PanoArt360

PanoArt360 — Zurück zum Blog

PanoArt360
Zurück zum Blog Recht & Datenschutz

DSGVO 2025: Was Unternehmen jetzt wissen müssen

15. Januar 2025 8 Min. Lektüre PanoArt360
DSGVO 2025 – Datenschutz und Compliance für Unternehmen

Die Datenschutz-Grundverordnung – kurz DSGVO – ist seit Mai 2018 in Kraft und hat die Art und Weise, wie Unternehmen mit personenbezogenen Daten umgehen müssen, grundlegend verändert. Sieben Jahre nach ihrer Einführung stellen wir fest: Viele kleine und mittlere Unternehmen (KMU) haben ihre Websites nach wie vor nicht vollständig DSGVO-konform gestaltet. Das ist riskant – die Behörden werden zunehmend aktiver, und Abmahnungen durch Wettbewerber sind keine Seltenheit mehr. In diesem Artikel erfahren Sie, worauf es 2025 ankommt.

Wichtiger Hinweis: Dieser Artikel vermittelt allgemeine Informationen zum Thema DSGVO und ersetzt keine Rechtsberatung. Bei konkreten Rechtsfragen wenden Sie sich bitte an einen auf Datenschutzrecht spezialisierten Anwalt oder an Ihren Datenschutzbeauftragten.

Was ist die DSGVO und warum ist sie für Ihre Website relevant?

Die DSGVO (Verordnung (EU) 2016/679) ist eine europäische Datenschutzverordnung, die den Umgang mit personenbezogenen Daten von EU-Bürgern regelt. Personenbezogene Daten sind alle Informationen, die eine natürliche Person direkt oder indirekt identifizierbar machen – also Name, E-Mail-Adresse, IP-Adresse, Standortdaten und vieles mehr.

Für Ihre Website bedeutet das: Sobald Besucher Ihre Seite aufrufen, werden automatisch Daten verarbeitet. Schon das Speichern einer IP-Adresse im Server-Log ist eine Datenverarbeitung im Sinne der DSGVO. Dazu kommen Kontaktformulare, Newsletter-Anmeldungen, Analyse-Tools wie Google Analytics und externe Dienste wie Google Fonts oder YouTube-Einbettungen. All das unterliegt den strengen Anforderungen der Verordnung.

Die DSGVO gilt grundsätzlich für alle Unternehmen, die Daten von EU-Bürgern verarbeiten – unabhängig davon, wo das Unternehmen selbst ansässig ist. Als Kleinunternehmer in Sachsen sind Sie also genauso betroffen wie ein internationaler Konzern.

Die wichtigsten DSGVO-Anforderungen für Websites

Datenschutzerklärung

Jede Website, die personenbezogene Daten verarbeitet, benötigt eine vollständige und aktuelle Datenschutzerklärung. Diese muss leicht auffindbar sein – üblicherweise im Footer jeder Seite verlinkt. Inhaltlich muss sie erklären, welche Daten zu welchem Zweck verarbeitet werden, auf welcher Rechtsgrundlage (Art. 6 DSGVO), wie lange die Daten gespeichert werden, welche Rechte Betroffene haben und ob Daten an Dritte weitergegeben oder in Drittländer übermittelt werden.

Ein häufiger Fehler: Die Datenschutzerklärung wurde einmal erstellt und seitdem nie mehr aktualisiert. Haben Sie seit der letzten Überarbeitung neue Tools eingebunden (z. B. ein neues Chat-Widget, Google Maps, einen Instagram-Feed)? Dann müssen diese Dienste in der Datenschutzerklärung erwähnt werden.

Cookie-Banner & Einwilligungen

Cookies, die nicht technisch notwendig sind – also Marketing-Cookies, Analyse-Cookies und ähnliche – dürfen erst nach ausdrücklicher Einwilligung des Nutzers gesetzt werden. Das Urteil des Europäischen Gerichtshofs (EuGH) von 2019 und spätere Entscheidungen der deutschen Aufsichtsbehörden haben das eindeutig klargestellt.

Was bedeutet das konkret? Ihr Cookie-Banner muss eine echte Wahlmöglichkeit bieten. Die Buttons "Alle akzeptieren" und "Ablehnen" müssen gleichwertig präsentiert werden – ein kleines "Ablehnen"-Link neben einem großen grünen "Akzeptieren"-Button genügt nicht. Vorausgewählte Häkchen sind ebenfalls unzulässig. Die erteilten Einwilligungen müssen dokumentiert und nachweisbar sein.

Cookie-Einwilligung auf einer Website
Ein korrekter Cookie-Banner muss klare und gleichwertige Wahlmöglichkeiten bieten – kein vorangekreuztes "Akzeptieren".

Kontaktformulare & Datenverarbeitung

Jedes Kontaktformular auf Ihrer Website verarbeitet personenbezogene Daten. Dabei sind mehrere Punkte zu beachten: Erstens benötigen Sie eine Rechtsgrundlage für die Verarbeitung – bei Kontaktformularen ist das in der Regel das berechtigte Interesse (Art. 6 Abs. 1 lit. f DSGVO) oder die Vorbereitung eines Vertragsabschlusses. Zweitens müssen die übermittelten Daten sicher übertragen werden (SSL/TLS-Verschlüsselung ist Pflicht). Drittens müssen Sie im Formular oder in dessen Nähe auf Ihre Datenschutzerklärung hinweisen.

Wenn Sie Formulardaten per E-Mail erhalten, beachten Sie auch die Aufbewahrungsfristen: Geschäftliche Korrespondenz unterliegt Aufbewahrungspflichten (in der Regel 6–10 Jahre), nach deren Ablauf die Daten gelöscht werden müssen.

Google Analytics & externe Dienste

Google Analytics ist das meistgenutzte Web-Analyse-Tool – und gleichzeitig eines der häufigsten DSGVO-Probleme auf deutschen Websites. Nach einer Entscheidung der österreichischen Datenschutzbehörde (die für den gesamten europäischen Raum richtungsweisend ist) ist die Nutzung von Google Analytics in seiner Standardkonfiguration nicht DSGVO-konform, da Daten in die USA übermittelt werden.

Google hat mit Google Analytics 4 (GA4) und der Möglichkeit zur IP-Anonymisierung sowie serverseitigem Tagging Anpassungen vorgenommen. Dennoch empfiehlt sich eine rechtliche Prüfung. Alternativen wie Matomo (selbst gehostet) oder Plausible sind datenschutzfreundlichere Optionen. Ähnliches gilt für Google Fonts, wenn diese direkt von Google-Servern geladen werden – das LG München hat dies 2022 als DSGVO-Verstoß eingestuft. Lösung: Fonts lokal hosten.

DSGVO-Compliance Prüfung
Eine regelmäßige DSGVO-Prüfung schützt vor Bußgeldern und stärkt das Vertrauen Ihrer Kunden.

DSGVO-Checkliste für KMU

Nutzen Sie diese Checkliste für eine erste Selbstprüfung Ihrer Website:

Checkliste: DSGVO-Compliance für Ihre Website

  • Datenschutzerklärung vorhanden und aktuell: Alle genutzten Dienste und Tools sind erwähnt, Rechtsgrundlagen sind angegeben.
  • SSL-Zertifikat aktiv: Die Website ist ausschließlich über HTTPS erreichbar (kein unverschlüsseltes HTTP).
  • Cookie-Banner DSGVO-konform: Nicht-notwendige Cookies werden erst nach Einwilligung gesetzt; Ablehnen ist ebenso einfach wie Akzeptieren.
  • Google Fonts lokal gehostet: Keine direkte Verbindung zu Google-Servern beim Laden von Schriftarten.
  • Impressum vollständig: Alle Pflichtangaben gemäß § 5 TMG sind vorhanden und von jeder Seite erreichbar.
  • Kontaktformulare abgesichert: Hinweis auf Datenschutzerklärung, SSL-Verschlüsselung, SPAM-Schutz (z. B. Honeypot statt Google reCAPTCHA).
  • Auftragsdatenverarbeitungsvertrag (AVV): Mit allen Dienstleistern, die personenbezogene Daten in Ihrem Auftrag verarbeiten, besteht ein AVV.
  • Eingebettete externe Inhalte geprüft: YouTube-Videos, Google Maps, Social-Media-Buttons – diese dürfen nur mit Einwilligung oder per 2-Klick-Lösung eingebunden sein.

Häufige Fehler und ihre Folgen

In der Praxis begegnen uns immer wieder dieselben DSGVO-Verstoß-Muster. Fehlende oder veraltete Datenschutzerklärungen sind der Klassiker: Die Seite wurde 2019 mit einem Muster-Text ausgestattet, seitdem wurden fünf neue Plugins installiert – keines davon erwähnt. Das kann als Ordnungswidrigkeit gewertet werden.

Nichts-sagender Cookie-Banner: Viele Websites zeigen einen Banner mit dem Text "Wir nutzen Cookies, um Ihr Erlebnis zu verbessern" und einem einzigen "OK"-Button. Das genügt nicht. Es fehlt die Möglichkeit zur Ablehnung nicht-notwendiger Cookies.

Google Maps direkt eingebunden: Wer Google Maps als iFrame auf der Kontaktseite einbindet, ohne vorherige Einwilligung einzuholen, übermittelt bereits beim Seitenaufruf Daten an Google. Lösung: 2-Klick-Variante oder serverseitiges Rendern des Kartenausschnitts als statisches Bild mit Link.

Die Folgen von DSGVO-Verstößen können empfindlich sein: Bußgelder von Datenschutzbehörden (die Landesdatenschutzbehörden sind in Deutschland zuständig), Abmahnungen durch Wettbewerber oder Verbände sowie Imageschaden bei Kunden, die zunehmend datenschutzsensibel sind. Auch wenn KMU in der Praxis seltener mit Bußgeldern in Millionenhöhe konfrontiert werden als Großkonzerne: Das Risiko ist real.

Fazit: DSGVO als Chance

Es wäre falsch, die DSGVO ausschließlich als lästige Pflicht zu betrachten. Datenschutz ist ein Qualitätsmerkmal. Wer transparent mit Nutzerdaten umgeht, signalisiert Seriosität und baut Vertrauen auf. Gerade in einem lokalen Markt – wie dem Raum Chemnitz und Limbach-Oberfrohna – entscheiden oft weiße Handschuhe und Vertrauen über den Geschäftserfolg.

Eine DSGVO-konforme Website ist zudem oft auch eine technisch bessere Website: schnellere Ladezeiten (durch lokal gehostete Ressourcen statt externer CDNs), klarere Nutzerkommunikation und eine sauberere Codebase. Der Aufwand, Ihre Website DSGVO-konform zu gestalten, zahlt sich also mehrfach aus.

DSGVO-Fallstricke, die KMU regelmäßig unterschätzen

Neben den bekannten Pflichten – Datenschutzerklärung, Cookie-Banner, Auftragsverarbeitungsverträge – gibt es eine Reihe von Bereichen, die im Alltag oft übersehen werden und trotzdem zu Bußgeldern oder Abmahnungen führen können:

  • Google Fonts über CDN eingebunden: Das Einbinden von Google Fonts über die externe CDN-URL überträgt die IP-Adresse jedes Besuchers an Google-Server in den USA. Ein deutsches Gericht hat 2022 eine Geldstrafe von 100 Euro verhängt. Lösung: Fonts lokal hosten.
  • Kontaktformulare ohne SSL: Formulare, die Daten unverschlüsselt übertragen (HTTP statt HTTPS), verstoßen gegen den Grundsatz der Datensicherheit nach Art. 32 DSGVO. Heute gibt es keine Entschuldigung mehr für eine Website ohne SSL-Zertifikat.
  • Eingebettete YouTube-Videos ohne Datenschutz-Wrapper: Das Standard-Einbetten von YouTube-Videos überträgt beim Laden der Seite bereits Daten, noch bevor der Nutzer auf Play drückt. Lösung: YouTube-Nocookie-URLs verwenden oder einen Klick-zum-Aktivieren-Wrapper einbauen.
  • WhatsApp-Plugin ohne Einwilligung: WhatsApp-Chat-Buttons, die automatisch eine Verbindung herstellen, können Metadaten an Meta-Server übertragen. Eine vorherige Einwilligung ist erforderlich.
  • Veraltete Datenschutzerklärung: Datenschutzerklärungen müssen aktuell gehalten werden. Wer neue Tools einbindet (z. B. einen Chatbot, ein neues Analytics-Tool), muss die Datenschutzerklärung entsprechend aktualisieren.

Auftragsverarbeitungsverträge: Wen brauchen Sie einen AVV?

Ein Auftragsverarbeitungsvertrag (AVV) ist immer dann erforderlich, wenn Sie personenbezogene Daten Ihrer Kunden oder Website-Besucher an einen externen Dienstleister weitergeben, der diese Daten in Ihrem Auftrag verarbeitet. Das betrifft folgende häufige Situationen für KMU:

  • Newsletter-Tool (Mailchimp, CleverReach, KlickTipp)
  • CRM-System, das Kundendaten speichert
  • Cloud-Buchhaltungssoftware mit Kundendaten
  • Webhosting-Anbieter (wenn Kontaktformulare an den Server gesendet werden)
  • Google Analytics, Google Ads, Facebook Pixel
  • Videokonferenz-Tools (Zoom, Teams) mit Kundendaten

Die meisten großen Anbieter stellen standardisierte AVV-Vorlagen bereit, die online abgeschlossen werden können. Prüfen Sie für jeden Anbieter, ob ein AVV geschlossen wurde, und dokumentieren Sie dies.

Was droht bei DSGVO-Verstößen konkret?

Die Datenschutzbehörden in Deutschland verhängen zunehmend aktiv Bußgelder – auch gegen kleine Unternehmen. Die häufigsten Sanktionsgründe bei KMU:

  • Fehlende oder unvollständige Datenschutzerklärung
  • Kein gültiges Cookie-Consent-Management
  • Drittlandübertragungen ohne geeignete Garantien (z. B. Tools ohne EU-Standardvertragsklauseln)
  • Fehlende oder veraltete AVV mit Dienstleistern

Neben Bußgeldern durch Behörden sind Abmahnungen durch Mitbewerber oder Abmahnvereine ein reales Risiko. Diese können trotz niedriger Bußgelder mit erheblichen Rechtskosten verbunden sein. Präventive Compliance ist in jedem Fall günstiger als nachträgliche Rechtsverfolgung.

Praktische Sofortmaßnahmen für DSGVO-Compliance

Diese Maßnahmen können Sie ohne externe Hilfe sofort umsetzen:

  • Datenschutz-Plugin installieren (z. B. Complianz oder Real Cookie Banner für WordPress) und konfigurieren
  • Google Fonts lokal hosten statt über externe CDN einbinden
  • SSL-Zertifikat aktivieren (kostenlos bei Let's Encrypt über Ihren Hoster)
  • YouTube-Videos auf Nocookie-URLs umstellen (youtube-nocookie.com statt youtube.com)
  • AVV mit Ihrem Hoster, Ihrem Newsletter-Anbieter und Google abschließen
  • Datenschutzerklärung auf Aktualität prüfen und alle eingesetzten Tools auflisten

Sie sind unsicher, ob Ihre Website den Anforderungen entspricht? Sprechen Sie uns an – wir überprüfen Ihre Website und entwickeln eine rechtssichere Lösung für Sie.

Weitere Artikel

Webdesign & UX 16 Gründe, warum Besucher Ihre Website sofort verlassen Performance & SEO Website-Performance optimieren: So laden Ihre Seiten 50 % schneller

DSGVO-konformer Webauftritt gewünscht?

Wir erstellen rechtssichere Websites und beraten Sie kostenlos und unverbindlich.

Projekt anfragen