DSGVO und Website 2026: Konformitätsleitfaden für europäische KMU
Ein KMU erreicht DSGVO-Konformität durch Abhaken von 8 Punkten: Consent Mode v2 implementiert, Cookie-Banner ohne Dark Patterns, aktuelles Verarbeitungsverzeichnis, EU-Hosting bestätigt, Datenschutzbeauftragter bei Pflicht, funktionsfähige Betroffenenrechte (Auskunft/Löschung), dokumentierte Speicherfristen und zugängliche Datenschutzerklärung. Die kumulierten Bußgelder gegen Meta, TikTok und Uber überschritten 2024-2025 die Milliardengrenze.
Die DSGVO wird 2026 acht Jahre alt, doch laut der Cookiebot-Studie 2025 sind 70% der europäischen KMU-Websites teilweise nicht konform. Zwischen verpflichtendem Consent Mode v2 seit März 2024, dem DSA, dem Ende des Privacy Shield und seiner Wiederauferstehung als Data Privacy Framework sowie neuen Aufsichtsentscheidungen zu Dark Patterns bewegt sich das Feld ständig. Hier ist die Checkliste, die OptionWeb 2026 auf alle Kundenseiten anwendet.
1. Google Consent Mode v2 ist Pflicht
Seit dem 6. März 2024 verlangt Google die Implementierung von Consent Mode v2, um Google Ads und Google Analytics mit europäischen Nutzern einzusetzen. Ohne Consent Mode v2 können Ihre Kampagnen keine EWR-Daten mehr zur Optimierung nutzen, und Conversions werden massiv unterdokumentiert.
Konkret müssen 7 Einwilligungsparameter an Google übermittelt werden: ad_storage, ad_user_data, ad_personalization, analytics_storage, functionality_storage, personalization_storage, security_storage. Eine Google-zertifizierte CMP (Consent Management Platform) erledigt das automatisch.
| CMP | Monatspreis | Vorteile | Nachteile |
|---|---|---|---|
| Cookiebot | 12-39 € / 100k Views | Robust, Google-zertifiziert, automatischer Cookie-Scan | Teuer ab 100k Views, veraltete UI |
| Didomi | Auf Anfrage (~80-300 €) | Enterprise-Referenz, mehrländerkonform | Teuer für KMU |
| Axeptio | 9-49 € | Moderne UX, freundlicher Ton, EU-Sitz | Weniger technische Granularität |
| Iubenda | 5-30 € | Gutes Preis-Leistungs-Verhältnis, mehrsprachig | Weniger klare Doku |
| Open-Source-CMP (Klaro) | 0 € | Self-hosted, kostenlos, DSGVO-kompatibel | Manuelle Wartung, kein Auto-Scan |
OptionWeb-Empfehlung: Axeptio für KMU bis 100k Views/Monat (UX, Preis, EU-Sitz), Cookiebot darüber, wenn automatischer Multi-Domain-Scan benötigt wird.
2. Cookie-Banner ohne Dark Patterns
Die deutschen Landesdatenschutzbehörden und die französische CNIL haben 2024-2025 die Sanktionen gegen Cookie-Banner vervielfacht. Ausdrücklich verbotene Muster: 'Alle ablehnen'-Button versteckt oder weniger sichtbar als 'Akzeptieren', vorausgewählte Kästchen für nicht-essenzielle Cookies, Seiten-Scrollen als implizite Einwilligung, Banner-Schließen ohne Wahl als Zustimmung.
Strenge Regel: 'Alle akzeptieren' und 'Alle ablehnen' auf gleicher visueller Ebene — gleiche Größe, Farbe, Position. Ablehnen muss so leicht sein wie Akzeptieren. Ein französisches KMU erhielt 2024 ein Bußgeld von 8.000 €, nur weil sein 'Ablehnen'-Button doppelt so klein war.
3. Verzeichnis von Verarbeitungstätigkeiten
Das Verzeichnis von Verarbeitungstätigkeiten ist Pflicht für jede Organisation mit mehr als 250 Mitarbeitenden, darunter dringend empfohlen. Bei einer Kontrolle ist es das erste Dokument, das die Aufsichtsbehörde anfordert.
Für jede Verarbeitung (Newsletter, Kontaktformular, Zahlung, Recruiting, Buchhaltung) dokumentieren:
- Zweck — Warum Sie diese Daten erheben (z. B. monatlichen Newsletter versenden).
- Rechtsgrundlage — Einwilligung, Vertrag, gesetzliche Pflicht, berechtigtes Interesse, öffentliches Interesse oder lebenswichtige Interessen.
- Datenkategorien — E-Mail, Name, IP, Verhalten, Zahlungsdaten usw.
- Kategorien Betroffener — Interessenten, Kunden, Mitarbeitende, Subunternehmer, Bewerber.
- Empfänger — Wer Daten erhält: internes Team, Auftragsverarbeiter (Mailchimp, Stripe), Partner.
- Drittlandtransfers — Falls zutreffend: Land, Rechtsgrundlage (SCC, BCR, Angemessenheitsbeschluss).
- Speicherfrist — Aktiv + Zwischenarchiv + gesetzliches Archiv.
- Sicherheitsmaßnahmen — Verschlüsselung, Zugriffskontrolle, Backups, Team-Schulung.
Praktisches Format: Excel- oder Notion-Tabelle, bei jeder neuen Verarbeitung aktualisiert. Die deutschen Aufsichtsbehörden bieten kostenlose Vorlagen. Rechnen Sie mit 1-2 Tagen Arbeit beim Erststart.
4. Hosting und Drittlandtransfers
Seit dem Schrems-II-Urteil (Juli 2020) gilt das Hosten einer Website mit europäischen Nutzern auf AWS US, Google Cloud US oder Azure US ohne Standardvertragsklauseln und Folgenabschätzung als klar nicht konform. Das EU-US Data Privacy Framework vom Juli 2023 stabilisierte die Lage für DPF-zertifizierte US-Hoster, aber Restrisiken bleiben (anhängige Nichtigkeitsklage).
Einfache Lösung für KMU: ein Hoster in der EU (AWS Frankfurt, OVH, Hetzner, Scaleway, Verpex EU). Kein Drittlandtransfer = keine Diskussion. Das ist unsere Standardwahl bei OptionWeb mit Verpex (Datacenter Niederlande).
Für unverzichtbare US-Auftragsverarbeiter (Stripe, Mailchimp, HubSpot, Google Workspace) gilt:
- DPF-Zertifizierung des Auftragsverarbeiters auf dataprivacyframework.gov prüfen
- Einen AVV (Auftragsverarbeitungsvertrag) abschließen (i. d. R. automatisch über die AGB)
- Die SCC (Standard Contractual Clauses) zum AVV überprüfen
- Den Transfer und seine Rechtsgrundlage im Verarbeitungsverzeichnis dokumentieren
- Den Transfer ausdrücklich in der Datenschutzerklärung erwähnen
5. Datenschutzbeauftragter: Pflicht oder nicht?
Der Datenschutzbeauftragte (DSB) ist DSGVO-Pflicht in 3 Fällen: öffentliche Stelle, systematische umfangreiche Überwachung von Personen, umfangreiche Verarbeitung sensibler Daten (Gesundheit, Meinungen, Religion, Biometrie). In Deutschland zusätzlich ab 20 Personen, die regelmäßig mit personenbezogenen Daten arbeiten.
Auch ohne Pflicht ist es stark empfohlen für B2C-KMU und E-Commerce: Ein externer geteilter DSB kostet 200-500 €/Monat und sichert rechtlich ab. Drei Optionen:
| Option | Kosten | Für wen |
|---|---|---|
| Interner DSB (Geschäftsführer oder geschulte HR) | Schulung 800-2000 € | KMU 10-50 Personen, einfache Verarbeitungen |
| Externer geteilter DSB | 200-500 €/Monat | B2C- oder E-Commerce-KMU mit Nutzerdaten |
| Interner Vollzeit-DSB | Gehalt 50-80k €/Jahr | 100+ Mitarbeitende oder sensible Verarbeitungen |
6. Betroffenenrechte (Auskunft, Löschung)
Jeder Nutzer hat 6 durchsetzbare Rechte: Auskunft, Berichtigung, Löschung (Recht auf Vergessenwerden), Einschränkung, Datenübertragbarkeit, Widerspruch. Ein KMU muss eine Anfrage innerhalb von 1 Monat bearbeiten (verlängerbar auf 2 Monate bei komplexen Fällen mit Begründung).
Mindest-Setup: dedizierte E-Mail-Adresse (privacy@ihredomain.eu), Kontaktformular mit Label 'DSGVO-Anfrage', dokumentiertes internes Verfahren zur Identifikation der Anfrage, zum Auffinden und Exportieren oder Löschen der Daten und zur Benachrichtigung des Nutzers.
7. Speicherfristen
Daten 'für alle Fälle' aufzubewahren = DSGVO-Verstoß. Jede Datenkategorie braucht eine begründete Speicherfrist. KMU-Vorlage:
| Kategorie | Aktiv | Zwischenarchiv | Gesetzlich |
|---|---|---|---|
| Interessenten (Kontaktformular) | 3 Jahre nach letztem Kontakt | — | — |
| Kunden | Beziehung + 3 Jahre | 5 Jahre | 10 Jahre (Rechnungen) |
| Newsletter-Abonnenten | Solange abonniert | 1 Jahr nach Abmeldung | — |
| Abgelehnte Bewerbungen | 2 Jahre (außer Löschwunsch) | — | — |
| Server-Logs (Sicherheit) | Max. 1 Jahr | — | — |
| Analytics-Cookies | Max. 13 Monate | — | — |
8. Zugängliche Datenschutzerklärung
Eigene Seite, Link im Footer jeder Seite, in klarer Sprache verfasst (kein unleserliches Juristendeutsch). Muss enthalten: Identität des Verantwortlichen, Zwecke und Rechtsgrundlagen, Speicherfristen, Betroffenenrechte und deren Ausübung, etwaige Drittlandtransfers, Liste der Auftragsverarbeiter (Google Analytics, Mailchimp usw.), DSB falls benannt, Recht auf Beschwerde bei der Aufsichtsbehörde (BfDI bzw. Landesbehörde in Deutschland, CNIL in Frankreich).
Bei jedem neuen Auftragsverarbeiter oder neuen Zweck aktualisieren. Datum der letzten Aktualisierung sichtbar oben auf der Seite.
Aktuelle Bußgelder: das Wesentliche
Die DSGVO-Bußgelder überschritten 2024 die kumulierte Milliardengrenze allein für Meta (1,2 Mrd. €), TikTok (345 Mio. €) und Uber (290 Mio. €). Bei KMU bleiben die Sanktionen moderater, aber die wiederkehrenden Gründe sind aufschlussreich:
- 'Ablehnen'-Button versteckt oder kleiner — Wiederholte Sanktionen zwischen 5.000 € und 100.000 € im Jahr 2024.
- Newsletter ohne geprüftes Double-Opt-in — Typischer Fall: 10.000 € Bußgeld für ein KMU, das eine Liste ohne Einwilligungsnachweis importierte.
- Übermäßige Speicherfrist — Lebensläufe 10 Jahre 'für alle Fälle' aufzubewahren = Sanktion. Empfohlen max. 2 Jahre.
- Transfer an US-Auftragsverarbeiter ohne SCC — Sanktion 2025 gegen ein KMU, das ein nicht-DPF US-Marketingtool nutzte: 25.000 €.
- Datenschutzerklärung fehlt oder ist unvollständig — Mindestbußgeld von 5.000 € bei Beschwerden quasi systematisch.
Read next
Web-Barrierefreiheit und European Accessibility Act 2025: WCAG 2.2-Leitfaden
Der European Accessibility Act gilt seit dem 28. Juni 2025. Welche Unternehmen sind betroffen, welche WCAG 2.2-Pflichten gelten und wie auditiert man eine KMU-Website 2026.
Webhosting in Belgien 2026: Der komplette Leitfaden für KMU
Wie wähle ich 2026 einen belgischen Webhoster — Auswahlkriterien, tatsächliche Kosten, DSGVO-Konformität, lokale Rechenzentren, Performance. Praktischer Leitfaden von OptionWeb.
Local SEO und Google Business Profile für belgische KMU im Jahr 2026
Wie man im Google Local Pack rankt: Google Business Profile-Optimierung, NAP-Citations, Review Velocity, LocalBusiness-Schema und spezifische Strategie für belgische KMU.