Für die meisten kleinen Websites brauchst du drei Dinge: ein vollständiges Impressum, eine Datenschutzerklärung und — nur wenn du Tracking, Analyse-Tools oder externe Einbettungen nutzt — einen sauberen Cookie-Banner mit echtem "Ablehnen"-Button, bei dem keine Tracking-Skripte vor der Zustimmung laden. Mehr ist es im Kern oft nicht.

Dies ist keine Rechtsberatung. Dieser Artikel gibt einen verständlichen Überblick. Für deinen konkreten Fall bestätige die Details bitte mit einer Fachperson (Anwält:in/Datenschutzberatung).

Die drei Basics — was jede Website braucht

1. Ein vollständiges Impressum. Das ist die Pflichtangabe, wer hinter der Seite steckt: Name, Anschrift, Kontakt. Stell es dir wie das Namensschild an deiner Ladentür vor — Menschen sollen wissen, mit wem sie es zu tun haben.

2. Eine Datenschutzerklärung. Sie erklärt in einfachen Worten, welche Daten deine Website erhebt und warum (z. B. beim Kontaktformular die E-Mail-Adresse). Sie ist die ehrliche Auskunft: "Das passiert mit deinen Daten bei uns."

3. Nur bei Tracking: ein Cookie-Banner. Ein Cookie ist ein kleiner Zettel, den eine Website im Browser hinterlässt, um dich wiederzuerkennen. Verwendest du Analyse-Tools (z. B. Statistik über deine Besucher), Werbe-Pixel oder eingebettete Inhalte wie eine Google-Karte oder ein YouTube-Video, brauchst du vorher die Zustimmung — und dafür den Banner. Nutzt deine Seite nichts davon, brauchst du auch keinen Banner.

Wichtig: Ein Banner ist kein Muss, nur weil es schick aussieht. Erst das Tracking macht ihn nötig — und dann muss er richtig gemacht sein (dazu gleich).

"Ich bin zu klein für die DSGVO" — stimmt das?

Nein, das ist ein Mythos. Die DSGVO gilt unabhängig von deiner Größe — die Bäckerei mit einer Seite genauso wie der Konzern. Es gibt keine Untergrenze, ab der du "befreit" bist.

Die gute Nachricht: Für einen kleinen Betrieb ist der Aufwand meist überschaubar. Es geht nicht darum, dich zu erschrecken, sondern darum, die paar Basics sauber zu haben.

Was bedeuten EU-Hosting und AV-Vertrag im Klartext?

Zwei Begriffe, die oft fallen — hier ohne Fachchinesisch:

  • EU-Hosting heißt: Die Server, auf denen deine Website und die Daten deiner Besucher liegen, stehen in der EU. Vereinfacht: Deine Daten bleiben "zu Hause" und unterliegen europäischem Datenschutz, statt irgendwo außerhalb zu landen.
  • AV-Vertrag (Auftragsverarbeitungsvertrag) ist eine schriftliche Vereinbarung mit jedem Dienstleister, der Daten für dich verarbeitet (z. B. dein Hosting-Anbieter, ein Newsletter-Tool). Er hält fest, dass sie die Daten nur in deinem Auftrag und nach den Regeln nutzen. Stell es dir wie einen Vertrag mit einem externen Lager vor: Sie lagern deine Sachen, aber es bleibt deine Ware und deine Regeln.

Cookie-Banner richtig gemacht — ohne "Dark Patterns"

Wenn du einen Banner brauchst, muss er fair sein. "Dark Patterns" sind Tricks, die dich zur Zustimmung drängen — und genau die sind problematisch. Ein sauberer Banner erfüllt vor allem:

  • Ein echter "Ablehnen"-Button gleich auf der ersten Ebene — gleichwertig sichtbar zum "Akzeptieren", nicht versteckt zwei Klicks tiefer.
  • Keine Tracking-Skripte vor der Zustimmung. Nichts wird geladen, bevor die Besucherin "Ja" gesagt hat. Das ist der häufigste Fehler.
  • Kein Drängen. Keine grün leuchtende "Alles akzeptieren"-Fläche neben einem grauen, kaum sichtbaren "Ablehnen".
  • Zustimmung ist widerrufbar. Man muss die Wahl später ändern können.

Merksatz: Ablehnen muss genauso leicht sein wie Zustimmen.

Häufige Fehler, die zur Abmahnung führen

Eine Abmahnung ist eine kostenpflichtige Aufforderung, einen Verstoß abzustellen — ärgerlich und teuer. Die häufigsten vermeidbaren Fehler:

Fehler Warum problematisch
Kein oder unvollständiges Impressum Pflichtangaben fehlen
Fehlende Datenschutzerklärung Besucher erfahren nicht, was mit ihren Daten passiert
Google Fonts / Karten / Videos direkt eingebunden Übertragen oft Daten schon beim Laden — ohne Zustimmung
Kontaktformular ohne Hinweis Datenerhebung ohne Erklärung
Banner ohne echten "Ablehnen"-Button Zustimmung ist nicht freiwillig

Zum Ausmaß: Bei ernsthaften, absichtlichen Verstößen sieht die DSGVO empfindliche Bußgelder vor. Für einen sauber aufgesetzten Kleinbetrieb ist das aber kein Grund zur Panik — mit den Basics bist du auf der sicheren Seite. Angst ist kein guter Ratgeber, Sorgfalt schon.

Wie wir das standardmäßig lösen

Bei jeder Website, die wir bauen, gehört das von Haus aus dazu:

  • EU-Hosting — deine Daten bleiben in Europa.
  • AV-Vertrag — die schriftliche Vereinbarung ist Teil des Setups.
  • Datenschutzfreundlich gebaut — externe Inhalte (Karten, Videos, Schriften) binden wir so ein, dass vor der Zustimmung nichts trackt.
  • Barrierefreiheit im Blick — wir bauen nach WCAG 2.1 / BFSG, damit deine Seite für möglichst viele Menschen nutzbar ist.

Impressum und Datenschutzerklärung liefern in der Regel du bzw. deine Rechtsberatung inhaltlich — wir sorgen dafür, dass sie technisch korrekt eingebunden sind und der Banner (falls nötig) sauber funktioniert.

Unsicher, was für deine Seite gilt?

DSGVO klingt größer, als es für die meisten kleinen Betriebe ist. In einem kostenlosen 30-Minuten-Gespräch schauen wir uns deine Website an und sagen dir ehrlich, was fehlt und was nicht nötig ist — die rechtlichen Detailinhalte bitte immer mit einer Fachperson bestätigen. Unverbindlich: /de/contact/#book oder hello@aituria.de.