Ich bin kein Anwalt und das hier ist keine Rechtsberatung. Aber nach hunderten von Website-Projekten weiß ich, welche DSGVO-Punkte immer wieder fehlen — und dich im schlimmsten Fall eine Abmahnung kosten können.
Das absolute Minimum
Impressum. Pflicht für alle geschäftlichen Websites. Name, Adresse, Kontakt, Umsatzsteuer-ID (wenn vorhanden). Muss von jeder Seite erreichbar sein — üblicherweise im Footer.
Datenschutzerklärung. Erklärt, welche Daten du erhebst und warum. Auch wenn du “nur” Google Fonts oder ein Kontaktformular nutzt: beides ist datenschutzrelevant.
Cookie-Banner, wenn nötig. Technisch notwendige Cookies (Session, CSRF) brauchen keine Einwilligung. Tracking, Analytics, Marketing-Cookies dagegen schon. Wenn du Google Analytics nutzt ohne Cookie-Banner — das ist ein Problem.
Was viele vergessen
Google Fonts lokal hosten. Google Fonts von einem externen Server zu laden überträgt IP-Adressen an Google — ohne Einwilligung. Die Lösung: Fonts lokal hosten. Das mache ich bei jedem Projekt standardmäßig.
Kontaktformular — Verarbeitungshinweis. Wenn jemand über dein Formular schreibt, musst du erklären, was mit seinen Daten passiert. Ein kurzer Satz mit Link zur Datenschutzerklärung reicht.
Auftragsverarbeitungsvertrag mit deinem Hoster. Wenn dein Hoster personenbezogene Daten verarbeitet (und das tut er), brauchst du einen AVV. Die meisten seriösen Hoster bieten den automatisch an.
Was ich bei jedem Projekt liefere
Impressum und Datenschutzerklärung gehören zum Standard jedes Pakets. Ich nutze einen lokalen Cookie-Lösung ohne externe Abhängigkeiten. Google Fonts werden lokal eingebunden.
Das gibt dir keine 100%ige rechtliche Sicherheit — das kann nur ein Anwalt. Aber es gibt dir eine solide Basis, die die häufigsten Fallstricke vermeidet.