DSGVO + Rechtliches für Mittelstand-Websites — der Praxis-Guide

Hinweis: Dieser Artikel ist eine praktische Übersicht — keine Rechtsberatung. Im Zweifelsfall einen auf IT-Recht spezialisierten Anwalt einbeziehen, besonders bei Online-Shops oder komplexeren Datenverarbeitungen.

Warum dieses Thema 2026 wichtiger ist als je zuvor

DSGVO-Abmahnungen sind in Deutschland zu einem Geschäftsmodell geworden. Spezialisierte Anwaltskanzleien und Wettbewerber suchen gezielt nach formalen Verstößen — fehlendes Impressum-Detail, unvollständige Datenschutz-Erklärung, vorgeklickte Cookie-Boxen. Jeder Treffer ist eine 500-2.500-Euro-Abmahnung wert.

Eine systematische Analyse von Mittelstandsseiten in der Region Bergstraße zeigt: 32 % sind rechtlich angreifbar. Die häufigsten Fehler sind banal — Google Fonts ohne lokale Einbindung, ein nicht-konformer Cookie-Banner, eine veraltete Datenschutz-Erklärung ohne aktuelle Plugin-Hinweise.

Die Konsequenzen einer Abmahnung sind nicht nur die direkten Kosten. Sie verlieren Zeit, müssen reagieren, eine Unterlassungserklärung unterschreiben — und stehen auf vielen Abmahn-Listen. Wiederholte Verstöße führen zu deutlich höheren Folge-Strafen.

Pflicht-Elemente einer deutschen Website

Impressum (TMG § 5)

Pflicht für jede geschäftliche Website. Muss leicht erreichbar sein („2-Klick-Regel" — vom Hauptmenü oder Footer mit maximal zwei Klicks).

Was reinmuss:

• Vollständiger Name oder Firmenbezeichnung
• Vollständige Anschrift (Postfach reicht nicht)
• Vertretungsberechtigter (bei juristischen Personen)
• Kontakt: Telefon (Pflicht) UND E-Mail
• Handelsregister-Nummer und Registergericht (bei eingetragenen Unternehmen)
• Umsatzsteuer-ID oder Hinweis „Kleinunternehmer gemäß § 19 UStG" wenn keine USt-ID vergeben
• Bei reglementierten Berufen: Berufsbezeichnung + zuständige Aufsichtsbehörde + Berufsordnung
• Verantwortlich für den Inhalt nach § 18 MStV: Name + Anschrift

Häufige Fehler: Berufsbezeichnung vergessen (besonders bei Steuerberatern, Anwälten, Ärzten), Aufsichtsbehörde nicht genannt, Umsatzsteuer-ID weggelassen statt explizit den Kleinunternehmer-Hinweis zu setzen.

Generatoren-Empfehlung: e-recht24, datenschutz.org, anwaltsregister. Aber: nicht blind übernehmen — branchen-spezifische Angaben manuell ergänzen.

Datenschutz-Erklärung (DSGVO Art. 13)

Verpflichtende Informationspflicht. Muss alle Datenverarbeitungen auf der Website transparent dokumentieren.

Was alle eingebundenen Dienste auflisten muss:

• Hosting-Provider (z.B. IONOS) — Serverstandort, Auftragsverarbeitungs-Vertrag
• Google Fonts (selbst lokal eingebunden oder von Google-CDN)
• Google Analytics oder andere Tracking-Tools
• Google Maps Einbindungen
• Social Media Plugins (Facebook, LinkedIn, Instagram-Buttons)
• Calendly oder andere Terminbuchungs-Tools
• Newsletter-Plugin (MailPoet, Newsletter)
• Kontaktformulare (Contact Form 7, Gravity Forms, etc.)
• Cookies — welche, wofür, Speicherdauer
• Hosting-Provider und Drittland-Übermittlungen (US-Dienste)

Aktualisierungs-Rhythmus: Mindestens halbjährlich. Bei neuen Plugins oder Tool-Wechseln sofort.

Cookie-Banner (TTDSG seit Dezember 2021)

Pflicht-Opt-In vor jedem Tracking-Tool, das Cookies setzt oder Daten an Dritte überträgt.

Was ein konformer Cookie-Banner können muss:

• „Alle akzeptieren"- und „Alle ablehnen"-Button gleich prominent
• Detail-Auswahl pro Kategorie (notwendig / Statistik / Marketing)
• Keine vorgeklickten Checkboxen außer für „notwendige" Cookies
• Klarer Hinweis auf Datenschutz-Erklärung mit Link
• Tracking-Tools dürfen erst NACH Zustimmung laden

Häufige Fehler: Vorgeklickte Boxen, „Alle ablehnen" nur über zwei Klicks erreichbar, Google Analytics lädt schon im Banner-Zustand. All das sind Abmahn-Risiken.

Branchen-spezifische Anforderungen

Steuerberater

Berufsrechtliche Hinweise zwingend: Berufsbezeichnung „Steuerberater", zuständige Steuerberaterkammer, Berufsordnung der Bundessteuerberaterkammer. Werbung muss sachlich bleiben — keine reißerischen Versprechen.

Anwälte

Berufsordnung der Bundesrechtsanwaltskammer (BORA). Strenges Werbeverbot: keine vergleichende Werbung, keine reißerischen Erfolgsversprechen. Fachanwaltsbezeichnungen genau wie vergeben angeben.

Ärzte

Heilmittelwerbegesetz (HWG) verbietet bestimmte Werbe-Aussagen. Vorsicht bei vor/nach-Bildern oder Heilversprechen. Eigene Datenschutz-Hinweise für Patientenbilder/Behandlungs-Beschreibungen.

Handwerk

Bei Eintragung in die Handwerksrolle: Handwerkskammer-Mitgliedschaft im Impressum nennen. Bei Meisterbetrieb: entsprechende Bezeichnung zulässig (mit Nachweis).

Verlinkung der Pflichtangaben

Footer-Strategie: Impressum und Datenschutz-Erklärung gehören in JEDEN Footer auf jeder Page. Nicht nur auf der Startseite.

2-Klick-Regel: Maximal zwei Klicks von jeder beliebigen Page zum Impressum. Footer-Link erfüllt das.

Mobile Footer: Auch auf Mobile müssen Impressum + Datenschutz klickbar bleiben. Häufiger Fehler: Footer-Links sind so klein, dass sie auf Mobile nicht treffbar sind. Mindest-Touch-Target: 48 × 48 px.

AGB — wann Pflicht, wann nicht

Reine Service-Sites: Meist keine AGB-Pflicht. Wenn Sie nur Kontaktformular und Telefonnummer anbieten, ist der Vertrag individuell — AGB überflüssig.

Online-Shops: AGB Pflicht. Plus Widerrufsbelehrung, Versandkosten, Preisangaben nach PAngV.

Online-Buchungs-Funktionen: Wenn Termine direkt online gebucht werden mit konkreten Preisen, sind AGB sinnvoll. Sie regeln Stornierungsbedingungen, Zahlungsmodalitäten.

Bewertungen rechtssicher darstellen

Eigene Bewertungen: Wenn Sie Bewertungen aus Google oder ProvenExpert auf der eigenen Site anzeigen, müssen Sie das Verfahren zur Echtheits-Prüfung transparent machen (BGH-Urteil 2020).

Fake-Bewertungen: Strikt verboten. UWG-Verstoß, Abmahn-Risiko durch Wettbewerber und Verbraucherschutz-Zentrale. Auch die eigene Familie oder Bekannten bitten ist riskant — Google erkennt Muster algorithmisch.

Negative Bewertungen: Sie dürfen nicht einfach löschen. Sie dürfen aber widersprechen, Sachverhalt klarstellen, bei Falschtatsachen die Bewertung über das Bewertungs-Portal-Verfahren entfernen lassen.

Newsletter + Marketing-Mails

Double-Opt-In Pflicht: Jede Newsletter-Anmeldung muss durch Klick in einer Bestätigungs-Mail validiert werden. Single-Opt-In ist nicht ausreichend.

Werbe-Einwilligungen: Klare Zustimmung erforderlich. Vorausgekreuzte Boxen sind unwirksam. Hinweis auf Widerrufsrecht in jeder Marketing-Mail.

B2B-Mails (§ 7 UWG): Auch B2B-Empfänger müssen zugestimmt haben. Ausnahme: bestehende Kundenbeziehung mit thematisch passendem Angebot.

Anti-Abmahn-Strategie

Jährliches Site-Audit: Einmal pro Jahr alle rechtlichen Elemente prüfen. Impressum aktuell? Datenschutz-Erklärung listet alle aktuell eingebundenen Tools? Cookie-Banner konform?

Tool-Updates dokumentieren: Jedes neue WordPress-Plugin, jeder Tracking-Pixel, jede Schriftart-Quelle muss in der Datenschutz-Erklärung erscheinen. Best Practice: bei jedem Plugin-Install gleich Datenschutz-Hinweis ergänzen.

Bei Abmahnung — was zu tun:

• Nicht direkt unterschreiben. Vorgefertigte Unterlassungserklärungen sind oft zu weitreichend.
• Anwalt für IT-Recht einbeziehen — meist günstiger als direkt zahlen.
• Beweise dokumentieren (Screenshots der angeblichen Verstöße).
• Verstoß umgehend beheben, auch wenn man die Forderung anficht — zeigt Gutgläubigkeit.

Abmahn-Versicherung: Für Klein- und Kleinst-Unternehmen oft günstig (50-150 € pro Jahr). Übernimmt Anwaltskosten und teilweise Schadensersatz. Lohnt bei aktiver Web-Präsenz.

Häufige Mythen

Mythos 1: „DSGVO gilt nicht für kleine Betriebe." Falsch. DSGVO gilt für jede Verarbeitung personenbezogener Daten — also auch für jeden Kontaktformular-Eintrag. Unternehmensgröße ist irrelevant.

Mythos 2: „Ein Standard-Impressum-Generator reicht ewig." Falsch. Rechtsprechung und Pflichtangaben ändern sich. Jährliche Aktualisierung Pflicht.

Mythos 3: „Privatadresse muss im Impressum stehen." Bei Einzelunternehmen ja — die ladungsfähige Anschrift muss angegeben sein. Postfach reicht nicht. Bei juristischen Personen: Geschäftsadresse.

Mythos 4: „Cookie-Banner ist optional." Falsch. TTDSG seit Dezember 2021 macht Opt-In Pflicht für Tracking-Cookies. Häufigster aktueller Abmahn-Grund.

Häufige Fragen

Was ist der häufigste Abmahn-Grund 2026?

Google Fonts ohne lokale Einbindung. Wenn Schriftarten direkt von Google-Servern geladen werden, übermitteln Sie IP-Adressen Ihrer Besucher an Google ohne deren Zustimmung. Aktuell die häufigste Abmahnung mit Forderungen um 170-500 €.

Wie schnell muss ich nach Plugin-Install die Datenschutz-Erklärung aktualisieren?

Sofort. Im Zweifel vor dem Aktivieren des neuen Plugins. Jede unbeschriebene Datenverarbeitung ist ein DSGVO-Verstoß.

Brauche ich AGB für meine Webagentur-Site?

Wenn Sie nur Anfragen über Kontaktformular sammeln und Verträge individuell aushandeln: nein. Wenn Sie eine direkte Online-Beauftragungs-Funktion haben: ja.

Cookie-Banner und Google Analytics — wie kombinieren?

Analytics darf erst nach expliziter Cookie-Zustimmung laden. Lösung: Consent Management Plattform (CMP) wie Borlabs Cookie oder Cookiebot, die Analytics-Script erst nach Opt-In ausführt.

Was passiert wenn ich die DSGVO-Erklärung von einem Mitbewerber kopiere?

Urheberrechts-Verstoß. Außerdem inhaltlich problematisch, weil die Erklärung dann nicht zu Ihren tatsächlichen Datenverarbeitungen passt. Beides ist abmahnfähig.

Ist eine Abmahn-Versicherung notwendig?

Nicht zwingend. Aber für 50-150 € jährlich oft sinnvoller Schutz. Besonders bei E-Commerce oder aktiver Web-Werbung.

Verfasst von David Rupa, Inhaber von Bergstraße Digital. Hinweis: Diese Inhalte sind eine praktische Übersicht und ersetzen keine Rechtsberatung.