DSGVO Website Checkliste 2026

Die DSGVO gilt seit Mai 2018 und regelt den Umgang mit personenbezogenen Daten in der gesamten EU. Als Website-Betreiber verarbeiten Sie solche Daten praktisch immer: Schon die IP-Adresse eines Besuchers zählt dazu. Das bedeutet konkret: Jede Website braucht eine rechtskonforme Datenschutzerklärung, und für viele Dienste benötigen Sie die ausdrückliche Einwilligung Ihrer Nutzer.

Personenbezogene Daten umfassen unter anderem: IP-Adressen, E-Mail-Adressen, Namen, Kontaktformular-Eingaben, Cookie-Daten und Nutzerverhalten (Tracking). Sobald Sie einen dieser Datenpunkte erfassen, greift die DSGVO. Das Gute: Mit den richtigen Maßnahmen ist die Umsetzung kein Hexenwerk.

Die wichtigsten Grundprinzipien der DSGVO: Die Verordnung basiert auf mehreren Kernprinzipien, die Sie bei jeder Datenverarbeitung beachten müssen. Das Prinzip der Rechtmäßigkeit bedeutet, dass Sie für jede Verarbeitung eine Rechtsgrundlage benötigen (Einwilligung, Vertrag oder berechtigtes Interesse). Die Zweckbindung schreibt vor, dass Daten nur für den angegebenen Zweck verwendet werden dürfen. Datenminimierung heisst, nur die Daten zu erheben, die wirklich notwendig sind. Und die Speicherbegrenzung verlangt, dass Daten gelöscht werden, wenn sie nicht mehr benötigt werden.

Für eine DSGVO-konforme Website müssen Sie verschiedene Anforderungen erfüllen. Die folgende Liste gibt Ihnen einen Überblick über die wichtigsten Punkte, die Sie prüfen und umsetzen sollten:

• 1. Datenschutzerklärung: Vollständige, aktuelle und leicht zugängliche Erklärung gemäß Art. 13 DSGVO. Sie muss von jeder Seite erreichbar sein (meist im Footer).
• 2. Impressum: Rechtssicheres Impressum gemäß § 5 DDG (ehemals TMG) mit allen Pflichtangaben. Auch dieses muss von jeder Seite zugänglich sein.
• 3. Cookie-Banner: DSGVO- und TDDDG-konformes Einwilligungstool für nicht-essentielle Cookies. Ablehnen muss genauso einfach sein wie Akzeptieren.
• 4. SSL-Verschlüsselung: HTTPS-Verbindung für alle Seiten, besonders bei Formularen. Ein SSL-Zertifikat ist heute Standard und oft kostenlos verfügbar.
• 5. Kontaktformulare: Hinweis auf Datenverarbeitung, Angabe des Zwecks und Verweis auf Datenschutzerklärung direkt am Formular.
• 6. Externe Dienste: Google Fonts lokal einbinden, Analytics nur mit Einwilligung, Drittanbieter-Dienste in Datenschutzerklärung aufführen.
• 7. Auftragsverarbeitungsverträge: AVV mit Webhoster, Newsletter-Dienst, Analytics-Anbieter und allen weiteren Dienstleistern abschließen.
• 8. Verzeichnis von Verarbeitungstätigkeiten: Dokumentation aller Datenverarbeitungen (nicht öffentlich, aber intern erforderlich).
• 9. Auskunfts- und Löschrechte: Prozesse für Betroffenenanfragen (Auskunft, Berichtigung, Löschung) etablieren.
• 10. Datensicherheit: Technische und organisatorische Maßnahmen (TOM) zur Absicherung der Daten implementieren.

Die Datenschutzerklärung ist das Herzstück Ihrer DSGVO-Compliance. Sie informiert Besucher darüber, welche Daten Sie sammeln, warum Sie das tun und welche Rechte die Betroffenen haben. Art. 13 DSGVO listet alle Pflichtangaben auf. Die gute Nachricht: Mit Online-Generatoren erstellen Sie in wenigen Minuten eine rechtssichere Grundlage.

Wichtig: Die Datenschutzerklärung muss von jeder Seite Ihrer Website mit maximal zwei Klicks erreichbar sein. Typischerweise wird sie im Footer verlinkt. Der Link sollte eindeutig als "Datenschutz" oder "Datenschutzerklärung" beschriftet sein - versteckte oder verschleierte Bezeichnungen sind nicht zulässig. Die Erklärung muss außerdem auf einer eigenen Seite stehen und sollte nicht mit dem Impressum vermischt werden (auch wenn beide von derselben Stelle aus verlinkt werden können).

Pflichtinhalte einer Datenschutzerklärung:

• Verantwortlicher: Name, Anschrift und Kontaktdaten des Website-Betreibers
• Datenschutzbeauftragter: Falls vorhanden, Kontaktdaten angeben
• Verarbeitungszwecke: Welche Daten werden warum erhoben? (z.B. Kontaktformular, Newsletter, Analyse)
• Rechtsgrundlagen: Auf welcher Basis verarbeiten Sie die Daten? (Einwilligung, Vertrag, berechtigtes Interesse)
• Empfänger: An wen werden Daten weitergegeben? (Webhoster, Analytics-Dienste, etc.)
• Drittlandtransfer: Werden Daten außerhalb der EU verarbeitet? Wenn ja, welche Garantien greifen?
• Speicherdauer: Wie lange werden die Daten aufbewahrt?
• Betroffenenrechte: Auskunft, Berichtigung, Löschung, Einschränkung, Datenportabilität, Widerspruch
• Beschwerderecht: Hinweis auf das Beschwerderecht bei der zuständigen Aufsichtsbehörde
• Cookies und Tracking: Detaillierte Auflistung aller verwendeten Cookies und Tracking-Dienste

Empfohlene Datenschutz-Generatoren: Für kleine und mittelständische Unternehmen eignen sich kostenlose Generatoren wie der von Datenschutz-Generator.de (von Dr. Thomas Schwenke) oder IITR Datenschutz. Diese werden regelmäßig aktualisiert und berücksichtigen die neuesten Anforderungen.

Das Cookie-Banner ist für viele Website-Betreiber der sichtbarste Teil der DSGVO-Compliance. Das deutsche TDDDG (Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz), ehemals TTDSG, gilt seit dem 1. Dezember 2021 und wurde am 14. Mai 2024 im Zuge des Digitale-Dienste-Gesetzes umbenannt. Es stellt strenge Vorgaben auf: Technisch nicht notwendige Cookies dürfen erst nach ausdrücklicher Einwilligung gesetzt werden. Dabei müssen sowohl "Akzeptieren" als auch "Ablehnen" gleichwertig dargestellt werden.

Welche Cookies brauchen eine Einwilligung? Grundsätzlich unterscheidet man zwischen technisch notwendigen und nicht-notwendigen Cookies. Technisch notwendige Cookies, etwa für den Warenkorb eines Online-Shops oder für Session-Management, dürfen ohne Einwilligung gesetzt werden. Alle anderen Cookies, insbesondere Marketing-, Analyse- und Tracking-Cookies, erfordern eine vorherige Zustimmung. Im Zweifel gilt: Lieber Einwilligung einholen als riskieren, dass ein Cookie als nicht-notwendig eingestuft wird.

Anforderungen an ein DSGVO-konformes Cookie-Banner:

• Gleichwertige Optionen: "Akzeptieren" und "Ablehnen" müssen gleich gross, gleich farbig und gleich zugänglich sein. Dark Patterns (z.B. grosser grüner "Akzeptieren"-Button neben kleinem grauen "Ablehnen"-Link) sind verboten.
• Keine vorausgewählten Checkboxen: Alle nicht-essentiellen Cookies müssen standardmäßig deaktiviert sein.
• Granulare Auswahl: Nutzer müssen einzelne Cookie-Kategorien (Marketing, Analyse, Funktional) separat aktivieren oder ablehnen können.
• Kein Cookie-Wall: Die Website muss auch ohne Einwilligung grundlegend nutzbar bleiben.
• Kein Scroll-Opt-In: Weitersurfen oder Scrollen gilt nicht als Einwilligung.
• Widerrufmöglichkeit: Nutzer müssen ihre Einwilligung jederzeit einfach widerrufen können.

Kontaktformulare sammeln personenbezogene Daten und unterliegen daher der DSGVO. Die gute Nachricht: Sie benötigen keine separate Einwilligung per Checkbox, wenn das Formular ausschließlich der Kontaktaufnahme dient. Die Rechtsgrundlage ist dann Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen). Dennoch müssen Sie bestimmte Informationspflichten erfüllen.

So gestalten Sie Kontaktformulare richtig:

• Datensparsamkeit: Fragen Sie nur die Daten ab, die Sie wirklich benötigen. Name und E-Mail reichen meist aus. Pflichtfelder auf das Minimum beschränken.
• Hinweis auf Datenschutzerklärung: Verlinken Sie direkt am Formular auf Ihre Datenschutzerklärung, z.B.: "Hinweise zur Verarbeitung Ihrer Daten finden Sie in unserer Datenschutzerklärung."
• SSL-Verschlüsselung: Das Formular muss über HTTPS übertragen werden. Ohne SSL-Zertifikat drohen Abmahnungen.
• Speicherdauer kommunizieren: Informieren Sie in der Datenschutzerklärung, wie lange Sie die Anfragen speichern.
• Löschung nach Zweckerfüllung: Löschen Sie Anfragen, wenn sie nicht mehr benötigt werden und keine gesetzlichen Aufbewahrungsfristen greifen.

Einwilligung per Checkbox: Eine zusätzliche Checkbox mit "Ich habe die Datenschutzerklärung gelesen und stimme der Verarbeitung meiner Daten zu" ist rechtlich nicht erforderlich, schadet aber auch nicht. Sie kann sogar als Nachweis dienen, dass der Nutzer informiert wurde. Wichtig: Die Checkbox darf nicht vorausgewählt sein.

Externe Dienste wie Google Analytics, Google Fonts oder Google Maps stellen ein erhebliches DSGVO-Risiko dar, wenn sie nicht korrekt eingebunden werden. Der Grund: Bei der Nutzung werden Daten (mindestens die IP-Adresse) an Server in den USA übertragen. Das beruhmte Google-Fonts-Urteil des LG München (Az. 3 O 17493/20) machte deutlich: Schon 100 Euro Schadensersatz pro Besucher sind möglich.

Google Fonts lokal einbinden: Die einfachste Lösung ist, Google Fonts gar nicht erst von Google-Servern zu laden. Stattdessen laden Sie die Schriftarten herunter und speichern sie auf Ihrem eigenen Server. So wird keine Verbindung zu Google hergestellt. Für WordPress gibt es Plugins wie "OMGF (Optimize My Google Fonts)" oder "Local Google Fonts", die das automatisch erledigen.

Google Analytics und Alternativen: Google Analytics 4 erfordert eine ausdrückliche Einwilligung, bevor das Tracking startet. Ohne Cookie-Consent dürfen keine Daten erhoben werden. Als datenschutzfreundliche Alternative bietet sich Matomo an. Bei korrekter Konfiguration (IP-Anonymisierung, keine Cookies, selbst gehostet) kann Matomo sogar ohne Einwilligung genutzt werden. Die wichtigsten Matomo-Einstellungen:

• IP-Anonymisierung aktivieren: Mindestens 2 Bytes maskieren (besser 3 Bytes)
• Cookies deaktivieren: Tracking ohne Cookies ist möglich und DSGVO-freundlicher
• Selbst hosten: Matomo auf dem eigenen Server installieren (kein Drittlandtransfer)
• Opt-out anbieten: In der Datenschutzerklärung eine Opt-out-Möglichkeit bereitstellen

Google Maps: Auch Google Maps sollte erst nach Einwilligung geladen werden. Eine DSGVO-konforme Lösung ist die Zwei-Klick-Lösung: Zuerst zeigen Sie ein Platzhalterbild, und erst nach Klick auf "Karte laden" wird die echte Karte eingebettet. Alternativ können Sie OpenStreetMap nutzen, das datenschutzfreundlicher ist.

YouTube-Videos einbetten: Auch YouTube-Embeds übertragen Daten an Google. Die datenschutzfreundliche Variante ist der erweiterte Datenschutzmodus: Nutzen Sie "youtube-nocookie.com" statt "youtube.com" in Ihren Embed-Codes. Noch besser ist auch hier die Zwei-Klick-Lösung, bei der erst ein Vorschaubild angezeigt wird und das Video erst nach Klick geladen wird. Viele Cookie-Consent-Tools bieten diese Funktion automatisch an.

Social-Media-Integrationen: Facebook-Pixel, LinkedIn-Insight-Tag und ähnliche Tracking-Skripte dürfen erst nach Einwilligung aktiviert werden. Auch eingebettete Tweets oder Instagram-Posts übertragen Daten an die jeweiligen Netzwerke. Prüfen Sie alle externen Einbindungen auf Ihrer Website und stellen Sie sicher, dass sie erst nach Consent geladen werden.

Ein häufig übersehener Punkt: Mit jedem Dienstleister, der für Sie personenbezogene Daten verarbeitet, müssen Sie einen Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO abschließen. Das gilt insbesondere für Ihren Webhoster, Newsletter-Dienst, Cookie-Consent-Anbieter und Analyse-Tools.

Typische Dienstleister, mit denen Sie einen AVV benötigen:

• Webhoster: Ihr Hosting-Anbieter speichert Serverlogs mit IP-Adressen. Die meisten Hoster bieten AVV-Vorlagen im Kundenbereich an.
• E-Mail-Marketing: Newsletter-Dienste wie Mailchimp, CleverReach, Brevo (ehemals Sendinblue) verarbeiten E-Mail-Adressen in Ihrem Auftrag.
• Analytics: Google Analytics, Matomo Cloud oder andere Tracking-Anbieter (nicht bei selbst gehostetem Matomo).
• Cookie-Consent-Tools: Wenn der Anbieter Einwilligungsdaten speichert.
• Cloud-Speicher: Wenn Sie Kundendaten in der Cloud speichern (z.B. Google Drive, Dropbox).
• CRM-Systeme: Wenn Kundendaten dort verwaltet werden.

Wie Sie einen AVV abschließen: Die meisten seriösen Anbieter stellen AVV-Vorlagen bereit. Bei größeren Hostern wie STRATO, IONOS oder Hetzner finden Sie den AVV im Kundenbereich. Der Abschluss erfolgt heute meist elektronisch. Wichtig: Dokumentieren Sie den Abschluss und archivieren Sie den Vertrag. Bei Prüfungen durch Aufsichtsbehörden müssen Sie die AVVs vorlegen können.

Viele Website-Betreiber machen ähnliche Fehler. Diese Verstoße werden häufig abgemahnt oder von Aufsichtsbehörden sanktioniert. Kennen Sie die typischen Fallstricke, können Sie sie von Anfang an vermeiden.

• Google Fonts dynamisch eingebunden: Laden der Schriften von Google-Servern ohne Einwilligung. Folge: Abmahnungen mit Schadensersatzforderungen (100 Euro aufwärts pro Besucher). Lösung: Fonts lokal einbinden.
• Cookie-Banner mit Dark Patterns: "Akzeptieren" prominent, "Ablehnen" versteckt. Folge: Abmahnungen, Bußgelder. Lösung: Gleichwertige Darstellung beider Optionen.
• Fehlende oder unvollständige Datenschutzerklärung: Nicht alle Datenverarbeitungen dokumentiert oder veraltete Angaben. Folge: Abmahnungen, Bußgelder bis zu mehreren tausend Euro. Lösung: Vollständige, aktuelle Erklärung mit Generator erstellen.
• Kein SSL-Zertifikat: Daten werden unverschlüsselt übertragen. Folge: Abmahnungen, Vertrauensverlust bei Besuchern. Lösung: Kostenloses Let's Encrypt-Zertifikat installieren.
• Fehlende AVVs: Keine Verträge mit Webhoster oder anderen Dienstleistern. Folge: Bußgelder (z.B. 5.000 Euro in Hamburg 2018). Lösung: AVVs mit allen Dienstleistern abschließen.
• Analytics ohne Einwilligung: Google Analytics lädt vor Cookie-Consent. Folge: Abmahnungen, Bußgelder. Lösung: Tracking erst nach Einwilligung starten oder auf Matomo umsteigen.
• Kontaktformular ohne SSL: Sensible Daten werden unverschlüsselt gesendet. Folge: Abmahnungen, Datenschutzverletzung. Lösung: SSL-Zertifikat aktivieren.

Mit dieser Checkliste prüfen Sie schnell, ob Ihre Website die wichtigsten DSGVO-Anforderungen erfüllt. Gehen Sie jeden Punkt durch und notieren Sie, wo Handlungsbedarf besteht.

So nutzen Sie die Checkliste: Prüfen Sie jeden Punkt auf Ihrer Website. Bei einem "Nein" besteht Handlungsbedarf. Priorisieren Sie nach Risiko: SSL-Zertifikat, Datenschutzerklärung und Cookie-Banner sollten zuerst in Ordnung gebracht werden, da hier die häufigsten Abmahnungen drohen. Die Checkliste ersetzt keine vollständige DSGVO-Analyse, gibt aber einen guten ersten Überblick.

Regelmäßige Prüfung empfohlen: Die DSGVO-Compliance ist kein einmaliges Projekt. Ich empfehle, die Checkliste mindestens einmal im Quartal durchzugehen. Besonders wichtig ist eine Prüfung nach Website-Änderungen: Haben Sie ein neues Plugin installiert? Einen Newsletter-Dienst gewechselt? Ein neues Kontaktformular eingebaut? All das kann Auswirkungen auf die Datenschutz-Compliance haben. Dokumentieren Sie Ihre Prüfungen, um bei Behördenanfragen nachweisen zu können, dass Sie sich aktiv um den Datenschutz kümmern.

Tools zur Ueberprüfung: Es gibt verschiedene Online-Tools, die Ihre Website automatisch auf DSGVO-Verstoße prüfen. Der Website-Scan von Cookiebot zeigt Ihnen, welche Cookies gesetzt werden. Das Chrome-Plugin "Lighthouse" prüft technische Aspekte wie SSL und Datenübertragung. Und der DSGVO-Check von eRecht24 gibt einen schnellen Überblick über mögliche Problemstellen. Bedenken Sie jedoch: Automatisierte Tools ersetzen keine manuelle Prüfung, sie können aber auf offensichtliche Fehler hinweisen. Für eine umfassende Analyse empfehle ich einen technischen Website-Audit.