Was bedeutet „DSGVO-konforme Webseite“ wirklich?
DSGVO-konform klingt kompliziert – ist es aber nicht. Wir erklären, was wirklich Pflicht ist und was nur Angstmache.
Norbert Sommer
11. Juli 20267 Min. Lesezeit
„Wir müssen unsere Webseite DSGVO-konform machen" — diesen Satz höre ich regelmäßig von Inhaberinnen und Inhabern aus Heidelberg, meistens mit einem leicht panischen Unterton. Dahinter steckt oft ein Brief vom Anwalt, eine Abmahnung oder ein Artikel, den jemand geteilt hat. Was wirklich dahintersteckt und was du als lokales Geschäft tatsächlich brauchst — darum geht es hier.
Warum das Thema so viel Verwirrung stiftet
Die DSGVO gilt seit Mai 2018. Trotzdem sind viele Webseiten kleiner Betriebe in Heidelberg — ob Friseur in der Altstadt, Handwerksbetrieb aus Handschuhsheim oder Café in der Bahnstadt — immer noch nicht sauber aufgestellt. Das liegt nicht an Gleichgültigkeit. Es liegt daran, dass das Thema bewusst kompliziert klingt, obwohl es das für die meisten lokalen Geschäfte gar nicht ist.
Viele Webdesigner und Agenturen verkaufen „DSGVO-Pakete" für mehrere hundert Euro im Jahr — mit monatlichem Monitoring, automatischen Updates der Datenschutzerklärung und Consent-Management-Plattformen, die aussehen wie ein Schalttisch bei der NASA. Für einen lokalen Friseursalon mit einer fünfseitigen Webseite ist das schlicht übertrieben.
Faustregel: Je weniger externe Dienste du auf deiner Webseite einbindest, desto weniger DSGVO-Aufwand hast du.
Was die DSGVO für Webseiten tatsächlich verlangt
Schauen wir uns an, was für eine typische Webseite eines lokalen Betriebs wirklich Pflicht ist.
1. Impressum
Pflicht nach Telemediengesetz (§ 5 TMG), nicht direkt DSGVO — aber ohne Impressum gibt es sofort Abmahnrisiko. Rein müssen: Name und Anschrift des Inhabers, Telefonnummer und E-Mail-Adresse, ggf. Handelsregisternummer oder Berufsbezeichnung bei reglementierten Berufen (z. B. Arzt, Steuerberater).
2. Datenschutzerklärung
Das ist DSGVO. Artikel 13 schreibt vor, dass du Nutzer darüber informierst, welche personenbezogenen Daten du verarbeitest und warum. Auf einer einfachen Webseite sind das meistens:
- Webhosting (dein Server verarbeitet IP-Adressen)
- Kontaktformular (Name, E-Mail, Nachricht)
- Google Fonts oder andere externe Schriftarten — falls eingebunden
- Google Analytics oder ähnliche Tracking-Tools — falls eingebunden
Eine gute Datenschutzerklärung ist klar und konkret. Keine Wischiwaschi-Formulierungen, keine 20-seitigen Anwaltsdeutsch-Wüsten. Generatoren wie der vom Datenschutz-Generator (datenschutz-generator.de) sind für die meisten kleinen Betriebe völlig ausreichend.
3. Cookie-Banner — wann du ihn wirklich brauchst
Hier liegt die größte Verwirrung. Die Antwort ist nüchtern: Du brauchst nur dann einen Cookie-Banner, wenn du tatsächlich nicht-technisch-notwendige Cookies setzt.
| Situation | Cookie-Banner nötig? |
|---|---|
| Nur technische Cookies (Session, Sicherheit) | Nein |
| Google Analytics eingebunden | Ja |
| Google Fonts lokal gehostet | Nein |
| Google Fonts über Google-Server | Ja (oder weglassen) |
| YouTube-Video eingebettet | Ja |
| Kontaktformular ohne Tracking | Nein |
| Facebook Pixel | Ja |
Die einfachste DSGVO-Strategie ist also: externe Dienste weglassen oder lokal einbinden. Keine externen Schriften, kein Analytics, kein Social-Media-Plugin — kein Banner. Fertig.
4. Einwilligung vs. berechtigtes Interesse
Die DSGVO kennt verschiedene Rechtsgrundlagen für die Datenverarbeitung. Für lokale Webseiten relevant sind vor allem zwei:
Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO): Darf genutzt werden, wenn die Verarbeitung verhältnismäßig ist und kein überwiegendes Interesse der Nutzer dagegen spricht. Beispiel: Webserver-Logs mit IP-Adressen für Sicherheitszwecke.
Einwilligung (Art. 6 Abs. 1 lit. a DSGVO): Pflicht bei Tracking, Marketing-Cookies, Analytics. Muss aktiv, freiwillig und informiert gegeben werden — also kein vorangekreuztes Häkchen, kein „Durch die weitere Nutzung stimmen Sie zu".
Was bei lokalen Geschäften am häufigsten schiefläuft
Ich schaue mir regelmäßig Webseiten von Betrieben aus dem Heidelberger Raum an. Dabei fallen immer wieder dieselben Fehler auf:
Google Fonts über externe Server: Sieht harmlos aus, aber jeder Seitenaufruf überträgt die IP-Adresse des Nutzers an Google. Das hat das LG München 2022 bereits als DSGVO-Verstoß eingestuft. Lösung: Schriften lokal hosten, dauert 20 Minuten.
Kontaktformular ohne Datenschutzhinweis: Wer ein Formular ausfüllt, muss vorher wissen, was mit seinen Daten passiert. Ein einfacher Satz mit Link zur Datenschutzerklärung direkt am Formular reicht.
Veraltete Datenschutzerklärung: Viele Webseiten haben Texte, die noch aus 2018 stammen und Dienste erwähnen, die längst nicht mehr eingebunden sind — oder neue Dienste fehlen komplett.
Kein oder falsches Impressum: Fehlende Telefonnummer, nur ein Kontaktformular statt direkter E-Mail-Adresse — das reicht nicht.
Cookie-Banner, der eigentlich keiner sein darf: Ein Banner, der nur einen „Alle akzeptieren"-Button hat, ist kein rechtsgültiger Banner. Es braucht immer auch eine echte Ablehnoption.
Was du nicht brauchst — und trotzdem kaufst
Manche Angebote klingen wichtig, sind aber für einen lokalen Betrieb ohne Shop und ohne intensives Tracking schlicht unnötig:
- Monatliches DSGVO-Monitoring für 30–80 € pro Monat
- Automatische Datenschutzerklärungen-Updates (wenn sich deine Dienste nicht ändern, ändert sich auch nichts)
- Komplexe Consent-Management-Plattformen für eine Seite mit Impressum, drei Seiten Text und einem Kontaktformular
- „DSGVO-Zertifikate" von privaten Anbietern — rechtlich bedeutungslos
Faustregel: Wenn dein DSGVO-Setup mehr kostet als deine Webseite, stimmt etwas nicht.
Wie eine saubere Umsetzung konkret aussieht
Für einen typischen Kunden aus Heidelberg — sagen wir, ein Friseurstudio in der Bergheimer Straße — sieht eine saubere DSGVO-Umsetzung so aus:
- Hosting in Deutschland (oder zumindest EU) — damit bleibt klar, welches Datenschutzrecht gilt
- Google Fonts lokal eingebunden — kein externer Abruf mehr
- Kein Google Analytics — stattdessen z. B. Plausible (EU-Server, kein Cookie-Banner nötig) oder gar kein Tracking
- Kontaktformular mit Datenschutzhinweis direkt darunter
- Datenschutzerklärung aktuell, vollständig, verständlich
- Impressum vollständig mit allen Pflichtangaben
Das lässt sich bei einer einfachen Webseite in einem Tag umsetzen. Es braucht keinen Anwalt-Retainer.
Wenn du verstehen willst, wie so eine Webseite von Grund auf aufgebaut wird, lies am besten auch den Artikel Was kostet eine Webseite 2026? — dort gehe ich durch, was in welchem Preissegment tatsächlich enthalten ist und worauf du beim Angebot achten solltest.
Was passiert, wenn du es nicht machst?
Ehrliche Antwort: Die meisten kleinen Betriebe werden nicht aktiv abgemahnt, solange keine offensichtlichen Verstöße vorliegen. Das Risiko kommt durch:
- Abmahnvereine und Mitbewerber (besonders bei Google Fonts und fehlenden Impressumsangaben)
- Datenschutzbehörden bei konkreten Beschwerden (eher selten für Kleinstbetriebe)
- Vertrauensverlust bei Kunden, die genauer hinschauen — das wird in Heidelberg mit seinem Bildungspublikum unterschätzt
Ein fehlendes Impressum kann bereits zu Abmahnungen mit Streitwert von 1.000–2.500 € führen. Das ist kein theoretisches Risiko.
Fazit: DSGVO ist machbar — wenn man es einmal richtig macht
Die DSGVO ist kein Monster, das deinen Betrieb bedroht. Sie ist ein Regelwerk, das Nutzern Rechte gibt — und das für eine einfache lokale Webseite ohne Tracking in wenigen Stunden sauber umgesetzt werden kann. Der Schlüssel ist nicht, möglichst viel DSGVO-Werkzeug zu kaufen. Der Schlüssel ist, möglichst wenig Daten zu sammeln, die du gar nicht brauchst.
Als Webdesigner in Heidelberg achte ich bei jedem Projekt darauf, dass die Webseite von Anfang an sauber aufgestellt ist — ohne unnötige externe Dienste, mit vollständigen Pflichtangaben und einer Datenschutzerklärung, die auch ein Mensch lesen kann.
Du willst wissen, ob deine Webseite DSGVO-konform ist — oder brauchst eine neue, die es von Anfang an ist? Schreib mir einfach kurz. Ich schaue mir das ohne Beratungsgebühr an.