Business

DSGVO-Checkliste 2026 — Website rechtssicher umsetzen

DSGVO-Website 2026 Schritt für Schritt: Cookie-Consent, Datenschutzerklärung, Analytics & AVV. Mit Praxis-Checkliste rechtssicher werden — jetzt prüfen.

Arnold Wender
12. Januar 2026
11 Min. Lesezeit
DSGVODatenschutzCookie-ConsentCompliance
Veröffentlicht:
Inhaltsverzeichnis

Was ist die DSGVO?

Die Datenschutz-Grundverordnung (DSGVO) ist die europäische Verordnung zum Schutz personenbezogener Daten, die seit Mai 2018 gilt. Sie regelt, wie Unternehmen personenbezogene Daten erheben, verarbeiten und speichern duerfen.

Für Website-Betreiber bedeutet die DSGVO konkrete Pflichten: Von der Einholung von Cookie-Einwilligungen bis zur korrekten Datenschutzerklärung gibt es zahlreiche Anforderungen zu erfüllen.

DSGVO 2026: Was hat sich geändert?

Die Grundprinzipien bleiben gleich, aber Urteile und Richtlinien haben die Auslegung präzisiert. Besonders wichtig: Das Planet49-Urteil (keine vorausgefüllten Checkboxen) und das TTDSG (Telekommunikation-Telemedien-Datenschutz-Gesetz).

Grundprinzipien der DSGVO

  • Rechtmaessigkeit: Datenverarbeitung nur mit Rechtsgrundlage
  • Zweckbindung: Nur für festgelegte Zwecke verarbeiten
  • Datenminimierung: Nur notwendige Daten erheben
  • Richtigkeit: Daten aktuell und korrekt halten
  • Speicherbegrenzung: Nicht länger als nötig speichern
  • Integrität & Vertraulichkeit: Angemessene Sicherheit
  • Rechenschaftspflicht: Einhaltung nachweisen können

DSGVO-Grundlagen für Websites

Jede Website, die personenbezogene Daten verarbeitet - und das tun praktisch alle - muss DSGVO-konform sein. Personenbezogene Daten umfassen:

Was sind personenbezogene Daten?

Direkt identifizierend

  • Name
  • E-Mail-Adresse
  • Telefonnummer
  • Postadresse
  • Fotos

Indirekt identifizierend

  • IP-Adresse
  • Cookie-IDs
  • Geräte-Kennungen
  • Standortdaten
  • Nutzungsverhalten

Rechtsgrundlagen für die Verarbeitung

Jede Datenverarbeitung braucht eine Rechtsgrundlage (Art. 6 DSGVO). Die wichtigsten für Websites:

  • Einwilligung (Art. 6 Abs. 1 lit. a):

    Für Cookies, Newsletter, Marketing. Muss freiwillig, informiert und eindeutig sein.

  • Vertragserfullung (Art. 6 Abs. 1 lit. b):

    Für Bestellabwicklung, Kundenkonto, Lieferung.

  • Berechtigte Interessen (Art. 6 Abs. 1 lit. f):

    Für technisch notwendige Cookies, Sicherheit, Logfiles. Interessenabwaegung erforderlich.

  • Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c):

    Für Aufbewahrungspflichten, Steuerdaten.

Cookie-Consent richtig umsetzen

Das TTDSG (seit Dezember 2021) verlangt für nicht technisch notwendige Cookies eine vorherige Einwilligung. Die meisten Cookie-Banner, die man im Web sieht, sind leider nicht DSGVO-konform.

Anforderungen an Cookie-Einwilligungen

Vorherige Einwilligung (Opt-in)

Keine Cookies setzen, bevor der Nutzer zugestimmt hat

Freiwilligkeit

Ablehnen muss genauso einfach sein wie Annehmen

Informiertheit

Klare Information über Zwecke und Empfänger

Granularität

Einzelne Cookie-Kategorien müssen wählbar sein

Widerrufbarkeit

Einwilligung muss jederzeit widerrufen werden können

Dokumentation

Einwilligungen protokollieren und nachweisen können

Häufige Fehler bei Cookie-Bannern

Vorausgewählte Checkboxen (Planet49-Urteil)

"Ablehnen" versteckt oder schwerer zugänglich

Cookie-Wall ohne echte Alternative

Berechtigtes Interesse für Marketing-Cookies

Weiterscrollen = Zustimmung

Empfohlene Cookie-Kategorien

  • Notwendig: Technisch erforderlich, keine Einwilligung nötig
  • Funktional: Spracheinstellungen, Präferenzen
  • Statistik: Anonyme Nutzungsanalyse
  • Marketing: Werbe-Tracking, Retargeting

Datenschutzerklärung

Jede Website braucht eine Datenschutzerklärung, die von jeder Seite aus erreichbar sein muss (typischerweise im Footer). Sie muss vollständig, verständlich und aktuell sein.

Pflichtinhalte der Datenschutzerklärung

1

Name und Kontaktdaten des Verantwortlichen

Wer ist für die Datenverarbeitung verantwortlich?

2

Kontaktdaten des Datenschutzbeauftragten

Falls vorhanden (Pflicht ab 20 Mitarbeitern mit Datenverarbeitung)

3

Zwecke und Rechtsgrundlagen der Verarbeitung

Warum werden welche Daten verarbeitet?

4

Empfänger der Daten

An wen werden Daten weitergegeben?

5

Drittlandtransfers

Werden Daten außerhalb der EU verarbeitet?

6

Speicherdauer

Wie lange werden die Daten gespeichert?

7

Betroffenenrechte

Auskunft, Berichtigung, Löschung, Widerspruch, Portabilitaet

8

Beschwerderecht

Hinweis auf Aufsichtsbehörde

Tipp: Generatoren nutzen

Es gibt gute Datenschutz-Generatoren (z.B. von eRecht24, Dr. Schwenke), aber lassen Sie das Ergebnis von einem Experten prüfen und passen Sie es an Ihre spezifische Situation an.

Formulare & Kontaktdaten

Überall, wo Sie personenbezogene Daten erheben, gelten besondere Anforderungen.

Kontaktformulare

  • Nur notwendige Felder als Pflichtfeld (Datenminimierung)
  • Hinweis auf Datenschutzerklärung (verlinkt)
  • SSL/TLS-Verschlüsselung (HTTPS)
  • Keine vorausgefüllten Checkboxen für Marketing
  • Klare Information über Zweck der Datenerhebung
<!-- Beispiel: DSGVO-konformes Kontaktformular -->
<form action="/contact" method="POST">
  <label for="name">Name *</label>
  <input type="text" id="name" name="name" required>

  <label for="email">E-Mail *</label>
  <input type="email" id="email" name="email" required>

  <label for="message">Nachricht *</label>
  <textarea id="message" name="message" required></textarea>

  <!-- Keine vorausgefüllte Checkbox! -->
  <label>
    <input type="checkbox" name="privacy" required>
    Ich habe die <a href="/datenschutz/">Datenschutzerklärung</a>
    gelesen und stimme der Verarbeitung meiner Daten zu. *
  </label>

  <button type="submit">Absenden</button>
</form>

Newsletter-Anmeldung

  • Double-Opt-in erforderlich (Bestätigungsmail)
  • Nur E-Mail als Pflichtfeld
  • Klarer Hinweis auf Abmeldemöglichkeit
  • Protokollierung der Einwilligung (IP, Zeitstempel)

Analytics & Tracking

Website-Analyse ist wichtig, aber die meisten gängigen Tools erfordern eine Einwilligung. Es gibt jedoch DSGVO-freundliche Alternativen.

Google Analytics

Google Analytics 4 erfordert Cookie-Einwilligung UND ist wegen des Datentransfers in die USA problematisch. Maßnahmen:

  • Einwilligung vor dem Setzen von Cookies einholen
  • IP-Anonymisierung aktivieren
  • Auftragsverarbeitungsvertrag mit Google abschließen
  • In Datenschutzerklärung ausführlich beschreiben
  • Drittlandtransfer transparent machen

DSGVO-freundliche Alternativen

Plausible Analytics

EU-Hosting, keine Cookies, keine personenbezogenen Daten. Keine Einwilligung erforderlich.

Fathom Analytics

EU-Infrastruktur, cookie-frei, datenschutzfreundlich. Keine Einwilligung nötig.

Matomo (self-hosted)

Open Source, selbst gehostet. Mit IP-Anonymisierung oft ohne Einwilligung nutzbar.

Simple Analytics

EU-basiert, keine Cookies, keine persönlichen Daten. DSGVO-konform ohne Einwilligung.

Hosting & Drittanbieter

Ihr Hosting-Anbieter und eingebundene Drittanbieter-Dienste sind potenzielle Schwachstellen für die DSGVO-Compliance.

Hosting-Anforderungen

  • Auftragsverarbeitungsvertrag (AVV) mit dem Hoster
  • Bevorzugt EU-basiertes Hosting (kein US-Cloud)
  • SSL/TLS-Verschlüsselung (HTTPS)
  • Regelmaessige Backups
  • Technische und organisatorische Maßnahmen (TOMs) dokumentiert

Problematische Drittanbieter

Diese Dienste erfordern besondere Aufmerksamkeit:

  • Google Fonts: Laden Sie Fonts lokal (kein Google-Request)
  • YouTube/Vimeo: 2-Klick-Lösung oder lokales Hosting
  • Social Media Buttons: Shariff oder 2-Klick-Lösung
  • Maps: OpenStreetMap statt Google Maps, oder erst nach Klick
  • CDNs: EU-basierte CDNs bevorzugen

Google Fonts lokal einbinden: Laden Sie die Schriftdateien herunter und hosten Sie sie auf Ihrem eigenen Server. Verwenden Sie @font-face in Ihrem CSS mit lokalen Pfaden wie /fonts/open-sans.woff2.

DSGVO-Checkliste für Websites

Nutzen Sie diese Checkliste, um Ihre Website auf DSGVO-Compliance zu prüfen:

Fazit

DSGVO-Compliance ist keine einmalige Aufgabe, sondern ein fortlaufender Prozess. Halten Sie Ihre Website aktuell, prüfen Sie regelmäßig eingebundene Dienste, und dokumentieren Sie Ihre Maßnahmen.

Vorteile von DSGVO-Compliance

  • Schutz vor Abmahnungen und Bußgeldern
  • Vertrauensaufbau bei Kunden
  • Bessere Website-Performance (weniger externe Requests)
  • Zukunftssicherheit für kommende Regelungen

Bei Wender Media entwickeln wir von Anfang an DSGVO-konforme Websites. Sprechen Sie uns an, wenn Sie Ihre bestehende Website prüfen oder eine neue Website entwickeln lassen moechten.

Schlagworte

#DSGVO #Datenschutz #Cookie-Consent #Compliance
Arnold Wender – Autorenportrait

SEO-Experte & Gründer

Arnold Wender ist Gründer und Geschäftsführer der SEO-Agentur Halle (Saale). Mit über 18 Jahren Erfahrung in der Suchmaschinenoptimierung hilft er Unternehmen, ihre Online-Sichtbarkeit nachhaltig zu verbessern.

Profil anzeigen