Ob Freelancer-Portfolio, Handwerksbetrieb oder wachsendes Startup: Sobald deine Website online ist, verarbeitet sie personenbezogene Daten – und fällt damit in den Anwendungsbereich der DSGVO. Diese DSGVO-Checkliste für Websites 2026 zeigt dir zehn konkrete Punkte, die du kennen und umgesetzt haben solltest. Kein Juradeutsch, keine Panikmache – aber klare Aussagen zur Tragweite.
Hinweis: Dieser Artikel ersetzt keine Rechtsberatung. Er gibt dir einen strukturierten Überblick über die wichtigsten technischen und inhaltlichen Anforderungen. Bei konkreten Fragen zur rechtlichen Umsetzung wende dich an einen Datenschutzanwalt oder zertifizierten Datenschutzbeauftragten.
Warum die Checkliste 2026 aktuell ist
Seit dem Inkrafttreten der DSGVO im Mai 2018 hat sich die Rechtslage mehrfach verändert. Das wichtigste Update für Website-Betreiber: Das TTDSG heißt seit dem 14. Mai 2024 TDDDG (Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz), und das TMG wurde durch das DDG (Digitale-Dienste-Gesetz) abgelöst. Impressumspflichten referenzieren nun § 5 DDG statt § 5 TMG. Wer seine Datenschutzerklärung seit 2022 nicht angefasst hat, hat mit hoher Wahrscheinlichkeit veraltete Rechtsgrundlagen drin stehen.
Dazu kommen aktuelle Urteile: Das LG München hat 2022 und 2023 Google Fonts-Verstöße bestätigt, der BGH hat im November 2025 die Kontrollpflichten bei Auftragsverarbeitungsverträgen verschärft. Der aktuelle Stand zählt – nicht der von 2018.
Die 10 Punkte der DSGVO-Checkliste für Websites
1. Impressum nach § 5 DDG
Was es ist: Das Impressum ist die gesetzlich vorgeschriebene Anbieterkennzeichnung für gewerblich genutzte Websites. Es gilt für nahezu alle Websites, die geschäftlich oder beruflich betrieben werden – unabhängig davon, ob du etwas verkaufst oder nicht.
Pflichtangaben (Deutschland): Name und Anschrift des Betreibers, eine direkt erreichbare E-Mail-Adresse, bei Kapitalgesellschaften zusätzlich Handelsregisternummer, Vertretungsberechtigte und Umsatzsteuer-ID. Bei reglementierten Berufen kommen Kammer- und Berufsbezeichnung hinzu.
Warum es zählt: Fehlt das Impressum oder ist es unvollständig, drohen Abmahnungen von Wettbewerbern oder Verbraucherschutzverbänden. Das Impressum muss von jeder Unterseite mit maximal zwei Klicks erreichbar sein – typischerweise über einen Link im Footer.
Quick-Check: Ist dein Impressum unter /impressum abrufbar? Ist die E-Mail-Adresse direkt angegeben (kein verstecktes Kontaktformular als Ersatz)? Ist der Link im Footer klar als Impressum bezeichnet?
2. Datenschutzerklärung nach Art. 13 DSGVO
Was es ist: Die Datenschutzerklärung informiert Besucher darüber, welche personenbezogenen Daten du erhebst, zu welchem Zweck, auf welcher Rechtsgrundlage und wie lange du sie speicherst. Grundlage ist Art. 13 DSGVO (Informationspflicht bei Direkterhebung).
Mindestinhalt: Name und Kontaktdaten des Verantwortlichen, Zweck und Rechtsgrundlage jeder Verarbeitung (z. B. Art. 6 Abs. 1 lit. f für Server-Logfiles), Empfänger der Daten (Hosting-Anbieter, Analytics-Dienste), Speicherfristen sowie die Rechte der Betroffenen (Auskunft, Löschung, Widerspruch, Datenportabilität).
Warum es zählt: Eine veraltete oder lückenhafte Datenschutzerklärung ist abmahngefährdet. Jedes neue Tool, das du einbindest – ein Chat-Widget, ein Buchungskalender, ein Analysetool – erfordert einen eigenen Abschnitt in der Erklärung. Generatoren wie der von eRecht24 oder Datenschutz-Generator.de sind ein sinnvoller Ausgangspunkt, ersetzen aber die individuelle Anpassung an deine tatsächlich eingesetzten Dienste nicht.
Quick-Check: Deckt deine Datenschutzerklärung alle aktuell eingesetzten Tools ab? Ist sie von jeder Seite mit maximal zwei Klicks erreichbar und klar als Datenschutz oder Datenschutzerklärung bezeichnet?
3. Cookie-Banner nach TDDDG
Was es ist: Der Cookie-Banner (technisch korrekt: Consent-Management-Tool) holt die Einwilligung der Besucher ein, bevor nicht-technisch notwendige Cookies oder Tracking-Skripte gesetzt werden.
Was das TDDDG verlangt: Technisch notwendige Cookies (Session, Login, Warenkorb) dürfen ohne Einwilligung gesetzt werden. Alles andere – Analytics, Marketing-Pixel, Heatmap-Tools – darf erst nach aktiver Zustimmung geladen werden. Entscheidend: Der Ablehnen-Button muss genauso prominent und leicht erreichbar sein wie der Akzeptieren-Button. Den Ablehnen-Button hinter einem Einstellungen-Menü zu verstecken oder kleiner darzustellen wurde von mehreren europäischen Datenschutzbehörden als nicht konform eingestuft.
Was viele falsch machen: Ein Banner anzuzeigen, ohne die Skripte tatsächlich zu blockieren, ist kein Opt-in – es ist Compliance-Theater. Das Consent-Tool muss die Tracking-Skripte technisch sperren, bis die Einwilligung erteilt wird. Bewährte Lösungen: Usercentrics, Cookiebot, Real Cookie Banner (WordPress) oder Complianz.
Quick-Check: Werden Analytics und Marketing-Cookies erst nach Klick auf Akzeptieren gesetzt? Ist der Ablehnen-Button ohne Umwege erreichbar? Können Besucher ihre Einwilligung jederzeit über einen permanenten Footer-Link widerrufen?
Weißt du, ob deine Website wirklich DSGVO-konform ist? Mit unserem kostenlosen Website-Check scannst du deine Seite in unter 60 Sekunden auf die häufigsten Datenschutz-Lücken.
4. Google Fonts lokal einbinden
Was es ist: Google Fonts ist ein Verzeichnis kostenloser Schriftarten, das von vielen Websites dynamisch eingebunden wird – die Schriften werden bei jedem Seitenaufruf live von Google-Servern geladen.
Das Problem: Bei diesem Vorgang wird die IP-Adresse des Besuchers an Google in die USA übertragen – ohne vorherige Einwilligung. Das Landgericht München I hat am 20. Januar 2022 (Az. 3 O 17493/20) entschieden, dass dies gegen die DSGVO verstößt und Schadensersatz sowie Unterlassungsansprüche begründet. Im März 2023 bestätigte das LG München I seine Rechtsauffassung in einem weiteren Urteil (Az. 4 O 13063/22). Externe Google Fonts sind damit der häufigste Grund für DSGVO-Abmahnungen in Deutschland.
Die Lösung: Google Fonts lokal hosten. Du lädst die Schriftdateien herunter und lieferst sie von deinem eigenen Server aus. In Next.js funktioniert das mit next/font/google automatisch beim Build-Prozess. Für WordPress gibt es Plugins wie OMGF – Optimize My Google Fonts. Wenn du prüfen willst, ob deine Website noch extern einbindet: Browser-Entwicklertools öffnen (F12) → Tab Netzwerk → nach fonts.googleapis oder fonts.gstatic filtern.
Quick-Check: Lädt deine Website Schriften ausschließlich vom eigenen Server? Gibt es im Netzwerk-Tab keine Anfragen an fonts.googleapis.com oder fonts.gstatic.com?
5. Web-Analytics datenschutzkonform einsetzen
Was es ist: Analytics-Tools wie Google Analytics 4 (GA4) erfassen das Nutzerverhalten auf deiner Website – welche Seiten werden aufgerufen, wie lange bleibt jemand, woher kommt der Traffic.
DSGVO-Anforderungen: Der Einsatz von GA4 ist grundsätzlich möglich, aber nur mit korrektem Setup: Cookie-Consent muss vor dem Laden der Analytics-Skripte erteilt werden, und ein Datenverarbeitungsvertrag (DPA) mit Google muss abgeschlossen sein. IP-Anonymisierung ist in GA4 standardmäßig aktiv, aber das entbindet nicht von der Einwilligungspflicht.
Datenschutzfreundliche Alternativen: Matomo und Plausible Analytics sind EU-basierte Lösungen. Selbst gehostet liegen alle Daten auf deinem eigenen Server – Matomo lässt sich in der Grundkonfiguration ohne Cookie-Consent betreiben, wenn IP-Anonymisierung aktiviert und kein Cross-Site-Tracking genutzt wird. Plausible ist cookie-frei und benötigt in seiner Standard-Konfiguration keinen Consent-Banner.
Quick-Check: Wird GA4 erst nach aktiver Einwilligung geladen? Ist ein DPA mit Google abgeschlossen? Hast du eine Alternative in Betracht gezogen, die keinen Consent erfordert?
6. Google Maps und YouTube-Videos
Was es ist: Eingebettete Google Maps-Karten und YouTube-Videos setzen beim Laden der Seite Tracking-Cookies und übertragen IP-Adressen an Google – auch wenn der Besucher nie mit dem Inhalt interagiert.
DSGVO-Anforderungen: Ohne vorherige Einwilligung dürfen diese Inhalte nicht automatisch geladen werden. Es gibt zwei konforme Lösungsansätze:
Consent-Wall (Two-Click-Lösung): Der Inhalt wird erst nach einem aktiven Klick des Nutzers geladen. Statt der Karte oder des Videos siehst du einen Platzhalter mit Hinweis, z. B. Klicken um Google Maps zu laden – dabei werden Daten an Google übermittelt.
Privacy-Modus: Für YouTube-Videos die Domain youtube-nocookie.com statt youtube.com verwenden. Das reduziert das Tracking, eliminiert es aber nicht vollständig.
Quick-Check: Werden Google Maps und YouTube-Videos erst nach Nutzer-Interaktion geladen? Enthält der Platzhalter einen Hinweis auf die Datenübertragung an Google?
7. Kontaktformular
Was es ist: Jedes Kontaktformular auf deiner Website verarbeitet personenbezogene Daten – mindestens Name und E-Mail-Adresse, bei Telefonnummern oder Projektbeschreibungen deutlich mehr.
DSGVO-Anforderungen: Direkt beim Formular muss ein Hinweis stehen, dass die eingegebenen Daten zur Bearbeitung der Anfrage gespeichert werden (Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO – Vertragsanbahnung). Dieser Hinweis muss auf die Datenschutzerklärung verlinken. Unnötige Pflichtfelder sind zu vermeiden (Datenminimierungsprinzip nach Art. 5 Abs. 1 lit. c DSGVO).
Was viele übersehen: Wenn die Formularanfragen über einen externen Dienst wie Mailchimp, HubSpot oder Zapier weitergeleitet werden, braucht es für diesen Dienstleister einen Auftragsverarbeitungsvertrag (→ Punkt 9). Das gilt auch für Anti-Spam-Lösungen: Google reCaptcha übermittelt Daten an Google, datenschutzfreundliche Alternativen wie hCaptcha oder Cloudflare Turnstile kommen ohne EU-US-Datentransfer aus.
Quick-Check: Ist am Formular ein Datenschutzhinweis mit Link zur Datenschutzerklärung vorhanden? Gibt es nur die wirklich notwendigen Pflichtfelder? Wird ein externer Dienst für Spam-Schutz oder Weiterleitung genutzt – und ist der AVV vorhanden?
8. SSL/HTTPS-Verschlüsselung
Was es ist: HTTPS bedeutet, dass die Verbindung zwischen dem Browser deiner Besucher und deinem Webserver verschlüsselt ist. Erkennbar am Schloss-Symbol in der Adressleiste und dem https://-Präfix.
Warum es zählt: Art. 32 DSGVO fordert geeignete technische Maßnahmen zum Schutz personenbezogener Daten. Eine unverschlüsselte Website, über die Kontaktformulare ausgefüllt oder Daten eingegeben werden, verstößt gegen diesen Grundsatz. Browser wie Chrome zeigen unverschlüsselte Seiten längst als Nicht sicher an – das kostet Vertrauen und schadet der Conversion.
Die gute Nachricht: SSL-Zertifikate sind heute kostenlos. Let's Encrypt stellt automatisch erneuerbare Zertifikate aus, die von allen großen Hosting-Anbietern unterstützt werden. Wer ein Managed Hosting nutzt, kann das Zertifikat in der Regel per Klick aktivieren.
Leistungshinweis: HTTPS hat heute keinen nennenswerten Performance-Nachteil mehr. Mit HTTP/2 und HTTP/3 ist eine verschlüsselte Verbindung oft sogar schneller als eine unverschlüsselte. Mehr dazu im Artikel zu Core Web Vitals und Pagespeed-Optimierung.
Quick-Check: Wird deine Website ausschließlich über https:// ausgeliefert? Werden HTTP-Anfragen automatisch auf HTTPS umgeleitet? Ist das Zertifikat gültig und nicht abgelaufen?
9. Hosting und Auftragsverarbeitungsvertrag (AVV)
Was es ist: Dein Hosting-Anbieter hat Zugriff auf alle Daten, die auf seinem Server gespeichert sind – und damit potenziell auf personenbezogene Daten deiner Besucher (IP-Adressen in Logfiles, Formulardaten, etc.). Nach Art. 28 DSGVO muss für diese Konstellation ein Auftragsverarbeitungsvertrag (AVV) abgeschlossen werden.
Warum es zählt: Ohne AVV ist jede Datenverarbeitung durch den Hoster rechtswidrig – unabhängig davon, ob es tatsächlich zu einem Datenschutzproblem kommt. Verstöße gegen Art. 28 DSGVO können mit Bußgeldern bis zu 10 Mio. Euro oder 2 % des weltweiten Jahresumsatzes geahndet werden. Der BGH hat im November 2025 (Az. VI ZR 396/24) zudem klargestellt, dass der AVV kein statisches Dokument ist: Unternehmen müssen die Einhaltung aktiv überwachen und Löschbestätigungen einfordern.
Wen betrifft das außer dem Hoster: Praktisch jeden externen Dienstleister, der in deinem Auftrag mit Nutzerdaten arbeitet. Das bedeutet in der Praxis: Google Analytics (DPA mit Google), Newsletter-Tools wie Mailchimp oder Brevo, CRM-Systeme, Cloud-Speicher. Seriöse Anbieter stellen ihren AVV in den Account-Einstellungen unter Legal oder Datenschutz bereit.
Serverstandort: Hosting in der EU oder auf Servern mit nachgewiesenem Angemessenheitsbeschluss (z. B. EU-US Data Privacy Framework für US-Dienste) ist aus DSGVO-Sicht vorzuziehen. Europäische Anbieter wie Hetzner (Deutschland) oder Infomaniak (Schweiz) schließen Drittlandtransfers für das Hosting selbst aus.
Quick-Check: Hast du mit deinem Hosting-Anbieter einen AVV abgeschlossen? Hast du für alle externen Tools (Analytics, Newsletter, CRM) ebenfalls AVVs? Befinden sich die Server in der EU oder gibt es einen gültigen Transfermechanismus?
10. Newsletter und Double-Opt-in
Was es ist: Wenn du einen Newsletter versendest, verarbeitest du E-Mail-Adressen – personenbezogene Daten nach Art. 4 Nr. 1 DSGVO. Ohne nachweisbare Einwilligung ist der Versand rechtswidrig.
Das Double-Opt-in-Verfahren: Nach der Anmeldung erhält der Interessent eine Bestätigungsmail mit einem Link. Erst nach Klick auf diesen Link wird die Adresse aktiv in den Verteiler aufgenommen. Damit ist nachgewiesen, dass tatsächlich der Inhaber der E-Mail-Adresse die Anmeldung vorgenommen hat. Der BGH hat in mehreren Urteilen bestätigt, dass das Double-Opt-in der geeignete Nachweis für die erforderliche Einwilligung ist. Der BfDI (Bundesbeauftragte für den Datenschutz und die Informationsfreiheit) hält das Double-Opt-in-Verfahren auch für Behörden-Newsletter für notwendig.
Was du dokumentieren musst: Zeitpunkt der Einwilligung, IP-Adresse zum Zeitpunkt der Anmeldung, Wortlaut der Einwilligungserklärung, Zeitpunkt einer eventuellen Abmeldung. Moderne Newsletter-Tools (Brevo, Mailchimp, CleverReach) protokollieren das automatisch.
Abmelderecht: Das Abbestellen des Newsletters darf nicht aufwendiger gestaltet sein als das Abonnieren. Art. 7 Abs. 3 DSGVO schreibt vor, dass der Widerruf der Einwilligung genauso einfach möglich ist wie die Erteilung. Ein klickbarer Abmeldelink in jeder Newsletter-E-Mail ist Pflicht.
Quick-Check: Nutzt du das Double-Opt-in-Verfahren? Dokumentierst du Einwilligungen mit Zeitstempel und IP-Adresse? Enthält jede Newsletter-E-Mail einen funktionierenden Abmeldelink?
Was bei Verstößen droht
Die DSGVO sieht in Art. 83 zwei Bußgeldrahmen vor:
Bis zu 10 Mio. Euro oder 2 % des Jahresumsatzes – bei organisatorischen Verstößen wie fehlendem AVV oder fehlendem Verarbeitungsverzeichnis
Bis zu 20 Mio. Euro oder 4 % des Jahresumsatzes – bei Verstößen gegen Grundsätze der Verarbeitung, Betroffenenrechte oder unzulässige Drittlandtransfers
Für kleine Unternehmen liegen die tatsächlichen Bußgelder erfahrungsgemäß deutlich darunter. Das ändert aber nichts daran, dass Aufsichtsbehörden prüfen und bei Beschwerden handeln. Zusätzlich zu behördlichen Bußgeldern kommen Schadensersatzansprüche betroffener Personen nach Art. 82 DSGVO sowie Abmahnungen durch Wettbewerber oder Verbraucherschutzverbände – insbesondere beim fehlenden Impressum, fehlerhaftem Cookie-Banner oder extern eingebundenen Google Fonts.
Ein lückenloser Datenschutz schützt nicht nur vor Sanktionen. Er stärkt auch das Vertrauen der Besucher – ein Faktor, der gerade für kleinere Unternehmen im Direktkundenkontakt nicht unterschätzt werden sollte.
DSGVO-Compliance ist kein einmaliges Projekt
Eine DSGVO-konforme Website ist kein Zustand, der einmal erreicht und dann abgehakt werden kann. Jedes neue Tool, das du einbindest, jedes Plugin-Update, jede neue Dienstleistung auf deiner Seite kann neue Anforderungen auslösen. Empfohlen ist eine Prüfung mindestens einmal pro Quartal und nach jeder größeren Änderung der Website.
Die zehn Punkte dieser Checkliste bilden die Grundlage. In den weiteren Teilen dieser Serie gehen wir tiefer: Datenschutzerklärung im Detail, Cookie-Banner richtig konfigurieren, Analytics ohne Compliance-Risiko – und was du beim Website-Relaunch beachten musst.
Wenn du nicht sicher bist, wo deine Website aktuell steht: Unser kostenloser Website-Check scannt deine Seite automatisch auf die häufigsten DSGVO-Lücken – ohne Anmeldung, Ergebnis in unter 60 Sekunden.
→ Zur Case Study: Otternase-Design – wie wir eine Portfolio-Website von Anfang an DSGVO-konform gebaut haben.
→ Falls du noch überlegst, ob du eine individuelle Lösung oder ein CMS wie WordPress nutzen solltest: Im Vergleich Custom Code vs. WordPress zeigen wir, welche Auswirkungen die Technologiewahl auf DSGVO-Compliance und Wartungsaufwand hat.
