Die DSGVO wird oft ignoriert – bis der Brief kommt.
Dann sind plötzlich Abmahnungen, Bußgelder oder Datenschützer im Spiel. Und die Frage: „Hätte ich das nicht einfacher haben können?"
Die Wahrheit: Die meisten DSGVO-Probleme auf Websites sind leicht vermeidbar. Wenn Sie wissen, worauf Sie achten müssen.
Diese Checkliste zeigt, was 2026 auf jeder Business-Website sein muss – praktisch, verständlich und sofort umsetzbar.
Warum DSGVO 2026 wieder relevant wird
Die Datenschutzgesetze werden strenger durchgesetzt. Behörden prüfen gezielter, Abmahner sind aktiver.
Zudem: Google Analytics 4, Consent-Banner, Cookie-Alternativen – die technische Landschaft hat sich verändert. Was 2020 okay war, kann 2026 ein Problem sein.
Die gute Nachricht: Mit der richtigen Grundstruktur sind Sie auf der sicheren Seite.
Die DSGVO-Website-Checkliste 2026
✅ Pflicht #1: Impressum
Was es ist: Ihre digitale Visitenkarte mit rechtlichem Pflicht-Inhalt.
Was rein muss:
- Vollständiger Firmenname (wie im Handelsregister)
- Rechtsform (GmbH, Einzelunternehmen, etc.)
- Geschäftsführer / Inhaber mit vollem Namen
- Vollständige ladungsfähige Anschrift (kein Postfach!)
- Kontakt: E-Mail UND Telefon
- Umsatzsteuer-Identifikationsnummer (falls vorhanden)
- Handelsregister-Nummer (bei GmbH, UG, AG)
- Berufsbezeichnung und ggf. Kammer-Zugehörigkeit
Wo: Auf jeder Seite erreichbar (Footer), klar als „Impressum" gekennzeichnet.
Häufiger Fehler: Postfach statt Adresse – nicht erlaubt!
✅ Pflicht #2: Datenschutzerklärung
Was es ist: Eine Erklärung, welche Daten Sie wie verarbeiten.
Was rein muss:
- Name und Kontaktdaten des Verantwortlichen
- Arten der erhobenen Daten (IP, Kontaktformular, etc.)
- Zweck der Datenverarbeitung
- Rechtsgrundlage (Art. 6 DSGVO)
- Speicherdauer
- Rechte der Nutzer (Auskunft, Löschung, etc.)
- Kontakt zum Datenschutzbeauftragten (falls nötig)
- Bei Cookies: Detaillierte Aufklärung
Speziell 2026:
- Google Analytics 4 Datenverarbeitung genannt
- Cookie-Banner-Anbieter aufgeführt
- Hosting-Anbieter inkludiert
Wo: Eigene Unterseite, aus dem Footer verlinkt.
✅ Pflicht #3: Cookie-Consent
Was es ist: Aktive Einwilligung bevor nicht-essentielle Cookies gesetzt werden.
Was Sie brauchen:
- Consent-Management-Platform (CMP) oder Cookie-Banner
- Opt-IN-Logik (nichts darf vorher geladen werden!)
- Möglichkeit, nur bestimmte Kategorien zu akzeptieren
- Widerrufsmöglichkeit
- Protokollierung der Einwilligungen
Empfehlung: Usercentrics, Cookiebot, oder Borlabs Cookie (WordPress).
WICHTIG: Google Analytics, Facebook Pixel, YouTube-Videos – all das darf erst NACH Consent geladen werden!
✅ Pflicht #4: SSL-Verschlüsselung
Was es ist: HTTPS statt HTTP. Das Schloss-Symbol im Browser.
Warum: DSGVO verlangt „angemessene technische Maßnahmen". Unverschlüsselte Übertragung ist 2026 nicht mehr akzeptabel.
Check:
- Website lädt automatisch über HTTPS
- Keine Mixed-Content-Warnungen
- SSL-Zertifikat gültig (nicht abgelaufen)
Kostenlos: Let’s Encrypt bietet kostenlose Zertifikate.
✅ Pflicht #5: Sichere Kontaktformulare
Was zu beachten ist:
- Einwilligung zur Datenschutzerklärung als Pflichtfeld
- Keine unnötigen Daten abfragen
- Formular über HTTPS übertragen
- E-Mail sicher versenden
- Bestätigungs-E-Mail mit Hinweis auf Datenverarbeitung
Text-Vorlage für Checkbox:
„Ich habe die Datenschutzerklärung gelesen und akzeptiere diese."
✅ Pflicht #6: Google Fonts & externe Dienste
Das Problem: Google Fonts laden Schriften von Google-Servern. Dabei wird die IP an Google übertragen. Ohne Einwilligung DSGVO-verletzend.
Lösung:
- Google Fonts lokal hosten (Plugin: OMGF für WordPress)
- Oder: Einwilligung vor dem Laden einholen
- Gleiches gilt für: YouTube-Videos, Google Maps, Facebook-Plugins
Alternativen:
- Fonts: Adobe Fonts (mit Vertrag), System-Fonts, lokal gehostete Google Fonts
- Maps: OpenStreetMap statt Google Maps
✅ Pflicht #7: SSL/TLS für E-Mails
Oft vergessen: E-Mails mit Kundendaten müssen verschlüsselt übertragen werden.
Check:
- SMTP mit TLS-Verschlüsselung
- IMAP/POP3 ebenfalls verschlüsselt
- Provider bietet Verschlüsselung an
✅ Pflicht #8: Auftragsverarbeitungsverträge (AVV)
Was es ist: Vertragliche Regelung mit Dienstleistern, die Daten für Sie verarbeiten.
Mit wem Sie einen AVV brauchen:
- Hosting-Anbieter
- E-Mail-Marketing-Dienst (Mailchimp, CleverReach, etc.)
- Google (bei Analytics, Ads, etc.)
- Cloud-Speicher-Dienste
Wie: Meist in den Einstellungen des Anbieters abschließbar.
Die Komplett-Checkliste als PDF
Rechtliches
- Impressum vollständig und erreichbar
- Datenschutzerklärung vorhanden und aktuell
- Cookie-Banner mit Opt-IN
- AVV mit relevanten Anbietern geschlossen
Technisches
- HTTPS erzwungen
- Keine Mixed-Content-Fehler
- Kontaktformular mit Einwilligung
- Google Fonts lokal gehostet
Drittanbieter
- Google Analytics erst nach Consent geladen
- Social-Media-Plugins nur nach Einwilligung
- YouTube-Videos mit „Erweitertem Datenschutz"
Prozesse
- Consent-Protokolle werden gespeichert
- Kontakt für Datenschutz-Anfragen definiert
- Regelmäßige Überprüfung etabliert
Häufige Fragen
„Ich bin Kleinunternehmer – brauche ich das alles?"
Ja. Die DSGVO gilt für alle, die personenbezogene Daten verarbeiten. Größe spielt keine Rolle.
„Was kostet eine DSGVO-Abmahnung?"
Abmahnhonorare liegen oft bei 500–1.500€ pro Verstoß. Bußgelder können bis zu 20 Mio. € oder 4% des Jahresumsatzes betragen.
„Muss ich einen Datenschutzbeauftragten haben?"
Ab 20 Mitarbeitern, die automatisiert Daten verarbeiten – oder wenn Sie sensible Daten verarbeiten.
Nächste Schritte
- Checkliste durchgehen – ehrlich abhaken
- Lücken identifizieren – was fehlt?
- Priorisieren – Impressum und Datenschutz zuerst
- Umsetzen – selbst oder mit Unterstützung
Achten Sie auch auf technische Performance – langsame Seiten sind zwar nicht DSGVO-relevant, aber schlecht für Conversion.
Brauchen Sie Unterstützung?
Die DSGVO ist komplex, aber die Umsetzung muss nicht kompliziert sein.
Wenn Sie unsicher sind, ob Ihre Website konform ist:
→ Lassen Sie Ihre Website prüfen – ich zeige Ihnen konkret, was fehlt und wie Sie es beheben.
Ist ein Punkt unklar? Schreiben Sie mir – ich erkläre es gerne.