Laut einer Untersuchung des Digitalverbands Bitkom aus 2024 verstoßen noch immer rund 60 % der deutschen KMU-Websites gegen mindestens eine Anforderung der Datenschutz-Grundverordnung. Das Risiko: Abmahnungen, Bußgelder und Vertrauensverlust bei Kunden. Dabei ist DSGVO-Konformität kein Hexenwerk — wenn man weiß, worauf es ankommt.
Diese Checkliste deckt die wichtigsten Punkte für 2026 ab. Kein Juristendeutsch, sondern konkrete Handlungsschritte.
1. Impressum: Pflichtangaben vollständig?
Das Impressum ist keine DSGVO-Anforderung im engeren Sinne, aber ein häufiger Abmahngrund nach Telemediengesetz (TMG). Pflichtangaben für Unternehmen:
- Vollständiger Name und Rechtsform
- Anschrift (kein Postfach)
- Kontaktmöglichkeit (E-Mail-Adresse, Telefon empfohlen)
- Handelsregisternummer und Amtsgericht (falls eingetragen)
- USt-IdNr. oder Steuernummer (bei umsatzsteuerpflichtigen Unternehmen)
- Zuständige Aufsichtsbehörde (bei reglementierten Berufen)
Das Impressum muss von jeder Seite der Website aus mit maximal zwei Klicks erreichbar sein.
2. Datenschutzerklärung: Inhalt und Aktualität
Die Datenschutzerklärung ist das Herzstück der DSGVO-Konformität. Sie muss informieren über:
- Wer ist Verantwortlicher (Name, Kontakt, ggf. Datenschutzbeauftragter)?
- Welche Daten werden zu welchem Zweck erhoben?
- Auf welcher Rechtsgrundlage (Art. 6 DSGVO)?
- Wie lange werden Daten gespeichert?
- Welche Rechte haben Betroffene (Auskunft, Löschung, Widerspruch...)?
- Werden Daten an Dritte oder in Drittländer übermittelt?
Wichtig für 2026: Jedes eingebundene Tool, jeden Plugin-Anbieter und jeden Hosting-Dienst, der Daten verarbeitet, muss die Datenschutzerklärung nennen. Eine einmal erstellte Datenschutzerklärung veraltet schnell — bei jeder neuen Integration aktualisieren.
3. Cookie Consent: Kein Dark Pattern mehr
Der Europäische Gerichtshof und deutsche Aufsichtsbehörden haben klargestellt: Opt-in ist Pflicht für nicht-notwendige Cookies. Das bedeutet:
- Kein vorab angehakter "Ich stimme zu"-Button
- Ablehnen muss genauso einfach sein wie Zustimmen
- "Akzeptieren" und "Ablehnen" müssen gleichwertig prominent sein
- Keine versteckten Opt-outs tief in Menüs
Technisch notwendige Cookies (Session-ID, Login-Status, Warenkorb) brauchen keine Einwilligung. Tracking-, Analyse- und Marketing-Cookies schon.
Empfehlenswerte Consent-Management-Plattformen (CMP): Es gibt DSGVO-konforme Open-Source-Lösungen wie Klaro oder kommerzielle Anbieter mit EU-Datenspeicherung. Das Tool muss selbst konform sein — also keine US-Server für die Consent-Daten.
4. Google Fonts: Lokal hosten ist Pflicht
Seit dem LG München-Urteil von 2022 ist die dynamische Einbindung von Google Fonts (also das Laden direkt von Googles Servern) in Deutschland rechtlich hochriskant. Jede Anfrage überträgt die IP-Adresse des Besuchers an Google — ohne Einwilligung.
Lösung: Fonts lokal hosten.
- Fonts unter fonts.google.com herunterladen
- In den eigenen Webserver-Ordner kopieren
- CSS anpassen:
@font-face {
font-family: 'Inter';
src: url('/fonts/Inter-Regular.woff2') format('woff2');
font-weight: 400;
font-display: swap;
}
Kein Request mehr an externe Server — Problem gelöst. Das gilt sinngemäß auch für andere externe Ressourcen: CDN-gebundene JavaScript-Bibliotheken, externe Stylesheets, eingebettete Videos ohne Datenschutz-Modus.
5. Analytics: Alternativen zu datenhungrigen Tools
Wer Website-Statistiken benötigt, muss nicht auf datenschutzwidrige Lösungen zurückgreifen. Alternativen:
- Matomo (selbst gehostet): Vollständige Kontrolle über die Daten, IP-Anonymisierung konfigurierbar, kein Drittland-Transfer. Mit den richtigen Einstellungen oft ohne Consent möglich.
- Plausible: Europäischer Anbieter, minimale Datenerhebung, kein Cookie-Banner nötig (nach eigener Aussage und vieler Datenschutzexperten).
- Kein Analytics: Die konformste Lösung. Für viele kleine Websites reichen Server-Logs mit anonymisierten IPs.
Entscheidend ist, ob die gewählte Lösung personenbezogene Daten verarbeitet und ob die Daten auf EU-Servern bleiben.
6. Kontaktformulare und E-Mail-Verarbeitung
Jedes Kontaktformular erhebt Daten. Die Datenschutzerklärung muss erklären, was damit passiert. Außerdem:
- SSL/HTTPS ist Pflicht — Formulardaten dürfen nicht unverschlüsselt übertragen werden
- Nur die wirklich notwendigen Felder abfragen (Datensparsamkeit, Art. 5 DSGVO)
- Kein verstecktes Tracking im Formular (z.B. reCAPTCHA überträgt Daten an US-Server)
- Speicherdauer der Anfragen dokumentieren und einhalten
Für reCAPTCHA-Alternativen: Honeypot-Felder oder DSGVO-konforme CAPTCHAs (z.B. hCaptcha mit EU-Datenspeicherung).
7. SSL/HTTPS: Keine Ausnahmen mehr
HTTPS ist seit Jahren Standard und Pflicht. Ohne HTTPS:
- Browser zeigen Sicherheitswarnungen
- Google wertet die Seite ab
- Datenschutzbehörden sehen es als Verstoß gegen Art. 32 DSGVO (technische Sicherheit)
Let's Encrypt bietet kostenlose SSL-Zertifikate. Es gibt keine Ausrede mehr, ohne HTTPS zu betreiben.
8. Auftragsverarbeitungsverträge (AVV)
Immer wenn ein Dienstleister Zugriff auf personenbezogene Daten hat, braucht es einen Auftragsverarbeitungsvertrag nach Art. 28 DSGVO. Das betrifft:
- Hosting-Anbieter
- E-Mail-Dienstleister (auch für einfache Weiterleitungen)
- CRM- und Newsletter-Tools
- Analytics-Dienste
- Website-Backup-Dienste
Viele Anbieter stellen AVVs zum Selbstabschluss bereit (Online-Formular oder PDF). Wichtig: Abschließen und dokumentieren, nicht nur annehmen.
Das Abmahnrisiko ist real
Seit 2021 sind Verbände und qualifizierte Einrichtungen klageberechtigt, auch ohne direkten Schaden nachzuweisen. Abmahnungen wegen DSGVO-Verstößen kosten schnell mehrere Tausend Euro an Anwalts- und Verfahrenskosten — auch wenn der ursprüngliche Verstoß klein war.
Die gute Nachricht: Wer die Checkliste systematisch abarbeitet, schließt die größten Risiken aus.
Wer DSGVO-Konformität nicht nur für die Website, sondern für das gesamte Unternehmen sicherstellen möchte, findet im Bereich NIS2-Compliance weiterführende Informationen zu gesetzlichen Anforderungen.