Kanzleiwebsite DSGVO-konform: Was Rechtsanwälte wirklich beachten müssen

Eine Kanzleiwebsite DSGVO-konform zu betreiben ist kein optionales Nice-to-have — es ist Pflicht. Gerade Rechtsanwälte befinden sich in einer besonders exponierten Lage: Als juristische Fachleute werden sie von Mandanten, Konkurrenten und Datenschutzbehörden gleichermaßen beobachtet. Wer hier schludert, riskiert Abmahnungen, Bußgelder und vor allem den Vertrauensverlust bei potenziellen Mandanten.

Dieser Leitfaden zeigt Ihnen, welche datenschutzrechtlichen Anforderungen Ihre Kanzleiwebsite konkret erfüllen muss, wo die häufigsten Fehler liegen und wie Sie das Thema pragmatisch — ohne übertriebenen Aufwand — umsetzen.

---

Warum Datenschutz auf der Kanzleiwebsite so besonders wichtig ist

Rechtsanwälte unterliegen einer strengen Verschwiegenheitspflicht (§ 43a BRAO). Diese gilt nicht nur für den Mandatsinhalt, sondern beginnt bereits beim ersten Kontakt — also dem Augenblick, in dem jemand Ihre Website besucht und ein Kontaktformular ausfüllt. Die DSGVO überlagert hier die berufsrechtlichen Pflichten und verstärkt sie.

Hinzu kommt: Kanzleiwebsites verarbeiten regelmäßig besonders sensible Anfragen. Jemand, der über ein Webformular schreibt „Ich brauche Hilfe in einer Strafsache", übermittelt damit hochsensible Informationen. Schon die Metadaten dieser Anfrage — Zeitstempel, IP-Adresse, verwendetes Gerät — gelten als personenbezogene Daten.

Die Bundesbeauftragte für den Datenschutz und die Anwaltskammern haben in den vergangenen Jahren deutlich gemacht: Datenschutzmängel auf Kanzleiwebsites können nicht nur zu Bußgeldern nach DSGVO führen, sondern auch berufsrechtliche Konsequenzen haben.

---

Die wichtigsten DSGVO-Pflichten für Kanzleiwebsites im Überblick

Bevor wir in die Details gehen, hier eine kompakte Übersicht der zentralen Anforderungen:

Pflicht	Rechtsgrundlage	Dringlichkeit
Datenschutzerklärung	Art. 13, 14 DSGVO	Sehr hoch
Cookie-Banner / Einwilligungsverwaltung	Art. 6, 7 DSGVO; § 25 TDDDG	Sehr hoch
Impressum (mit datenschutzrelevanten Infos)	§ 5 TMG, § 55 RStV	Hoch
Sicheres Kontaktformular	Art. 32 DSGVO	Hoch
DSGVO-konformes Hosting	Art. 28 DSGVO (AVV)	Hoch
Keine unerlaubten US-Dienste ohne Rechtsgrundlage	Art. 44 ff. DSGVO	Mittel–Hoch
Protokollierung & Löschkonzept	Art. 5, 17 DSGVO	Mittel

---

1. Datenschutzerklärung: Inhalt, Sprache und Aktualität

Die Datenschutzerklärung ist das Herzstück des DSGVO-konformen Webauftritts. Sie muss präzise, verständlich und vollständig sein — juristisches Kanzleideutsch hilft hier nicht weiter. Die DSGVO fordert in Art. 13 ausdrücklich eine „in klarer und einfacher Sprache" abgefasste Erklärung.

Was muss drin stehen?

• Name und Kontaktdaten des Verantwortlichen (die Kanzlei)
• Kontaktdaten des Datenschutzbeauftragten (sofern bestellt — bei Kanzleien ab 20 Personen mit regelmäßiger Datenverarbeitung oft Pflicht)
• Zweck und Rechtsgrundlage jeder Datenverarbeitung
• Empfänger oder Kategorien von Empfängern (z. B. Hosting-Anbieter, E-Mail-Dienst, Newsletter-Tool)
• Angaben zu Drittlandübertragungen (USA-Dienste!)
• Speicherdauer oder Kriterien dafür
• Betroffenenrechte (Auskunft, Löschung, Widerspruch, Datenübertragbarkeit)
• Beschwerderecht bei der zuständigen Aufsichtsbehörde

Praxishinweis: Viele Kanzleien kopieren Datenschutzerklärungen aus dem Internet oder nutzen Generatoren ohne Anpassung. Das reicht in der Regel nicht aus — jede eingesetzte Technologie (z. B. Google Fonts, YouTube-Einbettungen, Kontaktformulare, Live-Chat) muss einzeln beschrieben werden. Eine zu allgemeine Erklärung ist genauso problematisch wie gar keine.

---

2. Cookie-Banner und Einwilligungsverwaltung: Was seit dem TDDDG gilt

Seit dem Inkrafttreten des Telekommunikation-Digitale-Dienste-Datenschutz-Gesetzes (TDDDG, ehemals TTDSG) im Jahr 2021 ist die Rechtslage rund um Cookies noch klarer: Für nicht notwendige Cookies (z. B. Tracking, Marketing, Analyse) brauchen Sie eine ausdrückliche, vorab erteilte Einwilligung des Nutzers.

Was bedeutet das konkret für Ihre Kanzleiwebsite?

Technisch notwendige Cookies (z. B. Session-Cookie für das Kontaktformular) dürfen ohne Einwilligung gesetzt werden.

Nicht notwendige Cookies (z. B. Google Analytics, Facebook Pixel, eingebettete Karten, YouTube-Videos) dürfen erst nach Klick auf „Akzeptieren" aktiv werden.

Achtung: Ein Cookie-Banner, der „Akzeptieren" als auffälligen Button und „Ablehnen" als versteckten Link zeigt, erfüllt die DSGVO-Anforderungen nicht. Beide Optionen müssen gleichwertig und gleich leicht erreichbar sein. Die deutschen Aufsichtsbehörden verfolgen sogenannte „Dark Patterns" aktiv.

Anforderungen an einen DSGVO-konformen Cookie-Banner

• Keine vorausgewählten Checkboxen für nicht notwendige Cookies
• Klare, gleichwertige Schaltflächen für „Akzeptieren" und „Ablehnen"
• Möglichkeit zur granularen Steuerung einzelner Cookie-Kategorien
• Nachweis der erteilten Einwilligungen (Consent-Logging)
• Einfache Widerrufsmöglichkeit jederzeit (z. B. über Footer-Link)

Bewährte Consent-Management-Plattformen (CMPs) für Kanzleien sind z. B. Usercentrics, Cookiebot oder Borlabs Cookie (bei WordPress). Entscheidend ist nicht das Werkzeug, sondern die korrekte Konfiguration.

---

3. Kontaktformular: Der sensibelste Berührungspunkt

Das Kontaktformular ist für Kanzleien aus DSGVO-Sicht besonders heikel — hier beginnt im Zweifel das Mandat. Folgende Punkte sind zwingend:

Checkliste: DSGVO-konformes Kontaktformular

• SSL/TLS-Verschlüsselung der gesamten Website (HTTPS) — absolutes Minimum
• Hinweis vor dem Absenden, dass die eingegebenen Daten zur Bearbeitung der Anfrage verarbeitet werden (Pflicht nach Art. 13 DSGVO)
• Verlinkung zur Datenschutzerklärung im Formular selbst, nicht nur im Footer
• Kein Pflichtfeld für nicht erforderliche Angaben (z. B. Geburtsdatum, wenn nicht nötig)
• Keine Weiterleitung der Formulardaten an US-Server ohne Einwilligung (z. B. über bestimmte Kontaktformular-Plugins mit US-Backend)
• Speicherdauer festgelegt: Wann werden Anfragen aus dem System gelöscht?
• Opt-in für Newsletter separat von der Kontaktanfrage — niemals vorausgewählt

Praxisbeispiel aus unserem Projektalltag: Bei einem Kanzleiprojekt haben wir festgestellt, dass das eingesetzte WordPress-Kontaktformular-Plugin (Contact Form 7 ohne DSGVO-Erweiterung) Formulardaten unverschlüsselt in einer US-Cloud zwischenspeicherte. Der Kanzleibetreiber wusste das nicht. Die Lösung: Migration auf ein selbst gehostetes Formular mit Datenverarbeitung ausschließlich auf dem deutschen Server — kein externer Dienst mehr im Formularprozess.

---

4. Hosting und Auftragsverarbeitungsvertrag (AVV)

Art. 28 DSGVO schreibt vor: Wer als Dienstleister personenbezogene Daten im Auftrag verarbeitet (z. B. ein Hosting-Anbieter), muss durch einen Auftragsverarbeitungsvertrag (AVV) gebunden sein. Das gilt auch für Webhoster.

Was bedeutet das für die Kanzlei?

• Sie müssen mit Ihrem Hosting-Anbieter einen AVV abgeschlossen haben
• Viele seriöse Anbieter (IONOS, Strato, Hetzner, All-Inkl.) stellen diesen automatisch bereit oder auf Anfrage
• Hosting-Anbieter mit Servern in der EU sind zu bevorzugen — Drittlandtransfers (USA) sind nur unter strengen Voraussetzungen zulässig

Häufiger Fehler: Google Fonts und ähnliche externe Dienste

Der Klassiker: Viele WordPress-Themes laden Google Fonts direkt vom Google-Server nach. Dabei wird die IP-Adresse des Besuchers an Google-Server in den USA übertragen — ohne Einwilligung eine DSGVO-Verletzung. Das Landgericht München I hat dies 2022 explizit bestätigt und einen Websitebetreiber zu Schadensersatz verurteilt.

Lösung: Google Fonts lokal hosten. Das bedeutet: Schriftdateien einmalig herunterladen und auf dem eigenen Server bereitstellen. Kein externer API-Aufruf, keine Datenübertragung.

---

5. Weitere Dienste im Blick: Analyse, Social Media & Karten

Google Analytics / Google Tag Manager

Google Analytics ist auf Kanzleiwebsites mit erheblichem Aufwand DSGVO-konform einsetzbar — aber nicht empfehlenswert, wenn kein starkes Tracking-Interesse besteht. Alternativen wie Matomo (selbst gehostet, EU) oder Plausible Analytics (EU-Server, cookiefrei, keine personenbezogenen Daten) sind für Kanzleien deutlich risikoärmer.

Eingebettete Karten (Google Maps)

Google Maps lädt standardmäßig Daten von Google-Servern und setzt Cookies. Ohne Einwilligung nicht erlaubt. Alternativen: OpenStreetMap-Einbettung oder Zwei-Klick-Lösung (Karte erst nach aktivem Klick laden).

Social-Media-Buttons und Share-Widgets

Direkteinbindungen von Facebook, LinkedIn oder Instagram übertragen Daten direkt beim Seitenaufruf. Zwei-Klick-Lösungen (shariff-Verfahren) oder Verzicht auf direkte Widgets sind die sauberere Lösung.

---

6. Besondere Kategorien personenbezogener Daten

Das ist ein Punkt, der bei Kanzleiwebsites gern übersehen wird: Wenn Ihre Kanzlei in Bereichen tätig ist, bei denen Mandanten über das Kontaktformular oder per E-Mail Gesundheitsdaten, Strafverfolgungsinformationen oder ähnliche besonders sensible Daten (Art. 9 DSGVO) übermitteln, gelten erhöhte Anforderungen an die technisch-organisatorischen Maßnahmen (Art. 32 DSGVO).

Das bedeutet in der Praxis:

• Ende-zu-Ende-verschlüsselte Kommunikation (z. B. über sichere Mailsysteme wie ProtonMail oder DE-Mail) für sensible Erstanfragen
• Klare Hinweise auf der Website, dass unverschlüsselte E-Mails und Formulare für hochsensible Informationen nicht geeignet sind
• Ggf. Einsatz eines verschlüsselten Mandantenportals für den Austausch sensibler Dokumente

---

7. Verzeichnis der Verarbeitungstätigkeiten (VVT)

Auch wenn das VVT kein direktes Website-Dokument ist: Es ist eng mit der Kanzleiwebsite verknüpft. Jede Datenverarbeitungstätigkeit auf der Website — Kontaktanfragen, Newsletter-Anmeldungen, Analytics — muss im VVT dokumentiert sein (Art. 30 DSGVO).

Kanzleien mit weniger als 250 Mitarbeitern sind unter bestimmten Umständen nicht generell zur Führung eines VVT verpflichtet — die Ausnahme gilt aber nicht, wenn die Verarbeitung ein Risiko für die Rechte und Freiheiten von Betroffenen birgt. Bei Mandantenanfragen über eine Kanzleiwebsite trifft das regelmäßig zu.

---

DSGVO-Check: Ist Ihre Kanzleiwebsite wirklich konform?

Nutzen Sie diese Kurzcheckliste zur Selbsteinschätzung:

• Datenschutzerklärung vorhanden, aktuell und auf alle eingesetzten Dienste abgestimmt
• Cookie-Banner DSGVO-konform konfiguriert (kein Nudging, echte Ablehnoption)
• Kontaktformular mit SSL, Datenschutzhinweis und Verlinkung auf Datenschutzerklärung
• AVV mit Hosting-Anbieter abgeschlossen
• Google Fonts (und andere externe Ressourcen) lokal gehostet oder deaktiviert
• Google Analytics entweder DSGVO-konform konfiguriert oder durch datenschutzfreundliche Alternative ersetzt
• Eingebettete Karten und Social-Media-Widgets nur per Zwei-Klick-Lösung oder mit Einwilligung
• VVT für alle Website-Verarbeitungen gepflegt
• Impressum korrekt und vollständig (inkl. USt-ID-Angabe, ggf. Berufshaftpflicht-Info)
• Regelmäßige Überprüfung aller Drittanbieter-Dienste auf DSGVO-Konformität

---

Wie lange dauert die DSGVO-Umsetzung für eine Kanzleiwebsite?

Das hängt stark vom Ausgangszustand ab. Aus unserer Projekterfahrung bei SW Business Solutions:

Ausgangssituation	Typischer Aufwand
Neue Website, DSGVO von Anfang an eingeplant	3–5 Stunden (Konfiguration, Texte, AVV)
Bestehende WordPress-Kanzleiwebsite mit wenigen Plugins	6–12 Stunden (Audit + Maßnahmen)
Ältere Website mit vielen externen Diensten, ohne AVV	15–30 Stunden (Audit, Umbau, Dokumentation)
Kompletter Website-Relaunch mit DSGVO-Fokus	Projektabhängig; 4–8 Wochen inkl. Konzept

Der größte Zeitfresser ist in der Regel nicht die technische Umsetzung, sondern die Bestandsaufnahme: Welche Dienste sind überhaupt im Einsatz? Welche Cookies werden gesetzt? Gibt es AVVs? Diese Fragen lassen sich mit einem strukturierten Website-Audit beantworten.

---

Wann reicht DSGVO-Anpassung — und wann ist ein Relaunch sinnvoller?

Ehrliche Einschätzung: Nicht jede Kanzleiwebsite braucht sofort einen Relaunch, um DSGVO-konform zu werden. Viele Maßnahmen lassen sich auch an einer bestehenden Website umsetzen.

DSGVO-Anpassung an bestehender Website reicht, wenn:

• Die technische Basis (CMS, Hosting) solide ist
• Keine tiefgreifenden strukturellen Änderungen nötig sind
• Der Website-Relaunch mittelfristig geplant ist

Ein Relaunch ist sinnvoller, wenn:

• Die Website technisch veraltet ist (PHP 7, altes WordPress ohne Updates)
• Zahlreiche externe Dienste tief in die Struktur eingebettet sind
• Die Seite ohnehin schlecht performt und schlechte Conversion-Raten hat
• Ein Neuaufbau günstiger ist als die Summe aller Einzelkorrekturen

Wenn Sie ohnehin über einen Relaunch nachdenken, empfehle ich unseren Artikel Kanzleiwebsite erstellen lassen — dort finden Sie den vollständigen Leitfaden mit allem, was Anwälte beim Neuaufbau beachten müssen.

Und für die Kostenfrage: Im Artikel zu den Anwaltswebsite Kosten haben wir transparent aufgeschlüsselt, was eine professionelle Kanzleiwebsite wirklich kostet — inkl. DSGVO-konformer Konfiguration.

---

Technische Umsetzung: WordPress vs. individuelle Lösung

Die meisten Kanzleiwebsites laufen auf WordPress. Das ist nicht per se schlecht — aber WordPress-Installationen mit vielen Plugins haben eine höhere Angriffsfläche für Datenschutzmängel, weil jedes Plugin potenziell externe Dienste einbinden oder Daten verarbeiten kann, ohne dass der Betreiber es merkt.

Eine engere, besser kontrollierbare Codebasis — z. B. mit Next.js und einem klar definierten Set an Komponenten — bietet von Haus aus weniger Reibungsfläche. Dafür ist der Entwicklungsaufwand höher. Die Entscheidung hängt vom Einzelfall ab; unsere Abwägung dazu finden Sie im Artikel Next.js vs. WordPress.

Für die WordPress Sicherheit bei bestehenden Kanzleiwebsites gilt: Regelmäßige Updates, minimale Plugin-Anzahl und ein seriöser Hosting-Anbieter mit AVV sind das absolute Minimum.

---

Branchenlösungen für Anwälte & Kanzleien

Wenn Sie eine umfassend DSGVO-konforme Kanzleiwebsite aufbauen oder modernisieren möchten, lohnt sich ein Blick auf unsere spezialisierten Lösungen für Anwälte & Kanzleien. Dort finden Sie auf die Branche abgestimmte Website-Pakete, die Datenschutz, Barrierefreiheit und professionelles Design von Anfang an vereinen.

---

Fazit: DSGVO auf der Kanzleiwebsite ist kein Einmalprojekt

Eine Kanzleiwebsite DSGVO-konform zu gestalten ist kein einmaliger Haken auf einer Checkliste. Dienste ändern sich, neue Plugins kommen hinzu, Rechtsprechung entwickelt sich weiter. Wer seine Website nicht regelmäßig überprüft, riskiert, dass DSGVO-Konformität zur Momentaufnahme wird.

Die gute Nachricht: Wer einmal eine saubere Basis geschaffen hat — mit minimalem Einsatz externer Dienste, einem funktionierenden Consent-Management und einem verlässlichen Hosting-Partner mit AVV — hat dauerhaft deutlich weniger Aufwand als jemand, der nachträglich permanent nachsteuert.

Wenn Sie nicht sicher sind, ob Ihre aktuelle Kanzleiwebsite den Anforderungen entspricht, macht ein strukturierter DSGVO-Check Sinn. Sprechen Sie uns gern an — wir helfen Ihnen bei der Bestandsaufnahme und der Umsetzung konkreter Maßnahmen.