Jetzt anrufen

Blogpost

DSGVO und Webseiten: Was kleine Betriebe unbedingt beachten müssen

Seit Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) im Mai 2018 hat sich die rechtliche Lage für Webseitenbetreiber grundlegend verändert. Besonders kleine Betriebe, Selbstständige und lokale Unternehmen unterschätzen oft die Bedeutung von Datenschutz auf ihrer Webseite – mit zum Teil erheblichen rechtlichen Risiken.

In diesem Beitrag erklären wir dir, worauf du beim Erstellen oder Betreiben einer Webseite achten musst, welche häufigen Fehler auftreten und warum ein Auftragsverarbeitungsvertrag (AV-Vertrag) unverzichtbar ist. Außerdem erfährst du, wer das Ganze prüft, wann es ernst wird – und warum es sich lohnt, rechtzeitig vorzubeugen.

Warum betrifft die DSGVO jeden Webseitenbetreiber?

Die DSGVO gilt für alle Unternehmen, die personenbezogene Daten verarbeiten – unabhängig von Unternehmensgröße oder Branche. Sobald du eine Webseite betreibst, auf der z. B.:

  • ein Kontaktformular eingebunden ist,
  • Cookies gesetzt werden,
  • Google Analytics oder ähnliche Dienste verwendet werden,
  • oder Social-Media-Plugins eingebaut sind,

verarbeitest du personenbezogene Daten und musst DSGVO-konform handeln.

Häufige Datenschutz-Fehler kleiner Webseiten

  1. Fehlendes oder fehlerhaftes Impressum & Datenschutzerklärung
  2. Tracking-Tools ohne Einwilligung (z. B. Google Analytics ohne Opt-in)
  3. Kontaktformulare ohne sichere Übertragung oder Rechtsgrundlage
  4. Fehlende AV-Verträge mit Webhostern, Trackingdiensten, E-Mail-Marketingtools etc.

Gerade der letzte Punkt wird häufig unterschätzt – dabei ist ein fehlender AV-Vertrag nicht nur eine Formalität, sondern ein klarer Datenschutzverstoß.

Was ist ein AV-Vertrag – und warum ist er so wichtig?

Ein Auftragsverarbeitungsvertrag (AV-Vertrag) regelt, was mit personenbezogenen Daten passiert, die ein externer Dienstleister in deinem Auftrag verarbeitet (z. B. Webhoster, Google, Mailchimp etc.).

Wenn du keinen AV-Vertrag abschließt, begehst du einen formellen Verstoß gegen die DSGVO – unabhängig davon, ob tatsächlich ein Schaden entsteht.

Wer kontrolliert die Einhaltung der DSGVO?

1. Landesdatenschutzbehörden

In Deutschland ist der Datenschutz Ländersache. Jede Landesdatenschutzbehörde kann Unternehmen kontrollieren – und tut das auch zunehmend. Besonders bei anonymen Hinweisen, Beschwerden oder öffentlich sichtbaren Mängeln (z. B. fehlender Cookie-Banner) wird geprüft.

2. Verbraucher- und Wettbewerbszentralen

Auch Wettbewerber oder Verbraucherschutzverbände können Abmahnungen verschicken, wenn deine Website nicht DSGVO-konform ist.

3. Private Personen

Nutzer können sich über Datenschutzverstöße beschweren – z. B. wenn sie keine Informationen über die Datenverarbeitung erhalten oder Cookies ohne Einwilligung gesetzt werden.

Wann kann es zu einem Schaden kommen?

Ein Schaden – also rechtliche oder finanzielle Konsequenzen – kann auf verschiedenen Wegen entstehen:

  • Durch eine behördliche Prüfung
  • Nach einer Kund:innen-Beschwerde
  • Durch eine Abmahnung eines Mitbewerbers
  • Oder weil sensible Daten in falsche Hände geraten (z. B. durch unsichere Formulare oder fehlende Verschlüsselung)

Die DSGVO sieht Geldbußen von bis zu 20 Mio. Euro oder 4 % des Jahresumsatzes vor – realistisch betrachtet sind Bußgelder bei kleinen Betrieben meist im vier- bis fünfstelligen Bereich, aber auch das kann existenzbedrohend sein.

Wie hoch ist das Risiko wirklich?

Viele kleine Betriebe denken: „Mich betrifft das doch eh nicht.“ Das ist ein gefährlicher Trugschluss. Die Realität:

  • Datenschutzverstöße sind öffentlich sichtbar (z. B. auf deiner Website – jeder kann prüfen, ob Cookies gesetzt werden oder die Datenschutzerklärung unvollständig ist).
  • Die Aufsichtsbehörden verfolgen auch kleine Unternehmen, insbesondere bei Beschwerden.
  • Der Aufwand, eine DSGVO-konforme Website zu betreiben, ist deutlich geringer als der mögliche Schaden im Fall einer Prüfung.

Was du konkret tun solltest – Checkliste für kleine Betriebe

SSL-Zertifikat aktivieren (https statt http)
Individuell angepasste Datenschutzerklärung einbinden
Cookie-Banner mit Opt-in verwenden (z. B. Borlabs Cookie)
Tracking nur mit Zustimmung aktivieren
AV-Verträge abschließen mit allen Dienstleistern, die Daten verarbeiten
Kontaktformulare absichern (Hinweis auf Datennutzung, sichere Übertragung)
Regelmäßige Prüfung & Aktualisierung deiner Datenschutzmaßnahmen

Fazit

Die DSGVO ist keine Schikane, sondern ein gesetzlicher Rahmen, um die Privatsphäre deiner Kund:innen zu schützen. Auch wenn du ein kleines Unternehmen betreibst, trägst du Verantwortung – und musst bestimmte Mindeststandards einhalten.

Vor allem der fehlende AV-Vertrag ist ein häufiger, aber leicht vermeidbarer Fehler. Es lohnt sich also, rechtzeitig aktiv zu werden – bevor es jemand anderes für dich tut.

Teilen
Consent Management Platform von Real Cookie Banner