In jedem Paket · 30 Tage Kontrolle nach Go-Live — Bugs, Anpassungen, Fragen Pakete ansehen →
Brief starten
LeistungenPluginsPreiseÜber michKontakt Brief starten →
← Blog
09. Mai 2026 · 8 min

DSGVO-Checkliste für's kleine Gewerbe

DSGVO klingt nach 80-Seiten-Juristenpapier. Für eine typische Handwerker-Homepage sind es eigentlich nur acht Punkte. Hier ist die ehrliche Kurzversion.

1. Impressum – vollständig

Pflicht sind: voller Name, ladungsfähige Anschrift, Telefon oder E-Mail, Umsatzsteuer-ID (falls vorhanden), bei Handwerkern: Kammer + Berufsbezeichnung + Land in dem die Bezeichnung verliehen wurde.

2. Datenschutzerklärung – aktuell

Nicht älter als 2022 (Stand 2026). Muss benennen: was du speicherst, warum, wie lange, wer noch Zugriff hat, welche Rechte der Besucher hat. Generator-Ergebnis ist OK solange du es tatsächlich liest und anpasst wo nötig. Aktuell halten ist der eigentliche Knackpunkt — siehe Wartungsvertrag: sinnvoll oder Nepp?.

3. Cookie-Banner – nur wenn nötig

Spoiler: meist nicht nötig. Wer nur ein Kontaktformular und Plausible Analytics nutzt, braucht keinen Cookie-Banner. Wer Google Analytics, Meta-Pixel, YouTube-Embeds oder Google Maps einbindet: ja, Banner mit echter Wahl. Welche Banner-Fehler aktuell systematisch abgemahnt werden, hab ich hier zusammengefasst.

4. Kontaktformular – SSL + keine Weitergabe

Muss über HTTPS laufen (Let's Encrypt, kostenlos). Daten dürfen nur für die Anfragen-Bearbeitung genutzt werden, nicht weiterverkauft, nicht Newsletter zugeordnet ohne extra Einwilligung.

5. Google Fonts / externe CDNs

Entweder lokal einbinden oder weglassen. Externe Font-Einbindung hat schon Abmahnwellen ausgelöst. Kostet dich keine zehn Zeilen Code, schützt vor ärger.

6. Newsletter – Double-Opt-In

Pflicht. Jemand trägt sich ein → Bestätigungsmail → erst nach Klick ist die Person im Verteiler. Ohne das: Abmahn-Risiko.

7. Auftragsverarbeitungs-Vertrag mit Dienstleistern

Hosting-Anbieter, Mail-Dienst, Backup-Anbieter, Analytics – für jeden der personenbezogene Daten sieht, brauchst du einen AVV. Die seriösen Anbieter stellen den fertig bereit (Ionos, Cloudflare, Plausible ja; Google/Meta: nur mit EU-Zusatz).

8. Löschroutine – wie lange speicherst du was?

Kontaktanfragen: max. 12 Monate wenn kein Vertrag. Auftragsdaten: 10 Jahre (steuerliche Aufbewahrung). Logfiles: 7 Tage. Schreib's in die Datenschutzerklärung und halt dich dran.

Wann du übers Ziel hinausschießt

DSGVO heißt nicht "maximaler Bürokratie-Apparat". Drei Punkte, bei denen Solo-Selbstständige sich oft selbst Arbeit machen, die nicht nötig ist:

  • Datenschutzbeauftragten bestellen — Pflicht erst ab 20 Personen, die ständig automatisiert personenbezogene Daten verarbeiten (§38 BDSG). Für eine 1-Person-Firma also nicht.
  • Verarbeitungsverzeichnis als 30-Seiten-PDF — Form ist frei. Ein Excel-Sheet mit 8 Zeilen reicht (1 Zeile pro Datenverarbeitung).
  • Cookie-Banner trotz datenschutzfreundlichem Stack — wer nur Kontaktformular + Plausible nutzt, braucht keinen (siehe Punkt 3). Sich trotzdem einen einzubauen schreckt nur Besucher ab.

Die DSGVO bestraft Wegduck-Versuche, nicht schlanke Lösungen. Wer die acht Punkte oben sauber abdeckt, ist als 1-Person-Betrieb durch.

Häufige Fragen zur DSGVO im kleinen Gewerbe

Brauche ich als Solo-Selbstständiger einen Datenschutzbeauftragten?

Nein. Pflicht ist ein Datenschutzbeauftragter erst ab 20 Personen, die ständig personenbezogene Daten verarbeiten (§38 BDSG). Eine 1-Person-Firma fällt nie darunter — auch wenn der Anbieter eines Generators dir das Gegenteil verkaufen will.

Reicht ein DSGVO-Generator für die Datenschutzerklärung?

Ja, solange du ihn ernst nimmst. Generator-Ergebnis ausdrucken, durchlesen, jeden Absatz mit deinem realen Setup abgleichen und anpassen. Wer einfach das Default-Ergebnis von eRecht24 oder Datenschutz-Generator.de übernimmt, ohne den eigenen Stack zu prüfen, hat im Zweifel falsche Angaben drinstehen — und das ist abmahnbar.

Muss ich zwingend ein Cookie-Banner einbauen?

Nur wenn du Cookies setzt, die nicht technisch notwendig sind — also Tracking, Marketing, externe Embeds. Wer nur ein Kontaktformular und ein datenschutzfreundliches Analytics-Tool wie Plausible nutzt, ist nicht banner-pflichtig. Welche Banner-Fehler aktuell systematisch abgemahnt werden, hab ich im Cookie-Banner-Artikel aufgeschrieben.

Was ist ein AVV und brauche ich den für jeden Dienstleister?

Ein Auftragsverarbeitungs-Vertrag (Art. 28 DSGVO) regelt, wie ein Dienstleister mit personenbezogenen Daten umgeht, die er für dich verarbeitet. Pflicht bei: Hosting-Anbieter, Mail-Versand, Backup-Anbieter, Newsletter-Tool, Analytics. Nicht nötig bei: reinen Software-Anbietern ohne Datenzugriff (z. B. lokal installierte Buchhaltungs-Software).

Wie lange darf ich Kundendaten speichern?

Kontaktanfragen ohne Vertrag: maximal 12 Monate. Daten aus Geschäftsbeziehungen: 10 Jahre wegen steuerlicher Aufbewahrungspflicht (Rechnungen, Verträge, Geschäftskorrespondenz). Server-Logfiles: 7 Tage reichen für Sicherheits-Audit. Newsletter-Anmeldungen: bis zum Widerruf, dann sofort löschen.

Unsicher ob deine Seite die acht Punkte erfüllt? Fülle den Brief aus, ich check sie kostenlos durch und melde mich innerhalb 48 h mit einer ehrlichen Einschätzung. Brief starten →