Alle Beiträge

DSGVO Website Checkliste 2026: Was Pflicht ist (komplett)

Checkliste DSGVO Rechtliches

Die DSGVO verunsichert viele Webseitenbetreiber — dabei lassen sich die wichtigsten Pflichten mit einer klaren DSGVO Checkliste für Websites strukturiert abarbeiten. Ob Impressum, Datenschutzerklärung, Cookie-Banner, SSL-Zertifikat oder lokal gehostete Google Fonts: In diesem Beitrag erhalten Sie eine rechtssichere Website Checkliste, die alle Anforderungen verständlich zusammenfasst — ohne Juristendeutsch. Denn eine DSGVO-konforme Website ist keine Kür, sondern Pflicht: Verstöße können Abmahnungen und Bußgelder nach sich ziehen. Diese Checkliste gilt für alle kleinen Unternehmen, Praxen, Restaurants und Dienstleister, die eine Website betreiben oder erstellen lassen. Stand: März 2026, berücksichtigt aktuelle Rechtsprechung zu Cookies, Tracking und Schriftarten.

Hinweis: Ich bin kein Anwalt. Diese Informationen ersetzen keine Rechtsberatung, sind aber ein guter Ausgangspunkt.

DSGVO Checkliste Website: Alle Pflichten auf einen Blick

Impressum: Pflichtangaben vollständig und korrekt

Pflicht für jede geschäftliche Website in Deutschland. Muss enthalten: vollständiger Name, Adresse, Kontaktdaten, ggf. Handelsregisternummer. Muss von jeder Seite mit maximal 2 Klicks erreichbar sein.

Datenschutzerklärung: Was rein muss

Pflicht, sobald Sie personenbezogene Daten verarbeiten (und das tut jede Website, allein durch Server-Logs). Muss beschreiben: welche Daten, warum, wie lange, und welche Rechte der Nutzer hat.

SSL-Zertifikat: HTTPS ist Pflicht

Technisch keine DSGVO-Pflicht, aber eine Pflicht nach TTDSG wenn Sie Formulare haben. Google wertet HTTP-Seiten außerdem ab. Es gibt keinen Grund, 2026 noch kein SSL zu haben, bei den meisten Hostern ist es kostenlos.

Cookie-Banner: Wann er wirklich nötig ist

Nur nötig, wenn Sie nicht-essentielle Cookies setzen. Dazu zählen: Google Analytics, Facebook Pixel, Marketing-Tools. Rein technische Cookies (Session, Warenkorb) brauchen kein Banner.

Wichtig: Das Banner muss eine echte Wahl bieten. "Alle akzeptieren" als einzigen großen Button und "Ablehnen" winzig versteckt, das ist nicht rechtskonform.

Google Fonts lokal hosten: Warum das Pflicht ist

Wenn Sie Google Fonts per CDN laden, werden IP-Adressen an Google (USA) übertragen. Seit dem LG-München-Urteil von 2022 ist die Einbindung von Google Fonts über Google-Server ohne Einwilligung unzulässig. Lösung: Fonts herunterladen und lokal hosten. Das ist technisch einfach und kostet nichts.

Kontaktformulare DSGVO-konform einrichten

Jedes Kontaktformular auf Ihrer Website verarbeitet personenbezogene Daten. Das bedeutet:

  • Datenschutzhinweis direkt am Formular (nicht nur in der Datenschutzerklärung)
  • Checkbox mit Verweis auf die Datenschutzerklärung (nicht vorausgefüllt)
  • Datenminimierung: Nur die Felder abfragen, die wirklich nötig sind
  • Verschlüsselte Übertragung (HTTPS ist Pflicht)

Newsletter und Double-Opt-In

Für Newsletter gilt: Double-Opt-In ist Pflichtverfahren in Deutschland. Der Nutzer muss seine Anmeldung über einen Bestätigungslink aktiv bestätigen. Dokumentieren Sie jeden Anmeldeprozess mit Zeitstempel und IP-Adresse. Keine vorausgefüllten Checkboxen.

Google Analytics und Tracking: Was 2026 noch erlaubt ist

Seit Inkrafttreten der DSGVO und aktueller EuGH-Rechtsprechung gilt:

  • Google Analytics nur mit Einwilligung (Cookie-Banner mit Opt-In)
  • Server-side Tracking als datenschutzfreundliche Alternative
  • Matomo als selbstgehostete, cookielose Alternative (in vielen Fällen ohne Einwilligung nutzbar)
  • Facebook Pixel, Google Ads Conversion Tracking: Immer einwilligungspflichtig
  • Tipp: Je weniger Tracking-Tools Sie einsetzen, desto weniger rechtliches Risiko

Webdesign DSGVO-konform umsetzen: Technische Anforderungen

Technische Anforderungen für eine DSGVO-konforme Website:

  • Google Fonts lokal hosten (nicht über Google-Server laden)
  • Google Maps als statisches Bild einbinden oder mit Opt-In-Lösung
  • YouTube-Videos im erweiterten Datenschutzmodus einbetten
  • Externe CDNs und Schriften prüfen (jede externe Anfrage überträgt IP-Adressen)
  • Keine Datenübertragung in Drittländer ohne Rechtsgrundlage

Rechtssichere Website Checkliste: Die häufigsten Fehler

Die 5 häufigsten Fehler, die ich bei Website-Checks finde:

  1. Google Fonts extern eingebunden (Abmahnrisiko)
  2. Cookie-Banner ohne echte Wahlmöglichkeit (Opt-Out statt Opt-In)
  3. Kontaktformular ohne Datenschutzhinweis
  4. Veraltete Datenschutzerklärung (vor 2024 erstellt)
  5. Kein SSL-Zertifikat auf Kontaktseiten

Mein Tipp

Halten Sie es einfach. Verzichten Sie auf Tools, die Sie nicht wirklich brauchen. Kein Google Analytics, kein Facebook Pixel, keine externen Fonts, und Ihr Cookie-Banner wird zum Einzeiler. Weniger Tracking = weniger DSGVO-Stress.

Wenn Sie sich unsicher sind, ob Ihre Website alle Anforderungen erfüllt, schauen Sie sich auch die Barrierefreiheits-Pflichten ab 2026 an. Und falls Sie eine Website für eine Arztpraxis betreiben, gelten zusätzliche DSGVO-Anforderungen für Gesundheitsdaten.

Jasser Seyam Webdesigner aus Oldenburg
Jasser Seyam
Webdesigner & Entwickler aus Oldenburg
Beitrag teilen: WhatsApp LinkedIn
Verwandte Artikel

Weitere Beiträge

Bereit für eine Website, die Vertrauen aufbaut?

Schreiben Sie mir kurz, was Sie machen und was Ihr Ziel ist, ich melde mich schnell mit einer ehrlichen Einschätzung.

Kostenlos anfragen Anrufen