DSGVO-Pflichten für Websites: Was Sie wirklich beachten müssen
Datenschutzerklärung, Cookie-Consent, Impressum - drei Pflichten, die jede Website erfüllen muss. Verständlich erklärt für Geschäftsführer und Vorstände, ohne Juristendeutsch.
Was ist eine Datenschutzerklärung - und warum braucht jede Website eine?
Eine Datenschutzerklärung informiert Besucher Ihrer Website darüber, welche personenbezogenen Daten erhoben werden, warum das geschieht und welche Rechte die Betroffenen haben. Das klingt abstrakt, ist aber konkret: Schon wenn jemand Ihre Website aufruft, speichert der Server eine IP-Adresse. Das ist ein personenbezogenes Datum. Damit fällt jede Website unter die DSGVO.
Die Datenschutz-Grundverordnung (DSGVO) gilt seit Mai 2018 in der gesamten EU. Sie verpflichtet jeden Website-Betreiber - ob Konzern, Mittelständler, Verein oder Stiftung - zu einer vollständigen Datenschutzerklärung. Fehlt sie oder ist sie veraltet, drohen Abmahnungen und Bußgelder.
Wichtig: Eine Datenschutzerklärung ist nicht dasselbe wie ein Impressum. Das Impressum regelt, wer für die Website verantwortlich ist (nach dem Digitale-Dienste-Gesetz, DDG). Die Datenschutzerklärung regelt, wie mit Daten umgegangen wird (nach der DSGVO). Beides ist Pflicht, beides muss separat vorhanden sein.
Die häufigsten Fehler bei Datenschutzerklärungen
In unserer Praxis sehen wir immer wieder dieselben Probleme. Viele davon sind leicht vermeidbar - wenn man weiß, worauf es ankommt.
Veraltete Vorlagen
Viele Websites nutzen noch Datenschutzerklärungen von 2018 oder früher. Seitdem haben sich Gesetze geändert (TTDSG wurde zum TDDDG, neue Urteile zu Google Fonts und Analytics). Eine Vorlage von vor drei Jahren ist fast sicher nicht mehr rechtskonform.
Fehlende Angaben
Die DSGVO verlangt konkrete Informationen: Name des Verantwortlichen, Kontakt des Datenschutzbeauftragten (falls vorhanden), Rechtsgrundlagen für jede Datenverarbeitung, Speicherdauer und Betroffenenrechte. Fehlt eines davon, ist die Erklärung unvollständig.
Copy-Paste ohne Anpassung
Eine Datenschutzerklärung muss zur eigenen Website passen. Wer Google Analytics einsetzt, aber nur Facebook Pixel erwähnt, hat ein Problem. Wer gar keine Analyse-Tools nutzt, aber trotzdem drei Absätze darüber schreibt, ebenfalls.
Leere oder versteckte Seiten
Manche Websites haben zwar einen Link zur Datenschutzerklärung im Footer, aber die Seite dahinter ist leer oder führt ins Nichts. Aufsichtsbehörden prüfen das systematisch - und Abmahnanwälte erst recht.
Cookie-Consent: Warum ein einfacher Hinweis nicht reicht
Cookies sind kleine Textdateien, die Websites auf dem Gerät des Besuchers speichern. Manche sind technisch notwendig (zum Beispiel für den Warenkorb in einem Online-Shop). Andere dienen der Analyse oder dem Marketing - und genau hier wird es rechtlich relevant.
Das Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG, früher TTDSG) schreibt vor: Bevor nicht-essentielle Cookies gesetzt werden, muss der Besucher aktiv einwilligen. Das bedeutet: Ein Banner mit dem Text "Diese Website verwendet Cookies - OK" genügt nicht. Der Besucher muss eine echte Wahl haben - mit der Möglichkeit, einzelne Kategorien abzulehnen.
In der Praxis brauchen Sie ein sogenanntes Consent Management Tool (CMP). Dieses Tool zeigt beim ersten Besuch ein Cookie-Banner mit mindestens zwei Optionen: "Alle akzeptieren" und "Nur notwendige". Erst nach der Einwilligung dürfen Tracking-Cookies gesetzt werden. Ohne funktionierendes CMP ist jedes Tracking auf Ihrer Website rechtswidrig.
Übrigens: Auch eingebettete YouTube-Videos, Google Maps oder Social-Media-Buttons setzen Cookies. Wer solche Inhalte einbindet, braucht entweder eine Einwilligung oder eine Zwei-Klick-Lösung, die erst nach Zustimmung lädt. Das Thema Website-Sicherheit hängt direkt damit zusammen - denn unsichere Einbindungen können auch Datenschutzprobleme verursachen.
Die bessere Lösung: Gar kein Cookie-Banner brauchen
Es gibt eine Alternative zum Cookie-Banner-Dilemma: Bauen Sie Ihre Website so, dass sie gar keine nicht-essentiellen Cookies setzt. Kein Tracking, keine externen Fonts, keine Third-Party-Embeds - dann brauchen Sie weder Banner noch CMP. Das spart Geld (CMP-Tools kosten 50-500 EUR/Monat), verbessert die Ladezeit und macht die DSGVO-Konformität trivial.
Klingt unrealistisch? gosign.de selbst ist der Beweis: Null Cookies, null Banner, Lighthouse 100/100, volle Analyse über cookielose Tools. Was dahinter steckt und wie das auch für Ihre Website funktioniert, erklären wir im Detail:
Website ohne Cookie-Banner - so geht'sDSGVO, TDDDG, DDG - welches Gesetz gilt wofür?
Drei Gesetze, drei Zuständigkeiten. Für Website-Betreiber ist es wichtig, den Unterschied zu kennen - denn Verstöße gegen jedes einzelne können separat geahndet werden.
| Gesetz | Regelt | Pflicht für Websites |
|---|---|---|
| DSGVO | Verarbeitung personenbezogener Daten | Datenschutzerklärung, Verarbeitungsverzeichnis, Betroffenenrechte |
| TDDDG | Zugriff auf Endgeräte (Cookies, Fingerprinting) | Cookie-Consent vor nicht-essentiellen Cookies |
| DDG | Informationspflichten digitaler Dienste | Impressum mit vollständigen Anbieterangaben |
Die DSGVO ist eine EU-Verordnung und gilt unmittelbar. Das TDDDG (Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz, bis 2024 noch TTDSG) ist ein deutsches Gesetz und regelt speziell den Zugriff auf Endgeräte. Das DDG (Digitale-Dienste-Gesetz) ersetzt seit 2024 das alte TMG und regelt unter anderem die Impressumspflicht. Alle drei Gesetze gelten parallel - und alle drei müssen erfüllt sein.
Sonderfall Stiftungen und gemeinnützige Organisationen
Ein verbreiteter Irrtum: Stiftungen, Vereine und gemeinnützige Organisationen seien von der DSGVO ausgenommen. Das stimmt nicht. Die DSGVO gilt für jede Organisation, die personenbezogene Daten verarbeitet - unabhängig von der Rechtsform oder dem Zweck.
In der Praxis bedeutet das: Auch die Website einer Bürgerstiftung, eines Fördervereins oder einer kirchlichen Einrichtung braucht eine vollständige Datenschutzerklärung, ein rechtskonformes Cookie-Banner und ein korrektes Impressum. Die Anforderungen sind identisch mit denen eines Wirtschaftsunternehmens.
Es gibt allerdings Erleichterungen bei der internen Organisation: Organisationen mit weniger als 20 Mitarbeitern, die regelmäßig personenbezogene Daten verarbeiten, müssen keinen Datenschutzbeauftragten benennen. Die Pflichten gegenüber Website-Besuchern bleiben davon aber unberührt.
Gerade bei Stiftungen sehen wir häufig Websites mit Kontaktformularen, Newsletter-Anmeldungen und Spendenformularen - alles Bereiche, in denen besonders sensible Daten verarbeitet werden. Hier ist eine saubere Datenschutzerklärung nicht nur Pflicht, sondern auch Vertrauenssache gegenüber Spendern und Förderern. Auch die technische Basis der Website spielt eine Rolle - grundlegende Informationen zu Schema.org und SEO-Grundlagen helfen, die Website insgesamt professionell aufzustellen.
Checkliste: 8 Punkte, die jede Website erfüllen muss
Unabhängig von Branche, Größe oder Rechtsform - diese acht Punkte sind das Minimum für jede Website in Deutschland.
Datenschutzerklärung vorhanden und aktuell
Vollständige Erklärung mit allen DSGVO-Pflichtangaben. Mindestens jährlich prüfen und nach Gesetzesänderungen aktualisieren.
Impressum vollständig nach DDG
Name, Anschrift, E-Mail, Telefon, Vertretungsberechtigte, Handelsregisternummer (falls vorhanden), USt-IdNr. Auf einer separaten Seite, mit maximal zwei Klicks erreichbar.
Cookie-Consent-Banner mit echtem Opt-in
Kein vorausgewähltes "Alle akzeptieren". Gleichwertige Optionen für Zustimmung und Ablehnung. Erst nach Einwilligung dürfen nicht-essentielle Cookies gesetzt werden.
SSL/TLS-Verschlüsselung aktiv
Die gesamte Website muss über HTTPS erreichbar sein. Ohne Verschlüsselung werden Formulardaten im Klartext übertragen - ein klarer DSGVO-Verstoß.
Kontaktformulare mit Datenschutzhinweis
Jedes Formular braucht einen Hinweis auf die Datenverarbeitung und einen Link zur Datenschutzerklärung. Bei sensiblen Daten (Bewerbungen, Gesundheit) ist eine separate Einwilligung nötig.
Auftragsverarbeitungsverträge (AVV) geschlossen
Für jeden externen Dienstleister, der Zugriff auf personenbezogene Daten hat (Hoster, E-Mail-Anbieter, Analyse-Tools), muss ein AVV vorliegen. Ohne AVV ist die Datenverarbeitung rechtswidrig.
Keine unkontrollierten Drittanbieter-Einbindungen
Google Fonts lokal hosten (nicht von Google-Servern laden). YouTube-Videos nur mit Zwei-Klick-Lösung einbetten. Keine externen Tracking-Pixel ohne Einwilligung. Jede Drittanbieter-Verbindung muss in der Datenschutzerklärung dokumentiert sein.
Barrierefreier Zugang zu Rechtsinformationen
Datenschutzerklärung und Impressum müssen für alle zugänglich sein - auch für Menschen mit Einschränkungen. Ab Juni 2025 fordert das Barrierefreiheitsstärkungsgesetz (BFSG) digitale Barrierefreiheit für viele Websites.
Website-Datenschutz prüfen lassen, 30 Minuten, kostenlos.
Wir prüfen Ihre Website auf DSGVO-Konformität und zeigen Ihnen, wo Handlungsbedarf besteht.
Datenschutz-Check anfragen25 Jahre Erfahrung · 800+ Projekte · Hamburger Datenschutz-Praxis
Was passiert bei Verstößen?
Die Konsequenzen eines DSGVO-Verstoßes sind real und können existenzbedrohend sein. Die DSGVO sieht Bußgelder von bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes vor - je nachdem, welcher Betrag höher ist. In der Praxis bewegen sich die meisten Bußgelder für Website-Verstöße im Bereich von 5.000 bis 50.000 Euro, aber die Tendenz ist steigend.
Neben Bußgeldern gibt es zwei weitere Risiken, die in der Praxis häufiger zuschlagen:
Abmahnungen
Seit dem EuGH-Urteil zu Google Fonts (2022) hat die Zahl der Abmahnungen deutlich zugenommen. Spezialisierte Anwälte und Verbraucherschutzorganisationen prüfen systematisch Websites auf DSGVO-Verstöße. Kosten pro Abmahnung: 500 bis 5.000 Euro - zuzüglich eigener Anwaltskosten.
Aufsichtsbehörden-Verfahren
Die Datenschutzaufsichtsbehörden der Länder prüfen zunehmend proaktiv. Eine Beschwerde bei der Behörde ist für jeden Besucher kostenlos und führt zu einer formellen Prüfung. Das bindet interne Ressourcen und kann zu Auflagen führen, die innerhalb kurzer Fristen umgesetzt werden müssen.
Der wichtigste Punkt: Die meisten Website-Verstöße sind leicht vermeidbar. Eine aktuelle Datenschutzerklärung, ein funktionierendes Cookie-Banner und ein korrektes Impressum kosten einen Bruchteil dessen, was eine Abmahnung oder ein Bußgeld kostet. Prävention ist hier keine Frage des Budgets, sondern der Priorität.
Gosign ist eine Hamburger Digitalagentur mit 25 Jahren Erfahrung in Webentwicklung, TYPO3 und KI-Integration. Wir prüfen Websites auf DSGVO-Konformität, implementieren datenschutzkonforme Lösungen und begleiten Unternehmen, Stiftungen und öffentliche Einrichtungen bei der Umsetzung aller gesetzlichen Anforderungen.
Stand: März 2026
Häufige Fragen zum Website-Datenschutz
Braucht jede Website eine Datenschutzerklärung?
Ja, ausnahmslos. Seit Mai 2018 (DSGVO) muss jede Website, die personenbezogene Daten verarbeitet - und das tut jede Website allein durch Server-Logfiles - eine vollständige Datenschutzerklärung haben.
Reicht ein einfacher Cookie-Hinweis aus?
Nein. Seit dem TDDDG (vorher TTDSG) brauchen Sie eine echte Einwilligung vor dem Setzen nicht-essentieller Cookies. Ein simples Banner mit OK-Button ist nicht rechtskonform.
Sind Stiftungen von der DSGVO ausgenommen?
Nein. Die DSGVO gilt für alle Organisationen, die personenbezogene Daten verarbeiten - unabhängig von der Rechtsform. Auch gemeinnützige Stiftungen müssen eine vollständige Datenschutzerklärung haben.
Kostenloses Erstgespräch buchen
30 Minuten mit einem Gosign-Spezialisten, unverbindlich.