Ist der DSGVO-Scan kostenlos?

Ja, 100% kostenlos. Keine Anmeldung, keine Kreditkarte, keine versteckten Kosten.

Was kostet ein DSGVO-Audit?

Das Komplett-Audit kostet €149 einmalig. Das Komplett-Paket mit Umsetzung aller Fixes kostet €399.

Was kostet eine professionelle Website?

Landingpages ab €990, Business-Websites ab €2.490, Web-Apps ab €4.990. Transparente Festpreise.

Ersetzt der Scanner einen Anwalt?

Nein. Der Scanner prüft technische Aspekte. Für rechtliche Bewertung empfehlen wir einen Fachanwalt.

Was sind die häufigsten DSGVO-Fehler 2026?

Die 5 häufigsten Fehler sind: Google Fonts extern geladen (betrifft ~40% aller Websites), Google Analytics ohne Consent, Cookie-Banner mit Fake-Ablehnen-Button, fehlende oder veraltete Datenschutzerklärung und keine AVVs mit Dienstleistern.

Welche Punkte umfasst eine DSGVO-Checkliste?

Die wichtigsten 15 Punkte: SSL-Verschlüsselung, Cookie-Banner mit Opt-In, Google Fonts lokal einbinden, vollständige Datenschutzerklärung, korrektes Impressum, Auftragsverarbeitungsverträge, Google Analytics rechtskonform einsetzen, Social-Media 2-Klick-Lösung, Kontaktformular mit Double-Opt-In, Verarbeitungsverzeichnis, Datenschutzbeauftragter (falls nötig), Löschkonzept, Betroffenenrechte, EU-Hosting und regelmäßige Audits.

Welche Tools helfen bei der DSGVO-Compliance?

Empfohlene Tools: Cookie-Consent (Usercentrics, CookieBot, Borlabs Cookie), Datenschutzerklärung (eRecht24, Datenschutz-Generator.de, ActiveMind) und DSGVO-Scanner (Nevik DSGVO-Scanner kostenlos, eRecht24 Projekt-Scanner).

Checkliste16. Februar 2026· 12 Min. Lesezeit

DSGVO-Checkliste 2026: 15 Punkte für Ihre Website

Seit Mai 2018 gilt die Datenschutz-Grundverordnung (DSGVO) in der gesamten EU — und die Anforderungen werden 2026 strenger durchgesetzt denn je. Abmahnungen wegen fehlender Cookie-Banner, externer Google Fonts oder unvollständiger Datenschutzerklärungen kosten Website-Betreiber jährlich Millionen Euro.

Diese 15-Punkte-Checkliste zeigt Ihnen, was Ihre Website 2026 erfüllen muss, um DSGVO-konform zu sein. Inklusive Tools, Fristen und konkreten Handlungsempfehlungen. Kein Juristendeutsch, sondern praxistauglich.

Risiko: Bis zu €20 Mio. oder 4% Jahresumsatz

DSGVO-Verstöße können nach Art. 83 DSGVO mit bis zu 20 Millionen Euro oder 4% des weltweiten Jahresumsatzes bestraft werden. Auch Abmahnungen durch Wettbewerber oder spezialisierte Kanzleien sind möglich (€100–€3.000 pro Verstoß).

Die 15-Punkte DSGVO-Checkliste

SSL-Verschlüsselung (HTTPS)

Ihre Website muss über HTTPS erreichbar sein. Unverschlüsselte HTTP-Verbindungen sind seit 2018 ein DSGVO-Verstoß, da personenbezogene Daten (z.B. Formulareingaben) ungeschützt übertragen werden.

Tool: Let's Encrypt (kostenlos), Cloudflare SSL

Prüfung: Browser-Adressleiste zeigt Schloss-Symbol

Cookie-Banner mit aktivem Opt-In

Cookies (außer technisch notwendigen) dürfen erst nach aktiver Zustimmung gesetzt werden. „Akzeptieren oder verlassen"-Banner sind unzulässig. Nutzer müssen Cookies einzeln ablehnen können.

Tools: Usercentrics, CookieBot, Borlabs Cookie (WordPress)

Achtung: Google Analytics vor Consent = Abmahnung

Google Fonts lokal einbinden

Externe Google Fonts von fonts.googleapis.com übertragen IP-Adressen an Google (USA) — das ist ohne Einwilligung rechtswidrig (LG München, Az. 3 O 17493/20).

Lösung: Schriften lokal hosten (Anleitung)

WordPress: Plugin „OMGF" nutzen

Datenschutzerklärung (vollständig & aktuell)

Pflichtangaben nach Art. 13 DSGVO: Verantwortlicher, Zweck, Rechtsgrundlage, Speicherdauer, Empfänger, Betroffenenrechte. Muss von jeder Seite aus erreichbar sein (Footer-Link).

Generator: eRecht24, Datenschutz-Generator.de (kostenlos)

Wichtig: Bei jedem neuen Tool (z.B. Mailchimp) aktualisieren

Impressum (Anbieterkennzeichnung)

Pflicht nach §5 DDG: Name, Adresse, Kontakt, Handelsregister, USt-ID (bei Umsatzsteuerpflicht). Muss mit max. 2 Klicks erreichbar sein.

Tipp: Separate „Impressum"-Seite im Footer verlinken

Detaillierte Anleitung

Auftragsverarbeitungsverträge (AVV)

Mit jedem Dienstleister, der personenbezogene Daten verarbeitet (Hosting, Newsletter, Analytics), muss ein AVV nach Art. 28 DSGVO geschlossen werden.

Beispiele: Hoster (Hetzner, ALL-INKL), Mailchimp, Google Workspace

Wo? Meist im Kundenkonto oder auf Anfrage

Google Analytics rechtskonform einsetzen

Google Analytics 4 ist nur mit aktivem Consent und IP-Anonymisierung zulässig. Viele Datenschutzbehörden stufen GA weiterhin als unzulässig ein (Datenübertragung USA).

Alternative: Matomo, Plausible, Fathom (Vergleich)

Risiko: Österreich & Frankreich haben GA verboten

Social-Media-Einbindungen (2-Klick-Lösung)

Facebook-Pixel, YouTube-Videos, Instagram-Feeds übertragen ohne Consent Daten an Meta/Google. Nutzen Sie 2-Klick-Lösungen (Shariff, embetty) oder verzichten Sie.

WordPress: Plugin „Embed Privacy"

Alternative: YouTube „nocookie"-Domain nutzen

Kontaktformular: Double-Opt-In & Verschlüsselung

Formulardaten müssen über HTTPS übertragen werden. Bei Newsletter-Anmeldungen ist Double-Opt-In Pflicht. Checkbox „Datenschutzerklärung gelesen" muss vorhanden sein.

Technisch: SSL + reCAPTCHA (mit Consent) oder Honeypot

Verzeichnis von Verarbeitungstätigkeiten (VVT)

Ab 250 Mitarbeitern oder bei regelmäßiger Verarbeitung sensibler Daten ist ein VVT nach Art. 30 DSGVO Pflicht. Dokumentiert alle Datenverarbeitungen (Zweck, Empfänger, Löschfristen).

Vorlage: BfDI, LfDI Bayern (kostenlos)

Datenschutzbeauftragten bestellen (falls nötig)

Pflicht bei: 20+ Mitarbeiter mit regelmäßiger Datenverarbeitung, oder wenn sensible Daten verarbeitet werden (Gesundheit, Religion). Externer DSB kostet €150–€500/Monat.

Alternativ: Datenschutz-Hotline für KMU (ab €50/Monat)

Löschkonzept & Speicherfristen

Daten dürfen nur so lange gespeichert werden, wie nötig. Beispiel: Kontaktformular-Daten nach 6 Monaten löschen, Newsletterabmeldungen nach 30 Tagen aus System entfernen.

Achtung: Handelsrechtliche Aufbewahrungsfristen (10 Jahre) beachten

Betroffenenrechte umsetzen

Nutzer haben Rechte auf Auskunft (Art. 15), Berichtigung (Art. 16), Löschung (Art. 17), Datenübertragbarkeit (Art. 20). Frist: 30 Tage nach Anfrage.

Praxis: Prozess definieren, wer Anfragen bearbeitet

Hosting in der EU

Nach Schrems-II-Urteil sind USA-Server problematisch. Nutzen Sie EU-Hoster (Hetzner, ALL-INKL, IONOS) oder achten Sie auf EU-Rechenzentren (AWS Frankfurt, Azure Amsterdam).

Sicher: Deutsche Hoster mit ISO 27001-Zertifizierung

Regelmäßige Audits & Updates

DSGVO-Compliance ist kein einmaliges Projekt. Prüfen Sie quartalsweise: Neue Plugins? Neue Tracking-Tools? Datenschutzerklärung noch aktuell? AVVs vorhanden?

Tool: Nutzen Sie unseren DSGVO-Scanner (kostenlos)

Was passiert bei Verstößen?

Behördliche Bußgelder: Datenschutzbehörden können nach Art. 83 DSGVO Strafen bis zu €20 Mio. oder 4% des Jahresumsatzes verhängen. 2023 wurden allein in Deutschland über €400 Mio. Bußgelder verhängt (Quelle: BfDI).

Abmahnungen durch Wettbewerber/Kanzleien: Spezialisierte Anwälte scannen automatisiert Websites nach DSGVO-Verstößen (Google Fonts, fehlende Cookie-Banner) und mahnen ab. Typische Forderung: €100–€3.000 + Anwaltskosten.

Schadensersatzforderungen: Betroffene können nach Art. 82 DSGVO Schadensersatz fordern — auch bei immateriellem Schaden (z.B. „Ich fühle mich unwohl, dass meine IP-Adresse übertragen wurde"). Gerichte urteilen hier unterschiedlich.

Häufigste DSGVO-Fehler 2026

1.
Google Fonts extern geladen — betrifft noch immer ~40% aller Websites
2.
Google Analytics ohne Consent — häufig durch veraltete Einbindung
3.
Cookie-Banner mit Fake-Ablehnen-Button — optisch versteckt oder funktionslos
4.
Datenschutzerklärung fehlt — oder ist seit 2018 unverändert (betrifft ~15%)
5.
Keine AVVs mit Dienstleistern — wird bei Audits direkt abgefragt

Tools für DSGVO-Compliance

Cookie-Consent

Usercentrics (€10–€100/Monat), CookieBot (€9–€249/Monat), Borlabs Cookie (€39 einmalig, WordPress)

Datenschutzerklärung

eRecht24 (€15/Monat), Datenschutz-Generator.de (kostenlos), ActiveMind (kostenlos)

DSGVO-Scanner

Nevik DSGVO-Scanner (kostenlos), eRecht24 Projekt-Scanner (€15/Monat)

Checkliste abhaken

Speichern Sie diese Seite als Lesezeichen und arbeiten Sie die 15 Punkte Schritt für Schritt ab. DSGVO-Compliance ist machbar — auch ohne Anwalt oder Agentur.

Fazit: DSGVO 2026 — streng, aber lösbar

Die DSGVO ist kein Hexenwerk, aber auch kein optionales Nice-to-Have. Wer diese 15 Punkte umsetzt, ist zu 95% abgesichert gegen Abmahnungen und Bußgelder. Die häufigsten Fehler (Google Fonts, Cookie-Banner, Datenschutzerklärung) lassen sich in unter 2 Stunden beheben.

Wichtigster Tipp: Dokumentieren Sie alles. AVVs, VVT, Löschkonzepte — im Ernstfall müssen Sie nachweisen, dass Sie sich um Compliance bemüht haben. Das reduziert Bußgelder massiv.

Professionelle Unterstützung: Unser DSGVO-Audit hilft Ihnen, alle Anforderungen rechtssicher umzusetzen.

Ist Ihre Website DSGVO-konform?

Unser Scanner prüft 8 kritische DSGVO-Kriterien — in 10 Sekunden, kostenlos, ohne Anmeldung.

Jetzt Website scannen