Wenn ein Bäcker einen DSGVO-Fehler macht, schaut die Datenschutzbehörde nochmal hin und gibt Hinweise. Wenn eine Anwaltskanzlei einen DSGVO-Fehler macht, schaut sie deutlich genauer hin. Das hat einen einfachen Grund: Anwälte arbeiten beruflich mit dem Datenschutzrecht und werden entsprechend stärker an die Standards gehalten, die sie ihren Mandanten erklären.
Hier ist, was eine Kanzlei-Website 2026 wirklich erfüllen muss — und worauf ich bei Kanzlei-Projekten besonders achte.
SSL/TLS-Verschlüsselung — keine Diskussion
Eine Anwalts-Website ohne HTTPS ist 2026 ein Skandal. Mandantenanfragen enthalten regelmäßig hochsensible Informationen — schon der Hinweis „Mein Mandant ist beschuldigt wegen…" gehört zur strafrechtlichen Spezialdatenkategorie. Diese Daten unverschlüsselt zu übertragen ist nicht nur ein DSGVO-Verstoß, sondern auch ein anwaltliches Berufspflichtthema (Verschwiegenheit nach § 43a BRAO).
SSL ist heute kostenlos via Let's Encrypt — es gibt keinen Grund mehr, eine Kanzlei-Website ohne zu betreiben. Browser markieren HTTP-Seiten zudem mit „Nicht sicher", was Mandanten sofort abschreckt.
Kontaktformular: Datenminimierung und Hinweis
Das Kontaktformular ist der erste Datenkontakt mit potenziellen Mandanten. Was hier zu beachten ist:
Datenminimierung: Nur die wirklich nötigen Felder. Name, E-Mail oder Telefon, Anliegen — fertig. Adresse, Geburtsdatum, oder gar „Beschreibe deinen Fall ausführlich" sind im Erstkontakt unangemessen und DSGVO-rechtlich problematisch.
Datenschutzhinweis: Direkt am Formular muss stehen, was mit den Daten passiert. Konkret: Verarbeitungszweck (Beantwortung der Anfrage), Speicherdauer (z. B. „bis zur Beantwortung, dann Löschung"), Empfänger (nur die Kanzlei selbst), und Hinweis auf die Datenschutzerklärung.
Doppelte Einwilligung: Bei Newsletter-Anmeldungen oder Mandanteninformationen via E-Mail ist Double-Opt-In Pflicht. Wer das nicht hat, riskiert Abmahnungen.
Cookie-Banner: nicht das, was die meisten machen
Die Mehrheit der Cookie-Banner ist DSGVO-rechtlich falsch konfiguriert. Häufige Fehler: vorausgewählte Häkchen für Analytics-Cookies, kein gleichwertiger „Ablehnen"-Button, Tracking läuft schon vor der Einwilligung. Bei normalen Unternehmen ist das ein Risiko — bei Kanzleien ist es eine Selbstdiskreditierung.
Was richtig ist: Standard-Auswahl ist „nur notwendige Cookies". Der „Alle akzeptieren"-Button und der „Ablehnen"-Button sind gleichwertig groß und auffällig. Erst nach aktivem Klick wird Tracking aktiviert. Mit dem Cookie-Banner-Generator ist das in 5 Minuten korrekt eingerichtet — alternativ ein etabliertes Consent-Management-Tool wie Cookiebot oder Borlabs.
Datenschutzerklärung: aktuell und vollständig
Die Datenschutzerklärung ist kein einmal-erstellt-fertig-Dokument. Sie muss bei jeder neuen Funktion (Newsletter, Buchungssystem, Live-Chat) aktualisiert werden. Konkrete Pflichtbestandteile 2026: Verantwortlicher (mit ladungsfähiger Anschrift), Datenschutzbeauftragter (falls Pflicht), Verarbeitungszwecke, Rechtsgrundlagen, Empfängerkategorien, Speicherdauer, Betroffenenrechte, Beschwerderecht bei der Aufsichtsbehörde.
Generatoren wie eRecht24 oder Datenschutz-Generator.de liefern eine solide Grundlage, müssen aber auf die konkrete Kanzlei angepasst werden — Standardtexte ohne Bezug auf die tatsächlich genutzten Tools sind ein klassischer Abmahngrund.
Auftragsverarbeitungsverträge mit Drittdiensten
Jeder externe Dienst, der Mandantendaten verarbeitet, braucht einen Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO. Dazu gehören typischerweise: Hosting-Anbieter, E-Mail-Hoster, Online-Buchungssystem, Newsletter-Tool, Analytics-Anbieter, Cloud-Speicher.
Die meisten seriösen Anbieter stellen einen AVV automatisch bereit — aber er muss aktiv heruntergeladen, geprüft und unterschrieben werden. Bei US-Anbietern (Google, Mailchimp, etc.) kommt zusätzlich die Frage des Drittlandtransfers ins Spiel. Standardvertragsklauseln helfen, lösen aber nicht alle Probleme.
Spam-Schutz ohne Tracking
Ein Kontaktformular ohne Spam-Schutz wird innerhalb weniger Wochen mit Bot-Anfragen geflutet. Klassischer Lösung: Google reCAPTCHA. Problem: reCAPTCHA setzt Tracking-Cookies und überträgt Daten in die USA — datenschutzrechtlich heikel, gerade für Kanzleien. Bessere Alternativen 2026: Friendly Captcha, hCaptcha, oder ein eigener serverseitiger Honeypot ohne externe Drittdienste. Mehr dazu im Beitrag über Spam in Kontaktformularen.
Impressum: nicht vergessen, was speziell für Anwälte gilt
Anwälte haben über das normale Impressum hinaus zusätzliche Pflichtangaben: Berufsbezeichnung („Rechtsanwalt" oder „Rechtsanwältin"), zulassende Kammer, Berufsregeln (Verweis auf BRAO, BORA, RVG, FAO, CCBE), und Berufshaftpflicht-Versicherer mit Adresse. Wer das vergisst, riskiert nicht nur Abmahnungen, sondern auch Probleme mit der Anwaltskammer.
Der Impressum-Generator bietet einen separaten Modus für Freiberufler, der diese Spezialangaben abfragt — eine Anwalts-Website mit unvollständigem Impressum würde mir nicht aus dem Haus gehen.
Was eine DSGVO-konforme Kanzlei-Website kostet
Der DSGVO-Aspekt allein kostet keine 1.000 € extra — aber er erfordert Sorgfalt und einen Webdesigner, der das ernst nimmt. Bei meinen Anwalts-Projekten ist DSGVO-Konformität von Anfang an Teil des Pakets. Eine erste Einschätzung gibt der Website-Kostenrechner, eine kostenlose Beratung gibt es per Kontaktformular.
