DSGVO-Leitfaden: Alles was Unternehmer und Webdesigner wissen müssen (2026)

Was ist die DSGVO und wen betrifft sie?

Jede Website, die ein Freelance-Webdesigner für deutsche Kunden baut, muss DSGVO-konform sein. Die rechtliche Lage hat sich in den letzten Jahren massiv verschärft: Nach dem BGH-Grundsatzurteil vom 27. März 2025 sind Datenschutzverstöße wettbewerbsrechtlich abmahnfähig. Das DDG hat das TMG abgelöst, das TTDSG heißt jetzt TDDDG, und der EU-US Data Privacy Framework steht auf wackligen Beinen. Dieser Leitfaden fasst alles zusammen, was Webdesigner und Unternehmer wissen müssen.

Die Datenschutz-Grundverordnung (DSGVO) gilt seit dem 25. Mai 2018 in der gesamten Europäischen Union unmittelbar als Gesetz. Sie betrifft jeden, der personenbezogene Daten von EU-Bürgern verarbeitet – unabhängig davon, wo der Verarbeiter seinen Sitz hat. Damit ist die DSGVO nicht nur ein europäisches Thema: Auch US-amerikanische Anbieter wie Google oder Meta müssen sich daran halten, sobald sie Daten von EU-Nutzern verarbeiten.

Personenbezogene Daten im Sinne der DSGVO sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen: Name, E-Mail-Adresse, IP-Adresse, Cookie-ID, Geolokalisierungsdaten, Gerätekennungen – sogar Fotos und Audiodateien können darunter fallen. Kurz gesagt: Wer eine Website betreibt, die Besucher hat, verarbeitet fast zwangsläufig personenbezogene Daten.

Die DSGVO unterscheidet zwischen dem Verantwortlichen (wer den Zweck der Datenverarbeitung bestimmt) und dem Auftragsverarbeiter (wer im Auftrag des Verantwortlichen Daten verarbeitet). Als Webdesigner oder Agentur sind Sie in der Regel Auftragsverarbeiter für Ihren Kunden – was erhebliche Konsequenzen für Verträge und Haftung hat.

DSGVO-Pflichten für Websites

Wer haftet – Designer oder Kunde?

• Kunde (Website-Betreiber) ist der Verantwortliche (Art. 4 Nr. 7 DSGVO)
• Webdesigner ist typischerweise Auftragsverarbeiter (Art. 4 Nr. 8 DSGVO)
• AVV (Auftragsverarbeitungsvertrag) nach Art. 28 DSGVO ist Pflicht -- VOR dem ersten Datenzugriff
• Fehlender AVV: Bußgelder bis 10 Mio. Euro oder 2% des Jahresumsatzes

AVVs werden benötigt zwischen Website-Betreiber und:

• Hosting-Provider (IONOS, Hetzner, All-Inkl etc.)
• Webdesigner/Agentur (bei CMS/Kundendaten-Zugriff)
• Newsletter-Diensten (CleverReach, Brevo, Rapidmail)
• Analyse-Tools (Google Analytics, Matomo Cloud)
• Cookie-Consent-Tools (Cookiebot, Borlabs etc.)

Drei relevante Rechtsgrundlagen

• Art. 6 Abs. 1 lit. a (Einwilligung): Marketing-Cookies, Tracking, Newsletter
• Art. 6 Abs. 1 lit. b (Vertragserfüllung): Bestellabwicklung, Kontaktformulare
• Art. 6 Abs. 1 lit. f (berechtigtes Interesse): technisch notwendige Cookies, Server-Logfiles

Impressum und Datenschutzerklärung

Impressum nach Paragraph 5 DDG

Seit 14. Mai 2024 gilt das DDG (Digitale-Dienste-Gesetz) anstelle des TMG.

• TTDSG wurde zum TDDDG umbenannt
• Pflichtangaben: Vollständiger Name/Firma, vertretungsberechtigte Person, ladungsfähige Postanschrift, E-Mail, Telefon, Handelsregisternummer, USt-IdNr., Wirtschafts-IdNr. (neu)
• OS-Plattform-Hinweis seit 15.02.2024 obsolet -- veraltete Links entfernen

Datenschutzerklärung nach Art. 13/14 DSGVO

• Muss als eigenständige Seite existieren (nicht im Impressum verstecken)
• Beide Seiten von jeder Unterseite mit max. 2 Klicks erreichbar
• Pflichtinhalte: Verantwortlicher, DSB-Kontakt, Zwecke und Rechtsgrundlagen, Empfänger, Drittlandtransfer, Speicherdauer, Betroffenenrechte, Widerrufsrecht, Beschwerderecht

Generatoren-Vergleich

Anbieter	Preis	Ideal für
Dr. Schwenke	99,90 Euro (Einmalkauf)	Freelancer -- bestes Preis-Leistungs-Verhältnis
IT-Recht Kanzlei	Ab 5,90 Euro/Monat	Shops -- automatische Updates via Plugin
eRecht24	Business ab 40 Euro/Monat	Agenturen -- inkl. Cookie-Tool
WBS.LEGAL	Kostenlos	Einfache Websites ohne Shop

Cookie-Banner: Rechtslage und Tools

Was Paragraph 25 TDDDG verlangt

• Aktive Einwilligung für ALLE nicht-technisch-notwendigen Cookies/Storage/Fingerprinting
• Ausnahmen nur: Session-Cookies, Warenkorb-IDs, Load-Balancer, CSRF-Tokens, Consent-Cookie
• Verstöße: Bußgelder bis 300.000 Euro

Anforderungen an den Cookie-Banner

• "Alles ablehnen"-Button auf der ersten Ebene ist Pflicht (VG Hannover, 19.03.2025)
• Gleiche visuelle Prominenz wie "Akzeptieren"
• Keine Dark Patterns, keine voreingestellten Checkboxen
• Granulare Auswahl nach Kategorien (Essentiell, Statistik, Marketing)
• Cookies erst NACH Einwilligung laden (Pre-Consent-Blocking)
• Einwilligungen mit Zeitstempel protokollieren
• Widerrufsmöglichkeit permanent im Footer
• Seit 28.06.2025: barrierefrei (WCAG 2.1/2.2 Level AA, BFSG)

Technische Umsetzung

Google Fonts: Lokales Einbinden bleibt Pflicht

• Fonts über google-webfonts-helper herunterladen (.woff2/.woff)
• Auf eigenen Server hochladen, per @font-face einbinden
• ALLE externen Referenzen zu fonts.googleapis.com entfernen
• WordPress: Plugins "OMGF" oder "Local Google Fonts"

Google Analytics 4: DSGVO-konform nur mit Aufwand

• Opt-In-Einwilligung über CMP VOR dem Laden
• AVV mit Google abschließen
• Datenaufbewahrung auf 2 Monate setzen
• Google Signals deaktivieren

Datenschutzfreundliche Analytics-Alternativen

Tool	Cookie-frei	Consent nötig?	Ab-Preis
Plausible (EU)	Ja	Nein	9 Euro/Monat
etracker (DE)	Ja	Nein	9 Euro/Monat (Free bis 25k PV)
Matomo (Open Source)	Konfigurierbar	Nein (cookieless, self-hosted)	Kostenlos (self-hosted)

Kontaktformulare

• HTTPS/SSL ist Pflicht (Art. 5 Abs. 1 lit. f DSGVO)
• Nur notwendige Pflichtfelder (Datenminimierung)
• Consent-Checkbox bei reinen Kontaktformularen NICHT rechtlich erforderlich
• Hinweis mit Link zur Datenschutzerklärung nahe dem Formular ist Pflicht

Newsletter

• Double Opt-in ist in Deutschland immer Pflicht
• Bestätigungs-E-Mail darf KEINE Werbung enthalten
• Zeitstempel und IP von Anmeldung und Bestätigung protokollieren

Abmahnrisiken

BGH-Urteil 27.03.2025

• DSGVO-Verstöße sind wettbewerbsrechtlich abmahnfähig
• Abmahnbar durch Mitbewerber UND Verbraucherschutzverbände
• Unter 250 Mitarbeiter: Kostenerstattung durch Mitbewerber ausgeschlossen

Häufigste Abmahngründe

• Fehlende/fehlerhafte Datenschutzerklärung
• Extern eingebundene Google Fonts
• Cookie-Banner ohne gleichwertige Ablehnoption / Dark Patterns
• Unvollständiges Impressum
• Newsletter ohne Double Opt-in
• Kontaktformulare ohne SSL
• Tracking ohne Einwilligung
• Fehlende AVVs

DSGVO und KI-Tools

Künstliche Intelligenz hat sich in kurzer Zeit von einer Nischentechnologie zu einem alltäglichen Werkzeug entwickelt. ChatGPT, Claude und Gemini gehören für viele Webdesigner, Texter und Unternehmer inzwischen zum täglichen Workflow. Was dabei häufig übersehen wird: Wer KI-Tools im beruflichen Kontext einsetzt und dabei personenbezogene Daten von Kunden oder Mitarbeitern eingibt, bewegt sich automatisch im Anwendungsbereich der DSGVO.

ChatGPT, Claude und Gemini – datenschutzrechtliche Bewertung

Die großen KI-Anbieter verarbeiten eingegebene Daten auf Servern außerhalb der EU. OpenAI (ChatGPT) betreibt seine Infrastruktur in den USA, Anthropic (Claude) ebenso. Google (Gemini) verarbeitet Daten teilweise in europäischen Rechenzentren, die Datenverarbeitungsvereinbarungen variieren jedoch je nach Produkt und Tarif erheblich.

Aus datenschutzrechtlicher Sicht gilt: Sobald Sie Namen, E-Mail-Adressen, Telefonnummern oder andere personenbezogene Daten Ihrer Kunden in einen KI-Chatbot eingeben, handelt es sich um eine Übermittlung personenbezogener Daten an einen Drittanbieter – und das ohne Rechtsgrundlage, wenn kein Auftragsverarbeitungsvertrag (AVV) vorliegt. Die Aufsichtsbehörden haben hierzu bereits erste Positionierungen vorgenommen: Die DSK (Datenschutzkonferenz) empfiehlt, KI-Tools nur mit anonymisierten oder synthetischen Daten zu verwenden, sofern kein AVV abgeschlossen wurde.

Auftragsverarbeitungsvertrag (AVV) mit KI-Anbietern

Die gute Nachricht: Die großen KI-Anbieter bieten mittlerweile Business-Tarife mit AVV-Option an. OpenAI stellt für die API und ChatGPT Enterprise einen Data Processing Agreement (DPA) bereit, der den Anforderungen der DSGVO genügt. Anthropic bietet für Claude entsprechende Vereinbarungen im Team- und Enterprise-Bereich an. Google stellt für Workspace- und Cloud-Kunden standardmäßig einen AVV bereit.

• ChatGPT Free/Plus: Kein AVV verfügbar – für personenbezogene Geschäftsdaten ungeeignet
• ChatGPT Enterprise / OpenAI API: AVV verfügbar, Opt-out aus Training möglich
• Claude Pro/Team (Anthropic): DPA über Anthropic erhältlich, Daten werden nicht für Training genutzt
• Google Gemini for Workspace: AVV im Rahmen der Google Workspace-Vereinbarung enthalten

KI-Chatbots auf der Website – DSGVO-konform mit Self-Hosting

Immer mehr Unternehmen möchten einen KI-Chatbot auf ihrer Website einsetzen, um Kundenanfragen automatisch zu beantworten. Die datenschutzrechtliche Herausforderung: Ein Chatbot, der Nutzereingaben an externe KI-APIs weiterleitet, muss in der Datenschutzerklärung transparent gemacht werden. Besucher müssen darüber informiert werden, dass ihre Eingaben an Dritte (z. B. OpenAI) übermittelt werden.

Die sauberste Lösung aus DSGVO-Sicht ist das Self-Hosting eines Open-Source-Sprachmodells auf einem deutschen oder EU-Server. Modelle wie Llama 3, Mistral oder Gemma können auf eigener Infrastruktur betrieben werden – die Daten verlassen den Server nicht. Alternativ bieten Anbieter wie Aleph Alpha europäische KI-Dienste mit EU-Datenspeicherung und DSGVO-konformen AVVs an.

DSGVO und Automatisierungstools

Automatisierungstools wie n8n, Make.com (früher Integromat) oder Zapier verbinden verschiedene Dienste miteinander und übertragen dabei häufig personenbezogene Daten – von CRM-Systemen zu E-Mail-Marketing-Plattformen, von Kontaktformularen zu Projektmanagement-Tools. Wer solche Workflows betreibt, ist datenschutzrechtlich als Verantwortlicher tätig und muss für jede Datenübertragung eine Rechtsgrundlage nachweisen können.

n8n self-hosted – die DSGVO-konforme Wahl

n8n ist ein Open-Source-Automatisierungstool, das sich selbst hosten lässt. Das bedeutet: Alle Daten, die durch Ihre Workflows fließen, verbleiben auf Ihrem eigenen Server – in Deutschland oder innerhalb der EU. Es gibt keinen Drittanbieter, dem Sie einen AVV ausstellen müssten, und es fallen keine Daten in US-amerikanische Clouds. Diese Architektur macht n8n zur datenschutzfreundlichsten Wahl für Automatisierungen, die mit personenbezogenen Daten arbeiten.

Beim self-gehosteten Betrieb müssen Sie dennoch folgende Punkte beachten:

• Dokumentieren Sie alle Workflows, die personenbezogene Daten verarbeiten, im Verarbeitungsverzeichnis (Art. 30 DSGVO)
• Stellen Sie sicher, dass der Server, auf dem n8n läuft, ausreichend gesichert ist (Zugriffsschutz, Verschlüsselung, Backups)
• Wenn n8n an externe Dienste sendet (z. B. Brevo, HubSpot), gelten die AVV-Anforderungen für diese Dienste
• Logs und gespeicherte Workflow-Daten dürfen personenbezogene Daten nur so lange enthalten, wie es für den Zweck erforderlich ist

Make.com und Zapier – Cloud-Dienste richtig einsetzen

Make.com und Zapier sind Cloud-basierte Automatisierungsplattformen, die ihre Server in den USA betreiben. Wer über diese Dienste personenbezogene Daten verarbeitet, muss zwingend einen AVV mit dem jeweiligen Anbieter abschließen und sicherstellen, dass die Datenübertragung in die USA auf einer gültigen Rechtsgrundlage beruht.

Seit dem EU-US Data Privacy Framework (DPF) von 2023 gibt es wieder einen gültigen Angemessenheitsbeschluss für Datenübertragungen in die USA – allerdings nur für Unternehmen, die sich beim DPF zertifiziert haben. Sowohl Make.com als auch Zapier sind unter dem DPF zertifiziert und bieten DSGVO-konforme Auftragsverarbeitungsverträge an. Dennoch raten Datenschutzexperten zur Vorsicht: Das DPF könnte wie seine Vorgänger (Safe Harbor, Privacy Shield) vom EuGH gekippt werden.

E-Mail-Marketing und CRM – Einwilligung und Löschfristen

Automatisierte E-Mail-Sequenzen und CRM-Integrationen sind ein häufiger Use-Case für Automatisierungstools. Aus DSGVO-Sicht gelten hier strenge Anforderungen: Jede Marketing-E-Mail erfordert eine aktive, dokumentierte Einwilligung des Empfängers (Double Opt-in). Das gilt auch dann, wenn die E-Mail über einen automatisierten Workflow versendet wird.

Für Löschfristen gilt: Personenbezogene Daten, die in CRM-Systemen oder E-Mail-Marketing-Tools gespeichert sind, müssen nach dem Ende des Speicherzwecks gelöscht werden. Konkret bedeutet das: Inaktive Newsletter-Abonnenten (z. B. keine Öffnung in 24 Monaten) sollten automatisch aus der Liste entfernt werden. Automatisierungstools können hier hilfreich sein – sie können regelmäßige Bereinigungsworkflows automatisch ausführen.

DSGVO-konformes Hosting

Die Wahl des Hosting-Anbieters ist eine der wichtigsten Datenschutzentscheidungen beim Aufbau einer Website. Server, auf denen eine Website läuft, verarbeiten zwangsläufig IP-Adressen und weitere Verbindungsdaten der Besucher. Liegt der Server in einem Drittland ohne angemessenes Datenschutzniveau, ist jede Websiteanfrage eines EU-Bürgers potenziell ein Datenschutzverstoß.

Deutsche Server vs. US-Anbieter

Deutsche und europäische Hosting-Anbieter wie Hetzner, IONOS, Netcup oder All-Inkl betreiben ihre Rechenzentren in Deutschland oder der EU. Das macht die Datenschutzsituation erheblich einfacher: Es gibt keinen Drittlandtransfer, die Daten unterliegen vollständig dem EU-Datenschutzrecht, und der AVV mit dem Anbieter ist unkompliziert.

US-amerikanische Anbieter wie AWS (Amazon), Google Cloud, Microsoft Azure oder Cloudflare bieten zwar oft EU-Regionen an, unterliegen jedoch dem CLOUD Act (Clarifying Lawful Overseas Use of Data Act). Dieser erlaubt US-Behörden unter bestimmten Voraussetzungen den Zugriff auf Daten von US-Unternehmen – auch wenn diese in europäischen Rechenzentren gespeichert sind. Ob das einen Datenschutzverstoß darstellt, ist juristisch umstritten, aber das Risiko besteht. Aufsichtsbehörden in Österreich, Frankreich und den Niederlanden haben in verschiedenen Fällen die Nutzung US-amerikanischer Cloud-Dienste beanstandet.

Google Fonts lokal hosten – Abmahnrisiko vermeiden

Das Landgericht München I hat mit Urteil vom 20. Januar 2022 (Az. 3 O 17493/20) entschieden: Das Einbinden von Google Fonts über die Google-Server ohne Einwilligung des Nutzers verstößt gegen die DSGVO. Die IP-Adresse des Besuchers wird dabei an Google-Server in den USA übermittelt – eine Datenübertragung in ein Drittland ohne Rechtsgrundlage.

Die Lösung ist einfach und technisch unkompliziert: Google Fonts lokal einbinden. Die Schriftdateien (.woff2) werden einmalig heruntergeladen und auf dem eigenen Webserver gehostet. Kein Request an Google-Server, kein Datentransfer, kein Abmahnrisiko. Mit dem kostenlosen Tool google-webfonts-helper können alle benötigten Schriftschnitte in wenigen Minuten für den Offline-Betrieb vorbereitet werden. Der entsprechende CSS-Code mit @font-face wird dabei direkt mitgeliefert.

In WordPress gibt es mit OMGF (Optimize My Google Fonts) oder Local Google Fonts Plugins, die diesen Prozess vollständig automatisieren. Bei statischen Websites oder eigenentwickelten Themes empfehle ich, die Fonts von Anfang an lokal einzubinden und keine Google-CDN-URLs zu verwenden – dies verhindert nicht nur Abmahnungen, sondern verbessert auch die Ladegeschwindigkeit der Website.

Analytics ohne Cookies: Plausible und Umami als DSGVO-konforme Alternativen

Wer Besucherzahlen und Seitenaufrufe tracken möchte, ohne einen Cookie-Banner zu benötigen, hat gute Alternativen zu Google Analytics. Cookiefreie Analytics-Tools wie Plausible und Umami verzichten vollständig auf das Setzen von Cookies und erheben keine personenbezogenen Daten im Sinne der DSGVO.

Plausible Analytics ist ein in der EU entwickeltes und gehostetes Tool (Server in Deutschland, betrieben von Hetzner). Es erfasst Seitenaufrufe, Referrer, Gerätekategorien und Länder – aber keine individuelle Besucherkennung. Die Daten werden nicht an Dritte weitergegeben, es gibt keine Drittland-Übertragung, und Plausible selbst unterzeichnet einen AVV. Der Preis beginnt bei 9 Euro pro Monat.

Umami ist eine Open-Source-Alternative, die sich selbst hosten lässt. Das bedeutet: Alle Analysedaten verbleiben auf dem eigenen Server, es gibt keinen Drittanbieter-Datentransfer. Umami bietet ähnliche Funktionen wie Plausible (Seitenaufrufe, Traffic-Quellen, Gerätekategorien) und ist kostenlos. Für Kunden, die maximale Datenkontrolle wünschen, ist Umami auf einem deutschen Server die optimal DSGVO-konforme Lösung.

Tool	Hosting	Cookie-frei	Consent nötig?	Preis
Google Analytics 4	USA	Nein	Ja	Kostenlos (mit Aufwand)
Plausible Analytics	Deutschland (Hetzner)	Ja	Nein	Ab 9 €/Monat
Umami (self-hosted)	Eigener Server	Ja	Nein	Kostenlos
Matomo (self-hosted)	Eigener Server	Konfigurierbar	Nein (cookieless)	Kostenlos

DSGVO-Checkliste 2026

Diese Checkliste fasst die wichtigsten Maßnahmen zusammen, die Sie als Webdesigner bei jedem Kundenprojekt überprüfen sollten. Sie ersetzt keine Rechtsberatung, gibt Ihnen aber einen schnellen Überblick über die häufigsten Stolperstellen.

Rechtliche Grundlagen

• AVV mit dem Kunden abgeschlossen (vor dem ersten CMS-Zugriff)
• AVV mit allen Drittanbietern (Hosting, Analytics, Newsletter, CRM, KI-Tools)
• Impressum nach § 5 DDG vollständig und korrekt
• Datenschutzerklärung vorhanden, aktuell und mit max. 2 Klicks erreichbar
• Verarbeitungsverzeichnis geführt (Art. 30 DSGVO)

Technische Umsetzung

• HTTPS/SSL auf der gesamten Website aktiv
• Google Fonts lokal eingebunden (keine externen CDN-URLs)
• Cookie-Banner DSGVO-konform: "Ablehnen"-Button gleichwertig sichtbar, Pre-Consent-Blocking aktiv
• Analytics: Cookiefrei (Plausible/Umami) oder mit AVV und Consent (GA4)
• Kontaktformulare: Nur Pflichtfelder, Datenschutzhinweis, kein unnötiges Tracking
• Newsletter: Double Opt-in, Zeitstempel protokolliert, Widerrufsmöglichkeit

Hosting und Infrastruktur

• Serverstandort: Deutschland oder EU bevorzugen
• AVV mit Hosting-Anbieter abgeschlossen
• KI-Tools: Keine echten Kundendaten ohne AVV eingeben
• Automatisierungstools: n8n self-hosted oder AVV mit Make/Zapier abgeschlossen
• OS-Plattform-Link aus dem Impressum entfernt (seit Feb. 2024 abgeschaltet)