Handwerker·Auftritt
Start/Wissen/DSGVO-Checkliste für Handwerker-Websites 2026
Recht·9 Min Lesezeit·Aktualisiert 29. Mai 2026

DSGVO-Checkliste für Handwerker-Websites 2026

DSGVO-Verstöße auf Handwerker-Websites führen 2026 wieder vermehrt zu Abmahnungen — meist nicht durch Behörden, sondern durch spezialisierte Anwaltskanzleien. Streitwerte zwischen 1.500 € und 5.000 € sind Standard. Die gute Nachricht: 90 % aller Risiken lassen sich mit einer ehrlichen Checkliste in unter zwei Stunden beheben.

DSGVODatenschutzImpressumCookiesHandwerker Website

— Auf einen Blick

TL;DR

  • 01Impressum: vollständig nach §5 TMG / §63 GewO — kein Punkt fehlen lassen.
  • 02Datenschutzerklärung: konkret, lesbar, alle Tools auflisten (auch Buchungs-Widget).
  • 03Cookie-Banner: nur ladenrelevante Tools, klare Ablehnen-Option gleichberechtigt zur Annehmen-Option.
  • 04Formulare: nur abfragen, was wirklich gebraucht wird (Datensparsamkeit).
  • 05Hosting in EU (Frankfurt, Wien) und Auftragsverarbeitungsvertrag (AVV) abschließen.
  • 06Google Fonts lokal einbinden — nicht über Google-CDN. Häufigster Abmahngrund 2024/25.
  • 07Bei Buchungstool und Newsletter-Anbieter: AVV unterschreiben und im Datenschutz nennen.

Die fünf häufigsten Abmahngründe 2024/25

Anwaltskanzleien scannen automatisiert nach diesen Schwächen. Wer sie ausschließt, ist 90 % sicher:

  • Google Fonts über CDN eingebunden (IP-Adresse geht ungefragt an Google). Lösung: Fonts lokal hosten oder Next.js next/font verwenden (automatisch lokal).
  • Cookie-Banner ohne gleichberechtigte 'Ablehnen'-Option. Korrekt: zwei gleich große Buttons auf gleicher Höhe.
  • Google Maps eingebunden, ohne dass der Nutzer vorher zugestimmt hat. Lösung: 2-Klick-Lösung oder Maptiler/OSM nutzen.
  • YouTube-Videos eingebunden ohne 'No-Cookie'-Variante. Lösung: youtube-nocookie.com verwenden oder lokale Video-Datei.
  • Kontaktformular ohne Hinweis auf Datenschutz und Speicherdauer der Daten.

Impressum — was zwingend rein muss

  • Vollständiger Name des Inhabers / Geschäftsführers (kein 'Max M.'). Bei GmbH/UG zusätzlich Handelsregister-Nummer.
  • Vollständige Anschrift (keine Postfach-Adresse). Bei Service-Betrieben ohne Ladengeschäft: Wohn- oder Werkstattadresse zwingend.
  • Kontakt: E-Mail-Adresse (kein Formular allein), Telefon (bei kommerzieller Tätigkeit empfohlen — nicht zwingend).
  • Berufsbezeichnung und Kammerzugehörigkeit (Handwerkskammer, Innung). Wichtig bei reglementierten Berufen.
  • USt-IdNr. (falls vergeben) oder Hinweis auf §19 UStG (Kleinunternehmer).
  • Berufshaftpflicht-Versicherung mit Anschrift (bei Handwerksbetrieben dringend empfohlen).
  • Verantwortlich für Inhalt nach §18 Abs. 2 MStV (sofern redaktionelle Inhalte vorhanden).
  • Streitschlichtungs-Hinweis (Link zur EU-Streitschlichtungsplattform).

Datenschutzerklärung — was Sie konkret nennen müssen

Generische Datenschutz-Vorlagen reichen 2026 nicht mehr. Erforderlich ist eine konkrete, nachvollziehbare Erklärung aller Tools.

  • Welche Daten beim Aufruf der Website erhoben werden (IP, User-Agent, Referrer) — und wie lange sie gespeichert werden.
  • Welche Cookies eingesetzt werden (Name, Anbieter, Zweck, Speicherdauer) — übersichtlich tabellarisch.
  • Welche Drittanbieter Daten erhalten (Google Analytics, Calendly, Cituro, etc.) — Verlinkung deren Datenschutz.
  • Rechtsgrundlage je Verarbeitungsvorgang (Art. 6 Abs. 1 lit. a/b/f DSGVO).
  • Betroffenenrechte (Auskunft, Löschung, Widerspruch) klar erläutern, mit Kontakt zur DSGVO-Auskunft.
  • Name und Kontakt des Datenschutzbeauftragten (falls erforderlich — Pflicht ab 20 Beschäftigten mit ständiger Datenverarbeitung).

Cookies & Tracking — 2026 strikter als 2022

  • Funktional notwendige Cookies (Session, CSRF): keine Einwilligung nötig, müssen aber in der Datenschutzerklärung erscheinen.
  • Marketing-Cookies (Analytics, Ads, Facebook Pixel): nur nach aktiver Einwilligung laden. Pre-Check verboten.
  • Cookie-Banner: 'Annehmen' und 'Ablehnen' gleich prominent, gleiche Schriftgröße, gleiche Hintergrundfarbe.
  • Consent-Lösung empfohlen: Borlabs Cookie (DE), Cookiebot, klaro (Open Source). Selbstgebaut nur, wenn rechtlich abgesichert.

Hosting, Backups und Auftragsverarbeitung

EU-Hosting (Frankfurt, Wien) ist faktisch Pflicht. US-Hoster wie Cloudflare (Frontend), Vercel oder Netlify sind nutzbar, brauchen aber zusätzliche Vereinbarungen (Standardvertragsklauseln, Risiko-Folgenabschätzung).

  • AVV mit Hosting-Anbieter unterschrieben und archiviert.
  • AVV mit Buchungstool-Anbieter (Cituro, etermin, Calendly) unterschrieben.
  • Backups verschlüsselt, in EU gespeichert, Speicherort dokumentiert.
  • E-Mail-Postfach beim selben EU-Anbieter wie das Hosting — sonst doppelter AVV nötig.

— Häufige Fragen

Direkte Antworten.

Brauche ich einen externen Datenschutzbeauftragten?

Erst ab 20 Mitarbeitern, die ständig mit personenbezogenen Daten arbeiten. Die meisten Handwerksbetriebe liegen darunter. Trotzdem sollte ein interner Verantwortlicher benannt sein, und ein externer DSB ist bei sensiblen Datenverarbeitungen empfehlenswert (Kosten 50–150 €/Monat).

Reicht eine Vorlage aus dem Internet für Impressum und Datenschutz?

Als Startpunkt ja, aber sie muss anschließend angepasst werden. Generische Vorlagen erwähnen Tools, die Sie nicht nutzen — oder fehlen genau die, die Sie nutzen (z. B. Cituro). Eine 30-Minuten-Anpassung ist Pflicht.

Was riskiere ich konkret bei einer Abmahnung?

Typischer Aufwand: 1.500–5.000 € (Anwaltsgebühr + Unterlassungserklärung). Bei wiederholtem Verstoß kommen Vertragsstrafen hinzu. Behördliche Bußgelder sind bei kleinen Betrieben selten, theoretisch aber bis 4 % des Jahresumsatzes möglich.

Muss ich Google Analytics blocken?

Nein, aber nur nach aktiver Einwilligung laden. Alternative: Plausible Analytics oder Matomo (selbst gehostet) — beide datenschutzfreundlich und ohne Einwilligungspflicht nutzbar.

Ist eine SSL-Verschlüsselung Pflicht?

Ja. Ohne TLS/HTTPS ist eine Website mit Kontaktformular 2026 nicht rechtskonform. Let's Encrypt ist kostenlos und bei allen seriösen Hostern automatisch eingerichtet.

Was gilt für Bewertungen, die ich auf der Website einblende?

Bewertungen mit Namen dürfen Sie nur mit Einwilligung der bewertenden Person veröffentlichen. Anonymisierte Auszüge (z. B. 'F. M. aus Wien') sind in der Regel zulässig. Sicher ist: Einwilligung kurz schriftlich einholen.

Brauche ich ein Cookie-Banner, wenn ich keine Cookies setze?

Nein. Wer ausschließlich funktional notwendige Cookies setzt (z. B. Session-ID), braucht kein Banner. Sobald Analytics, Buchungstool mit US-Anbietern oder Werbe-Pixel zum Einsatz kommen, ist ein Banner Pflicht.

— Weiterlesen

Passende Leitfäden

Handwerk · 9 Min

Was kostet eine Website für Handwerker 2026? Realistische Preise & versteckte Kosten

Realistische Preise für eine Handwerker-Website 2026: Einmalige Kosten, laufende Gebühren, versteckte Posten. Plus Vergleich Baukasten vs. Agentur vs. Freelancer.

SEO · 11 Min

Google Business Profile für Handwerker einrichten: Schritt-für-Schritt-Anleitung

Google Business Profile für Handwerker einrichten — komplette Anleitung mit Kategoriewahl, Service-Bereich, Fotos, Bewertungen und FAQ. Inkl. lokales SEO und häufige Fehler.

Lassen Sie uns
zwanzig Minuten
sprechen.

Buchen Sie einen freien Termin — unverbindlich und kostenlos. Im Anschluss erhalten Sie ein individuelles Angebot.

E-Mail
hallo@handwerker-auftritt.de
Standort · AT
Neubaugasse 12 · 1070 Wien
Standort · DE
Maximilianstraße 28 · 80539 München

— Termin 01 · 20 Minuten · kostenlos

Einen freien Termin
in 30 Sekunden buchen.

Der Buchungskalender öffnet sich in einem neuen Fenster. Sie sehen sofort die nächsten verfügbaren Slots und buchen mit zwei Klicks — ohne Konto, ohne Wartezeit.

Termin buchen
  • 20 Min
  • Kostenlos
  • Unverbindlich