Business 2026-01-12 11 min Lesezeit

DSGVO-Compliance fuer Websites 2026: Der vollstaendige Guide

Cookie-Consent, Datenschutzerklaerung, Hosting und mehr: So gestalten Sie Ihre Website DSGVO-konform und vermeiden Abmahnungen.

Was ist die DSGVO?

Die Datenschutz-Grundverordnung (DSGVO) ist die europaeische Verordnung zum Schutz personenbezogener Daten, die seit Mai 2018 gilt. Sie regelt, wie Unternehmen personenbezogene Daten erheben, verarbeiten und speichern duerfen.

Fuer Website-Betreiber bedeutet die DSGVO konkrete Pflichten: Von der Einholung von Cookie-Einwilligungen bis zur korrekten Datenschutzerklaerung gibt es zahlreiche Anforderungen zu erfuellen.

DSGVO 2026: Was hat sich geaendert?

Die Grundprinzipien bleiben gleich, aber Urteile und Richtlinien haben die Auslegung praezisiert. Besonders wichtig: Das Planet49-Urteil (keine vorausgefuellten Checkboxen) und das TTDSG (Telekommunikation-Telemedien-Datenschutz-Gesetz).

Grundprinzipien der DSGVO

  • Rechtmaessigkeit: Datenverarbeitung nur mit Rechtsgrundlage
  • Zweckbindung: Nur fuer festgelegte Zwecke verarbeiten
  • Datenminimierung: Nur notwendige Daten erheben
  • Richtigkeit: Daten aktuell und korrekt halten
  • Speicherbegrenzung: Nicht laenger als noetig speichern
  • Integritaet & Vertraulichkeit: Angemessene Sicherheit
  • Rechenschaftspflicht: Einhaltung nachweisen koennen

DSGVO-Grundlagen fuer Websites

Jede Website, die personenbezogene Daten verarbeitet - und das tun praktisch alle - muss DSGVO-konform sein. Personenbezogene Daten umfassen:

Was sind personenbezogene Daten?

Direkt identifizierend

  • Name
  • E-Mail-Adresse
  • Telefonnummer
  • Postadresse
  • Fotos

Indirekt identifizierend

  • IP-Adresse
  • Cookie-IDs
  • Geraete-Kennungen
  • Standortdaten
  • Nutzungsverhalten

Rechtsgrundlagen fuer die Verarbeitung

Jede Datenverarbeitung braucht eine Rechtsgrundlage (Art. 6 DSGVO). Die wichtigsten fuer Websites:

  • Einwilligung (Art. 6 Abs. 1 lit. a):

    Fuer Cookies, Newsletter, Marketing. Muss freiwillig, informiert und eindeutig sein.

  • Vertragserfullung (Art. 6 Abs. 1 lit. b):

    Fuer Bestellabwicklung, Kundenkonto, Lieferung.

  • Berechtigte Interessen (Art. 6 Abs. 1 lit. f):

    Fuer technisch notwendige Cookies, Sicherheit, Logfiles. Interessenabwaegung erforderlich.

  • Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c):

    Fuer Aufbewahrungspflichten, Steuerdaten.

Cookie-Consent richtig umsetzen

Das TTDSG (seit Dezember 2021) verlangt fuer nicht technisch notwendige Cookies eine vorherige Einwilligung. Die meisten Cookie-Banner, die man im Web sieht, sind leider nicht DSGVO-konform.

Anforderungen an Cookie-Einwilligungen

Vorherige Einwilligung (Opt-in)

Keine Cookies setzen, bevor der Nutzer zugestimmt hat

Freiwilligkeit

Ablehnen muss genauso einfach sein wie Annehmen

Informiertheit

Klare Information ueber Zwecke und Empfaenger

Granularitaet

Einzelne Cookie-Kategorien muessen waehlbar sein

Widerrufbarkeit

Einwilligung muss jederzeit widerrufen werden koennen

Dokumentation

Einwilligungen protokollieren und nachweisen koennen

Haeufige Fehler bei Cookie-Bannern

Vorausgewaehlte Checkboxen (Planet49-Urteil)

"Ablehnen" versteckt oder schwerer zugaenglich

Cookie-Wall ohne echte Alternative

Berechtigtes Interesse fuer Marketing-Cookies

Weiterscrollen = Zustimmung

Empfohlene Cookie-Kategorien

  • Notwendig: Technisch erforderlich, keine Einwilligung noetig
  • Funktional: Spracheinstellungen, Praeferenzen
  • Statistik: Anonyme Nutzungsanalyse
  • Marketing: Werbe-Tracking, Retargeting

Datenschutzerklaerung

Jede Website braucht eine Datenschutzerklaerung, die von jeder Seite aus erreichbar sein muss (typischerweise im Footer). Sie muss vollstaendig, verstaendlich und aktuell sein.

Pflichtinhalte der Datenschutzerklaerung

1

Name und Kontaktdaten des Verantwortlichen

Wer ist fuer die Datenverarbeitung verantwortlich?

2

Kontaktdaten des Datenschutzbeauftragten

Falls vorhanden (Pflicht ab 20 Mitarbeitern mit Datenverarbeitung)

3

Zwecke und Rechtsgrundlagen der Verarbeitung

Warum werden welche Daten verarbeitet?

4

Empfaenger der Daten

An wen werden Daten weitergegeben?

5

Drittlandtransfers

Werden Daten ausserhalb der EU verarbeitet?

6

Speicherdauer

Wie lange werden die Daten gespeichert?

7

Betroffenenrechte

Auskunft, Berichtigung, Loeschung, Widerspruch, Portabilitaet

8

Beschwerderecht

Hinweis auf Aufsichtsbehoerde

Tipp: Generatoren nutzen

Es gibt gute Datenschutz-Generatoren (z.B. von eRecht24, Dr. Schwenke), aber lassen Sie das Ergebnis von einem Experten pruefen und passen Sie es an Ihre spezifische Situation an.

Formulare & Kontaktdaten

Ueberall, wo Sie personenbezogene Daten erheben, gelten besondere Anforderungen.

Kontaktformulare

  • Nur notwendige Felder als Pflichtfeld (Datenminimierung)
  • Hinweis auf Datenschutzerklaerung (verlinkt)
  • SSL/TLS-Verschluesselung (HTTPS)
  • Keine vorausgefuellten Checkboxen fuer Marketing
  • Klare Information ueber Zweck der Datenerhebung
<!-- Beispiel: DSGVO-konformes Kontaktformular -->
<form action="/contact" method="POST">
  <label for="name">Name *</label>
  <input type="text" id="name" name="name" required>

  <label for="email">E-Mail *</label>
  <input type="email" id="email" name="email" required>

  <label for="message">Nachricht *</label>
  <textarea id="message" name="message" required></textarea>

  <!-- Keine vorausgefuellte Checkbox! -->
  <label>
    <input type="checkbox" name="privacy" required>
    Ich habe die <a href="/datenschutz/">Datenschutzerklaerung</a>
    gelesen und stimme der Verarbeitung meiner Daten zu. *
  </label>

  <button type="submit">Absenden</button>
</form>

Newsletter-Anmeldung

  • Double-Opt-in erforderlich (Bestaetigungsmail)
  • Nur E-Mail als Pflichtfeld
  • Klarer Hinweis auf Abmeldemöglichkeit
  • Protokollierung der Einwilligung (IP, Zeitstempel)

Analytics & Tracking

Website-Analyse ist wichtig, aber die meisten gaengigen Tools erfordern eine Einwilligung. Es gibt jedoch DSGVO-freundliche Alternativen.

Google Analytics

Google Analytics 4 erfordert Cookie-Einwilligung UND ist wegen des Datentransfers in die USA problematisch. Massnahmen:

  • Einwilligung vor dem Setzen von Cookies einholen
  • IP-Anonymisierung aktivieren
  • Auftragsverarbeitungsvertrag mit Google abschliessen
  • In Datenschutzerklaerung ausfuehrlich beschreiben
  • Drittlandtransfer transparent machen

DSGVO-freundliche Alternativen

Plausible Analytics

EU-Hosting, keine Cookies, keine personenbezogenen Daten. Keine Einwilligung erforderlich.

Fathom Analytics

EU-Infrastruktur, cookie-frei, datenschutzfreundlich. Keine Einwilligung noetig.

Matomo (self-hosted)

Open Source, selbst gehostet. Mit IP-Anonymisierung oft ohne Einwilligung nutzbar.

Simple Analytics

EU-basiert, keine Cookies, keine persoenlichen Daten. DSGVO-konform ohne Einwilligung.

Hosting & Drittanbieter

Ihr Hosting-Anbieter und eingebundene Drittanbieter-Dienste sind potenzielle Schwachstellen fuer die DSGVO-Compliance.

Hosting-Anforderungen

  • Auftragsverarbeitungsvertrag (AVV) mit dem Hoster
  • Bevorzugt EU-basiertes Hosting (kein US-Cloud)
  • SSL/TLS-Verschluesselung (HTTPS)
  • Regelmaessige Backups
  • Technische und organisatorische Massnahmen (TOMs) dokumentiert

Problematische Drittanbieter

Diese Dienste erfordern besondere Aufmerksamkeit:

  • Google Fonts: Laden Sie Fonts lokal (kein Google-Request)
  • YouTube/Vimeo: 2-Klick-Loesung oder lokales Hosting
  • Social Media Buttons: Shariff oder 2-Klick-Loesung
  • Maps: OpenStreetMap statt Google Maps, oder erst nach Klick
  • CDNs: EU-basierte CDNs bevorzugen

Google Fonts lokal einbinden: Laden Sie die Schriftdateien herunter und hosten Sie sie auf Ihrem eigenen Server. Verwenden Sie @font-face in Ihrem CSS mit lokalen Pfaden wie /fonts/open-sans.woff2.

DSGVO-Checkliste fuer Websites

Nutzen Sie diese Checkliste, um Ihre Website auf DSGVO-Compliance zu pruefen:

SSL/TLS-Verschluesselung (HTTPS) aktiv

Impressum vorhanden und von jeder Seite erreichbar

Datenschutzerklaerung vorhanden und vollstaendig

Cookie-Banner mit echtem Opt-in implementiert

Keine Cookies vor Einwilligung gesetzt

Google Fonts lokal eingebunden

YouTube/Social Media mit 2-Klick-Loesung

Kontaktformular mit Datenschutz-Checkbox

Newsletter mit Double-Opt-in

AVV mit allen Auftragsverarbeitern abgeschlossen

Verzeichnis von Verarbeitungstaetigkeiten erstellt

Fazit

DSGVO-Compliance ist keine einmalige Aufgabe, sondern ein fortlaufender Prozess. Halten Sie Ihre Website aktuell, pruefen Sie regelmaessig eingebundene Dienste, und dokumentieren Sie Ihre Massnahmen.

Vorteile von DSGVO-Compliance

  • Schutz vor Abmahnungen und Bussgeldern
  • Vertrauensaufbau bei Kunden
  • Bessere Website-Performance (weniger externe Requests)
  • Zukunftssicherheit fuer kommende Regelungen

Bei Wender Media entwickeln wir von Anfang an DSGVO-konforme Websites. Sprechen Sie uns an, wenn Sie Ihre bestehende Website pruefen oder eine neue Website entwickeln lassen moechten.

Ueber den Autor

Foto von Arnold Wender

SEO-Experte & Gruender

Arnold Wender ist Gruender und Geschaeftsfuehrer der Wender Media Halle (Saale). Mit ueber 18 Jahren Erfahrung in der Suchmaschinenoptimierung hilft er Unternehmen im bundesweit, ihre Online-Sichtbarkeit nachhaltig zu verbessern und mehr qualifizierte Anfragen zu generieren.

Profil anzeigen

Weiterfuehrende Artikel

DSGVO-Check fuer Ihre Website

Wir pruefen Ihre Website auf Datenschutz-Konformitaet und helfen Ihnen, alle Anforderungen zu erfuellen.

Kostenlosen Check anfordern