DSGVO und Website: Warum das Thema brennt

Seit Mai 2018 gilt die Datenschutz-Grundverordnung (DSGVO) in der EU — und trotzdem sind 2026 noch erstaunlich viele Unternehmenswebsites nicht rechtskonform. Abmahnungen, Bußgelder und Abmahnwellen sind keine Seltenheit. Die Behörden werden aktiver, und auch Mitbewerber nutzen DSGVO-Verstöße als Hebel für Wettbewerbsstreitigkeiten.

Aber keine Panik: DSGVO-Konformität ist keine Raketenwissenschaft. Es gibt klare Anforderungen, die systematisch abgehakt werden können. Dieser Artikel erklärt die wichtigsten Pflichten für Website-Betreiber — ohne Juristendeutsch, aber mit konkreten Handlungsempfehlungen.

Wichtiger Hinweis: Dieser Artikel dient der allgemeinen Information und ersetzt keine Rechtsberatung. Für verbindliche Einschätzungen wenden Sie sich an einen Fachanwalt für IT-Recht oder Datenschutz.

1. SSL-Verschlüsselung: Das absolute Minimum

Jede Website muss über HTTPS verschlüsselt sein — das ist seit Jahren Pflicht und technische Grundvoraussetzung. Ohne SSL-Zertifikat werden Websites von modernen Browsern als "nicht sicher" markiert, von Google schlechter gerankt und entsprechen nicht den DSGVO-Anforderungen zum Schutz übertragener Daten.

Was zu tun ist: SSL-Zertifikat beim Hosting-Anbieter aktivieren (kostenlos via Let's Encrypt), alle HTTP-URLs auf HTTPS weiterleiten, Mixed-Content-Warnungen eliminieren. Moderne Hosting-Plattformen wie Netlify oder Vercel aktivieren SSL automatisch.

Bei Pulse Digital ist SSL bei allen Projekten von Anfang an konfiguriert — das ist kein Addon, das ist Standard.

2. Datenschutzerklärung: Was sie enthalten muss

Jede Website, die personenbezogene Daten verarbeitet — und das tut jede Website, die auch nur IP-Adressen speichert — braucht eine vollständige Datenschutzerklärung. Was hinein muss:

Pflichtangaben der Datenschutzerklärung

Verantwortlicher: Name, Adresse und Kontaktdaten des Betreibers
Datenschutzbeauftragter: Falls vorhanden oder gesetzlich vorgeschrieben
Welche Daten werden erhoben: IP-Adressen, Kontaktformular-Daten, Newsletter-Anmeldungen etc.
Zweck der Verarbeitung: Warum werden die Daten erhoben?
Rechtsgrundlage: Art. 6 DSGVO (berechtigtes Interesse, Vertragserfüllung, Einwilligung etc.)
Speicherdauer: Wie lange werden Daten aufbewahrt?
Drittanbieter: Google Analytics, YouTube-Embeds, Social-Media-Plugins etc.
Betroffenenrechte: Auskunft, Berichtigung, Löschung, Widerspruch

Generatoren für Datenschutzerklärungen gibt es kostenlos — etwa von der Deutschen Anwaltskanzlei Schwenke oder von eRecht24. Trotzdem empfehlen wir, die generierte Erklärung von einem Anwalt prüfen zu lassen, wenn Sie unsicher sind.

Sehen Sie sich unsere eigene Datenschutzerklärung als Beispiel an — aber kopieren Sie sie nicht einfach, da sie auf unsere spezifische Situation zugeschnitten ist.

Der Cookie-Banner ist das meistdiskutierte DSGVO-Thema — und das meistfalsch-umgesetzte. Hier die wichtigsten Regeln:

Was die DSGVO und ePrivacy-Richtlinie verlangen

Opt-in, nicht Opt-out: Cookies die nicht technisch notwendig sind (Marketing, Analytics, Tracking) dürfen erst nach ausdrücklicher Einwilligung gesetzt werden
Kein Pre-ticking: Checkboxen für nicht-notwendige Cookies dürfen nicht vorausgewählt sein
Granulare Auswahl: Nutzer müssen zwischen verschiedenen Cookie-Kategorien wählen können
Ablehnung so einfach wie Zustimmung: Ein "Alles ablehnen"-Button muss genauso prominent sein wie "Alles akzeptieren"
Widerruf jederzeit möglich: Nutzer müssen ihre Einwilligung jederzeit widerrufen können

Technisch notwendige Cookies

Nicht jedes Cookie braucht eine Einwilligung. Technisch notwendige Cookies — zum Beispiel für die Session-Verwaltung, den Warenkorb oder den Login — sind von der Einwilligungspflicht ausgenommen. Aber: Die Grenze ist enger als viele denken. Analytics-Cookies sind nicht technisch notwendig — auch wenn Google Analytics "kostenlos" ist.

Google Analytics und DSGVO

Google Analytics ist seit dem Schrems-II-Urteil und dem Datentransfer in die USA ein besonders sensibles Thema. Mehrere europäische Datenschutzbehörden haben entschieden, dass Google Analytics ohne ausreichende Schutzmaßnahmen nicht DSGVO-konform eingesetzt werden kann. Alternativen: Plausible Analytics (europäischer Anbieter, cookiefrei), Matomo (selbst-gehostet) oder Fathom Analytics.

4. Hosting in Deutschland oder der EU

Der Serverstandort ist ein relevanter Datenschutzfaktor. Wenn Daten auf Servern außerhalb der EU gespeichert werden, gelten zusätzliche Anforderungen (Standardvertragsklauseln, Adequacy Decision etc.). Einfacher ist es, von Anfang an EU-konforme Hosting-Anbieter zu nutzen:

Hetzner: Deutscher Anbieter, Server in Deutschland und Finnland, günstig und DSGVO-konform
IONOS (1&1): Ebenfalls deutsch, gute DSGVO-Compliance
Netlify / Vercel: US-amerikanische Anbieter, aber mit EU-Serveroptionen und Datenverarbeitungsverträgen (DPA)

Bei Projekten mit sensiblen Daten (Gesundheit, Finanzen, Kinder) empfehlen wir grundsätzlich deutschen oder EU-Hosting. Für Standard-Unternehmenswebsites sind Netlify und Vercel mit korrekt konfigurierten DPAs in der Regel ausreichend.

5. Impressumspflicht und Kontaktdaten

Neben der DSGVO gilt in Deutschland das Telemediengesetz (TMG): Jede geschäftsmäßige Website braucht ein vollständiges Impressum. Pflichtangaben:

Name und Anschrift des Betreibers
Kontaktdaten (E-Mail, Telefon)
Bei Unternehmen: Rechtsform, Vertretungsberechtigte, Handelsregisternummer
Bei zulassungspflichtigen Berufen: Kammerzugehörigkeit, Berufsbezeichnung
Umsatzsteuer-ID (falls vorhanden)

Das Impressum muss von jeder Seite der Website aus leicht erreichbar sein — ein Link im Footer genügt in der Regel.

6. Kontaktformulare datenschutzkonform gestalten

Kontaktformulare verarbeiten personenbezogene Daten — mindestens Name und E-Mail-Adresse. Was zu beachten ist:

Datenschutzhinweis direkt beim Formular (Link zur Datenschutzerklärung)
Nur Felder abfragen, die wirklich notwendig sind (Datensparsamkeit)
Datenübertragung verschlüsselt (HTTPS)
Klarer Zweck der Verarbeitung kommuniziert
Anfrage-Daten nur so lange wie nötig speichern

Checkliste: DSGVO-Basics für Ihre Website

✅ SSL-Zertifikat aktiv, alle Seiten über HTTPS
✅ Vollständige Datenschutzerklärung vorhanden und aktuell
✅ Cookie-Consent-Banner mit Opt-in für nicht-notwendige Cookies
✅ Google Analytics nur nach Einwilligung oder durch datenschutzkonformes Alternativ-Tool ersetzt
✅ Vollständiges Impressum von jeder Seite erreichbar
✅ Kontaktformulare mit Datenschutzhinweis
✅ Hosting in EU oder mit gültigem DPA
✅ Auftragsverarbeitungsvertrag mit Dienstleistern die Daten verarbeiten

Was wir für Sie tun

Bei Pulse Digital gehört DSGVO-Compliance zum Standard unserer Webdesign-Projekte. Wir integrieren korrekte Cookie-Consent-Lösungen, konfigurieren SSL, verlinken korrekt auf Datenschutzerklärung und Impressum und nutzen datenschutzfreundliche Analytics-Alternativen.

Sehen Sie sich unsere Leistungen für Webdesign und speziell für Webdesign Moers an. Für Unternehmen aus der Region ist ein persönliches Gespräch immer möglich — kontaktieren Sie uns für ein kostenloses Erstgespräch.

Zurück zum Blog

Das könnte Sie auch interessieren

SSL-Zertifikat: Warum HTTPS für Ihre Website Pflicht ist

Noch keine HTTPS-Verbindung auf Ihrer Website? Das ist 2025 ein ernsthaftes Problem — für Ihre Google-Rankings, für das Vertrauen Ihrer Besucher und für Ihre DSGVO-Konformität.

7 Min.Lesen

Webdesign

Was beeinflusst die Kosten einer professionellen Website?

Die Kosten einer Website hängen von vielen Faktoren ab. Wir erklären, worauf es wirklich ankommt, welche Kostentreiber es gibt und wie Sie die richtige Investition für Ihr Business finden.

8 Min.Lesen

Recht & Compliance

BFSG 2025: Barrierefreiheit wird Pflicht — was Unternehmen jetzt tun müssen

Das Barrierefreiheitsstärkungsgesetz (BFSG) ist in Kraft — viele Unternehmen sind nicht vorbereitet. Wir erklären, wen es betrifft, was konkret gefordert wird und welche Maßnahmen Sie jetzt ergreifen sollten.

10 Min.Lesen

DSGVO-konforme Website: Was Unternehmen beachten müssen