In diesem Beitrag 2 min · Webdesign
DSGVO-Beratung ist 2026 eine Mischung aus echter Verpflichtung, Halb-Mythos und Anwalts-Honorar-Optimierung. Wir nehmen hier nur das Pflicht-Set durch — das, was jede Unternehmens-Website unabhängig von Branche oder Größe haben muss. Was darüber hinausgeht, ist meist Geschmacksfrage oder Anwaltsempfehlung im konkreten Einzelfall.
Pflicht: Datenschutzerklärung mit echten Inhalten
Eine generische Datenschutzerklärung vom Generator ist nicht ausreichend. Die Erklärung muss tatsächlich beschreiben, was Ihre Website macht — welche Cookies sie setzt, welche externen Dienste sie nutzt (Google Fonts, YouTube-Einbettungen, Analytics, Karten), welche Formulare welche Daten speichern. Ein guter Generator (eRecht24, Datenschutz.org, Twobird) ist ein Ausgangspunkt, aber die generierten Texte müssen Sie an Ihre tatsächliche Website-Konfiguration anpassen.
Pflicht: Impressum nach §5 TMG
Vollständiges Impressum mit allen Pflichtangaben. Bei Gewerbetreibenden: vollständiger Name, Anschrift, Telefon, E-Mail, USt-ID (falls vorhanden), Berufshaftpflichtversicherung (bei freien Berufen), zuständige Aufsichtsbehörde (bei Heilberufen, Anwälten, Architekten). Verlinkt im Footer jeder Seite, erreichbar mit höchstens zwei Klicks.
Was Sie selbst prüfen können
- ✓Sind Impressum und Datenschutzerklärung aktuell?
- ✓Wird die Seite mobil korrekt angezeigt?
- ✓Lädt die Startseite unter 2 Sekunden?
- ✓Funktioniert das Kontaktformular tatsächlich?
- ✓Wann wurde zuletzt ein Backup gemacht?
Pflicht: Cookie-Consent — aber richtig
Ein Cookie-Banner ist seit dem TTDSG (Mai 2021) Pflicht für alle nicht-essentiellen Cookies und Tracking-Dienste. Das gilt für Google Analytics, Google Tag Manager, Facebook-Pixel, YouTube-Einbettungen, Schriftarten-Dienste wie Google Fonts (wenn extern eingebunden), Tracking-Cookies von Werbung. Was viele Webseiten falsch machen: Ein Banner mit nur „Verstanden“-Button ohne Wahlmöglichkeit ist rechtswidrig. Es muss eine echte Auswahl geben: Akzeptieren, Ablehnen, Einstellungen. „Akzeptieren“ darf nicht prominenter sein als „Ablehnen“ (das BGH-Urteil dazu ist eindeutig).
Pflicht: Auftragsverarbeitungsverträge
Jeder Dienstleister, der Ihre Daten verarbeitet, braucht einen Auftragsverarbeitungs-Vertrag (AVV) nach Art. 28 DSGVO. Das betrifft den Web-Hoster, den Newsletter-Dienst (Mailchimp, Brevo), die Buchungs-Software, das CRM, den IT-Dienstleister. Die meisten seriösen Anbieter stellen AVVs online zur Verfügung oder bieten sie auf Nachfrage an. Liegen die AVVs nicht vor, ist das ein klares Compliance-Risiko.
Nicht-Pflicht, aber empfohlen
Google Fonts lokal einbinden (statt vom Google-CDN laden) erspart Streit über US-Datenweitergabe. SSL-Verschlüsselung (https) ist heute Standard und de-facto Pflicht. Eine Datenschutz-Folgenabschätzung ist nur in besonderen Fällen erforderlich (Gesundheitsdaten, Mitarbeiter-Tracking, große Datenmengen) — für eine normale Unternehmens-Website nicht.
Antworten in Kürze
Erste häufige Frage in einem Satz?
Kurze, konkrete Antwort. Ein oder zwei Sätze reichen — das ist auch SEO-technisch der ideale Umfang.
Zweite Frage, die Leser tatsächlich stellen?
Antwort ohne Fülltext. Wenn nötig: Link auf eine vertiefende Seite, aber nicht ablenken.
Dritte Frage zum Beitrag?
Wieder kurz und konkret antworten. Maximal drei Sätze.