DSGVO-Checkliste für Websites — was muss 2026 drauf?

Vorweg: Ich bin Webdesigner, kein Anwalt. Das hier ersetzt keine Rechtsberatung. Aber nach vielen Projekten im Allgäu weiß ich, welche DSGVO-Punkte am häufigsten vergessen werden. Diese Checkliste hilft dir, die größten Lücken zu schließen.

Warum das Thema bleibt

Seit 2018 gilt die DSGVO. Die Kontrollen werden strenger, nicht lockerer. Behörden und Abmahnvereine prüfen Websites gezielt. Häufige Fehler: Google Fonts von fremden Servern, kaputte Cookie-Banner, lückenhafte Datenschutz-Texte. Die Bußgelder reichen von einer Warnung bis in den fünfstelligen Bereich. Auch kleine Firmen sind betroffen.

1. Cookie-Banner

Das häufigste Problem: Der Banner ist da, aber er funktioniert nicht richtig.

Was ein guter Cookie-Banner braucht:

• Erst fragen, dann setzen: Kein Cookie darf vor dem Klick auf „Ja" gesetzt werden. Analytics, Pixel oder YouTube laden erst nach der Zustimmung.
• Ablehnen genauso leicht wie Zustimmen: Beide Knöpfe gleich groß. Kein versteckter Link in Mini-Schrift.
• Klar sagen, wofür: „Marketing-Cookies" reicht nicht. Welche Dienste genau?
• Widerruf jederzeit: Ein Link „Cookie-Einstellungen" im Footer reicht.
• Nachweis speichern: Du musst zeigen können, wer wann was erlaubt hat. Gute Tools machen das von selbst.

Ich nutze vanilla-cookieconsent. Open Source, DSGVO-sicher, schnell und frei anpassbar.

2. Impressum

Pflicht nach § 5 TMG für jede Firma im Netz. Von jeder Seite aus mit maximal 2 Klicks erreichbar.

Was rein muss (Freelancer und Einzelfirmen):

• Voller Name (Vor- und Nachname)
• Anschrift (kein Postfach)
• E-Mail-Adresse
• Telefon (umstritten, aber zu empfehlen)
• USt-ID oder Wirtschafts-ID (falls vorhanden)
• Beruf und Kammer (bei Ärzten, Anwälten, Steuerberatern)
• Aufsicht (falls nötig)
• Verantwortlicher nach § 18 MStV (bei Blog-Inhalten)

Typische Fehler im Allgäu:

• Impressum nur als PDF oder Bild (muss als Text da sein)
• Alte Adresse nach Umzug
• Fehlende Kammer-Angabe bei Handwerkern
• Link zum Impressum nur auf der Startseite, nicht im Footer

3. Datenschutz-Seite

Die Datenschutz-Seite beschreibt alle Daten-Abläufe auf deiner Website. Vollständig und verständlich.

Was mindestens rein muss:

• Name und Kontakt des Betreibers
• Kontakt des Datenschutz-Verantwortlichen (unter 20 Leute oft nicht nötig)
• Rechtsgrund für jede Daten-Nutzung (Art. 6 DSGVO)
• Alle genutzten Dienste auflisten: Hosting, Analytics, Formulare, Newsletter, Maps, Fonts, CDNs
• Wie lange du Daten speicherst
• Rechte der Nutzer (Auskunft, Löschung, Widerspruch)
• Hinweis auf die Behörde für Beschwerden

Tipps aus der Praxis:

• Generatoren von IHK oder eRecht24 sind ein guter Start. Passe sie aber an deine echten Dienste an.
• Jedes Tool, das Daten sammelt, muss erwähnt werden.
• Google Fonts IMMER lokal laden. Nie von Google-Servern.
• YouTube nur im Datenschutz-Modus einbetten. Oder erst nach Zustimmung laden.

4. Kontaktformulare

Jedes Formular, das Daten erhebt (Name, Mail, Telefon), braucht:

• Link zur Datenschutz-Seite — mindestens als Text-Link
• Checkbox für die Zustimmung — „Ich habe die Datenschutzinfo gelesen." Die Box darf NICHT vorab angehakt sein.
• HTTPS — Verschlüsselte Übertragung ist Pflicht.
• Weniger ist mehr — Frage nur ab, was du wirklich brauchst. Für eine Anfrage brauchst du kein Geburtsdatum.

5. Externe Dienste

Jeder fremde Dienst, der Nutzer-Daten nutzt, braucht eine Rechts-Grundlage:

• Google Maps: Erst nach Zustimmung laden. Oder als Bild mit Link ersetzen.
• YouTube / Vimeo: Erst nach Zustimmung. Oder mit erweitertem Datenschutz-Modus.
• Social-Media-Buttons: Einfache Links statt eingebettete Skripte.
• Analytics: Nur nach klarem Opt-in.
• Schriften: Lokal hosten. Kein Aufruf von Google-Servern.
• CDNs: Prüfe, ob du einen AVV mit dem Anbieter brauchst.

6. SSL-Zertifikat

HTTPS ist Standard. Aber es gibt immer noch Seiten ohne SSL oder mit gemischten Inhalten. Jeder Hoster bietet kostenlose Zertifikate (Let's Encrypt). Es gibt keinen Grund, ohne SSL online zu sein.

7. AVV (Auftrags-Vertrag)

Für jeden Dienst, der in deinem Auftrag Daten speichert, brauchst du einen AVV:

• Hosting-Anbieter
• E-Mail-Tools (Mailchimp, CleverReach)
• Analytics-Dienste
• Cloud-Speicher (wenn dort Kunden-Daten liegen)
• CRM-Systeme

Die meisten Anbieter haben einen AVV online bereit. Du musst ihn nur abschließen. Das vergessen viele.

Checkliste zum Abhaken

• [ ] Cookie-Banner mit Opt-in und gleich großer Ablehnung
• [ ] Impressum vollständig und von jeder Seite erreichbar
• [ ] Datenschutz-Seite mit allen Diensten und Rechtsgrundlagen
• [ ] Formulare mit Checkbox und Datenschutz-Hinweis
• [ ] Google Fonts lokal eingebunden
• [ ] Externe Dienste erst nach Zustimmung aktiv
• [ ] SSL aktiv, keine gemischten Inhalte
• [ ] AVVs mit allen Dienstleistern abgeschlossen
• [ ] Verfahrens-Verzeichnis geführt

Fazit: Datenschutz zeigt Qualität

Ja, die DSGVO macht Arbeit. Aber eine sauber gemachte Website zeigt, dass du es ernst meinst. Deine Kunden merken vielleicht nicht, dass dein Banner richtig läuft. Doch sie merken es, wenn er es nicht tut.

Du willst deine Seite DSGVO-fit machen? Oder planst eine neue Seite, die von Anfang an sauber steht? Sprich mich an — Datenschutz ist bei meinen Projekten von Tag eins dabei.