Start/Blog/DSGVO
DSGVO 31. Mai 2026 9 Min. Lesezeit

DSGVO-Pflichten für die Firmen-Website: die Checkliste 2026.

Datenschutz klingt nach Bürokratie und Abmahn-Angst — ist aber kein Hexenwerk. Für jede Firmen-Website gelten ein paar klare Pflichten, und die lassen sich mit einer sauberen Basis schnell abhaken. Diese Checkliste zeigt Ihnen Punkt für Punkt, worauf es 2026 wirklich ankommt — sachlich, verständlich, ohne Panikmache.

Vorab und ganz ohne Drohkulisse: Sie müssen keine Abmahn-Panik schieben. Aber jede Firmen-Website hat ein paar Pflichten, an denen kein Weg vorbeiführt. Die gute Nachricht — wenn die Basis von Anfang an sauber gebaut ist, ist das Thema in überschaubarer Zeit erledigt und Sie müssen nie wieder daran denken. Hier kommt die Checkliste, Baustein für Baustein.

Impressum

Das Impressum ist der Klassiker und für geschäftlich genutzte Websites in Deutschland Pflicht. Es muss leicht auffindbar sein — also mit höchstens zwei Klicks von jeder Seite aus erreichbar, üblicherweise verlinkt im Footer. Hineingehören typischerweise:

  • Name bzw. Firma samt Rechtsform (z. B. GmbH, Einzelunternehmen).
  • Ladungsfähige Anschrift — eine echte Adresse, kein Postfach.
  • Kontaktmöglichkeit: in der Regel Telefonnummer und E-Mail-Adresse.
  • Umsatzsteuer-ID, sofern vorhanden.
  • Register- und Aufsichtsangaben, falls einschlägig — etwa Handelsregister-Nummer oder die zuständige Kammer bei reglementierten Berufen.

Der häufigste Fehler ist nicht ein fehlendes Impressum, sondern ein veraltetes: umgezogen, Telefonnummer gewechselt, Rechtsform geändert — und das Impressum hinkt hinterher. Ein kurzer Blick einmal im Jahr genügt.

Datenschutzerklärung

Die Datenschutzerklärung erklärt verständlich, welche Daten Ihre Website verarbeitet und warum. Auch sie gehört gut sichtbar in den Footer und sollte ohne Anmeldung erreichbar sein. Sie deckt im Kern ab, was auf Ihrer Seite tatsächlich passiert — zum Beispiel:

  • Kontakt- und Formulardaten: Was geben Besucher ein, und was passiert damit?
  • Analyse-Tools: Nutzen Sie etwa eine Reichweitenmessung oder Statistik-Werkzeuge?
  • Hosting: Server protokollieren technisch bedingt Zugriffe — auch das wird benannt.
  • Eingebundene Dienste: Karten, Schriften, Videos oder ein Buchungstool von Drittanbietern.

Wichtig: Die Datenschutzerklärung muss zu Ihrer Seite passen. Ein blind kopierter Text, der Tools beschreibt, die Sie gar nicht einsetzen — oder umgekehrt Tools verschweigt, die im Hintergrund laufen — ist schlechter als gar keiner. Beschrieben wird, was wirklich da ist.

Cookie-Consent richtig gemacht

Hier wird es in der Praxis am häufigsten falsch gemacht. Die Regel ist im Kern einfach: Cookies und Skripte, die für den Betrieb der Seite nicht zwingend nötig sind — etwa für Analyse oder Marketing — dürfen erst geladen werden, nachdem der Besucher eingewilligt hat. Technisch notwendige Dinge brauchen diese Einwilligung nicht.

Entscheidend ist eine echte Wahl. „Ablehnen" muss genauso leicht möglich sein wie „Akzeptieren" — kein verstecktes Kleingedrucktes, kein vorausgewähltes Häkchen, kein Dark-Pattern, das Menschen mit Design in die Zustimmung drängt. Ein fairer Banner ist am Ende auch der ehrlichere Umgang mit Ihren Besuchern. Wie das ohne manipulative Tricks aussieht, habe ich ausführlich beschrieben in meinem Beitrag Cookie-Banner ohne Manipulation.

Ein Cookie-Banner ist kein Türsteher, der Zustimmung erzwingt — sondern eine ehrliche Frage mit zwei gleichwertigen Antworten. Wer die Ablehnung kompliziert macht, verspielt Vertrauen, ohne rechtlich auf der sicheren Seite zu sein.

Sichere Verbindung (SSL/HTTPS)

Sobald über Ihre Website Daten übertragen werden — und sei es nur ein Kontaktformular — gehört eine verschlüsselte Verbindung dazu. Erkennbar am „https://" und dem Schloss-Symbol in der Adresszeile. Eine unverschlüsselte Seite markieren Browser heute deutlich sichtbar als „nicht sicher", was Besucher abschreckt.

  • SSL-Zertifikate sind heute kostenlos verfügbar (etwa über Let's Encrypt).
  • Wenn Ihnen jemand das Zertifikat als teures Extra verkaufen will, fragen Sie nach dem Warum.
  • Die Verschlüsselung sollte auf der ganzen Seite gelten — nicht nur auf einzelnen Unterseiten.

Formulare & Auftragsverarbeitung

Zwei Stichworte, die zusammengehören. Beim Formular gilt der Grundsatz der Datensparsamkeit: Fragen Sie nur ab, was Sie wirklich brauchen. Für eine Rückrufbitte reichen meist Name und Telefonnummer — Geburtsdatum, Firmenumsatz oder Privatadresse haben da nichts zu suchen.

Beim Stichwort Auftragsverarbeitung geht es um Ihre Dienstleister. Überall dort, wo ein externer Anbieter in Ihrem Auftrag personenbezogene Daten verarbeitet, ist in der Regel ein sogenannter Auftragsverarbeitungs-Vertrag (AV-Vertrag) sinnvoll. Das betrifft typischerweise:

  • Hosting: Auf den Servern Ihres Anbieters liegen die Daten Ihrer Website-Besucher.
  • E-Mail-Dienste: Mailserver und Newsletter-Tools verarbeiten Kontaktdaten.
  • Analyse & Statistik: Werkzeuge, die das Nutzungsverhalten auswerten.

Die meisten seriösen Anbieter stellen solche Verträge fertig zum Abschluss bereit — oft mit wenigen Klicks im Kundenkonto. Es lohnt sich, einmal durchzugehen, mit welchen Dienstleistern Sie zusammenarbeiten und ob die Verträge vorliegen.

Was Sie NICHT brauchen

Mindestens so wichtig wie die Pflichten ist, womit Sie sich nicht verrückt machen müssen. Rund um die DSGVO kursiert viel Halbwissen — und manche verkaufen Angst. Für eine normale Firmen-Website gilt:

  • Kein teures „DSGVO-Komplettpaket", das mit drohenden Bußgeldern verkauft wird. Die Pflichten sind benennbar und mit sauberer Basis erledigt.
  • Keine fünf verschiedenen Consent-Tools übereinander. Ein gut konfigurierter Banner genügt.
  • Keine Panik vor jeder Schriftart oder Karte. Eingebundene Dienste lassen sich datenschutzfreundlich lösen — das ist Handwerk, kein Drama.
  • Keine ständige Angst vor „der einen Abmahnung". Wer die Basics sauber hat, ist gut aufgestellt. Aktionismus aus Angst führt eher zu Fehlern als zu Sicherheit.

Datenschutz ist kein Wettrüsten. Es geht um wenige, klare Dinge, die ordentlich gemacht werden — nicht um möglichst viele Werkzeuge.

Fazit

DSGVO-Konformität für eine Firmen-Website ist überschaubar: ein aktuelles Impressum, eine passende Datenschutzerklärung, ein fairer Cookie-Banner, eine verschlüsselte Verbindung sowie datensparsame Formulare mit den nötigen Verträgen im Hintergrund. Wer diese Punkte von Anfang an mitdenkt, hat das Thema im Griff — ohne dauerhaftes Bauchgrummeln.

Genau deshalb baue ich jede Website standardmäßig DSGVO-sauber: mit rechtssicherem Impressum, einer zu Ihrer Seite passenden Datenschutzerklärung, fairem Cookie-Banner und SSL — alles inklusive, zum Festpreis, aus Dülmen für das Münsterland. Mehr zu meinem Umgang mit Daten finden Sie in meiner Datenschutzerklärung, die Leistungen im Überblick auf der Seite Pakete & Preise. Sie haben Fragen zu Ihrer bestehenden Seite? Schreiben Sie mir über das Kontaktformular oder rufen Sie an unter 02594 9738961.

Hinweis: Dieser Beitrag bietet eine praktische Orientierung und ersetzt keine Rechtsberatung. Die konkrete rechtliche Bewertung hängt vom Einzelfall ab — im Zweifel ziehen Sie bitte einen Fachanwalt oder Datenschutzbeauftragten hinzu.

Website, die von Anfang an DSGVO-sauber ist?

Impressum, Datenschutz, Cookie-Banner und SSL inklusive. Festpreis, ohne Angst-Aufschlag.

Anfrage stellen