DSGVO-Konformität ohne Rechtsabteilung: Welche Pflichten jede Website in Deutschland tatsächlich erfüllen muss

Foto: photovs

Anzeige Stell dir vor, du wachst morgen früh auf und findest ein Abmahnschreiben im Postfach – von einem Konkurrenten, der deine Datenschutzerklärung akribisch durchforstet hat. Kein hypothetisches Szenario mehr, sondern bittere Realität für immer mehr Website-Betreiber in Deutschland. Kleine und mittlere Unternehmen stehen dabei oft blank da: keine Rechtsabteilung, kein Compliance-Budget, aber trotzdem volle Haftung.

Die Zahlen sprechen eine deutliche Sprache. 2024 wurden europaweit rund 1,2 Milliarden Euro an DSGVO-Bußgeldern verhängt. Seit Mai 2018 summiert sich der europäische Bußgeldberg auf schwindelerregende 5,88 Milliarden Euro. Europaweit wurden 2024 insgesamt rund 1,2 Milliarden Euro an DSGVO-Bußgeldern verhängt.

Deutschland allein verhängte 2024 etwa 1,2 Milliarden Euro europaweit 2024 – zwar weniger als im Vorjahr, aber der Trend geht zu gezielteren, schmerzhafteren Einzelsanktionen, wie das DSGVO-Portal berichtet. Insgesamt hat Deutschland seit 2018 satte 89,1 Millionen Euro an DSGVO-Strafen verhängt.

Doch es sind nicht nur die Behörden, die Druck machen. Die Verunsicherung sitzt tief in den Chefetagen: Laut einer Bitkom-Umfrage zögern 62 Prozent der Unternehmen bei der Datennutzung aus Angst vor Datenschutzverstößen, und 60 Prozent haben Innovationspläne bereits gestoppt. Lähmung ist aber die falsche Antwort.

Diese Checkliste liefert dir die tatsächlichen Mindestanforderungen – strukturiert, praxisnah und ganz ohne Anwaltsdeutsch.

Methodik: So haben wir die Pflichten bewertet

Wir haben für jede Pflicht fünf Kriterien angelegt, um dir eine fundierte Einschätzung zu geben, was wirklich zählt.

1. Erstens: Welche rechtliche Grundlage greift – DSGVO, DDG, DDG oder BDSG?
2. Zweitens: Wie hoch ist das Bußgeld- und Abmahnrisiko nach aktuellen Urteilen und Sanktionen aus 2023 bis 2025?
3. Drittens: Ist die Umsetzung für ein KMU ohne Anwalt technisch und organisatorisch machbar?
4. Viertens: Betrifft die Pflicht nahezu jede Website oder nur spezielle Branchen?
5. Und fünftens: Welche Praxisbelege liefern Aufsichtsbehörden, Gerichte und Umfragen?

Pflicht 1: Rechtssicheres Impressum nach DDG

Seit dem 14. Mai 2024 gilt das Digitale-Dienste-Gesetz (DDG) – es ersetzt das alte Telemediengesetz. Keine Panik: Die Pflichtangaben sind inhaltlich gleich geblieben. Was musst du draufhaben? Name und ladungsfähige Anschrift – Postfach reicht nicht. Elektronische Kontaktdaten wie E-Mail und Telefon. Je nach Rechtsform: Aufsichtsbehörde, Handelsregister und USt-ID. Bei journalistischen Inhalten kommt noch der Verantwortliche dazu.

Warum ist das kein Papiertiger? Die IHK München erinnert daran: Verstöße gegen DDG oder DDG können mit Bußgeldern geahndet werden. Und Abmahnanwälte suchen gezielt nach fehlenden oder fehlerhaften Impressen.

Am besten geeignet: Jede geschäftsmäßig betriebene Website – auch reine Informationsportale ohne Shop.

Weniger ideal: Rein private Seiten – aber selbst da schützt ein Impressum vor nervigen Abmahnungen. Die Grenze zwischen privat und geschäftsmäßig ist fließend.

Pflicht 2: Datenschutzerklärung nach Art. 13 DSGVO

Jetzt wird’s ernst. Dass du eine Datenschutzerklärung brauchst, weißt du wahrscheinlich. Aber weißt du auch, warum? Schon die Verarbeitung von IP-Adressen beim Seitenaufruf reicht aus, wie die IHK Regensburg klarstellt. Deine Website verarbeitet personenbezogene Daten – Punkt.

Was muss rein? Die Rechtsgrundlagen jeder einzelnen Verarbeitung. Alle Betroffenenrechte: Auskunft, Berichtigung, Löschung, Datenübertragbarkeit und Beschwerderecht. Falls vorhanden, den Datenschutzbeauftragten nennen. Speicherdauern und Empfänger der Daten auflisten. Die IHK München hat eine gute Übersicht der Pflichtinhalte.

Die wirklich explosive Entwicklung kommt vom BGH: Mit Urteil vom 27. März 2025 (I ZR 186/17) dürfen jetzt auch Mitbewerber wegen DSGVO-Verstößen abmahnen – selbst bei formalen Mängeln wie unvollständigen Datenschutzerklärungen, berichtet Wetzel Berlin. Früher war das Privileg der Aufsichtsbehörden, heute sitzt die Konkurrenz mit der Lupe daneben.

Dass die Beschwerdelust steigt, zeigt ein Blick nach Niedersachsen: 4.022 Datenschutzbeschwerden gingen 2025 ein – ein Sprung um 70 Prozent gegenüber dem Vorjahr. Das übertrifft sogar die Rekordwerte aus der Corona-Zeit.

Am besten geeignet: Absolute Pflicht, keine Ausnahme. Null Kompromiss.

Weniger ideal: Nicht verhandelbar. Die häufigsten Fehler: veraltete Texte, fehlende Cookie-Infos und kein Hinweis auf Auftragsverarbeitungsverträge.

Pflicht 3: Cookie-Banner und Einwilligungsmanagement

Cookies sind die Dauerbaustelle jeder Website. Seit Mai 2024 gilt das Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG), und der Name ist so sperrig wie die Materie. Die Kurzfassung: Nicht notwendige Cookies sind einwilligungspflichtig – Punkt.

Was sind notwendige Cookies? Session-Cookies, Warenkorb-Funktionen und der Consent-Cookie selbst. Die dürfen ohne Einwilligung gesetzt werden. Alles andere – Tracking-Tools wie Google Analytics, Facebook Pixel, externe Videos und selbst Google Fonts – brauchen deine Zustimmung. Das Landgericht München I hat schon 2022 Schadensersatz für nicht rechtskonforme Webfonts-Einbindung zugesprochen (Az. 3 O 17493/20).

Bei der Gestaltung deines Cookie-Banners gilt: Ablehnen muss genauso einfach sein wie Zustimmen. Keine Dark Patterns, keine voreingestellten Häkchen, kein „Ablehnen“-Button in winziger grauer Schrift.

Ein oft übersehener Fallstrick: Social-Media-Plugins. Schon beim Laden der Seite übertragen sie IP-Adressen an Facebook und Co. – völlig egal, ob jemand den Like-Button klickt. Die IHK Regensburg empfiehlt datenschutzkonforme Alternativen wie die Shariff-Lösung oder die 2-Klick-Variante.

Am besten geeignet: Websites mit Analysetools, externen Schriften oder Social-Media-Einbindungen.

Weniger ideal: Statische HTML-Seiten ganz ohne externe Ressourcen – aber Vorsicht: Schon ein CDN oder Google Fonts lösen die Pflicht aus. Bußgelder bis zu 20 Millionen Euro sind möglich.

Pflicht 4: Auftragsverarbeitungsverträge (AVV)

Du nutzt einen externen Hoster? Newsletter-Tool? Cloud-CRM? Dann brauchst du nach Art. 28 DSGVO einen Auftragsverarbeitungsvertrag – schriftlich oder elektronisch. Das ist keine Kür, sondern Pflicht.

Die Liste der typischen Auftragsverarbeiter ist lang: Hosting-Provider, Mailchimp, HubSpot, Google Analytics, Zahlungsdienstleister. Der häufigste Fehler: Unternehmen setzen die Tools ein, schließen aber keinen AVV ab. Im Ernstfall ist das ein gefundenes Fressen für Prüfer und Abmahner.

Und was ist mit Drittstaaten? Wenn dein Tool-Anbieter Daten in die USA überträgt, brauchst du zusätzlich einen Angemessenheitsbeschluss oder Standardvertragsklauseln. Fehlen die, drohen saftige Strafen.

Am besten geeignet: Jede Website mit externen Diensten, und das sind fast alle.

Weniger ideal: Komplett eigen gehostete Umgebungen ohne Drittanbieter – aber selbst dein Hoster kann AVV-pflichtig sein. Check das lieber doppelt.

Pflicht 5: SSL-Verschlüsselung und technische Sicherheit

Das ist die vermeintlich einfachste Pflicht, aber sie ist fundamental. Das BSI empfiehlt mindestens TLS 1.2, und HTTPS ist Pflicht für alle Seiten, die personenbezogene Daten erheben – also schon bei einem simplen Kontaktformular.

Warum? Art. 32 DSGVO verlangt angemessene Sicherheit der Verarbeitung. Wer hier schlampt, riskiert Bußgelder. Und mal ehrlich: Ohne SSL-Zertifikat warnt der Browser deine Besucher mit einem roten Schloss-Symbol. Schlechter erster Eindruck, verlorenes Vertrauen.

Am besten geeignet: Alle Websites, besonders mit Login, Shop oder Formularen.

Weniger ideal: Rein statische Info-Seiten ohne Dateneingabe – aber HTTPS ist heute Standard und kostet fast nichts. Kein Grund, es wegzulassen.

Pflicht 6: Verzeichnis von Verarbeitungstätigkeiten (VVT) – Ausnahmen für KMU

Art. 30 DSGVO klingt nach Bürokratiemonster, aber es gibt eine wichtige KMU-Ausnahme. Unternehmen mit weniger als 250 Mitarbeitern müssen kein VVT führen, wenn drei Bedingungen erfüllt sind: Die Verarbeitung stellt kein Risiko für Rechte dar, erfolgt nicht regelmäßig und betrifft keine sensiblen Daten.

Mein Rat: Verlass dich nicht blind auf die Ausnahme. Sobald du regelmäßig Newsletter versendest oder eine Kundendatenbank pflegst, ist die Verarbeitung „regelmäßig“ – und die Befreiung wackelt. Ein VVT schafft interne Transparenz und bereitet dich auf Prüfungen vor.

Am besten geeignet: Unternehmen mit regelmäßiger Datenverarbeitung wie Kundenverwaltung.

Weniger ideal: Sehr kleine Einzelunternehmer ohne wiederkehrende Verarbeitung – aber die Schwelle ist schnell überschritten.

Pflicht 7: Datenschutzbeauftragter – wann wird er Pflicht?

Nach § 38 BDSG muss ein betrieblicher Datenschutzbeauftragter bestellt werden, wenn in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Die IHK München erklärt die Details.

Zwanzig Personen klingt viel? Ein Vertriebsteam mit CRM-Zugang kann diese Schwelle schon erreichen. Und zählst du Teilzeitkräfte und Aushilfen mit, verschiebt sich die Zahl schnell nach oben.

Die geplante Änderung sieht vor, dass die Pflicht zur Bestellung eines Datenschutzbeauftragten im nichtöffentlichen Bereich auf die Regelung in Art. 37 DSGVO beschränkt werden soll, wodurch die nationale Regelung in § 38 Abs. 1 BDSG aufgehoben werden könnte.

Dies würde die Schwelle von 20 Personen entfallen lassen, aber die Pflicht würde weiterhin von der Art, dem Umfang und den Risiken der Datenverarbeitung abhängen. Es gibt jedoch Diskussionen darüber, die Schwelle auf 50 Personen anzuheben.

Die geplante Änderung soll bis Ende 2026 in Kraft treten, was bedeutet, dass die aktuelle Regelung möglicherweise nicht mehr gilt, wenn die Gesetzesänderung wie geplant umgesetzt wird.

Am besten geeignet: Wachsende Unternehmen mit eigener Datenverarbeitungsstruktur.

Weniger ideal: Kleinstbetriebe mit unter 20 Personen – aber beobachte die Entwicklung, denn Personal wächst, und mit ihm die Pflicht.

Praktische Umsetzung: Tools und Services

All diese Pflichten im Alleingang zu stemmen, ist für Unternehmen ohne Rechtsabteilung eine Mammutaufgabe. Zum Glück gibt es spezialisierte Plattformen, die vieles automatisieren.

Ein prominentes Beispiel ist iubenda.com/de/: Die italienische Compliance-Plattform, 2011 in Mailand gegründet, bietet eine All-in-One-Lösung für über 150.000 Kunden. Generator für Datenschutzerklärungen, Cookie-Banner, AGB, Verzeichnis von Verarbeitungstätigkeiten und sogar ein Barrierefreiheits-Widget – alles dokumentenfertig in über 25 Sprachen.

Am besten geeignet: KMU, die schnell eine rechtssichere Grundlage brauchen und kein eigenes Rechts-Know-how aufbauen wollen.

Weniger ideal: Hochgradig individualisierte Geschäftsmodelle mit eigenem Rechtsteam – hier stoßen Standard-Templates an ihre Grenzen.

Handeln, bevor es teuer wird

Die Kernpflichten sind klar: Impressum, Datenschutzerklärung, Cookie-Management, Auftragsverarbeitungsverträge und Verschlüsselung. Keine Raketenwissenschaft, aber konsequent umzusetzen. Statt in Unsicherheit zu erstarren, geh systematisch vor – diese Checkliste gibt dir die Orientierung.

Für die meisten KMU ist der Einstieg mit Compliance-Tools ein praktikabler erster Schritt. Die Pflicht wartet nicht, und die Abmahner auch nicht.