Miliienko.Studiowebseiteerstellen · Berlin
Alle Artikel

DSGVO-Website in Berlin 2026 — was Pflicht ist, was Mythos

Kurzantwort: Jede Website in Deutschland — auch eine reine Visitenkarte ohne Online-Shop — muss seit Mai 2018 ein vollständiges Impressum nach §5 TMG, eine Datenschutzerklärung nach DSGVO Art. 13 und seit Dezember 2021 ein Cookie-Banner mit echtem Opt-in nach TTDSG haben. Wer Google Fonts vom CDN, Google Analytics ohne Einwilligung oder den Meta Pixel ohne Opt-in einsetzt, riskiert Abmahnungen ab 170 Euro und Bußgelder im vierstelligen Bereich.

Das ist die Kurzversion. Jetzt detailliert — und ehrlich. Wir haben in den letzten Jahren genug Berliner Unternehmer gesehen, die "die DSGVO" für überzogene Bürokratie halten. Manche zahlen das mit Anwaltsschreiben. Wir erklären, was Sie wirklich brauchen und was Sie sich sparen können.

Die drei DSGVO-Säulen für jede Berliner Website

Säule 1: Impressum (§5 TMG)

Das Impressum ist seit dem Telemediengesetz von 2007 Pflicht — also älter als die DSGVO. Es muss von jeder Seite Ihrer Website in maximal zwei Klicks erreichbar sein. "Versteckt im Footer" reicht, "nur über die Suchfunktion" nicht.

Pflichtangaben für ein Berliner Einzelunternehmen oder Kleinunternehmer:

  • Vollständiger Name (kein Pseudonym!)
  • Anschrift (ladungsfähig, keine Postfächer)
  • Telefonnummer oder gleichwertig schnelles Kontaktmittel
  • E-Mail-Adresse
  • Umsatzsteuer-ID, falls vorhanden (bei §19 UStG-Kleinunternehmer: nicht zwingend)
  • Aufsichtsbehörde, falls behördlich erlaubnispflichtig (Ärzte, Anwälte, Steuerberater, etc.)
  • Berufsbezeichnung und gesetzliche Berufshaftpflicht, falls relevant

Typische Fehler in Berlin:

  • Telefonnummer fehlt komplett (höchste Abmahngefahr)
  • "Adresse: c/o Coworking Space" — ladungsfähig muss zustellbar sein
  • E-Mail als Bilddatei statt als Mailto-Link (Barrierefreiheit-Verstoß seit 28.06.2025 BFSG)

Bußgeld bei fehlerhaftem Impressum: bis zu 50.000 Euro nach §16 TMG. In der Praxis: Abmahnung mit 170 bis 500 Euro Anwaltskosten ist Standard.

Säule 2: Datenschutzerklärung (DSGVO Art. 13)

Die Datenschutzerklärung muss alle Datenverarbeitungen auf Ihrer Website beschreiben — verständlich, vollständig, präzise. Nicht "wir nehmen Datenschutz ernst", sondern: welche Tools wir einsetzen, welche Daten dabei wo verarbeitet werden, auf welcher Rechtsgrundlage, wie lange gespeichert wird, welche Rechte Sie als Nutzer haben.

Eine vollständige Datenschutzerklärung für eine Berliner KMU-Website behandelt typischerweise:

  1. Verantwortlicher — wer Sie sind, wie man Sie erreicht
  2. Hosting — welcher Provider, wo dessen Server stehen (EU? USA?), AVV-Verweis
  3. Server-Logfiles — IP-Adresse, User-Agent, was wie lange gespeichert wird
  4. Kontaktformulare — was nach Absenden mit Ihren Daten passiert
  5. Newsletter — falls vorhanden, Double-Opt-in-Prozess
  6. Tracking-Tools — Google Analytics, Matomo, Plausible — mit Einwilligungsstatus
  7. Marketing-Tools — Meta Pixel, Google Ads Conversion, LinkedIn Insight
  8. Eingebettete Inhalte — YouTube-Videos, Google Maps, Vimeo, Twitter-Embed
  9. Cookies — welche, wofür, wie lange
  10. Ihre Rechte — Auskunft, Löschung, Widerspruch, Beschwerde bei BlnBDI

Bußgeld bei fehlender oder fehlerhafter Datenschutzerklärung: bis zu 4 Prozent des Jahresumsatzes oder 20 Millionen Euro (whichever is greater). Realistisch für KMU: 500 bis 5.000 Euro durch die Berliner Datenschutzbehörde BlnBDI.

Seit 1. Dezember 2021 verlangt das TTDSG, dass Sie für jedes Cookie und jede vergleichbare Technologie (Local Storage, Pixel, Fingerprint) — außer technisch notwendige — eine vorherige Einwilligung des Nutzers einholen müssen. "Vorher" heißt: bevor das Cookie gesetzt wird, nicht "wenn der Nutzer auf eine Seite klickt".

Was ein DSGVO-konformer Cookie-Banner können muss:

  • "Alle akzeptieren" und "Alle ablehnen" gleichwertig sichtbar (kein versteckter Ablehn-Link)
  • Kategorisierung: notwendig (immer erlaubt), Präferenzen, Statistik, Marketing — separat anwählbar
  • Vor der Einwilligung dürfen keine nicht-notwendigen Tracker laden
  • Speicherung der Einwilligungs-Historie (nachweisbar für Behörden)
  • Möglichkeit, die Einwilligung jederzeit zu widerrufen

Empfehlung 2026: Borlabs Cookie (60 Euro/Jahr Pro-Lizenz), Complianz (50 Euro/Jahr), oder ein eigenes Implementierung für Next.js-Sites. Kostenlose Lösungen wie das WordPress-Standard-Cookie-Plugin reichen 2026 nicht mehr aus.

Bußgeld bei fehlerhaftem Cookie-Banner: Abmahnung 170 bis 500 Euro Anfangskosten, Verfahren der BlnBDI typisch 1.000 bis 10.000 Euro. Im Wiederholungsfall deutlich mehr.

Google Fonts — der Klassiker unter den DSGVO-Fallen

Im Januar 2022 entschied das LG München (3 O 17493/20): Wer Google Fonts dynamisch vom Google-CDN lädt — statt sie lokal einzubinden —, verstößt gegen die DSGVO. Grund: die IP-Adresse des Besuchers wird an Google-Server in den USA übertragen, ohne dass eine Einwilligung vorliegt und ohne dass eine geeignete Rechtsgrundlage besteht.

Folge: 2022 bis 2024 explodierten Abmahnschreiben gegen Berliner Unternehmen, die Google Fonts naiv per <link> einbanden. Anwaltskosten typisch 100 bis 200 Euro pro Schreiben. Wer mehrere Domains betreibt, kann schnell auf 1.000 Euro Schaden kommen.

Lösung: Alle Schriften lokal hosten — als Datei auf dem eigenen Server. Das gilt nicht nur für Google Fonts, sondern auch für Adobe Fonts, Typekit und alle anderen CDN-basierten Schrift-Dienste. Wir setzen das standardmäßig in jedem unserer Pakete um.

Schnell-Test für Ihre eigene Seite: Öffnen Sie die Entwickler-Konsole (F12), Tab "Network", Filter "Font". Sehen Sie Anfragen zu fonts.googleapis.com oder fonts.gstatic.com — handeln Sie sofort.

Häufige Mythen — was ist wirklich Pflicht und was nicht?

Mythos 1: "Eine reine Visitenkarten-Website braucht keine Datenschutzerklärung"

Falsch. Sobald Ihr Server Logfiles schreibt — was praktisch immer der Fall ist —, verarbeiten Sie personenbezogene Daten (mindestens die IP-Adresse). Datenschutzerklärung ist Pflicht.

Mythos 2: "Cookie-Banner reicht — ich brauche keine Datenschutzerklärung mehr"

Falsch. Beide sind separate Anforderungen aus unterschiedlichen Gesetzen (TTDSG für Cookies, DSGVO für Datenschutz allgemein). Sie brauchen beides.

Mythos 3: "Google Analytics geht auch ohne Einwilligung, wenn man IP-Anonymisierung aktiviert"

Stand 2026 falsch. Die österreichische Datenschutzbehörde hat 2022 entschieden, dass GA grundsätzlich nicht DSGVO-konform ist (Schrems-II-Folgen, USA-Datenübertragung). 2024 hat Google mit GA4 nachgebessert, aber: Cookie-Einwilligung bleibt Pflicht. Für reine Statistik-Bedarfe ist Matomo oder Plausible die rechtssichere Alternative.

Mythos 4: "Wir sind doch nur ein Kleinunternehmer — DSGVO gilt erst ab einer bestimmten Mitarbeiterzahl"

Falsch. Die DSGVO gilt für jede Datenverarbeitung — unabhängig von der Größe Ihres Unternehmens. Ein Einpersonen-Coaching-Studio ist genauso verpflichtet wie ein Konzern. Ausnahme: kein verpflichtender Datenschutzbeauftragter unter 20 Mitarbeitern und in bestimmten Branchen.

Halb falsch. Sie brauchen keinen Cookie-Banner, wenn Sie ausschließlich technisch notwendige Cookies einsetzen (z. B. Session-Cookie für ein Login). Sobald Sie aber YouTube einbetten, Google Maps zeigen, Vimeo-Videos laden oder Web-Fonts vom CDN benutzen — Cookie-Banner mit Opt-in.

Praktischer Mini-Checkliste für Berliner Websites

Wenn Sie unsicher sind, ob Ihre Seite DSGVO-konform ist, beantworten Sie folgende Fragen. Jedes "Nein" ist ein Handlungsbedarf.

  • Ist mein Impressum von jeder Unterseite in maximal zwei Klicks erreichbar?
  • Enthält mein Impressum Name, Anschrift, Telefon, E-Mail?
  • Bin ich behördlich erlaubnispflichtig (Arzt, Anwalt, Steuerberater, Handwerker mit Meister) und habe ich die Aufsichtsbehörde aufgeführt?
  • Habe ich eine vollständige Datenschutzerklärung, die alle eingesetzten Tools auflistet?
  • Verwende ich Google Fonts lokal — nicht vom CDN?
  • Habe ich einen Cookie-Banner mit "Alle akzeptieren" und "Alle ablehnen" gleichberechtigt sichtbar?
  • Werden alle nicht-notwendigen Tracker erst nach Einwilligung geladen?
  • Bewahre ich Einwilligungs-Historien auf (Logging)?
  • Habe ich einen AVV mit meinem Hosting-Anbieter abgeschlossen?
  • Sind Kontaktformulare per HTTPS verschlüsselt übertragen?

Wer bei mindestens drei Punkten "Nein" antwortet, sollte handeln. Ein DSGVO-Audit bei uns kostet 299 Euro brutto, inklusive Umsetzung der wichtigsten Punkte.

Häufige Fragen zur DSGVO und Website

Brauche ich einen Datenschutzbeauftragten in Berlin?

Pflicht ab 20 Mitarbeitern, die regelmäßig mit personenbezogenen Daten arbeiten — und in bestimmten Branchen (Gesundheit, Steuerberatung, Anwälte) auch früher. Für die meisten Berliner KMU gilt: kein interner Datenschutzbeauftragter erforderlich, aber Datenschutz-Pflichten gelten trotzdem voll.

Was ist ein AVV und brauche ich einen?

Ein Auftragsverarbeitungsvertrag (AVV) regelt die Datenverarbeitung zwischen Ihnen und Dienstleistern, die Ihre Kundendaten verarbeiten — z. B. Hosting-Anbieter, Newsletter-Tools, Cloud-Speicher. Pflicht nach DSGVO Art. 28. Hostinger, Brevo, Mailchimp und Co. bieten Standard-AVVs an. Im Zweifel: bei jedem Tool den AVV bestellen und ablegen.

Was darf die Berliner Datenschutzbehörde (BlnBDI) bei Beschwerde unternehmen?

Beschwerden über Datenschutzverletzungen können bei der Berliner Beauftragten für Datenschutz und Informationsfreiheit eingereicht werden. Die Behörde kann anordnen, dass Sie Verarbeitungen einstellen, Daten löschen oder Bußgelder verhängen. Für KMU realistisch: schriftliche Anhörung, dann Verwarnung — Bußgeld in 30 bis 40 Prozent der Fälle.

Kann ich mit einem AGB-Generator alles abdecken?

AGB-Generatoren wie eRecht24 oder der Generator der IHK Berlin sind ein guter Startpunkt — aber sie schließen keine individuelle Anpassung ersatzfrei aus. Wenn Sie YouTube-Embeds, Newsletter, Marketing-Pixel oder andere Tools verwenden, müssen die Generatoren-Texte angepasst werden. Pauschal-Datenschutzerklärungen aus dem Generator reichen 2026 nicht mehr.

Was kostet ein DSGVO-Audit in Berlin?

Realistisch 199 bis 800 Euro brutto, je nach Umfang. Wir bieten Audits für 299 Euro brutto an, inklusive Umsetzung der wichtigsten technischen Punkte. Anwaltskanzleien spezialisiert auf Datenschutz nehmen typischerweise 500 bis 1.500 Euro für ein umfassendes Gutachten.

Fazit: DSGVO ist machbar — aber Pflicht

Die DSGVO ist 2026 kein "kann man auch lassen". Berliner Unternehmer werden seit Jahren abgemahnt, und die Behörden werden inzwischen aktiver. Gleichzeitig ist die Umsetzung machbar — die hier beschriebenen Schritte lassen sich in einer guten Wochenarbeit umsetzen, und in jedem unserer Website-Pakete sind sie bereits eingebaut.

Wer eine neue Website baut, sollte DSGVO von Anfang an mitdenken. Wer eine bestehende Website hat und unsicher ist — Audit machen, Schwachstellen schließen. Die Kosten dafür sind in jedem Fall geringer als ein Abmahnschreiben.

[DSGVO-Audit anfragen] [Pakete ansehen]

Verwandte Artikel:

  • Was kostet eine Website in Berlin 2026?
  • WordPress oder Next.js für KMU?
  • BFSG ab 28.06.2025: was Berliner Websites jetzt können müssen

Erstgespräch · kostenlos · 15 Min

Bereit für eine Website, die liefert?

Erstgespräch buchen — kostenlos, 15 Minuten, ohne Verpflichtung. Angebot mit Festpreis binnen 24 Stunden.

Termin sichern +49 1525 9194184