DSGVO 2025: Was hat sich geändert und was bleibt?
Die Datenschutz-Grundverordnung ist seit 2018 in Kraft – und dennoch erfüllen nach Schätzungen des Bundesverbands der Verbraucherzentralen noch immer ein erheblicher Teil der deutschen Unternehmenswebsites nicht alle Anforderungen. Die Aufsichtsbehörden haben in den letzten Jahren ihre Kontrolltätigkeit deutlich intensiviert, und die Bußgelder sind spürbar gestiegen. Gleichzeitig haben neue Gerichtsurteile und Leitlinien die Anforderungen in einigen Bereichen konkretisiert.
Dieser Artikel gibt Ihnen eine aktuelle Übersicht der wichtigsten DSGVO-Anforderungen für Unternehmenswebsites im Jahr 2025 – und eine praktische Checkliste, mit der Sie den Compliance-Status Ihrer Website selbst überprüfen können. Wir konzentrieren uns auf die Punkte, die in der Praxis am häufigsten übersehen werden und das höchste Abmahnrisiko tragen.
1. Impressum: Die unterschätzten Fallstricke
Das Impressum ist eine der bekanntesten Pflichtangaben – und dennoch fehlerhaft auf erschreckend vielen Websites. Neben den Grundangaben (vollständiger Name oder Firmenname, Anschrift, Kontaktmöglichkeit) gibt es branchenspezifische Zusatzpflichten, die oft vergessen werden. Unternehmen mit einer Umsatzsteuer-ID müssen diese angeben. Freiberufler und Gewerbetreibende müssen ihre zuständige Aufsichtsbehörde nennen. Bei GmbHs und AGs sind Handelsregisternummer, Registergericht und alle Geschäftsführer anzugeben.
Besonders häufig werden zwei Fehler gemacht: Das Impressum ist nicht von jeder Seite der Website mit maximal zwei Klicks erreichbar, oder die Kontaktangaben sind unvollständig – eine E-Mail-Adresse allein reicht nicht, es muss auch eine Telefonnummer oder ein Kontaktformular angegeben sein, das eine schnelle Reaktion ermöglicht.
2. Datenschutzerklärung: Vollständigkeit und Aktualität
Die Datenschutzerklärung ist das komplexeste Dokument auf einer Unternehmenswebsite. Sie muss vollständig, verständlich und aktuell sein – und sich bei jeder Änderung der eingesetzten Tools oder Verarbeitungsprozesse entsprechend aktualisieren. In der Praxis bedeutet das: Jedes Analytics-Tool, jedes eingebettete Video, jedes Kontaktformular und jeder Newsletter-Dienst muss in der Datenschutzerklärung erwähnt und rechtlich korrekt beschrieben werden.
Besonders kritisch sind seit den Urteilen der letzten Jahre folgende Punkte: Google Analytics darf nur noch mit expliziter Einwilligung (Opt-in) eingesetzt werden, nicht mehr auf Basis berechtigter Interessen. Google Fonts dürfen nicht mehr von Google-Servern geladen werden, sondern müssen lokal gehostet werden – andernfalls werden IP-Adressen ohne Einwilligung an Google übertragen. Eingebettete YouTube-Videos müssen im erweiterten Datenschutzmodus eingebunden sein.
3. Cookie-Banner: Opt-in ist Pflicht
Das Urteil des Europäischen Gerichtshofs aus dem Jahr 2019 und die seitdem ergangenen Entscheidungen der deutschen Aufsichtsbehörden sind eindeutig: Nicht-notwendige Cookies dürfen erst nach aktiver Einwilligung des Nutzers gesetzt werden. Ein vorausgefülltes Häkchen, ein "Weiter surfen bedeutet Zustimmung" oder ein Banner ohne echte Ablehnungsmöglichkeit sind rechtswidrig.
Ein rechtssicherer Cookie-Banner muss mindestens folgende Elemente enthalten: eine klare Beschreibung, welche Cookies gesetzt werden und zu welchem Zweck, eine Schaltfläche zum Akzeptieren aller Cookies, eine gleichwertig zugängliche Schaltfläche zum Ablehnen aller nicht-notwendigen Cookies und die Möglichkeit, die Einstellungen jederzeit zu ändern. Die Ablehnen-Schaltfläche darf dabei nicht kleiner, weniger auffällig oder schwerer zu finden sein als die Akzeptieren-Schaltfläche.
4. Kontaktformulare und Auftragsverarbeitungsverträge
Jedes Kontaktformular auf Ihrer Website verarbeitet personenbezogene Daten. Neben dem Hinweis in der Datenschutzerklärung benötigen Sie für das Formular selbst eine Rechtsgrundlage für die Verarbeitung – in der Regel die Einwilligung des Nutzers oder die Vertragsanbahnung. Ein kurzer Hinweis direkt am Formular ("Ihre Daten werden ausschließlich zur Bearbeitung Ihrer Anfrage verwendet") ist empfehlenswert.
Wenn Sie für Ihr Kontaktformular, Ihren Newsletter oder Ihre Website-Analytics Drittanbieter-Dienste nutzen, benötigen Sie mit diesen Anbietern einen Auftragsverarbeitungsvertrag (AVV). Die meisten großen Anbieter stellen diese Verträge mittlerweile online zur Verfügung – aber Sie müssen sie aktiv abschließen und dokumentieren. Fehlende AVVs sind ein häufiger Befund bei Datenschutzprüfungen.
5. Newsletter und E-Mail-Marketing: Double-Opt-in ist Standard
Für den Versand von Werbe-E-Mails benötigen Sie die ausdrückliche Einwilligung des Empfängers. Das Double-Opt-in-Verfahren – bei dem der Nutzer nach der Anmeldung eine Bestätigungs-E-Mail erhält und seinen Eintrag aktiv bestätigen muss – ist der einzige rechtssichere Weg, diese Einwilligung zu dokumentieren. Einfache Opt-in-Formulare ohne Bestätigungsschritt sind nicht ausreichend.
Bewahren Sie die Einwilligungsnachweise sorgfältig auf: Datum und Uhrzeit der Anmeldung, verwendete IP-Adresse und den genauen Wortlaut des Einwilligungstexts. Im Streitfall liegt die Beweislast bei Ihnen als Unternehmen. Stellen Sie außerdem sicher, dass jede Marketing-E-Mail einen funktionierenden Abmeldelink enthält und Abmeldungen unverzüglich umgesetzt werden.
Die DSGVO-Checkliste für Ihre Website
| Bereich | Anforderung | Priorität |
|---|---|---|
| Impressum | Vollständig, von jeder Seite erreichbar | Hoch |
| Datenschutzerklärung | Alle Tools erwähnt, aktuell | Hoch |
| Cookie-Banner | Echtes Opt-in mit Ablehnen-Option | Hoch |
| Google Fonts | Lokal gehostet, nicht von Google-Servern | Hoch |
| Google Analytics | Nur nach Einwilligung aktiv | Hoch |
| Kontaktformular | Datenschutzhinweis vorhanden | Mittel |
| AVV | Mit allen Drittanbietern abgeschlossen | Mittel |
| Newsletter | Double-Opt-in, Einwilligungsnachweise | Mittel |
| YouTube-Videos | Erweiterter Datenschutzmodus aktiv | Mittel |
| SSL-Zertifikat | HTTPS auf allen Seiten aktiv | Hoch |
Wenn Sie unsicher sind, ob Ihre Website alle Anforderungen erfüllt, empfehlen wir einen professionellen Datenschutz-Audit. Als Digitalagentur mit Fokus auf KMU helfen wir Ihnen, Ihre Website rechtssicher zu gestalten – von der technischen Umsetzung des Cookie-Banners bis zur Überprüfung Ihrer Datenschutzerklärung. Sprechen Sie uns an für ein kostenloses Erstgespräch.