DSGVO-konforme Website Frankfurt – die 12-Punkte-Checkliste 2026
Eine Website ohne DSGVO-Konformität ist 2026 ein wirtschaftliches Risiko – nicht nur wegen möglicher Bußgelder, sondern wegen Wettbewerber-Abmahnungen und Vertrauensverlust. Diese Checkliste zeigt die 12 Pflichten, die jede Unternehmens-Website in Frankfurt und Hessen erfüllen muss.
Auf einen Blick
Ist meine Website DSGVO-konform?
Wenn Sie alle 12 Punkte dieser Checkliste mit Ja beantworten können – SSL, vollständiges Impressum, aktuelle Datenschutzerklärung, Cookie-Banner mit echtem Opt-in, lokale Google Fonts, anonymisiertes Analytics, DSGVO-konformes Kontaktformular, blockierte externe Embeds, EU-Hosting, Backup, AVV mit allen Dienstleistern und regelmäßige Prüfung. Schon ein einziger fehlender Punkt kann eine Abmahnung oder ein Bußgeld auslösen.
Der Hessische Landesbeauftragte für Datenschutz und Informationsfreiheit (HLfDI) in Wiesbaden ist die zuständige Aufsichtsbehörde für alle Unternehmen in Frankfurt und Hessen. In den letzten drei Jahren wurden allein im Rhein-Main-Gebiet Bußgelder im sechsstelligen Bereich verhängt – meist wegen unzulässiger Tracking-Cookies oder fehlender Auftragsverarbeitungsverträge.
- →Wettbewerber-Abmahnung (fehlendes Impressum, Google Fonts): 750 – 2.500 € Anwaltskosten
- →Behördliches Bußgeld (Cookie-Verstoß, Klein- und Mittelbetrieb): 5.000 – 50.000 €
- →Schwere Verstöße (Datenleck, keine Meldung): bis zu 20 Mio. € oder 4 % des Jahresumsatzes
- →Indirekte Kosten: Vertrauensverlust, Anwaltszeit, Re-Design der Website
Die gute Nachricht: 90 % aller Verstöße sind technische Lapsus – mit einer einmaligen, sauberen Einrichtung der Website lassen sich nahezu alle Risiken ausschließen.
Die 12-Punkte-Checkliste für eine rechtssichere Website
Diese Liste ist die Reihenfolge, in der Fly & Froth jede neue Kundenwebsite vor dem Live-Gang prüft. Sie gilt für Selbstständige, Coaches, Handwerker, Praxen, Gastronomie und alle KMU im Rhein-Main-Gebiet gleichermaßen.
SSL/HTTPS-Verschlüsselung
Die gesamte Website muss über HTTPS ausgeliefert werden. Ein gültiges SSL-Zertifikat (Let's Encrypt reicht aus) ist Pflicht – ohne HTTPS warnen Browser den Besucher, und Google straft die Seite im Ranking ab.
Vollständiges Impressum
Name des Inhabers, vollständige Anschrift, Telefon, E-Mail, USt-ID oder Steuernummer, ggf. Berufsbezeichnung und Kammer. Bei juristischen Personen: Geschäftsführer und Handelsregister-Eintrag. Erreichbar mit maximal zwei Klicks von jeder Unterseite.
Aktuelle Datenschutzerklärung
Eine eigene, auf Ihre Website zugeschnittene Datenschutzerklärung – keine Copy-Paste-Vorlage. Sie muss alle eingesetzten Tools (Analytics, Newsletter, Fonts, Formulare, Karten) konkret benennen und die Rechtsgrundlage für jede Verarbeitung angeben.
Cookie-Banner mit echtem Opt-in
Vor dem Setzen nicht-notwendiger Cookies (Analytics, Werbe-Pixel, eingebettete Videos) muss der Besucher aktiv zustimmen. „Weitersurfen = Einwilligung" reicht nicht. „Alle akzeptieren" und „Alle ablehnen" müssen gleichwertig sichtbar sein.
Google Fonts lokal einbinden
Google Fonts dürfen nicht direkt vom Google-CDN geladen werden – sonst wird die IP-Adresse jedes Besuchers an einen US-Server übermittelt. Lösung: Schriften lokal in den Webspace einbinden. Diese Pflicht löste 2022/2023 eine Abmahnwelle aus.
Analytics mit Consent Mode oder Matomo
Google Analytics nur mit aktiver Einwilligung über den Cookie-Banner und mit IP-Anonymisierung. DSGVO-freundliche Alternative: Matomo im Cookie-losen Modus – kein Banner-Zwang, vollständige Statistik, Daten bleiben auf Ihrem Server.
Kontaktformular DSGVO-konform
Pflichtfelder auf das Nötigste reduzieren (Name, E-Mail, Nachricht). Eine Checkbox „Ich habe die Datenschutzerklärung gelesen" – nicht vorausgewählt. Speicherort und Speicherdauer der Anfragen müssen in der Datenschutzerklärung benannt sein.
Externe Embeds blockieren
YouTube-Videos, Google Maps, Vimeo, Instagram-Embeds und Social-Media-Buttons laden im Standardmodus Tracking-Daten beim Aufruf der Seite. Lösung: 2-Klick-Lösung oder Privacy-Mode (z. B. youtube-nocookie.com) erst nach Einwilligung.
Hosting in der EU
Der Server, auf dem Ihre Website läuft, sollte in einem EU-Mitgliedstaat stehen. Drittland-Hosting (USA, UK seit Brexit) erfordert zusätzliche Garantien wie Standardvertragsklauseln. Empfehlung: deutsche Anbieter wie Hetzner, IONOS oder All-Inkl.
Backup & Logfile-Aufbewahrung
Tägliche Backups sind technische Schutzmaßnahme nach Art. 32. Logfiles dürfen nicht länger als nötig gespeichert werden – branchenüblich 7 Tage für Sicherheit, danach Löschung oder Anonymisierung. Aufbewahrung muss dokumentiert sein.
Auftragsverarbeitungsverträge (AVV)
Mit jedem Dienstleister, der personenbezogene Daten in Ihrem Auftrag verarbeitet (Hoster, Newsletter-Tool, Webmaster, Cloud-Backup), brauchen Sie einen schriftlichen AVV nach Art. 28. Die meisten Anbieter stellen diesen automatisch bereit – Sie müssen ihn aktiv anfordern und unterschreiben.
Regelmäßiger DSGVO-Check
Plug-ins, Tools und Rechtsprechung ändern sich. Eine jährliche Überprüfung der Website ist Best Practice. Bei größeren Änderungen (neues Newsletter-Tool, neuer Tracker, neuer Hoster) sofort die Datenschutzerklärung anpassen.
DSGVO Website – FAQ
Was kostet eine DSGVO-Abmahnung in Hessen?
Wettbewerber-Abmahnungen wegen fehlendem Impressum oder unzureichender Datenschutzerklärung kosten in der Praxis zwischen 750 und 2.500 € Anwaltskosten. Behördliche Bußgelder des HLfDI (Hessischer Landesbeauftragter für Datenschutz und Informationsfreiheit) bewegen sich für Klein- und Mittelbetriebe typischerweise zwischen 5.000 und 50.000 €. Bei schweren Verstößen sind theoretisch bis zu 20 Mio. € oder 4 % des Jahresumsatzes möglich.
Brauche ich auf meiner Website wirklich einen Cookie-Banner?
Ja – sobald Ihre Website nicht-technisch notwendige Cookies oder Tracking-Dienste wie Google Analytics, Meta-Pixel oder Hotjar nutzt. Seit dem TDDDG (vormals TTDSG) ist eine aktive Einwilligung des Besuchers vor dem Setzen solcher Cookies Pflicht. Reine Statistik-Tools wie Matomo im anonymisierten Modus können von dieser Pflicht ausgenommen sein.
Was prüft Fly & Froth bei einem DSGVO-Check für Websites in Frankfurt?
Wir prüfen alle 12 Pflichtpunkte: SSL, Impressum, Datenschutzerklärung, Cookie-Banner, Google Fonts (lokal vs. extern), Analytics-Setup, Kontaktformular, externe Embeds, EU-Hosting, Backup-Strategie, AVV-Verträge und die letzte Aktualisierung. Sie erhalten einen schriftlichen Bericht mit konkreten Maßnahmen und Festpreis-Angebot zur Behebung. Der Check kostet 79 € und wird bei Beauftragung verrechnet.
Website-Check in 24 Stunden – schriftlicher Bericht inklusive.
Wir prüfen alle 12 Punkte für Ihre bestehende Website und liefern einen klaren Bericht mit konkreten Maßnahmen. Bei Beauftragung der Behebung wird der Check-Preis verrechnet – Sie zahlen also entweder nur den Check oder die Komplett-Behebung.
Lokal vor Ort: Webdesign Frankfurt · Webdesign-Pakete · Was kostet eine Website?