Kraft): dr-datenschutz.de
  18. Webbkoll-Datenschutz-Scanner (5th of July Foundation): webbkoll.5july.net · e-recht24 – Datenschutz für kleine Unternehmen, Webhoster & AVV, Consent Mode v2

Hinweis: Dieser Ratgeber ersetzt keine Rechtsberatung. Bei konkreten rechtlichen Fragen ziehen Sie bitte die zuständige Datenschutzaufsicht oder fachkundigen anwaltlichen Rat hinzu. Rechtsstand Juni 2026, ohne Gewähr auf Vollständigkeit.