Zum Inhalt springen
← Alle Beiträge
· 2 Min. Lesezeit·Emre Yurtbay

Website DSGVO-konform machen – die wichtigsten Schritte für KMU

Cookie-Banner, Datenschutzerklärung, Fonts, Formulare: Eine praxisnahe Checkliste, um Ihre Website rechtssicher aufzustellen.

DSGVODatenschutzWebsiteKMURecht

Abmahnungen wegen Datenschutzverstößen treffen längst nicht mehr nur große Firmen. Die gute Nachricht: Die häufigsten Probleme sind technischer Natur – und damit gut lösbar. Diese Checkliste deckt die Punkte ab, die bei KMU erfahrungsgemäß am häufigsten fehlen.

Hinweis: Dieser Beitrag ersetzt keine Rechtsberatung. Er erklärt die technische Umsetzung der häufigsten Anforderungen.

1. Schriftarten lokal einbinden

Werden Google Fonts dynamisch von Googles Servern geladen, wird die IP-Adresse der Besucher an Google übertragen. Das Landgericht München I hat darin einen DSGVO-Verstoß gesehen (Urteil vom 20.01.2022, Az. 3 O 17493/20) und 100 € Schadensersatz zugesprochen. Auch wenn spätere Massenabmahnungen zu diesem Thema später als rechtsmissbräuchlich eingestuft wurden (LG München I, 30.03.2023, Az. 4 O 13063/22), bleibt der datenschutzrechtliche Kern bestehen – und die Lösung ist simpel: Schriftarten selbst hosten.

Diese Website macht genau das vor: Die verwendete Schrift wird lokal vom eigenen Server ausgeliefert, es gibt keine Verbindung zu Google.

2. Externe Dienste prüfen

Jeder eingebundene Drittanbieter (Karten, Videos, Analytics, Chat-Widgets, Formular-Dienste) überträgt potenziell Daten. Faustregel:

  • Lädt etwas erst nach Einwilligung? → Consent nötig
  • Geht etwas an Server außerhalb der EU? → genau prüfen
  • Brauchen Sie den Dienst wirklich? → oft die beste Lösung: weglassen

3. Cookie-Banner – richtig statt nur vorhanden

Maßgeblich ist § 25 TDDDG (das „Telekommunikation-Digitale-Dienste- Datenschutz-Gesetz“, seit dem 14.05.2024 Nachfolger des TTDSG). Vor dem Zugriff auf bzw. dem Speichern von Informationen auf dem Endgerät ist – außer bei technisch notwendigen Funktionen – eine Einwilligung erforderlich. In der Praxis bedeutet das:

  • „Ablehnen“ muss gleichwertig und auf der ersten Ebene sichtbar sein – so einfach wie „Akzeptieren“.
  • Keine vorausgewählten Häkchen für Tracking-/Drittanbieter-Cookies.
  • Nicht-essenzielle Skripte werden erst nach der Einwilligung geladen.

Verstöße können nach § 28 TDDDG mit Bußgeldern von bis zu 300.000 € geahndet werden.

4. Datenschutzerklärung & Impressum

Vollständig, aktuell, leicht auffindbar (maximal zwei Klicks). Die Inhalte müssen die tatsächlich eingesetzte Technik widerspiegeln – Vorlagen blind zu kopieren ist riskant, weil sie oft Dienste beschreiben, die Sie gar nicht nutzen (oder umgekehrt welche verschweigen).

5. Kontaktformulare absichern

TLS-Verschlüsselung, Zweckbindung, klare Einwilligung, sparsame Datenerhebung. Idealerweise wird das Formular ohne Drittanbieter verarbeitet. Auf dieser Website läuft die Formularzustellung zum Beispiel vollständig über den eigenen Server und Mailserver – kein externer Formular-Dienst, kein Drittlandtransfer.

Kurz-Checkliste

  • Fonts lokal gehostet (kein Google-CDN)
  • Externe Dienste inventarisiert & minimiert
  • Consent-Banner: „Ablehnen“ gleichwertig, lädt erst nach Einwilligung
  • Datenschutzerklärung spiegelt die reale Technik
  • Formulare verschlüsselt, sparsam, möglichst ohne Drittanbieter

Fazit

Die meisten DSGVO-Risiken auf KMU-Websites sind technisch – und mit klarem Vorgehen an einem Tag erledigt. Wichtig ist, es bewusst zu tun, statt zu hoffen, dass niemand hinschaut.

Sie wollen wissen, wo Ihre Website steht? Ich schaue mir das in einem kostenlosen Erstgespräch konkret an.

Projekt besprechen