Website neu bauen
DSGVO-Pflichten für Website-Betreiber: Was bleibt, was war Hysterie
Was drin steht
- Die DSGVO ist 2026 acht Jahre alt, die Praxis hat sich beruhigt. Drei Pflichten bleiben hart: Auftragsverarbeitungs-Vertrag mit jedem Dienstleister, vollständige Datenschutzerklärung, Verzeichnis der Verarbeitungstätigkeiten.
- Was sich beruhigt hat: die Cookie-Banner-Hysterie. Nicht jede Site braucht einen Banner, viele Banner sind technisch falsch konfiguriert, und der Premium-Trend geht zu „so wenig wie nötig“.
- Externe Schriftarten, Google-Karten-Einbindungen, externe Videos: drei alte Streit-Themen, die heute klare Lösungen haben — Selbst-Hosting statt extern-Laden, Karten-Stand-Bild statt Live-Karte, Video-Vorschau statt Einbettung.
- Beweispflicht ist Realität: Wer von der Aufsichtsbehörde Post bekommt, muss in 30 Tagen sauber dokumentieren können, wer was wann wie verarbeitet hat. Wer das Verzeichnis nicht hat, hat sofort ein Problem.
- Premium-Linie für 2026: ein einfaches, technisch korrekt umgesetztes Datenschutz-Konzept ist Markt-Vorteil. Wer Datenschutz beherrscht, gewinnt Mandate, die andere wegen Schludrigkeit verlieren.
Die DSGVO ist seit Mai 2018 in Kraft. Acht Jahre später ist die Aufregung weitgehend vorbei, die Praxis hat sich konsolidiert. Was bleibt, ist eine ehrliche Pflichten-Liste, die jeder Website-Betreiber im Mittelstand kennen sollte — und eine Reihe von Themen, bei denen die anfängliche Hysterie übertrieben war.
Dieser Artikel sortiert beide Seiten. Was wirklich Pflicht ist, was nur Bequemlichkeits-Lösung war, und welche Haltung wir im Premium-Mittelstand empfehlen.
Was hart bleibt: die drei Kern-Pflichten
1. Auftragsverarbeitungs-Vertrag (AVV)
Wenn ein externer Dienstleister persönliche Daten deiner Besucher oder Kunden verarbeitet — egal wie scheinbar harmlos — brauchst du einen schriftlichen Vertrag dafür. Das heißt Auftragsverarbeitung. Die Pflicht steht in Artikel 28 DSGVO und gilt für fast jede technische Anbindung.
Wer einen AVV typischerweise braucht:
- Den Hoster, auf dessen Server die Site liegt,
- Den Mail-Provider, der die Newsletter verschickt,
- Den Analyse-Dienst, der Besucher-Zahlen misst,
- Den Anbieter eines Kontaktformulars, das Daten verarbeitet,
- Den Cloud-Dienst, in dem Dokumente liegen.
Der AVV ist kein Marketing-Papier, sondern ein vertraglich verbindliches Dokument. Du brauchst ihn schriftlich, sortiert nach Dienstleister, idealerweise in einem Ordner, den du im Notfall in fünf Minuten aufrufen kannst. Wer das nicht hat, fällt bei einer Prüfung sofort durch.
2. Datenschutzerklärung
Jede Website braucht eine vollständige Datenschutzerklärung. Die Pflicht steht in Artikel 13 DSGVO. Vollständig bedeutet: Sie nennt jeden eingesetzten Dienst, der Daten verarbeitet, sagt, welche Daten dort verarbeitet werden, warum (Rechtsgrundlage), wie lange (Speicherdauer) und welche Rechte der Besucher hat.
Was 2026 als Mindest-Inhalt erwartet wird:
- Name und Kontaktdaten des Verantwortlichen,
- Bei Bedarf Kontaktdaten des Datenschutz-Beauftragten (Pflicht ab ungefähr 20 regelmäßig beschäftigten Personen),
- Zwecke der Verarbeitung mit Rechtsgrundlage,
- Empfänger oder Kategorien von Empfängern (Hoster, Mail-Provider, Analyse-Dienste, eingesetzte KI-Werkzeuge),
- Übermittlung in Drittländer mit Schutzmaßnahmen, falls zutreffend,
- Speicherdauer pro Datenkategorie,
- Betroffenen-Rechte: Auskunft, Berichtigung, Löschung, Einschränkung, Widerspruch, Datenübertragbarkeit,
- Beschwerde-Recht bei der Aufsichtsbehörde mit konkretem Hinweis auf die zuständige Stelle.
Generator-Datenschutzerklärungen funktionieren als Startpunkt, brauchen aber individuelle Anpassung. Wer eine generische Erklärung mit „placeholder“-Lücken stehen lässt, hat eine fehlerhafte Erklärung — und damit eine angreifbare Site.
3. Verzeichnis der Verarbeitungstätigkeiten
Pflicht aus Artikel 30 DSGVO. Eigentlich für Unternehmen mit 250 oder mehr Beschäftigten — aber praktisch für jeden Mittelständler, weil die Ausnahmen so eng formuliert sind, dass sie selten greifen.
Inhalt: Eine Tabelle, in der jede Verarbeitungs-Tätigkeit dokumentiert ist — von „Bewerbungsdaten“ über „Newsletter-Versand“ bis „Mandanten-Akten-Verwaltung“. Pro Eintrag: Zweck, Datenkategorien, Empfänger, Löschfristen, technisch-organisatorische Maßnahmen.
Klingt nach Bürokratie, ist es auch. Aber ohne dieses Verzeichnis kannst du im Streitfall nicht nachweisen, dass du dich an die DSGVO hältst. Wer es einmal sauber aufsetzt, hat etwa zwei Tage Arbeit pro Mittelstands-Betrieb — und danach jährlich eine halbe Stunde Pflege.
Was sich beruhigt hat: die Cookie-Banner-Hysterie
Zwischen 2019 und 2023 war die Cookie-Banner-Welle auf ihrem Höhepunkt. Jede Site, von der Bäckerei in Niederbayern bis zum Konzern-Auftritt, klebte plötzlich Banner-Wände vor den eigentlichen Inhalt. Das ist 2026 weitgehend vorbei — aus drei Gründen.
Erstens — die juristische Klarstellung: Cookies, die für den Betrieb der Site technisch notwendig sind, brauchen keine Einwilligung. Was eine Einwilligung braucht, sind Marketing-Cookies, Analyse-Cookies mit Personen-Bezug, Drittanbieter-Tracker. Wer keine solchen Tracker einsetzt, braucht keinen Banner.
Zweitens — der Premium-Trend: Anspruchsvolle Mittelständler haben verstanden, dass eine Banner-Wand vor den Inhalten ein Trust-Bruch ist. Wer die Site sauber baut, ohne externes Tracking, ohne soziale Plugins, ohne Drittanbieter-Werbung, kann fast ohne Banner auskommen — und gewinnt durch genau diese Sauberkeit.
Drittens — die Erkenntnis, dass die meisten Banner falsch sind: Etwa drei Viertel aller Cookie-Banner, die wir bei Audits sehen, sind technisch falsch konfiguriert. Sie laden die Tracker, bevor der Nutzer eingewilligt hat. Damit ist die Einwilligung wertlos. Wer einen falschen Banner zeigt, ist rechtlich schlechter dran als wer gar keinen Banner zeigt und gar keine Tracker einsetzt.
Drei alte Streit-Themen mit klaren Lösungen
Externe Schriftarten von Drittanbietern
Wer Google-Fonts live von Google-Servern lädt, übermittelt jede Besucher-IP an Google. Das wurde 2022 als Datenschutzverletzung bestätigt. Die Lösung ist nicht „Einwilligung einholen“, sondern „die Schriftart selbst hosten“. Die Datei liegt dann auf deinem Server, der Browser lädt sie von dort. Kein Drittland, kein Tracker, keine Einwilligung nötig. Heute Standard bei jeder seriös gebauten Site.
Karten-Einbindung
Klassische Karten-Anbieter laden externe Skripte und übermitteln Besucher-Daten. Lösung 1: ein statisches Karten-Bild zeigen mit einem Klick-Link zur Karten-Anwendung — keine externe Anbindung beim Laden der Seite. Lösung 2: eine selbst-gehostete Karten-Lösung mit eigener Daten-Quelle. Beide sind sauber, beide funktionieren, beide brauchen keinen Banner.
Video-Einbettung
Wer YouTube- oder Vimeo-Videos einbettet, lädt deren Skripte und Cookies sofort beim Seitenaufruf. Lösung: zwei-Klick-Einbettung. Auf der Seite ist nur ein Vorschau-Bild, erst der Klick startet das Video — und erst dann werden externe Inhalte nachgeladen, mit klarem Hinweis. Saubere, technisch saubere Lösung.
Beweispflicht: was bei Behörden-Post passieren muss
Wenn du Post von der Aufsichtsbehörde bekommst — typischerweise nach einer Beschwerde eines Betroffenen — hast du in der Regel 30 Tage Zeit, um zu antworten. In diesen 30 Tagen musst du nachweisen, dass deine Datenverarbeitung sauber ist.
Konkret musst du in dieser Zeit beschaffen können:
- Das aktuelle Verzeichnis der Verarbeitungstätigkeiten,
- Die AVVs mit den betroffenen Dienstleistern,
- Belege, dass die Datenschutzerklärung zum fraglichen Zeitpunkt aktuell war,
- Bei Einwilligungs-Verarbeitung: den Einwilligungs-Beweis pro Betroffenem (Datum, Wortlaut, Widerrufs-Möglichkeit),
- Beschreibung der technisch-organisatorischen Maßnahmen.
Wer diese Unterlagen vorhalten kann, hat fast immer einen ruhigen Verfahrensverlauf. Wer sie nicht vorhalten kann, ist sofort in einem schlechten Verhandlungs-Stand.
Was Premium-Mittelstand 2026 anders macht
Wer Datenschutz nicht als Pflicht-Last sondern als Markt-Vorteil versteht, baut die Site bewusst sparsam:
- Selbst-gehostete Schriftarten statt extern geladen,
- Statische Karten-Bilder statt Live-Anbindung,
- Zwei-Klick-Video-Einbettung,
- Eigene Analyse-Logik (zum Beispiel anonymisierte Server-Log-Auswertung) statt externer Analyse-Dienste,
- Keine sozialen Plugins (statt Live-Einbettung von „Teilen“-Knöpfen einfache Mail-Links),
- Premium-Cookie-Toast statt Banner-Wand — falls überhaupt nötig.
Das Ergebnis: eine Site, die schneller lädt, weniger Datenschutz-Hinweise braucht, weniger Bann-Wand-Reibung hat — und bei datenschutz-bewussten Kunden (Anwälte, Ärzte, Steuerberater, Familienunternehmer) als Premium wirkt.
Was Hannes daraus macht
Wir bauen Sites grundsätzlich daten-sparsam. Selbst-gehostete Schriftarten, keine externen Tracker, statische Karten-Vorschauen, zwei-Klick-Videos. Datenschutzerklärung wird passend zum tatsächlich verwendeten Stack erstellt — nicht aus dem Generator-Baukasten. AVVs mit allen Dienstleistern liegen vor und werden gepflegt. Verzeichnis der Verarbeitungstätigkeiten erhältst du als Bestandteil des Projekt-Übergabe-Ordners. Wenn du heute auf einer Site sitzt, die in der Cookie-Banner-Welle entstanden ist, lohnt sich ein Audit — die Site ist mit hoher Wahrscheinlichkeit datenschutz-rechtlich angreifbar, ohne dass du es weißt.
Häufige Fragen
Brauchen wir einen externen Datenschutz-Beauftragten?
Wie oft muss die Datenschutzerklärung aktualisiert werden?
Was passiert konkret, wenn wir gegen die DSGVO verstoßen?
Müssen wir wirklich für jedes Tool einen AVV haben — auch für scheinbar harmlose?
Wie ist die Lage bei KI-Werkzeugen wie ChatGPT — dürfen wir die einsetzen?
Lohnt sich ein Datenschutz-Audit einmal jährlich?
Das regeln wir — so sieht das bei uns aus.
Unsicher, wo deine Seite steht? Frag Hannes — er schaut sie sich an und sagt dir ehrlich, was zu holen ist.