— Checkliste · 25 Punkte
DSGVO-Checkliste für KMU-Websites 2026
Abmahn-Sicherheit in 30 Punkten. Alles, was 2026 auf einer Website rechtlich stehen und nicht stehen darf.
01
Cookies und Tracking
- Keine Google-Dienste ohne EinwilligungUS-Datentransfer = Schrems-II/III-Problem.
- Kein Facebook-Pixel ohne ConsentLaut DSGVO eindeutig einwilligungspflichtig.
- Kein reCAPTCHA ohne BannerÜbermittelt IPs in die USA.
- Wenn Banner: Consent-Management-Tool DSGVO-konformBilligste Plugins erfüllen selten die Anforderungen.
- Nachweis der Einwilligung speicherbarAufsichtsbehörde kann Nachweis verlangen.
02
Datenschutzerklärung
- Verantwortlicher mit Name, Anschrift, KontaktArt. 13 DSGVO.
- Zweck und Rechtsgrundlage jeder VerarbeitungArt. 13 Abs. 1 lit. c DSGVO.
- Speicherdauer je DatenkategorieArt. 13 Abs. 2 lit. a DSGVO.
- Betroffenenrechte: Auskunft, Löschung, WiderspruchArt. 15-22 DSGVO.
- Aufsichtsbehörde für Beschwerden nennenArt. 13 Abs. 2 lit. d DSGVO.
03
Impressum nach §5 DDG
- Firmenname, Rechtsform, AnschriftLadungsfähige Adresse, kein Postfach.
- Vertretungsberechtigte Person(en)Bei GmbH: Geschäftsführer.
- Kontakt: E-Mail und TelefonMindestens eine Kommunikationsform.
- Handelsregister, wenn eingetragenHRB-Nummer und Registergericht.
- USt-IdNr., wenn vorhandenBei internationaler Tätigkeit Pflicht.
04
Formulare
- Nur notwendige Felder erhebenDatenminimierung, Art. 5 Abs. 1 lit. c DSGVO.
- Privacy-Hinweis bei FormularKurze Notiz mit Link zur Datenschutzerklärung.
- Double-Opt-In bei Newsletter§7 UWG und DSGVO.
- Kein reCAPTCHA, stattdessen Honeypot oder hCaptchaSiehe oben.
- Einwilligungs-Checkbox nicht vorgeklicktArt. 7 Abs. 4 DSGVO.
05
Hosting und Infrastruktur
- Hoster in EU (Hetzner, IONOS, etc.)Vereinfacht Auftragsverarbeitung.
- AVV mit Hoster abgeschlossenArt. 28 DSGVO Pflicht.
- Server-Logs kurz (7-14 Tage)Verhältnismäßigkeit.
- TLS 1.2+ aktiv, HSTS gesetztArt. 32 DSGVO: Stand der Technik.
- Backup-Strategie dokumentiertArt. 32 DSGVO: Verfügbarkeit.