DSGVO-konforme Website: Checkliste für 2026

Warum DSGVO-Compliance kritisch ist

Die Zahlen sprechen für sich: 2023 wurden in der EU Bußgelder in Höhe von über 2,1 Milliarden Euro verhängt (Quelle: Enforc ement Tracker). Die häufigsten Verstöße betreffen:

Fehlende oder unvollständige Datenschutzerklärung (Art. 13, 14 DSGVO)
Cookies ohne Einwilligung (Art. 6 Abs. 1 lit. a DSGVO, ePrivacy-Richtlinie)
Google Analytics ohne gültige Rechtsgrundlage (Schrems II-Urteil, Datentransfer in USA)
Fehlendes oder mangelhaftes Impressum (§ 5 TMG, nicht direkt DSGVO, aber Pflicht)
Kontaktformulare ohne HTTPS-Verschlüsselung

⚠️ Abmahnwelle rollt weiter

Spezialisierte Anwaltskanzleien durchsuchen automatisiert Websites nach DSGVO-Verstößen und verschicken Massen-Abmahnungen. Kosten: 500-2000 € pro Abmahnung. Eine compliant Website schützt Sie davor!

Die 10-Punkte DSGVO-Checkliste

1. Impressum: Pflichtangaben vollständig

Ein Impressum ist Pflicht für alle geschäftsmäßigen Websites (§ 5 TMG). Fehlt es oder ist unvollständig, drohen Abmahnungen.

Pflichtangaben im Impressum:

✅ Name und Anschrift: Vollständiger Name (bei Unternehmen: Firma + Rechtsform), Straße, PLZ, Ort
✅ Kontaktdaten: Telefonnummer, E-Mail-Adresse (keine reine Kontaktformular-Lösung!)
✅ Vertretungsberechtigt: Bei juristischen Personen: Geschäftsführer/Vorstand
✅ Handelsregister: Registergericht + Handelsregisternummer (falls eingetragen)
✅ Umsatzsteuer-ID: Falls vorhanden (Pflicht ab bestimmten Umsätzen)
✅ Berufsbezeichnung: Bei reglementierten Berufen (z.B. Rechtsanwalt, Architekt)
✅ Aufsichtsbehörde: Falls vorhanden (z.B. bei Banken, Versicherungen)

Impressum einbinden:

✅ Eigene Seite: impressum.html oder kontakt.html
✅ Link im Footer: Auf jeder Seite sichtbar, max. 2 Klicks entfernt
✅ Bezeichnung: "Impressum", "Kontakt", "Anbieterkennzeichnung" (klar erkennbar)

2. Datenschutzerklärung: Transparent und vollständig

Die Datenschutzerklärung (Privacy Policy) ist das Herzstück der DSGVO-Compliance. Sie informiert Nutzer über die Datenverarbeitung auf Ihrer Website.

Pflichtinhalte der Datenschutzerklärung:

Verantwortlicher (Art. 13 Abs. 1 lit. a DSGVO):
- Name, Anschrift, E-Mail, Telefon des Verantwortlichen
- Falls vorhanden: Datenschutzbeauftragter (DSB) mit Kontaktdaten
Zweck der Datenverarbeitung (Art. 13 Abs. 1 lit. c DSGVO):
- Webhosting (Server-Logs, IP-Adressen)
- Kontaktformulare (Name, E-Mail, Nachricht)
- Cookies (welche Cookies, zu welchem Zweck)
- Analyse-Tools (Google Analytics, Matomo, etc.)
- Marketing-Tools (Facebook Pixel, Google Ads, etc.)
Rechtsgrundlage (Art. 13 Abs. 1 lit. c DSGVO):
- Art. 6 Abs. 1 lit. a: Einwilligung (z.B. Cookie-Consent)
- Art. 6 Abs. 1 lit. b: Vertragserfüllung (z.B. Bestellprozess)
- Art. 6 Abs. 1 lit. f: Berechtigtes Interesse (z.B. Server-Logs)
Speicherdauer (Art. 13 Abs. 2 lit. a DSGVO):
- Wie lange werden Daten gespeichert? (z.B. "7 Tage für Server-Logs", "3 Jahre für Buchhaltungsdaten")
Empfänger von Daten (Art. 13 Abs. 1 lit. e DSGVO):
- Hosting-Anbieter (Name, Land)
- Analyse-Tools (Google LLC, USA)
- Payment-Provider (Stripe, PayPal, etc.)
Betroffenenrechte (Art. 13 Abs. 2 lit. b DSGVO):
- Auskunftsrecht (Art. 15 DSGVO)
- Löschrecht (Art. 17 DSGVO)
- Berichtigungsrecht (Art. 16 DSGVO)
- Widerspruchsrecht (Art. 21 DSGVO)
- Datenübertragbarkeit (Art. 20 DSGVO)
- Beschwerde bei Aufsichtsbehörde

Generator-Tools für Datenschutzerklärung:

eRecht24 (Premium): https://www.e-recht24.de/ – sehr detailliert, kostenpflichtig (ab 19,90 €/Monat)
Datenschutz-Generator.de: Kostenlos, von RA Dr. Thomas Schwenke
Aktivieren Sie regelmäßige Updates: DSGVO-Rechtslage ändert sich – Datenschutzerklärung muss aktuell bleiben!

3. Cookie-Banner: Einwilligung ist Pflicht

Seit dem "Planet49"-Urteil des EuGH (2019) gilt: Cookies (außer technisch notwendigen) dürfen nur mit aktiver Einwilligung gesetzt werden.

Was ist NICHT DSGVO-konform:

❌ Cookie-Banner ohne Ablehnungs-Button (nur "OK" oder "Akzeptieren")
❌ Vorab gesetzte Häkchen (Opt-Out statt Opt-In)
❌ "Durch Nutzung der Website stimmen Sie zu" (Browsing = keine Einwilligung)
❌ Cookie-Wall (Zugriff verweigert, wenn Cookies abgelehnt)

Was ist DSGVO-konform:

✅ Opt-In: Cookies werden erst nach Zustimmung gesetzt
✅ "Ablehnen"-Button: Genauso prominent wie "Akzeptieren"
✅ Granulare Auswahl: Nutzer kann einzelne Cookie-Kategorien ablehnen (z.B. Marketing-Cookies nein, Analyse-Cookies ja)
✅ Keine voreingestellten Häkchen: Alle Kategorien (außer technisch notwendig) standardmäßig AUS

Cookie-Banner-Lösungen (DSGVO-konform):

Lösung	Preis	Features	Für wen?
Borlabs Cookie	ab 49 €/Jahr	WordPress-Plugin, granulare Kontrolle, Google Consent Mode v2	WordPress-Nutzer
Real Cookie Banner	ab 9,99 €/Monat	WordPress-Plugin, automatische Cookie-Erkennung, Consent-Log	WordPress-Nutzer
Cookiebot	Kostenlos bis 100 Subpages, dann ab 8 €/Monat	Cloud-basiert, automatische Cookie-Erkennung, Multi-Sprache	Alle Website-Typen
Usercentrics	ab 5 €/Monat	Enterprise-Level, IAB TCF 2.2, Consent-Management-Plattform	Große Websites, Verlage

4. Google Analytics: Cookieless oder DSGVO-konform konfigurieren

Google Analytics ist seit dem "Schrems II"-Urteil (2020) problematisch: Datentransfer in die USA ohne angemessenes Schutzniveau.

3 Optionen für DSGVO-konforme Webanalyse:

Option 1: Google Analytics 4 mit Cookie-Consent

✅ Anonymisierung: IP-Anonymisierung aktivieren (in GA4 standardmäßig)
✅ Cookie-Consent: GA4-Tracking erst nach Einwilligung starten
✅ Datenverarbeitungsvertrag (AVV): Mit Google abschließen (in GA4-Admin verfügbar)
✅ Google Consent Mode v2: Implementieren (seit März 2024 Pflicht für EU-Nutzer)
⚠️ Problem bleibt: USA-Transfer (keine EU-Standardvertragsklauseln ausreichend)

Option 2: EU-Server-basierte Alternative (empfohlen!)

Matomo (selbst gehostet): Open Source, volle Kontrolle, EU-Server, cookieless möglich
Plausible Analytics: 9 €/Monat, EU-Server, cookieless, DSGVO-konform, 100% DSGVO-compliant
Fathom Analytics: 14 $/Monat, EU-Server, cookieless, keine Cookies = kein Cookie-Banner nötig

Option 3: Server-Side Tracking (fortgeschritten)

Google Tag Manager Server-Side Container (GTM SS)
Daten werden über eigenen EU-Server geleitet (First-Party-Kontext)
IP-Anonymisierung auf eigenem Server
Komplexer Setup, aber maximale DSGVO-Compliance

💡 Unsere Empfehlung: Plausible oder Matomo

Für DACH-KMU empfehlen wir Plausible Analytics (einfach, cookieless, DSGVO-konform) oder Matomo (selbst gehostet, kostenlos, volle Kontrolle). Google Analytics nur mit Cookie-Consent und AVV – aber rechtliches Restrisiko bleibt.

5. Kontaktformulare: HTTPS + Datenschutz-Checkbox

Kontaktformulare sammeln personenbezogene Daten (Name, E-Mail, Nachricht). DSGVO-Anforderungen:

✅ HTTPS-Verschlüsselung: SSL-Zertifikat Pflicht (Let's Encrypt = kostenlos)
✅ Datenschutz-Checkbox: Nutzer muss aktiv zustimmen ("Ich habe die Datenschutzerklärung gelesen und stimme der Verarbeitung zu")
✅ Keine vorab gesetzten Häkchen: Checkbox muss manuell aktiviert werden
✅ Link zur Datenschutzerklärung: Direkt bei der Checkbox verlinken
✅ Speicherdauer angeben: In Datenschutzerklärung erwähnen (z.B. "30 Tage nach Bearbeitung gelöscht")

Beispiel: DSGVO-konforme Datenschutz-Checkbox

<form action="/submit" method="POST">
  <input type="text" name="name" required>
  <input type="email" name="email" required>
  <textarea name="message" required></textarea>
  
  <!-- DSGVO-Checkbox -->
  <label>
    <input type="checkbox" name="datenschutz" required>
    Ich habe die <a href="../datenschutz.html" target="_blank">Datenschutzerklärung</a> 
    zur Kenntnis genommen und stimme der Verarbeitung meiner Daten zu. *
  </label>
  
  <button type="submit">Absenden</button>
</form>

6. Webfonts: Google Fonts lokal hosten oder DSGVO-konform einbinden

Problem: Google Fonts von Google-Servern laden = IP-Adresse wird an Google übertragen (USA).

Urteil LG München I (Januar 2022): Einbindung von Google Fonts ohne Einwilligung = DSGVO-Verstoß. Schadensersatz: 100 € pro Nutzer.

Lösung: Google Fonts lokal hosten

Fonts herunterladen: https://google-webfonts-helper.herokuapp.com/
Fonts in /fonts/ Ordner hochladen (WOFF2-Format empfohlen)

CSS anpassen:

@font-face {
  font-family: 'Inter';
  src: url('/fonts/inter-v12-latin-regular.woff2') format('woff2');
  font-weight: 400;
  font-style: normal;
  font-display: swap;
}

body {
  font-family: 'Inter', sans-serif;
}

Vorteil: Keine externe Anfrage = schnellere Ladezeit + DSGVO-konform!

7. Social Media: Einbettungen nur mit Zwei-Klick-Lösung

Social-Media-Buttons (Facebook Like, Twitter Share, Instagram-Feed) laden standardmäßig externe Scripts und übertragen IP-Adressen.

Problematische Einbettungen:

❌ Facebook Like-Button (lädt Facebook-Pixel)
❌ Instagram-Feed (lädt Instagram-Scripts)
❌ YouTube-Videos (lädt Tracking-Cookies)
❌ Twitter-Timeline (lädt Twitter-Analytics)

DSGVO-konforme Alternativen:

✅ Zwei-Klick-Lösung (Shariff): Erst nach Klick wird externes Script geladen
✅ YouTube im Privacy-Enhanced-Modus: https://www.youtube-nocookie.com/embed/...

✅ Statische Share-Links: Öffnen Share-Dialog, ohne externes Script zu laden

<a href="https://www.facebook.com/sharer/sharer.php?u=https://ihre-url.de">
  Auf Facebook teilen
</a>

✅ Plugin: Shariff Wrapper: Datenschutzkonforme Social-Buttons (WordPress)

8. Server-Logs & IP-Adressen: Speicherdauer begrenzen

Webserver loggen standardmäßig IP-Adressen (für Sicherheit, Fehleranalyse, Statistiken). IP-Adressen sind personenbezogene Daten (Art. 4 Nr. 1 DSGVO).

DSGVO-konforme Server-Log-Konfiguration:

✅ IP-Anonymisierung: Letzte Oktett löschen (z.B. 192.168.1.0 statt 192.168.1.45)
✅ Speicherdauer begrenzen: Logs max. 7 Tage aufbewahren (außer berechtigtes Interesse für längere Speicherung)
✅ In Datenschutzerklärung erwähnen: "Wir speichern Server-Logs für 7 Tage zur Fehleranalyse"

Beispiel: Apache Server Log Anonymisierung

# httpd.conf oder .htaccess
# IP-Anonymisierung: ersetzt letzte Oktett durch 0
SetEnvIf Remote_Addr "(.*)\..*" REMOTE_ADDR_ANON=$1.0
CustomLog logs/access_log "%{REMOTE_ADDR_ANON}e %l %u %t \"%r\" %>s %b"

9. Newsletter: Double Opt-In Pflicht

Für E-Mail-Marketing gilt: Keine Newsletter ohne ausdrückliche Einwilligung (Art. 6 Abs. 1 lit. a DSGVO + § 7 UWG).

DSGVO-konformes Newsletter-Verfahren:

Anmeldeformular: Nutzer trägt E-Mail-Adresse ein
Double Opt-In E-Mail: Bestätigungs-E-Mail mit Link ("Bitte bestätigen Sie Ihre Anmeldung")
Erst nach Klick: E-Mail-Adresse wird in Verteiler aufgenommen
Nachweis speichern: Zeitstempel + IP-Adresse der Anmeldung (zum Nachweis der Einwilligung)
Abmelde-Link in jeder E-Mail: Einfacher Opt-Out ("Vom Newsletter abmelden")

Empfohlene Newsletter-Tools (DSGVO-konform):

CleverReach: Deutsche Server, DSGVO-konform, Double Opt-In, AVV
Mailchimp (mit Vorsicht): USA-Anbieter, Cookie-Consent nötig, AVV vorhanden
Brevo (ehemals Sendinblue): EU-Server, DSGVO-konform, günstig
Newsletter2Go: Deutsche Server, DSGVO-fokussiert

10. AV-Vertrag (Auftragsverarbeitungsvertrag)

Wenn externe Dienstleister personenbezogene Daten im Auftrag verarbeiten (z.B. Hosting-Anbieter, Newsletter-Tool, Analytics), ist ein Auftragsverarbeitungsvertrag (AVV) Pflicht (Art. 28 DSGVO).

Wann ist ein AVV nötig?

✅ Hosting-Anbieter (Server-Logs, Datenbanken)
✅ Newsletter-Tool (E-Mail-Adressen)
✅ Analytics-Tool (IP-Adressen, Tracking-Daten)
✅ Payment-Provider (Zahlungsdaten)
✅ Cloud-Speicher (Backups, Dateien)

Was muss im AVV stehen?

✅ Art und Zweck der Verarbeitung
✅ Art der personenbezogenen Daten
✅ Kategorien betroffener Personen
✅ Pflichten des Auftragsverarbeiters (Sicherheitsmaßnahmen, Löschung, etc.)
✅ Rechte des Verantwortlichen (Kontrolle, Audit-Rechte)

Wichtig: Die meisten professionellen Anbieter (Hetzner, Netlify, Cloudflare, etc.) bieten AVV-Vorlagen zum Download an. Einfach unterschreiben und archivieren!

DSGVO-Checkliste: Schnell-Check für Ihre Website

✅ Ihre DSGVO-Compliance prüfen:

☐ Impressum vorhanden (Name, Adresse, Kontakt, Vertretung, USt-IdNr.)
☐ Datenschutzerklärung vollständig (Verantwortlicher, Zweck, Rechtsgrundlage, Speicherdauer, Betroffenenrechte)
☐ Cookie-Banner mit Opt-In (Ablehnen-Button, keine vorab gesetzten Häkchen, granulare Auswahl)
☐ HTTPS-Verschlüsselung aktiv (SSL-Zertifikat, alle Seiten auf HTTPS)
☐ Kontaktformular mit Datenschutz-Checkbox (nicht vorab gesetzt, Link zu Datenschutzerklärung)
☐ Google Analytics DSGVO-konform (Cookie-Consent, AVV, IP-Anonymisierung) ODER EU-Alternative (Plausible, Matomo)
☐ Google Fonts lokal gehostet (keine externe Anfrage an Google-Server)
☐ YouTube Privacy-Enhanced-Modus (youtube-nocookie.com) oder Zwei-Klick-Lösung
☐ Server-Logs max. 7 Tage (IP-Anonymisierung, in Datenschutzerklärung erwähnt)
☐ Newsletter mit Double Opt-In (Bestätigungs-E-Mail, Nachweis gespeichert, Abmelde-Link)
☐ AV-Verträge abgeschlossen (Hosting, Newsletter, Analytics, Payment)

Häufige DSGVO-Fehler vermeiden

❌ Fehler 1: "Durch Nutzung stimmen Sie zu"

Problem: Passives Browsing = keine gültige Einwilligung (Art. 4 Nr. 11 DSGVO: Einwilligung muss "freiwillig, konkret, informiert und unmissverständlich" sein).

Lösung: Cookie-Banner mit aktiver Zustimmung (Button-Klick).

❌ Fehler 2: Kontaktformular ohne HTTPS

Problem: Daten werden unverschlüsselt übertragen (Man-in-the-Middle-Angriff möglich).

Lösung: SSL-Zertifikat installieren (Let's Encrypt = kostenlos, 5 Min. Setup).

❌ Fehler 3: Google Fonts von Google-Servern laden

Problem: IP-Adresse wird an Google übertragen (USA) = DSGVO-Verstoß.

Lösung: Fonts lokal hosten (/fonts/ Ordner) oder Cookie-Consent für Google-Fonts.

❌ Fehler 4: Veraltete Datenschutzerklärung

Problem: Website verwendet neue Tools (z.B. Google Ads), aber Datenschutzerklärung erwähnt sie nicht.

Lösung: Datenschutzerklärung bei jeder Änderung aktualisieren (mindestens jährlicher Review).

Tools & Ressourcen für DSGVO-Compliance

Automatische DSGVO-Checks:

eRecht24 Projekt-Manager: https://www.e-recht24.de/ – überwacht Website auf DSGVO-Verstöße
DSGVO-Check von Heyrecord: Kostenloser Online-Check (Cookies, SSL, Impressum, Datenschutz)
Cookiebot Website Checker: https://www.cookiebot.com/ – scannt Cookies automatisch

Datenschutzerklärung-Generatoren:

eRecht24 (Premium): ab 19,90 €/Monat – sehr umfangreich, inkl. Monitoring
RA Dr. Schwenke (kostenlos): https://datenschutz-generator.de/ – solide Basis
Datenschutz.org: Kostenloser Generator mit Anpassungsmöglichkeiten

Cookie-Banner-Tools:

Borlabs Cookie: WordPress-Plugin, ab 49 €/Jahr
Cookiebot: Cloud-basiert, kostenlos bis 100 Subpages
Usercentrics: Enterprise-Level, ab 5 €/Monat

Bußgelder & Abmahnungen: Was droht bei Verstößen?

Bußgelder: Bis zu 20 Millionen € oder 4% des weltweiten Jahresumsatzes (Art. 83 DSGVO).

Beispiel-Bußgelder (Auswahl):

Amazon (2021): 746 Millionen € (Cookies ohne Einwilligung)
Google (2022): 90 Millionen € (YouTube-Tracking ohne Consent)
H&M (2020): 35 Millionen € (Mitarbeiter-Überwachung)
Vodafone (2023): 8 Millionen € (unzureichende Datenschutzerklärung)

Abmahnungen: Spezialisierte Kanzleien verschicken Massen-Abmahnungen wegen DSGVO-Verstößen (Kosten: 500-2000 € pro Abmahnung).

Fazit: DSGVO-Compliance ist Pflicht, nicht Option

Eine DSGVO-konforme Website ist heute Pflicht für jedes Unternehmen. Bußgelder und Abmahnungen können teuer werden – Prävention ist günstiger als Nacharbeit.

Die wichtigsten Takeaways:

✅ Impressum und Datenschutzerklärung sind Pflicht
✅ Cookie-Banner mit Opt-In (Ablehnen-Button genauso prominent)
✅ Google Analytics nur mit Cookie-Consent oder EU-Alternative nutzen
✅ Kontaktformulare: HTTPS + Datenschutz-Checkbox
✅ Google Fonts lokal hosten (keine externe Anfrage)
✅ AV-Verträge mit allen Dienstleistern abschließen
✅ Regelmäßige DSGVO-Checks durchführen (mindestens jährlich)

🔒 Ist Ihre Website DSGVO-konform?

Wir prüfen Ihre Website auf DSGVO-Compliance und setzen fehlende Maßnahmen um: Datenschutzerklärung, Cookie-Banner, HTTPS, Analytics-Konfiguration.

Kostenlose DSGVO-Analyse anfragen