RATGEBER · RECHT & DSGVO

DSGVO-Checkliste: Ist deine Webseite abmahnsicher?

Die acht Punkte, die 2026 für praktisch jede gewerbliche Webseite gelten — verständlich erklärt, mit Schnell-Checkliste zum Abhaken.

Eine Abmahnung wegen der Webseite ist ärgerlich, teuer — und fast immer vermeidbar. Diese Checkliste führt dich durch die Punkte, die 2026 für praktisch jede gewerbliche Webseite in Deutschland gelten.

Wichtig: Dieser Artikel ist eine sorgfältig erstellte Orientierung aus der Praxis, aber keine Rechtsberatung. Für verbindliche Aussagen zu deinem Einzelfall sprich mit einer Anwältin oder einem Anwalt.

1. Verschlüsselung (SSL/HTTPS)

Ohne HTTPS geht heute nichts mehr: Pflicht, sobald du auch nur ein Kontaktformular hast — und ein Vertrauenssignal für Besucher wie für Google. Prüfung: Zeigt dein Browser das Schloss-Symbol auf jeder Seite?

2. Impressum

Vollständig und von jeder Seite mit einem Klick erreichbar: Name, Anschrift, Kontakt, je nach Rechtsform weitere Pflichtangaben. Häufige Fehler: veraltete Adressen, fehlende Vertretungsberechtigte, „Impressum folgt“-Platzhalter.

3. Datenschutzerklärung

Sie muss beschreiben, was auf deiner Seite tatsächlich passiert: Hosting, Formulare, Analyse-Tools, eingebettete Dienste (Karten, Videos, Terminbuchung), Newsletter. Eine kopierte Standard-Erklärung, die nicht zu deiner Technik passt, ist selbst ein Risiko. Bei jeder neuen Funktion gilt: Datenschutzerklärung mitziehen.

4. Cookie-Consent richtig herum

Nicht zwingend benötigte Cookies und Tracking dürfen erst nach aktiver Einwilligung laufen. Das heißt konkret: Analyse-Tools wie Google Analytics starten erst nach Klick auf „Akzeptieren“ — nicht vorher. „Weiternutzung gilt als Zustimmung“ reicht nicht. Prüfen kannst du das im Browser: Werden vor deiner Einwilligung schon Tracking-Anfragen gesendet?

5. Formulare: nur erheben, was du brauchst

Datensparsamkeit ist Prinzip: Pflichtfelder auf das Nötigste begrenzen, Einwilligungs-Checkbox mit Link zur Datenschutzerklärung, und die Daten verschlüsselt übertragen. Bonus aus der Praxis: Spam-Schutz (z. B. Honeypot) schützt dich und deine Besucher.

6. Drittdienste und Datenübermittlung

Jeder eingebundene Dienst (Schriftarten, Karten, Videos, Chat, Terminbuchung) kann Daten übertragen — teils in Drittländer. Grundregeln: Schriftarten lokal einbinden statt von US-Servern laden, Einbettungen erst nach Klick aktivieren („2-Klick-Lösung“), mit Dienstleistern Auftragsverarbeitungsverträge (AVV) schließen.

7. Hosting und AVV

EU-Hosting macht vieles einfacher und ist ein echtes Verkaufsargument gegenüber deinen eigenen Kunden. Mit dem Hoster (und anderen Verarbeitern wie Newsletter- oder CRM-Anbietern) braucht es einen AVV — bei seriösen Anbietern ein Standarddokument, das du einmal abschließt und ablegst.

8. Betroffenenrechte und Löschkonzept

Anfragen wie „Welche Daten habt ihr über mich?“ oder „Bitte löschen“ musst du beantworten können. Für kleine Betriebe reicht oft ein einfaches, dokumentiertes Vorgehen: wo liegen welche Daten, wer ist zuständig, wie lange wird aufbewahrt.

Die Schnell-Checkliste zum Abhaken

  • HTTPS auf allen Seiten aktiv
  • Impressum vollständig, 1 Klick erreichbar
  • Datenschutzerklärung passt zur tatsächlichen Technik
  • Tracking erst nach Einwilligung (selbst geprüft!)
  • Formulare: Datensparsamkeit + Consent-Checkbox
  • Schriftarten lokal, Einbettungen per 2-Klick
  • EU-Hosting, AVVs abgeschlossen und abgelegt
  • Zuständigkeit für Auskunft/Löschung geklärt

Du willst die Punkte lieber als druckbares PDF neben der Tastatur? Auf der Checklisten-Seite gibt es die ausführliche Version kostenlos. Und wenn du wissen willst, wo deine Seite heute steht: Der Website-Audit prüft die technischen Grundlagen in 30 Sekunden.

Häufige Fragen

Gilt die DSGVO auch für kleine Webseiten und Einzelunternehmer?

Ja. Sobald deine Webseite gewerblich ist und personenbezogene Daten verarbeitet (schon ein Kontaktformular oder Server-Logs reichen), gelten die Grundpflichten — unabhängig von der Unternehmensgröße.

Reicht ein kostenloser Datenschutz-Generator?

Als Ausgangspunkt oft brauchbar, aber nur, wenn das Ergebnis zu deiner tatsächlichen Technik passt und gepflegt wird. Riskant wird es, wenn Dienste auf der Seite laufen, die in der Erklärung fehlen — oder umgekehrt.

Was kostet ein DSGVO-Verstoß realistisch?

Die Spanne ist groß: von Abmahnkosten im drei- bis vierstelligen Bereich bis zu behördlichen Bußgeldern. Teurer als jede Vorsorge ist es fast immer — zumal die häufigsten Fehler (Tracking ohne Consent, US-Schriftarten, lückige Rechtstexte) günstig zu beheben sind.

Übernimmt Runline die DSGVO-Umsetzung meiner Webseite?

Die technische Seite: ja — EU-Hosting, lokale Schriftarten, Consent-Management, saubere Formulare und 2-Klick-Einbettungen sind bei uns Standard. Die juristische Endprüfung deiner Rechtstexte gehört in anwaltliche Hände; dafür liefern wir die vollständige technische Dokumentation zu.

Wie sauber ist deine Seite technisch aufgestellt?

Der kostenlose Website-Audit prüft SSL, Consent-Signale und mehr — Ergebnis sofort.

Seite jetzt prüfen