Abmahnungen wegen DSGVO-Verstößen, fehlerhaftem Impressum oder Google Fonts sind teuer und vermeidbar. Die komplette Checkliste für 2025 – verständlich und ohne Juristendeutsch.
Jede Woche flattern Abmahnungen bei Unternehmen ein – wegen fehlendem SSL-Zertifikat, falschem Cookie-Banner, unvollständigem Impressum oder Google Fonts, die über US-Server geladen werden. Letzteres hat 2022 eine Abmahnwelle ausgelöst, die tausende Unternehmen kalt erwischt hat. Die gute Nachricht: Die meisten rechtlichen Anforderungen an eine Website sind überschaubar und mit einem Nachmittag Arbeit erledigt. Dieser Beitrag gibt dir die komplette Checkliste – verständlich und ohne Juristendeutsch.
SSL-Zertifikat: Pflicht, nicht Kür
Wenn deine Website noch mit http:// statt https:// läuft, hast du mehrere Probleme gleichzeitig: Browser zeigen eine Warnmeldung „Nicht sicher" an, Google stuft dich im Ranking herab, und du verstößt gegen die DSGVO, sobald irgendwo ein Kontaktformular, eine Newsletter-Anmeldung oder ein Login-Bereich steht.
SSL-Zertifikate gibt es über Let's Encrypt kostenlos. Die meisten Hosting-Anbieter bieten eine Ein-Klick-Aktivierung an. Es gibt schlicht keinen Grund, kein SSL zu haben.
Was du nach der Aktivierung prüfen musst:
- Alle internen Links auf https umstellen (keine Mixed-Content-Warnungen)
- Eine 301-Weiterleitung von http auf https einrichten
- Die XML-Sitemap und Google Search Console auf https aktualisieren
- Prüfen, ob alle externen Einbindungen (Bilder, Scripts) ebenfalls über https laufen
DSGVO: Die wichtigsten Punkte
Die Datenschutz-Grundverordnung ist komplex, aber für deine Website musst du diese Punkte abhaken:
Datenschutzerklärung
Muss vollständig, aktuell und verständlich sein. Sie muss erklären:
- Welche Daten du sammelst und warum
- Wie lange die Daten gespeichert werden
- An wen Daten weitergegeben werden (Hosting-Anbieter, Analyse-Tools, Newsletter-Dienst)
- Welche Rechte der Nutzer hat (Auskunft, Löschung, Widerspruch)
- Kontaktdaten des Verantwortlichen und ggf. des Datenschutzbeauftragten
Generatoren wie der von Dr. Schwenke oder e-recht24.de liefern eine gute Grundlage. Aber: Prüfe das Ergebnis und passe es an deine tatsächlich genutzten Dienste an.
Auftragsverarbeitungsverträge (AVV)
Mit jedem Dienstleister, der personenbezogene Daten verarbeitet, brauchst du einen AVV. Das betrifft:
- Deinen Hosting-Anbieter
- Newsletter-Tools wie Mailchimp, Brevo oder CleverReach
- Analyse-Tools wie Google Analytics oder Matomo
- CRM-Systeme
- Cloud-Speicher, wenn dort Kundendaten liegen
Die meisten Anbieter stellen AVVs als fertige Dokumente bereit. Du musst sie nur abschließen und aufbewahren.
Impressum: Vollständig und erreichbar
Dein Impressum muss von jeder Seite deiner Website mit maximal zwei Klicks erreichbar sein – typischerweise über einen Link im Footer. Was reingehört:
- Vollständiger Name und Anschrift (keine Postfächer, keine Abkürzungen)
- Rechtsform und Vertretungsberechtigte (bei GmbH: Geschäftsführer)
- Kontaktdaten: E-Mail und Telefon (ja, Telefon ist Pflicht nach § 5 TMG)
- Umsatzsteuer-Identifikationsnummer, falls vorhanden
- Handelsregisternummer und Registergericht, falls eingetragen
- Zuständige Aufsichtsbehörde bei erlaubnispflichtigen Tätigkeiten
- Bei redaktionellen Inhalten: Verantwortlicher nach § 18 Abs. 2 MStV
Wichtig: Nutze keinen Impressums-Generator und denke, das erledigt sich für immer. Prüfe dein Impressum mindestens einmal im Jahr. Änderungen bei Adresse, Rechtsform oder Vertretungsberechtigten müssen sofort aktualisiert werden. Ein falsches Impressum ist einer der häufigsten Abmahngründe – und einer der vermeidbarsten.
Cookie-Banner richtig umsetzen
Der Cookie-Banner ist das meistgehasste Element im Web – und trotzdem unverzichtbar, sobald du Cookies setzt, die nicht technisch notwendig sind. Die rechtlichen Anforderungen seit den Urteilen des EuGH und BGH:
- „Ablehnen" muss genauso einfach sein wie „Akzeptieren": Gleiche Größe, gleiche Ebene, gleiche Sichtbarkeit. Ein großer grüner „Akzeptieren"-Button und ein kleiner grauer „Einstellungen"-Link reicht nicht.
- Keine vorausgewählten Checkboxen: Opt-in, nicht Opt-out. Der Nutzer muss aktiv zustimmen.
- Keine Dark Patterns: Der Ablehn-Button in grau auf grauem Hintergrund, oder „Ablehnen" erst nach drei Klicks erreichbar – das ist rechtswidrig.
- Tracking erst nach Einwilligung: Google Analytics, Facebook Pixel und Co. dürfen erst laden, nachdem der Nutzer zugestimmt hat. Nicht vorher laden und nachher blockieren.
- Consent dokumentieren: Du musst nachweisen können, dass und wann ein Nutzer zugestimmt hat.
Empfehlenswerte Consent-Management-Plattformen: Cookiebot (ab kostenlos für kleine Websites), Borlabs Cookie (für WordPress, einmalig ca. 49 Euro), Usercentrics (für größere Projekte).
Google Fonts und externe Dienste
Das Landgericht München hat 2022 entschieden, dass das Einbinden von Google Fonts über Google-Server einen DSGVO-Verstoß darstellt – weil dabei die IP-Adresse des Nutzers an Google in die USA übertragen wird. Seitdem gab es tausende Abmahnungen.
Die Lösung ist einfach: Lade Google Fonts lokal auf deinem eigenen Server. Anleitungen dafür findest du für jedes CMS. Das gleiche Prinzip gilt für andere externe Dienste:
- Google Maps: Erst nach Einwilligung laden oder als statisches Bild mit Link einbinden
- YouTube-Videos: youtube-nocookie.com verwenden oder erst nach Klick laden
- Social-Media-Buttons: Keine Standard-Einbindungen, die beim Seitenaufruf Daten übertragen. Shariff-Lösung oder einfache Links verwenden.
- reCAPTCHA: Überträgt Daten an Google. Alternativen: hCaptcha oder Honeypot-Felder.
Rechtssicherheits-Checkliste 2025
Geh diese Liste durch und hake ab:
- ☐ SSL-Zertifikat aktiv, Weiterleitung von http auf https eingerichtet
- ☐ Impressum vollständig und von jeder Seite erreichbar
- ☐ Datenschutzerklärung aktuell und auf alle genutzten Dienste abgestimmt
- ☐ Cookie-Banner mit echtem Opt-in und gleichwertigem Ablehnen-Button
- ☐ Google Fonts lokal eingebunden
- ☐ Google Maps, YouTube und Social Media erst nach Einwilligung
- ☐ Auftragsverarbeitungsverträge mit allen Dienstleistern abgeschlossen
- ☐ Kontaktformulare mit Hinweis auf Datenschutzerklärung
- ☐ Newsletter-Anmeldung mit Double-Opt-in
- ☐ Kein Tracking ohne vorherige Einwilligung
Was passiert, wenn du das ignorierst?
Abmahnkosten liegen typischerweise zwischen 500 und 5.000 Euro pro Verstoß. Bei mehreren Verstößen summiert sich das schnell. DSGVO-Bußgelder durch Datenschutzbehörden können deutlich höher ausfallen – bei schweren Verstößen bis zu 20 Millionen Euro oder 4 Prozent des Jahresumsatzes.
Die häufigsten Abmahngründe in der Praxis:
- Google Fonts über Google-Server eingebunden
- Fehlerhaftes oder unvollständiges Impressum
- Cookie-Banner ohne echte Ablehnmöglichkeit
- Fehlende oder veraltete Datenschutzerklärung
- Tracking ohne Einwilligung
Jenseits der Kosten: Eine Abmahnung frisst Zeit und Nerven. Und sie schadet deinem professionellen Image, wenn Kunden davon erfahren.
Häufige Fragen
Brauche ich als Kleinunternehmer einen Datenschutzbeauftragten?
Einen Datenschutzbeauftragten brauchst du erst ab 20 Mitarbeitern, die regelmäßig personenbezogene Daten verarbeiten. Die Pflichten der DSGVO – Datenschutzerklärung, AVVs, Cookie-Consent – gelten aber unabhängig von der Unternehmensgröße.
Reicht ein Cookie-Banner-Plugin?
Ein Plugin allein reicht nicht. Es muss korrekt konfiguriert sein: Alle Cookies müssen erfasst, die richtigen Kategorien zugeordnet und das Tracking darf erst nach Einwilligung starten. Teste es, indem du im Inkognito-Modus die Seite öffnest und prüfst, ob vor der Zustimmung wirklich keine Cookies gesetzt werden.
Kann ich Google Analytics noch nutzen?
Ja, aber nur mit Einwilligung über den Cookie-Banner und mit einer Auftragsverarbeitungsvereinbarung. Die Datenschutzkonferenz empfiehlt zusätzlich IP-Anonymisierung. Alternative: Matomo, das auf deinem eigenen Server läuft und keine Daten an Dritte überträgt.
Was kostet es, meine Website rechtssicher zu machen?
Die Basics (SSL, Impressum, Datenschutzerklärung via Generator, Fonts lokal einbinden) kannst du selbst in einem Nachmittag erledigen. Ein professionelles Cookie-Banner-Setup kostet 100 bis 300 Euro. Eine vollständige rechtliche Prüfung durch einen Anwalt liegt bei 500 bis 1.500 Euro – je nach Umfang der Website.
Muss ich auch auf Social Media ein Impressum haben?
Ja. Jede geschäftlich genutzte Social-Media-Präsenz braucht ein Impressum. Bei Facebook und LinkedIn gibt es dafür eigene Felder. Bei Instagram genügt ein Link in der Bio zur Impressumsseite deiner Website.
Das Wichtigste auf einen Blick
- SSL ist Pflicht – kostenlos über Let's Encrypt und bei jedem guten Hoster in Minuten aktiviert
- Das Impressum muss vollständig sein: Name, Adresse, Telefon, E-Mail, Registerdaten
- Cookie-Banner brauchen eine echte, gleichwertige Ablehnmöglichkeit
- Google Fonts immer lokal einbinden – externe Einbindung ist abmahnfähig
- Tracking erst nach aktiver Einwilligung starten
- Datenschutzerklärung und Impressum mindestens jährlich prüfen und aktualisieren
Merksätze
Rechtssicherheit ist kein einmaliges Projekt – sie braucht jährliche Pflege.
Wenn der Ablehn-Button schwerer zu finden ist als der Akzeptieren-Button, ist dein Cookie-Banner rechtswidrig.
Du bist unsicher, ob deine Website rechtssicher ist? Wir prüfen das für dich – schnell, gründlich und verständlich. Damit du dich auf dein Geschäft konzentrieren kannst.
