12. Mai 2025

Datenschutz für die Website: Was wirklich Pflicht ist – und was nicht

#webdesign#datenschutz#recht

DSGVO, Impressum, Cookie-Banner, Google Fonts, Analytics – Datenschutz auf Websites klingt nach viel Aufwand und noch mehr Grauzone. Dabei lassen sich die wichtigsten Pflichten auf ein paar klare Punkte herunterbrechen. Was du als Selbstständige oder kleines Unternehmen wirklich umsetzen musst – und wo du dir unnötig Sorgen machst.

Jetzt anfragen

Die 6 wichtigsten Datenschutz-Pflichten für Websites

Impressum

Jede gewerbliche oder berufliche Website in Deutschland muss ein Impressum mit Namen, Adresse und Kontaktdaten enthalten. Fehlende oder unvollständige Impressen werden regelmäßig abgemahnt – das Risiko ist real.

Datenschutzerklärung

Pflicht sobald personenbezogene Daten verarbeitet werden – also spätestens beim Kontaktformular, bei Cookies oder bei eingebetteten Videos. Die Erklärung muss klar, vollständig und aktuell sein.

Cookie-Banner

Nicht jede Website braucht zwingend einen Cookie-Banner. Technisch notwendige Cookies dürfen ohne Einwilligung gesetzt werden. Tracking, Analytics oder Marketing-Cookies erfordern eine aktive Zustimmung vorab.

Google Fonts lokal einbinden

Werden Google Fonts direkt von Googles Servern geladen, wird die IP-Adresse des Besuchers ohne Einwilligung übertragen – das verstößt gegen die DSGVO. Lösung: Schriften lokal als WOFF2 einbinden.

Datenschutzkonforme Analytics

Google Analytics sendet Nutzerdaten in die USA und erfordert eine Einwilligungslösung. Alternativen wie Plausible oder Matomo laufen auf eigenen Servern, sind cookiefrei und ohne Banner nutzbar.

Kontaktformulare

Kontaktformulare verarbeiten personenbezogene Daten. In der Datenschutzerklärung muss erklärt werden, welche Daten erhoben, wofür sie genutzt und wie lange sie gespeichert werden.

Impressum: Pflicht ab dem ersten Auftrag

Das Impressum ist keine Frage des Budgets oder der Website-Größe – es ist gesetzlich vorgeschrieben (§ 5 TMG). Jede gewerbliche oder berufliche Website braucht ein vollständiges Impressum mit Name, Adresse, Kontaktmöglichkeit und – bei bestimmten Berufsgruppen – weiteren Angaben wie Berufsbezeichnung oder Aufsichtsbehörde.

Häufige Fehler: Das Impressum ist nicht direkt verlinkbar (muss es sein – direkt über die Navigation oder im Footer erreichbar), die E-Mail-Adresse fehlt, oder der Name der verantwortlichen Person ist nicht angegeben. All das ist abmahnfähig – und wird auch regelmäßig verfolgt.

Datenschutzerklärung: Was muss rein?

Die Datenschutzerklärung erklärt Besuchern, welche Daten auf deiner Website erhoben werden, zu welchem Zweck und wie lange sie gespeichert werden. Folgendes löst in aller Regel eine Pflicht zur Nennung aus:

  • Kontaktformulare – jede Formulareingabe ist eine Datenverarbeitung
  • Webhosting – der Hoster speichert IP-Adressen und Server-Logs
  • Cookies – auch technisch notwendige sollten erwähnt werden
  • Externe Dienste – YouTube, Google Maps, Schriften von externen Servern
  • Analytics-Tools – egal ob Google Analytics, Matomo oder Plausible

Für die Erstellung ist der kostenlose Generator von Dr. Thomas Schwenke (datenschutz-generator.de) eine verbreitete und rechtssichere Lösung. Trotzdem: Gerade bei spezialisierten Seiten oder wenn du sensible Daten verarbeitest, lohnt sich anwaltliche Prüfung.

Google Fonts & externe Ressourcen: Das übersehene Risiko

Viele Websites laden Google Fonts direkt von Googles Servern – das ist bequem, aber DSGVO-widrig. Bei jedem Seitenaufruf wird die IP-Adresse des Besuchers an Google übertragen, ohne dessen Einwilligung. Das Landgericht München hat das 2022 klar als Datenschutzverstoß eingestuft.

Die Lösung: Schriften lokal einbinden. Die WOFF2-Dateien werden einmalig heruntergeladen und auf dem eigenen Server gespeichert. Das ist technisch einfach, kostet einmalig etwas Einrichtungsaufwand und hat einen positiven Nebeneffekt: Die Seite lädt schneller, weil keine externe Verbindung aufgebaut werden muss. Mehr dazu im Beitrag Typografie im Webdesign.

Das gleiche gilt für andere externe Ressourcen: Eingebettete YouTube-Videos, Google Maps oder Social-Media-Buttons laden Skripte von fremden Servern und setzen potenziell Tracking-Cookies – ohne dass der Nutzer dem zugestimmt hat.

Cookie-Banner: Wann wirklich nötig?

Nicht jede Website braucht einen Cookie-Banner. Cookies, die für den Betrieb der Website technisch notwendig sind – z. B. ein Session-Cookie für ein Formular – dürfen ohne Einwilligung gesetzt werden. Erst wenn Cookies zu Tracking- oder Marketingzwecken eingesetzt werden, ist eine aktive Einwilligung erforderlich.

In der Praxis: Wer auf Google Analytics verzichtet oder auf datenschutzkonforme Alternativen wie Plausible setzt, kann den Cookie-Banner oft komplett weglassen. Das verbessert auch die Nutzererfahrung erheblich – kein aufdringliches Popup beim ersten Besuch. Auf meiner eigenen Website und in Kundenprojekten in Dresden setze ich wo möglich auf cookiefreie Lösungen.

Analytics datenschutzkonform umsetzen

Du willst wissen, wie viele Besucher deine Seite hat und woher sie kommen – das ist verständlich. Aber Google Analytics ist nicht die einzige Möglichkeit. Alternativen:

  • Plausible Analytics: Cookiefrei, keine personenbezogenen Daten, kein Banner nötig, europäische Server. Sehr einfach zu bedienen, ca. 9 € / Monat.
  • Matomo (selbst gehostet): Open Source, volle Kontrolle, alle Daten auf deinem eigenen Server. Aufwändiger in der Einrichtung, aber komplett DSGVO-konform.
  • Einfache Serverkennzahlen: Viele Hoster bieten Basis-Statistiken (Seitenaufrufe, Länder) ohne Tracking an – oft ausreichend für kleine Websites.

Datenschutz auf der Website ist kein Einmalprojekt – er muss bei jeder Änderung mitgedacht werden. Wenn du eine neue Website planst oder eine bestehende überarbeiten möchtest, achte ich bei der Umsetzung von Anfang an auf diese Punkte. Das spart spätere Korrekturen und gibt dir Rechtssicherheit.

Datenschutzkonforme Website erstellen lassen

Datenschutz ist kein einmaliges Häkchen – er muss von Anfang an in die Website eingebaut sein. Ob du eine neue Website planst oder eine bestehende überprüfen möchtest: Ich schaue mir gemeinsam mit dir an, wo Handlungsbedarf besteht – von Impressum und Datenschutzerklärung über die Einbindung externer Ressourcen bis hin zu datenschutzkonformer Analytics. Meld dich für ein unverbindliches Erstgespräch.

Jetzt anfragen
Grafikdesignerin Dresden – Anita Mostofa, Expertin für kreatives Design

Fragen zum Datenschutz auf Websites

Pflicht sind: ein vollständiges Impressum, eine aktuelle Datenschutzerklärung, datenschutzkonforme Einbindung externer Ressourcen (Schriften, Karten, Videos), eine rechtssichere Lösung für Cookies, sofern nicht-notwendige Cookies gesetzt werden, sowie die Information über Datenverarbeitung bei Kontaktformularen. Wer auf datenschutzfreundliche Tools wie Plausible Analytics, lokal gehostete Schriften und Embeds mit Klick-Lösung setzt, kann die Anforderungen meist mit überschaubarem Aufwand erfüllen – ohne den großen Cookie-Banner.

Ja – sobald deine Website einen geschäftlichen oder beruflichen Zweck hat, gilt die Impressumspflicht nach § 5 TMG. Das gilt für alle Selbstständigen, Freiberufler und Unternehmen. Auch Websites, die "nur" ein Portfolio zeigen, fallen darunter, wenn sie der Akquise von Aufträgen dienen. Fehlt das Impressum, drohen Abmahnungen.

Nicht zwingend – aber nur, wenn du keine Cookies setzt, die nicht technisch notwendig sind. Technisch notwendige Cookies (z. B. für ein Kontaktformular oder einen Warenkorb) dürfen ohne Einwilligung gesetzt werden. Sobald du Tracking, Analytics (Google Analytics) oder Marketing-Tools einsetzt, brauchst du eine rechtlich konforme Einwilligungslösung.

Plausible Analytics und Matomo sind die bekanntesten Alternativen. Plausible ist cookiefrei, sammelt keine personenbezogenen Daten und benötigt keinen Cookie-Banner. Matomo kann selbst gehostet werden und bietet ähnliche Funktionen wie Google Analytics – mit voller DSGVO-Konformität. Beide eignen sich gut für kleine und mittlere Websites.

Standardmäßig nicht ohne Einwilligung – YouTube setzt Tracking-Cookies, sobald das Video geladen wird. Die Lösung: "erweiterten Datenschutzmodus" von YouTube nutzen (youtube-nocookie.com) oder das Video erst nach einer Klick-Einwilligung laden (sogenannte 2-Klick-Lösung). In diesem Fall muss die Datenschutzerklärung YouTube/Google als Dienstleister benennen.

Immer dann, wenn sich etwas an der Datenverarbeitung ändert: neues Tool eingebunden, Formular hinzugefügt, Hoster gewechselt. Es gibt keine feste Frist – aber mindestens einmal im Jahr sollte man prüfen, ob alles noch aktuell ist. Generatoren wie der von Datenschutz-Generator.de (Dr. Schwenke) helfen dabei.

Das könnte dich auch interessieren

Website Relaunch ohne Rankingverlust: So gehst du richtig vor

Ein Relaunch kann deine Website deutlich verbessern oder organische Sichtbarkeit zerstören, wenn er schlecht geplant ist. Mit sauberer Vorbereitung, korrekten Weiterleitungen und dem Erhalt starker Inhalte lässt sich ein Relaunch deutlich sicherer umsetzen.

weiterlesen

Selbstständig machen: Wann brauche ich Logo, Website & Design?

Du hast die Idee, die Motivation und vielleicht schon erste Kunden im Blick. Aber wann genau brauchst du ein Logo, eine Website, ein Branding? Die kurze Antwort: früher als du denkst – und auf jeden Fall parallel zu den anderen Gründungsschritten, nicht danach. Denn eine Website braucht Monate, um bei Google sichtbar zu werden. Und deine Online-Marke kann nur so stark sein wie das Fundament, das du vorher legst.

weiterlesen

Bilder für Websites: selbst machen, kaufen oder KI generieren?

Kein Element einer Website wird so oft unterschätzt wie Bilder. Stock-Foto, eigene Kamera oder KI-Generator – was wirklich funktioniert hängt von Branche, Budget und Zielgruppe ab.

weiterlesen

Wie deine Website und Marke bei KI-Assistenten wie ChatGPT sichtbar wird

Immer mehr Menschen fragen nicht mehr Google – sie fragen ChatGPT oder Perplexity. Wer dort nicht vorkommt, verliert Reichweite. Hier ist, was KI-Systeme brauchen, um dich zu empfehlen.

weiterlesen

Landingpage erstellen lassen: Wann lohnt es sich wirklich?

Eine Landingpage klingt nach einem schnellen Projekt – ist aber oft das wirkungsvollste Stück deines digitalen Auftritts. Wann eine Landingpage die bessere Wahl ist und was den Unterschied ausmacht.

weiterlesen

Online oder Offline Marketing – Was ist der richtige Weg für dich?

Instagram-Ads oder Flyer im Briefkasten? Google-Ranking oder Roll-up auf der Messe? Beide Wege funktionieren – aber nicht für jeden gleich gut.

weiterlesen

Kirby CMS: Warum es oft der beste Mittelweg zwischen WordPress und Eigenentwicklung ist

Kirby verbindet einfache Contentpflege mit individueller Entwicklung und ist für viele Websites der sinnvollste Mittelweg zwischen WordPress und kompletter Eigenentwicklung.

weiterlesen

Website-Relaunch: 8 Zeichen, dass es höchste Zeit wird

Viele Unternehmen ahnen es schon länger – aber schieben es auf. Wann lohnt sich ein echter Relaunch, und wann reicht eine Überarbeitung?

weiterlesen