Zurück zum Blog
StartseiteBlog › DSGVO-Checkliste
Recht & Datenschutz

DSGVO-Checkliste für deine Website: Was du 2026 beachten musst

Stefanos Svarnas·10 Min. Lesezeit

DSGVO. Vier Buchstaben, die vielen Website-Betreibern Angst machen. Und das nicht ganz zu Unrecht: Die Bußgelder sind saftig, die Regelungen komplex, und die Abmahnwellen reißen nicht ab. Aber keine Panik. In diesem Artikel bekommst du eine klare, praktische Checkliste, die du Punkt für Punkt abarbeiten kannst.

Ich bin kein Anwalt und das hier ersetzt keine Rechtsberatung. Aber als jemand, der hunderte Websites für lokale Unternehmen erstellt hat, kenne ich die typischen Stolperfallen und wie du sie vermeidest.

Warum DSGVO-Konformität 2026 wichtiger ist denn je

Die Datenschutz-Grundverordnung gilt seit 2018, aber die Durchsetzung wird jedes Jahr strenger. 2025 und 2026 gibt es mehrere Entwicklungen, die du kennen musst:

  • Strengere Cookie-Kontrollen: Das TDDDG (Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz, Nachfolger des TTDSG) verschärft die Anforderungen an Cookie Consent
  • Höhere Bußgelder: Die Datenschutzbehörden verhängen zunehmend Bußgelder auch gegen kleine Unternehmen. Bis zu 20 Millionen Euro oder 4% des Jahresumsatzes sind möglich
  • Abmahnwellen: Spezialisierte Kanzleien verdienen ihr Geld mit DSGVO-Abmahnungen. Jede Website ohne korrektes Cookie-Banner ist ein leichtes Ziel
  • KI und Datenschutz: Neue Regelungen für KI-gestützte Datenverarbeitung auf Websites kommen hinzu

Die gute Nachricht: Wenn du die folgenden Punkte umsetzt, bist du auf der sicheren Seite.

Teil 1: Cookie Consent richtig umsetzen

Das Cookie-Banner ist das Erste, was Besucher auf deiner Website sehen. Und es ist der häufigste Grund für Abmahnungen. So machst du es richtig:

Was ein Cookie-Banner enthalten muss

  • Klare Information darüber, welche Cookies gesetzt werden und wozu
  • Ebenso prominenter "Ablehnen"-Button wie der "Akzeptieren"-Button
  • Möglichkeit, einzelne Cookie-Kategorien zu wählen, also granulare Kontrolle
  • Link zur Datenschutzerklärung
  • Keine vorausgewählten Checkboxen, also kein Opt-out, sondern Opt-in

Was NICHT erlaubt ist

  • Dark Patterns: Der Ablehnen-Button darf nicht kleiner oder weniger sichtbar sein
  • Cookie Walls: Du darfst den Zugang zur Website nicht davon abhängig machen, dass Cookies akzeptiert werden
  • Nudging: Formulierungen wie "Für die beste Erfahrung akzeptiere alle Cookies" sind problematisch
  • Vorab-Laden: Cookies dürfen erst nach Einwilligung gesetzt werden, nicht vorher
Praxis-Tipp: Verwende ein etabliertes Consent-Tool wie Cookiebot, Usercentrics oder Borlabs Cookie (für WordPress). Diese Tools werden regelmäßig aktualisiert und sind rechtlich geprüft. Eigene Lösungen sind riskant, weil du selbst für die Rechtmäßigkeit verantwortlich bist.

Technisch notwendige vs. optionale Cookies

Nicht alle Cookies brauchen eine Einwilligung. Technisch notwendige Cookies darfst du ohne Consent setzen. Dazu gehören:

  • Session-Cookies für den Warenkorb
  • Login-Cookies für den Benutzerbereich
  • Spracheinstellungen
  • Der Cookie-Consent-Status selbst

Alles andere, Tracking, Analytics, Marketing, Social Media, braucht eine ausdrückliche Einwilligung.

Teil 2: Datenschutzerklärung

Jede Website braucht eine Datenschutzerklärung. Du muss von jeder Seite aus erreichbar sein, typischerweise im Footer. Und sie muss vollständig und aktuell sein.

Was in die Datenschutzerklärung muss

  • Name und Kontaktdaten des Verantwortlichen: Dein Name, Adresse, E-Mail
  • Datenschutzbeauftragter: Falls du einen hast oder brauchst
  • Welche Daten du erhebst: IP-Adressen, Formulardaten, Cookies, etc.
  • Rechtsgrundlage: Warum du die Daten erhebst (Einwilligung, Vertrag, berechtigtes Interesse)
  • Empfänger der Daten: Hosting-Anbieter, Newsletter-Tool, Analytics-Anbieter, etc.
  • Speicherdauer: Wie lange werden die Daten gespeichert?
  • Betroffenenrechte: Auskunft, Löschung, Widerspruch, Datenportabilität
  • Drittlandtransfer: Werden Daten außerhalb der EU verarbeitet? Wenn ja, auf welcher Grundlage?
Praxis-Tipp: Nutze einen Datenschutzerklärungs-Generator wie den von eRecht24 oder der Deutschen Gesellschaft für Datenschutz. Diese erstellen eine rechtskonforme Erklärung basierend auf deinen tatsächlichen Diensten. Vergiss nicht, sie regelmäßig zu aktualisieren, wenn du neue Tools oder Dienste einbindest.

Teil 3: Impressum

Kein DSGVO-Thema im engeren Sinne, aber genauso wichtig und oft fehlerhaft. Jede geschäftliche Website in Deutschland braucht ein Impressum nach Paragraf 5 DDG (vormals TMG).

  • Vollständiger Name und Anschrift
  • E-Mail-Adresse und Telefonnummer
  • Handelsregister und Registernummer, falls vorhanden
  • Umsatzsteuer-ID, falls vorhanden
  • Berufsrechtliche Angaben bei reglementierten Berufen

Das Impressum muss mit maximal zwei Klicks von jeder Seite aus erreichbar sein. Ein Link im Footer reicht aus.

Teil 4: Kontaktformulare und E-Mail

Jedes Kontaktformular auf deiner Website verarbeitet personenbezogene Daten. Das musst du beachten:

  • Hinweis auf Datenverarbeitung direkt am Formular, nicht nur in der Datenschutzerklärung
  • Checkbox mit Einwilligung: "Ich habe die Datenschutzerklärung gelesen und stimme der Verarbeitung meiner Daten zu"
  • Verschlüsselte Übertragung: Das Formular muss über HTTPS laufen
  • Datensparsamkeit: Frage nur die Daten ab, die du wirklich brauchst. Telefonnummer als Pflichtfeld bei einer Newsletter-Anmeldung? Nicht erlaubt
  • Löschfrist: Definiere, wann du die Daten wieder löschst

Teil 5: Hosting und technische Anforderungen

SSL-Zertifikat ist Pflicht

Eine Website ohne HTTPS ist 2026 nicht nur ein SEO-Problem, sondern ein Datenschutzverstoß. Jede Datenübertragung muss verschlüsselt sein. Die meisten Hoster bieten kostenlose SSL-Zertifikate über Let's Encrypt an.

Server-Standort beachten

Idealerweise sollte dein Webserver in der EU stehen. Wenn du einen Hoster außerhalb der EU verwendest, z. B. in den USA, brauchst du eine gültige Rechtsgrundlage für den Datentransfer. Das EU-US Data Privacy Framework bietet hier seit 2023 eine Grundlage, aber die Situation bleibt rechtlich unsicher.

Auftragsverarbeitungsvertrag (AVV)

Mit jedem Dienstleister, der personenbezogene Daten für dich verarbeitet, brauchst du einen AVV. Das betrifft:

  • Deinen Hosting-Anbieter
  • Deinen E-Mail-Marketing-Anbieter
  • Dein Analytics-Tool, wenn es personenbezogene Daten erhebt
  • Jedes externe Tool, das auf deiner Website Daten erfasst

Die meisten seriösen Anbieter haben einen AVV fertig vorbereitet, den du nur noch unterschreiben musst.

Teil 6: Google Analytics und Tracking

Google Analytics ist das am häufigsten genutzte und am häufigsten falsch konfigurierte Tracking-Tool auf deutschen Websites.

Google Analytics 4 DSGVO-konform nutzen

  • Einwilligung einholen: GA4 darf erst nach Cookie-Consent geladen werden
  • IP-Anonymisierung: In GA4 standardmäßig aktiv, aber überprüfen
  • Google Signals deaktivieren: Diese Funktion ermöglicht Cross-Device-Tracking und ist datenschutzrechtlich problematisch
  • Datenspeicherdauer begrenzen: Auf 14 Monate oder weniger einstellen
  • AVV mit Google abschließen: Über die Google Analytics Einstellungen möglich

Alternativen zu Google Analytics

Wenn du auf Nummer sicher gehen willst, gibt es datenschutzfreundliche Alternativen:

  • Matomo: Open Source, kann auf eigenem Server betrieben werden, kein Cookie-Consent nötig bei richtig konfigurierter Nutzung
  • Plausible: Leichtgewichtig, keine Cookies, DSGVO-konform, EU-Server
  • Fathom: Ähnlich wie Plausible, einfache Bedienung, EU-Server verfügbar
Praxis-Tipp: Für kleine Unternehmen empfehle ich Plausible oder Matomo. Du liefern alle wichtigen Zahlen, ohne den Datenschutz-Aufwand, den Google Analytics mit sich bringt.

Teil 7: Social Media und externe Einbindungen

Jedes externe Element auf deiner Website, das Daten an Dritte sendet, ist datenschutzrelevant:

Social-Media-Buttons

Die klassischen Like- und Share-Buttons von Facebook, Instagram und Co. senden Nutzerdaten an die Plattformen, noch bevor jemand klickt. Die Lösung: Shariff oder ähnliche Zwei-Klick-Lösungen, bei denen erst nach einem Klick eine Verbindung aufgebaut wird.

Google Maps

Google Maps Einbindungen übertragen IP-Adressen und Nutzungsdaten an Google. Die DSGVO-konforme Lösung: Maps erst nach Cookie-Consent laden. Vorher einen statischen Platzhalter mit einem Klick-Button zeigen.

YouTube-Videos

Auch YouTube-Videos übertragen Daten an Google. Nutze den erweiterten Datenschutzmodus von YouTube (youtube-nocookie.com) und lade Videos erst nach Consent.

Google Fonts

Seit dem berühmten Urteil des LG München 2022 ist klar: Google Fonts dürfen nicht über die Google-Server geladen werden, ohne Einwilligung. Die Lösung: Google Fonts lokal hosten. Das ist einfach umzusetzen und verbessert nebenbei auch die Ladezeit.

Teil 8: Newsletter und E-Mail-Marketing

Wenn du einen Newsletter anbietest, gelten besondere Regeln:

  • Double Opt-in: Pflicht in Deutschland. Nach der Anmeldung muss eine Bestätigungs-E-Mail versendet werden
  • Abmelde-Link: In jeder E-Mail muss ein funktionierender Abmelde-Link enthalten sein
  • Protokollierung: Du musst die Einwilligung nachweisen können: Zeitpunkt, IP-Adresse, bestätigte E-Mail
  • Kein Koppelungsverbot umgehen: Du darfst die Newsletter-Anmeldung nicht zur Bedingung für einen Download oder eine Dienstleistung machen

Die komplette DSGVO-Checkliste zum Abhaken

Hier ist deine praktische Checkliste. Arbeite sie Punkt für Punkt durch:

Grundlagen

  • Impressum vollständig und von jeder Seite erreichbar
  • Datenschutzerklärung vollständig und aktuell
  • SSL-Zertifikat aktiv, gesamte Website über HTTPS
  • Server-Standort in der EU oder gültige Rechtsgrundlage für Drittlandtransfer

Cookies und Tracking

  • Cookie-Banner mit gleichwertigen Buttons für Akzeptieren und Ablehnen
  • Keine Cookies vor Einwilligung, außer technisch notwendige
  • Granulare Auswahl einzelner Cookie-Kategorien möglich
  • Analytics-Tool DSGVO-konform konfiguriert
  • AVV mit allen Datenverarbeitern abgeschlossen

Formulare und Kommunikation

  • Datenschutzhinweis bei jedem Kontaktformular
  • Einwilligungs-Checkbox, nicht vorausgewählt
  • Datensparsamkeit: nur notwendige Felder
  • Newsletter mit Double Opt-in und Abmelde-Link

Externe Dienste

  • Google Fonts lokal gehostet
  • Google Maps erst nach Consent laden
  • YouTube-Videos im erweiterten Datenschutzmodus
  • Social-Media-Buttons als Zwei-Klick-Lösung

Was passiert, wenn du es nicht machst?

Die Konsequenzen sind real und können teuer werden:

  • Bußgelder: Bis zu 20 Millionen Euro oder 4% des Jahresumsatzes
  • Abmahnungen: 500 bis 5.000 Euro pro Verstoß, plus Anwaltskosten
  • Schadenersatz: Betroffene können Schadenersatz fordern
  • Reputationsschaden: Ein öffentlich bekannter Datenschutzverstoß schadet dem Vertrauen

In der Praxis trifft es nicht nur große Konzerne. Auch kleine Unternehmen und Einzelunternehmer werden regelmäßig abgemahnt, oft wegen trivialer Verstöße wie fehlerhaften Cookie-Bannern oder nicht lokal gehosteten Google Fonts.

Fazit: DSGVO ist kein Monster, sondern eine Checkliste

Ja, die DSGVO ist komplex. Aber wenn du sie als Checkliste behandelst, statt als Bedrohung, ist sie in einem Nachmittag umsetzbar. Die meisten Punkte sind einmalig zu erledigen und erfordern danach nur gelegentliche Updates.

Und vergiss nicht: DSGVO-Konformität ist nicht nur eine rechtliche Pflicht. Es ist auch ein Vertrauenssignal für deine Kunden. Wer sieht, dass du sorgfältig mit Daten umgehst, vertraut dir auch in anderen Bereichen.

Datenschutz ist kein Hindernis für dein Geschäft. Es ist ein Qualitätsmerkmal.

Auch interessant

Barrierefreiheit
BFSG seit Juni 2025: Was deine Website jetzt können muss
Lesen →
Webdesign
Responsive Webdesign: Warum mobil Pflicht ist
Lesen →
Checkliste
Online-Präsenz aufbauen: Gratis-Checkliste
Lesen →
← Zurück zum Blog Termin buchen