#gdpr#compliance#privacy#small-business

DSGVO und Cookies für Kleinunternehmens-Websites: eine Checkliste im Klartext

Was die DSGVO von einer Kleinunternehmens-Website wirklich verlangt — Datenschutzerklärung, Cookie-Banner, Rechtsgrundlagen, Datenminimierung — verständlich erklärt, ohne Panikmache.

Brimky Team4 min read
Schutzschild- und Cookie-Illustration als Sinnbild für DSGVO-Konformität bei Kleinunternehmens-Websites

Wenn Ihr Unternehmen Kunden irgendwo in der EU bedient, gilt die DSGVO — und ja, das schließt die Ein-Personen-Beratung mit einem einzigen Kontaktformular ein. Die gute Nachricht: Es ist deutlich weniger kompliziert, als die Compliance-Branche Sie glauben machen will.

Diese Checkliste enthält, was eine Kleinunternehmens-Website 2026 wirklich braucht, um DSGVO-konform zu sein. Keine Panik, keine '20-Millionen-Bußgeld'-Schlagzeilen, keine 47-seitigen Datenschutzerklärungen von DAX-Konzernen. Nur das, was zählt.

Was die DSGVO eigentlich sagt (in zwei Absätzen)

Die DSGVO sagt: Wenn Sie von jemandem in der EU personenbezogene Daten erheben, müssen Sie (a) einen rechtlichen Grund dafür haben, (b) der Person sagen, was Sie damit tun, (c) sie sicher und nur so lange wie nötig aufbewahren und (d) Auskunft oder Löschung erlauben. Das ist der ganze Geist.

Personenbezogene Daten sind alles, womit eine Person identifizierbar ist — Name, E-Mail, Telefon, IP-Adresse, sogar eine Cookie-ID. Sobald eine Besucherin Ihre Seite lädt, erheben Sie schon einen Teil davon. Deshalb braucht jede moderne Seite mindestens eine Datenschutzerklärung und (meistens) ein Cookie-Banner.

Die fünf Dinge, die jede Kleinunternehmens-Website haben muss

  1. Eine Datenschutzerklärung, die nennt, welche Daten erhoben werden, warum, wie lange sie gespeichert bleiben und mit wem geteilt wird. Auf jeder Seite im Footer verlinkt.
  2. Ein Cookie-Banner, sobald irgendein nicht zwingend erforderlicher Cookie gesetzt wird (Analytics, Marketing-Pixel, eingebettete YouTube-Videos). 'Erforderlich' heißt: technisch unverzichtbar — Sitzungs-Login, Sprachpräferenz, CSRF-Token.
  3. Eine Rechtsgrundlage je Art der Verarbeitung. Für die meisten Kleinunternehmens-Seiten: 'Einwilligung' für Marketing, 'Vertrag' für Bestellungen, 'berechtigtes Interesse' für Betrugsprävention. Festhalten, was wo gilt.
  4. Angemessene Sicherheit: durchgängig HTTPS, starke Admin-Passwörter, Backups, ein Hoster, der keine Daten leakt.
  5. Eine Möglichkeit, Sie wegen Daten zu kontaktieren. Üblicherweise eine E-Mail wie [email protected], die ein Mensch liest.

Cookie-Banner: was die meisten falsch machen

Ein konformes Cookie-Banner hat vier Eigenschaften. Fehlt eine davon, korrigieren.

  • Es lädt, bevor irgendein nicht-essenzieller Cookie gesetzt wird. Feuert das Analytics-Skript schon vor dem Klick auf 'akzeptieren', ist das Banner Deko — nicht konform.
  • Ablehnen muss so einfach sein wie Akzeptieren. Ein großer grüner 'Alles akzeptieren'-Button neben einem winzigen grauen 'Verwalten' ist genau das Schulbuchbeispiel, für das Aufsichtsbehörden mittlerweile bußgelden.
  • Granulare Einwilligung für Kategorien — Analytics, Marketing, Personalisierung. Nutzer:innen können einzelne akzeptieren und andere ablehnen.
  • Einwilligungen werden protokolliert. Wer am Montag Analytics zustimmt, dessen Zustimmung muss am Freitag belegbar sein.

Wenn Ihre Seite Google Analytics, Facebook Pixel, Hotjar, eingebettetes YouTube oder ein Drittanbieter-Chat-Widget einsetzt, brauchen Sie ein Banner. Wenn nichts davon und nur ein Session-Cookie fürs Login gesetzt wird, nicht.

Datenschutzerklärung: was wirklich reinkommt

Eine Datenschutzerklärung für ein Kleinunternehmen kann auf eine Seite passen. Diese sechs Punkte in klarem Deutsch abdecken.

  • Wer Sie sind (Firma, Adresse, Kontakt-E-Mail).
  • Welche Daten Sie erheben (z. B. 'Name und E-Mail beim Kontaktformular; IP und Surfdaten beim Besuch, nach 30 Tagen anonymisiert').
  • Warum (Leistungserbringung, Beantwortung von Anfragen, Analytics).
  • Wie lange Sie speichern (z. B. 'Kontaktformulare: 12 Monate; Konten: solange das Konto besteht').
  • Mit wem geteilt wird (Hosting-Provider, E-Mail-Provider, Analytics-Tool — namentlich nennen).
  • Welche Rechte Betroffene haben und wie sie sie ausüben (Auskunft, Berichtigung, Löschung, datenschutz@…).

Eine lange Vorlage von einem Gratisgenerator zu kopieren und nur den Firmennamen zu ändern ergibt eine Erklärung, die formal funktioniert, aber unleserlich ist. Ihre Erklärung ist auch ein Vertrauenssignal. Wer sie liest, sollte denken 'diese Leute respektieren mich' — nicht 'keine Ahnung, was die mit meinen Daten machen'.

Die kürzeste DSGVO-konforme Datenschutzerklärung, die wir je ausgeliefert haben, hatte 600 Wörter. Sie deckte alles ab. Der Erstentwurf hatte 3.800 Wörter und sagte nichts.

Brimky-Compliance-Review

Datenminimierung: der günstige Compliance-Trick

Die halbe DSGVO-Compliance besteht darin, weniger zu erheben. Jedes Formularfeld ist potenzielles Risiko. Bei jedem fragen: Nutze ich diese Daten wirklich oder fragt das Formular nur, weil die Vorlage das Feld hatte?

  • Kontaktformular: Name, E-Mail, Nachricht. Vielleicht Telefon, wenn Rückruf der Hauptweg ist. Mehr nicht.
  • Buchungsformular: nur was für den Termin nötig ist. Geburtsdatum bei einer Friseurbuchung ist keine Minimierung.
  • Newsletter: E-Mail. 'Vorname' okay; 'Berufsbezeichnung' ist Übergriffigkeit.
  • Cookie-Tracking: nur die Kategorien, die Sie wirklich nutzen. Keine Remarketing-Kampagnen, keine Remarketing-Cookies.

Fehler, für die Kleinunternehmen bestraft werden

  • Analytics-Cookies vor Einwilligung. Lösung: Analytics auf Einwilligung warten lassen oder cookie-lose Alternative.
  • Vorhäkchen bei Einwilligungs-Checkboxen. Immer Opt-in, nie Opt-out.
  • 'Alles akzeptieren' ohne gleichwertigen Ablehnen-Button. Behörden hören 2025 mit Geduld auf.
  • Schwammige Rechtsgrundlage. 'Wir verarbeiten auf Grundlage berechtigten Interesses' reicht nicht — WELCHES Interesse, in WELCHEM Fall.
  • Keine echte Löschung auf Antrag. Innerhalb von 30 Tagen muss tatsächlich gelöscht werden, nicht nur höflich geantwortet.

Wo Brimky reinpasst

Jede Brimky-Seite kommt mit einem Cookie-Banner, der 'ablehnen' respektiert, einer Starter-Datenschutzerklärung, die Sie auf Ihr Geschäft anpassen, durchgängigem HTTPS und einem Hoster, der als EU-Auftragsverarbeiter registriert ist. Die technische Hälfte der Compliance ist beim Launch erledigt. Die inhaltliche Hälfte steuern Sie — und wir gehen sie im Onboarding mit Ihnen durch, statt Sie vor eine leere Vorlage zu setzen.

Want a site like this for your clinic?

Brimky builds and hosts modern websites for dentists and small businesses. Pick a template, pay once, and we handle the rest.

Browse templates →