Logo von Miran Arnaut Logo von Miran Arnaut
← Zurück
Technology 5 Min. Lesezeit

DSGVO-konforme Website 2026 — Was Freelancer und KMU wissen müssen

DSGVO-konforme Website erstellen: Cookie-Consent, Impressumspflicht, Datenschutzerklärung, Tracking-Einwilligung und praktische Umsetzung für kleine Unternehmen und Freelancer.

Die Datenschutz-Grundverordnung (DSGVO) ist seit 2018 in Kraft — und trotzdem machen die meisten kleinen Unternehmen und Freelancer immer noch grundlegende Fehler. Ich übernehme regelmäßig Websites von anderen Anbietern und sehe dieselben Probleme immer wieder: fehlende Cookie-Banner, unvollständige Datenschutzerklärungen, falsches Tracking.

In diesem Beitrag zeige ich dir, worauf du 2026 achten musst — praktisch, ohne Juristendeutsch, aber trotzdem rechtssicher.

Was hat sich 2026 geändert?

Die DSGVO selbst ist stabil. Aber die Rechtsprechung hat sich weiterentwickelt. Besonders wichtig:

  • Cookie-Consent ist Pflicht, nicht Kür. Der Europäische Gerichtshof hat 2024 nochmals klargestellt: Ohne aktive Einwilligung darf kein nicht-notwendiger Cookie gesetzt werden. Das betrifft auch Google Analytics, Facebook Pixel und ähnliche Dienste.
  • Das „Cookie-Banner-Wirrwarr” wird von Aufsichtsbehörden zunehmend geahndet. Ein Banner, bei dem „Ablehnen” schwerer zu finden ist als „Akzeptieren”, ist nicht zulässig.
  • Google Analytics bleibt angreifbar. Die österreichische Datenschutzbehörde und andere europäische Aufsichtsbehörden haben Google Analytics weiterhin als nicht DSGVO-konform eingestuft, wenn keine ausreichenden Garantien für den Datentransfer in die USA bestehen.

Die 5 häufigsten Fehler und wie du sie vermeidest

Das Problem: Viele Websites haben entweder gar keinen Cookie-Banner oder einen, der „Akzeptieren” hervorhebt und „Ablehnen” versteckt.

Die Lösung: Verwende einen Consent-Manager, der folgende Kriterien erfüllt:

  • Ablehnen ist genauso einfach wie Akzeptieren (ein Klick)
  • Der Nutzer kann zwischen verschiedenen Kategorien wählen (notwendig, Statistik, Marketing)
  • Die Einwilligung wird dokumentiert und kann widerrufen werden
  • Kein Tracking vor der Einwilligung

Ich empfehle Cookiebot oder Osano für kleine Websites. Beide bieten eine kostenlose Stufe bis zu einer bestimmten Seitengröße.

2. Unvollständige Datenschutzerklärung

Das Problem: Viele Datenschutzerklärungen sind zu allgemein oder nennen nicht alle Dienste, die tatsächlich genutzt werden.

Die Lösung: Deine Datenschutzerklärung muss enthalten:

  • Wer du bist (Name, Adresse, Kontaktdaten)
  • Welche Daten du erhebst (personenbezogene Daten, technische Daten)
  • Zu welchem Zweck du die Daten erhebst (Vertragserfüllung, Analyse, Marketing)
  • Auf welcher Rechtsgrundlage (Einwilligung, berechtigtes Interesse, Vertrag)
  • Welche Dienste von Drittanbietern du nutzt (Google Analytics, Google Fonts, YouTube, etc.)
  • Wie lange du die Daten speicherst
  • Welche Rechte der Nutzer hat (Auskunft, Löschung, Berichtigung, Datenübertragbarkeit)
  • Ob und wie Daten in Drittländer übermittelt werden

Der DGD Datenschutz-Generator oder der eRecht24 Generator sind gute Anlaufstellen für rechtssichere Datenschutzerklärungen.

3. Fehlendes Impressum

Das Problem: Klingt banal, aber ich sehe regelmäßig Websites ohne oder mit unvollständigem Impressum.

Die Lösung: Nach §5 TMG und §55 RStV muss dein Impressum enthalten:

  • Vollständiger Name (bei Freelancern: Vor- und Nachname)
  • Anschrift (vollständig, kein Postfach)
  • Kontaktdaten (E-Mail, Telefon)
  • Bei Kapitalgesellschaften: Vertretungsberechtigte, Registergericht, Registernummer
  • Bei bestimmten Berufen: Aufsichtsbehörde, Kammer, Berufsbezeichnung

Das Impressum muss leicht erkennbar, unmittelbar erreichbar und ständig verfügbar sein — also mit einem Klick von jeder Seite erreichbar.

4. Unzulässiges Tracking ohne Einwilligung

Das Problem: Google Analytics, Facebook Pixel, Hotjar, und ähnliche Dienste werden oft ohne Einwilligung geladen.

Die Lösung: Alle Tracking-Dienste müssen:

  • Vor dem Laden eine aktive Einwilligung einholen
  • Technisch so implementiert sein, dass sie ohne Einwilligung nicht laden
  • Die Möglichkeit bieten, die Einwilligung zu widerrufen

Ich setze auf Consent-basiertes Laden: Der Tracking-Code wird erst ausgeführt, wenn der Nutzer aktiv zugestimmt hat. Das lässt sich mit jedem Consent-Manager umsetzen.

5. Unsicherer Kontaktformular-Versand

Das Problem: Kontaktformulare, die Daten unverschlüsselt per E-Mail versenden oder keine Datenschutzhinweise im Formular haben.

Die Lösung:

  • SSL-Verschlüsselung ist Pflicht (HTTPS)
  • Datenschutzhinweis direkt im Formular („Mit dem Absenden stimmst du der Verarbeitung zu…”)
  • Keine sensiblen Daten per unverschlüsselter E-Mail
  • Optional: Verschlüsselung mit PGP oder Nutzung eines verschlüsselten Formulardienstes

Checkliste für deine DSGVO-konforme Website

  • SSL-Zertifikat installiert (HTTPS)
  • Impressum vollständig und leicht erreichbar
  • Datenschutzerklärung vollständig und aktuell
  • Cookie-Consent-Banner installiert und korrekt konfiguriert
  • Kein Tracking vor Einwilligung
  • Kontaktformular mit Datenschutzhinweis
  • E-Mail-Versand verschlüsselt
  • Externe Dienste (Google Fonts, YouTube, Maps) DSGVO-konform eingebunden
  • Eingebettete Inhalte von Drittanbietern geprüft

Praktische Umsetzung für meine Websites

Bei meinen Projekten setze ich auf einen pragmatischen Ansatz:

  • Kein Google Analytics — Ich verwende Plausible Analytics oder Umami, die ohne Cookies auskommen und DSGVO-konform sind. Kein Consent-Banner nötig, trotzdem aussagekräftige Statistiken.
  • Selbst gehostete Schriftarten — Google Fonts werden lokal eingebunden, nicht von Googles Servern geladen. Spart auch noch Ladezeit.
  • Selbst gehostete Karten — Statt Google Maps verwende ich OpenStreetMap oder Leaflet.
  • Datensparsamkeit als Prinzip — Ich erhebe nur Daten, die wirklich benötigt werden.

Wenn du Google Analytics trotzdem nutzen möchtest: Mit einem korrekt implementierten Consent-Manager und einem Auftragsverarbeitungsvertrag (AVV) mit Google ist das möglich — aber der Aufwand ist nicht zu unterschätzen. Für die meisten KMU und Freelancer ist eine datenschutzfreundliche Alternative die einfachere und sicherere Wahl.

Fazit

Die DSGVO ist kein Grund, Angst vor dem Website-Betrieb zu haben. Aber sie erfordert ein Bewusstsein für die eigenen Datenverarbeitungsprozesse. Wer von Anfang an auf Datenschutz achtet, spart sich später teure Abmahnungen und aufwendige Nachbesserungen.

Wenn du unsicher bist, ob deine Website DSGVO-konform ist: Ich biete einen Website-Check an, bei dem ich deine Seite auf die häufigsten Datenschutz-Probleme prüfe. Schreib mir an arnaut@miran.at.

Tags:
dsgvo datenschutz recht website kmu freelancer
blog.next →

Astro vs. WordPress 2026 — Erfahrungsbericht aus Karlsruhe
(05) Kontakt aufnehmen

Let’s Talk

Schreib mir eine Nachricht oder verbinde dich über Social Media.

E-Mail schreiben LinkedIn Xing