Gilt die DSGVO auch für meine kleine Website?

Ja. Es gibt keine Ausnahme für kleine Unternehmen oder einfache Websites. Sobald du personenbezogene Daten verarbeitest – und das tust du schon mit einem Kontaktformular – musst du die DSGVO einhalten.

Reicht ein Cookie-Banner, um DSGVO-konform zu sein?

Nein. Ein Cookie-Banner ist nur ein Teil. Dazu gehören mindestens eine vollständige Datenschutzerklärung, SSL-Verschlüsselung, korrekt eingebundene externe Dienste und AV-Verträge mit deinen Dienstleistern.

Brauche ich einen Datenschutzbeauftragten?

In der Regel nur, wenn in deinem Unternehmen mindestens 20 Personen ständig mit der Verarbeitung personenbezogener Daten beschäftigt sind. Die meisten kleinen Betriebe brauchen keinen.

Sind Google Fonts wirklich ein Problem?

Wenn sie direkt von Google-Servern geladen werden, ja – dabei wird die IP-Adresse deiner Besucher ungefragt in die USA übertragen. Das hat zu Abmahnwellen geführt. Die Lösung ist einfach: die Schriften lokal einbinden.

Muss ich meine Website dafür neu bauen?

Meist nicht. Viele Punkte lassen sich gezielt nachrüsten. Erst wenn an vielen Stellen etwas fehlt oder die Seite technisch veraltet ist, ist ein Relaunch der sinnvollere Weg.

DSGVO-konforme Website: Was du wirklich beachten musst

Julian Jeschke Webdesign & Branding · 18. Juni 2026

Quick Answer

Eine DSGVO-konforme Website schützt die Daten deiner Besucher und macht transparent, was mit ihnen passiert. Die wichtigste Nachricht vorweg: Die DSGVO (Datenschutz-Grundverordnung) gilt für jede Website, die personenbezogene Daten verarbeitet – unabhängig von der Größe deines Unternehmens. Eine Ausnahme für kleine Betriebe wie beim Barrierefreiheitsgesetz gibt es hier nicht. Das reale Risiko sind dabei selten die berühmten Millionen-Bußgelder, sondern Abmahnungen – und die treffen am häufigsten an denselben vier, fünf Stellen.

Das Wichtigste in Kürze:

Die DSGVO gilt für alle – es gibt keine Ausnahme für kleine Websites.
Das häufigste Abmahn-Risiko: fehlende Datenschutzerklärung, falsches Cookie-Banner, extern geladene Google Fonts, kein SSL.
Impressum und Datenschutzerklärung sind zwei verschiedene Pflichtseiten – nicht dasselbe.

Gilt die DSGVO für meine Website?

Ja – und zwar ohne Größen-Ausnahme. Sobald deine Website personenbezogene Daten verarbeitet – also alles, womit sich eine Person identifizieren lässt: Name, E-Mail-Adresse, aber auch schon die IP-Adresse – gilt die DSGVO. Und das passiert praktisch immer: bei einem Kontaktformular, bei der Webanalyse, beim Newsletter, oft schon beim bloßen Aufruf der Seite.

Hier liegt ein wichtiger Unterschied zur Barrierefreiheit: Beim BFSG sind Kleinstunternehmen ausgenommen. Beim Datenschutz gibt es das nicht – die DSGVO gilt für den Ein-Personen-Betrieb genauso wie für den Konzern. „Meine Seite ist zu klein dafür" ist also kein Argument.

Womit du am ehesten abgemahnt wirst

In der Praxis drohen selten die maximal möglichen Bußgelder (bis zu 20 Mio. € oder 4 % des Jahresumsatzes), sondern Abmahnungen – meist im vierstelligen Bereich. Und die treffen immer wieder dieselben Stellen. Genau diese solltest du zuerst prüfen:

Datenschutzerklärung fehlt oder ist unvollständig. Die Datenschutzerklärung ist Pflicht, muss von jeder Unterseite erreichbar sein und alle tatsächlich genutzten Tools und Verarbeitungen abdecken. Ein Standardtext, der nicht zu deiner Seite passt, ist fast so schlecht wie gar keiner.
Cookie-Banner ohne echtes Opt-in. Tracking- und Marketing-Cookies dürfen erst nach aktiver Einwilligung laden. „Ablehnen" muss genauso leicht sein wie „Akzeptieren", und nichts darf vorausgewählt sein. Rechtsgrundlage ist das TDDDG (das Gesetz, das die Cookie-Einwilligung regelt, vormals TTDSG).
Google Fonts und externe Dienste extern geladen. Werden Schriften, Karten oder Videos direkt von US-Servern geladen, wandert die IP-Adresse deiner Besucher ungefragt dorthin. Genau das hat 2022/2023 eine Abmahnwelle ausgelöst. Lösung: Google Fonts lokal einbinden, Karten und Videos erst nach Einwilligung laden.
Kein SSL. Ohne SSL-Verschlüsselung (erkennbar am „https" und dem Schloss-Symbol im Browser) werden Daten unverschlüsselt übertragen – ein vermeidbarer und für jeden sofort sichtbarer Mangel.
Newsletter ohne Double-Opt-in. Wer einen Newsletter verschickt, braucht eine doppelte Bestätigung der Anmeldung (Double-Opt-in) – sonst ist der Versand angreifbar.

Was außerdem dazugehört

Diese Punkte führen seltener direkt zur Abmahnung, sind aber trotzdem Pflicht:

Auftragsverarbeitungsvertrag (AVV): ein Auftragsverarbeitungsvertrag mit allen Dienstleistern, die in deinem Auftrag Daten verarbeiten – Hosting, Newsletter-Tool, Analyse-Dienst.
Betroffenenrechte: Besucher dürfen Auskunft über ihre Daten verlangen und deren Löschung fordern. Du musst dem nachkommen können.
Datensparsamkeit bei Formularen: Frag nur ab, was du wirklich brauchst – jedes Pflichtfeld muss begründbar sein.
US-Dienste: Tools, die Daten in die USA übertragen, brauchen eine Rechtsgrundlage. Seit 2023 bietet das EU-US Data Privacy Framework eine, sofern der Anbieter zertifiziert ist – für einwilligungspflichtige Dienste (z. B. Analyse) brauchst du trotzdem das Opt-in. Für kleine Seiten ist es oft am einfachsten, US-Tools sparsam einzusetzen.
Datenschutzbeauftragter: in Deutschland erst ab 20 Personen Pflicht, die ständig mit der Verarbeitung personenbezogener Daten beschäftigt sind. Die meisten kleinen Betriebe brauchen also keinen.

Unsicher, ob deine Seite an einer dieser Stellen hakt? Wir schauen es uns an – kostenlos und unverbindlich.

Wir checken deine Website kostenlos

Impressum, Datenschutzerklärung – nicht dasselbe

Drei Pflichtseiten werden gern verwechselt, sie haben aber unterschiedliche Aufgaben:

Impressum – sagt, wer hinter der Seite steckt (Name, Anschrift, Kontakt). Pflicht nach dem Digitale-Dienste-Gesetz, von jeder Seite erreichbar.
Datenschutzerklärung – erklärt, was mit den Daten der Besucher passiert.
Erklärung zur Barrierefreiheit – beschreibt, wie barrierefrei dein Angebot ist (nur relevant, wenn du unter das BFSG fällst).

Alle drei gehören üblicherweise in den Footer und müssen von überall auf der Seite erreichbar sein.

Mythen – und was wirklich stimmt

Mythos: „Ein Cookie-Banner reicht." Nein. Das Banner ist nur ein Baustein. Ohne passende Datenschutzerklärung, SSL und korrekt eingebundene Dienste bleibt die Seite angreifbar.

Mythos: „Meine Seite ist zu klein." Es gibt keine Größen-Ausnahme. Auch die einfachste Visitenkarten-Website mit Kontaktformular verarbeitet Daten.

Mythos: „Einmal Datenschutztext, für immer erledigt." Die Erklärung muss zu deinen tatsächlichen Tools passen. Baust du ein neues Tool ein, muss sie aktualisiert werden. Datenschutz ist ein laufender Prozess, kein einmaliges Projekt.

So gehst du es an: realistische erste Schritte

Mach den Selbst-Check. Kostenlose Tools wie Webbkoll oder CookieMetrix scannen deine Seite und zeigen, welche Dienste laden und ob etwas schon vor der Einwilligung passiert.
Prüf die Klassiker: SSL aktiv? Google Fonts lokal eingebunden? Cookie-Banner mit echtem „Ablehnen"? Datenschutzerklärung vollständig und passend zu deinen Tools?
Schließ die AV-Verträge mit deinen Dienstleistern ab – die meisten bieten Standardvorlagen an.
Hol dir Unterstützung, wo es unklar wird. Die Datenschutzerklärung muss zu deiner echten Technik passen, und bei konkreten Rechtsfragen sind ein spezialisierter Anwalt oder ein Datenschutzbeauftragter die richtige Adresse.

Fazit

DSGVO-Konformität klingt nach Bürokratie, läuft aber auf wenige, wiederkehrende Punkte hinaus – und die meisten davon kannst du selbst angehen oder prüfen lassen. Anders als bei der Barrierefreiheit gibt es keine Ausnahme für kleine Betriebe: Der Datenschutz gilt für dich, egal wie groß du bist.

Damit ist der Datenschutz die zweite von zwei rechtlichen Baustellen auf deiner Website – die erste ist die Barrierefreiheit. Und wenn an beiden Stellen viel zu tun ist oder deine Seite ohnehin in die Jahre kommt, ist ein Website-Relaunch oft der sauberste Weg, beides von Anfang an richtig zu machen.

Du willst wissen, wo deine Website beim Datenschutz steht? Wir checken sie kostenlos – ehrlich und ohne Verpflichtung.

Website kostenlos checken lassen

Dieser Artikel dient der Orientierung und ersetzt keine Rechtsberatung. Bei konkreten Fragen zur DSGVO wende dich an einen spezialisierten Datenschutz-Anwalt oder einen Datenschutzbeauftragten.