Website DSGVO Checkliste 2026: Rechtssicher & komplett

Schreiben Sie einen Kommentar / News / Von

Website DSGVO Checkliste 2026: So wird Ihre Website rechtssicher (Cookie-Banner, Consent Management, SSL/TLS, AV-Vertrag)

Website DSGVO Checkliste 2026 – Laptop mit Cookie-Banner (Consent Management) auf Schreibtisch; DSGVO-konforme Website, SSL/TLS und AV-Vertrag

Die Datenschutz-Grundverordnung ist längst nicht mehr neu, doch viele Website-Betreiber sind noch immer unsicher: Ist meine Website wirklich DSGVO-konform? Diese Website DSGVO Checkliste richtet sich an Website-Betreiber, Marketer und Agenturen, die rechtssichere Online-Auftritte schaffen möchten.

Warum ist das so wichtig? Die Risiken sind real: Bußgelder können schnell fünf- oder sechsstellige Beträge erreichen. Ein konkretes Beispiel: Unternehmen erhielten bereits Bußgelder wegen fehlender Auftragsverarbeitungsverträge in Höhe von mehreren tausend Euro, weil sie keine ordnungsgemäßen AV-Verträge mit ihren Dienstleistern abgeschlossen hatten. Gleichzeitig stärkt DSGVO-Compliance das Vertrauen Ihrer Nutzer und kann sogar zu besseren Conversion-Raten führen.

Diese Checkliste konzentriert sich auf die häufigsten Abmahnpunkte: SSL/TLS-Verschlüsselung, Cookie Banner und Consent Management, vollständige Impressumsangaben, rechtssichere Datenschutzerklärung sowie die oft übersehenen AV-Verträge.

Unser Vorgehen: Wir arbeiten uns systematisch durch alle wichtigen Bereiche – von Pflichtangaben über Einwilligungen bis hin zu technischen Sicherheitsmaßnahmen und Tracking DSGVO-konformen Setups. Am Ende erhalten Sie eine praktische Checkliste zum Abhaken.

Das Ergebnis: Eine rechtssichere Basis für Ihre Website, messbare Compliance und klare To-dos mit entsprechender Dokumentation.

Pflichtangaben & Transparenz

Impressumspflicht

Ein vollständiges Impressum ist die Grundlage jeder rechtssicheren Website. Zur Anbieterkennzeichnung gehören Name oder Firma, vollständige Anschrift (kein Postfach), E-Mail-Adresse und Telefonnummer, Vertretungsberechtigte sowie die USt-ID, falls vorhanden.

Das Impressum muss von jeder Seite Ihrer Website erreichbar sein – meist über einen Link im Footer. Stellen Sie sicher, dass es schnell auffindbar ist, idealerweise mit maximal zwei Klicks.

Je nach Tätigkeit und Rechtsform sind Zusatzangaben erforderlich: Aufsichtsbehörde, Registereintrag oder berufsrechtliche Regelungen. Prüfen Sie die Aktualität regelmäßig und führen Sie ein Änderungs- und Prüfprotokoll.

Datenschutzerklärung

Ihre Datenschutzerklärung muss alle Verarbeitungen dokumentieren: Zwecke, Rechtsgrundlagen, eingesetzte Cookies und Tools, Empfänger, Drittlandtransfers und Speicherfristen. Beschreiben Sie die Betroffenenrechte ausführlich und geben Sie klare Kontaktwege an, einschließlich des Datenschutzbeauftragten, falls benannt.

Die Datenschutzerklärung sollte von jeder Seite abrufbar, in klarer Sprache verfasst und mit Versionierung oder Datum der letzten Änderung versehen sein. Erstellen Sie eine detaillierte Tool- und Cookie-Liste mit Zweck und Laufzeit. Erklären Sie den Bezug zu Consent-Entscheidungen und bieten Sie No-Consent-Fallbacks an.

Einwilligungen & Banner

Cookie-Banner & Consent Management

Ein DSGVO-konformes Cookie Banner erfordert granulare Opt-in-Möglichkeiten nach Kategorien wie Marketing, Analyse und Funktional. Vermeiden Sie vorausgewählte Optionen – diese sind rechtlich problematisch.

Der “Ablehnen”-Button muss gleichwertig sichtbar sein wie “Akzeptieren”. Verzichten Sie auf Dark Patterns wie kleine, versteckte oder farblich benachteiligte Ablehnungs-Buttons. Ihre Website muss ohne Einwilligung vollständig nutzbar bleiben. Scrollen oder Weitersurfen gilt rechtlich nicht als Einwilligung.

Bei Änderungen an Ihrem Consent Management System müssen Sie Nutzer erneut fragen. Stellen Sie sicher, dass der Widerruf jederzeit über einen sichtbaren Link oder Schalter möglich ist.

Consent-Logs & Präferenz-Center

Für die Nachweisbarkeit sind Consent-Logs unverzichtbar: Dokumentieren Sie Zeitstempel, User- oder Session-ID, Consent-Status und die Version des Banners oder Rechtstextes.

Alle nicht notwendigen Skripte und Cookies müssen automatisch blockiert werden, bis ein Opt-in erfolgt. Ihr Präferenz-Center sollte Nutzern ermöglichen, ihre Einstellungen einzusehen, zu ändern und granular zu widerrufen. Protokollieren Sie auch Widerrufe entsprechend.

Unterstützen Sie Mehrsprachigkeit und Geo-Varianten, führen Sie regelmäßige A/B-Tests durch und testen Sie die Funktionalität systematisch.

Technik & Sicherheit

SSL/TLS überall erzwingen

SSL/TLS-Verschlüsselung ist heute Standard und rechtlich erforderlich. Implementieren Sie HTTPS sitewide mit automatischen Redirects von HTTP zu HTTPS. Aktivieren Sie HSTS (HTTP Strict Transport Security) für zusätzliche Sicherheit.

Vermeiden Sie Mixed Content und prüfen Sie Security-Header wie CSP (Content Security Policy), X-Content-Type-Options und Referrer-Policy. Etablieren Sie ein professionelles Zertifikatsmanagement mit Auto-Renewal sowie Monitoring und Incident-Response-Prozesse.

Google Fonts lokal

Google Fonts lokal zu hosten ist seit mehreren Gerichtsurteilen praktisch Pflicht geworden. Externe Requests an Google-Server können DSGVO-Verstöße darstellen.

Hosten Sie Fonts lokal auf Ihrem Server, entwickeln Sie eine Caching-Strategie und nutzen Sie Subsetting für bessere Performance. Beachten Sie die Lizenzhinweise und prüfen Sie Themes oder Page Builder auf externe Font-Calls, die Sie bereinigen müssen.

Externe Skripte/CDNs minimieren

Laden Sie externe Skripte und CDN-Inhalte nur nach ausdrücklicher Einwilligung. Koppeln Sie Tag-Manager-Policies strikt an Consent-Entscheidungen.

Setzen Sie SRI (Subresource Integrity) Checks und Content Security Policy ein. Bevorzugen Sie Self-Hosting gegenüber externen Diensten. Drittinhalte wie Maps oder Videos sollten erst nach Opt-in lazy geladen werden.

Tracking DSGVO

Konformes Setup

Für Tracking DSGVO-konform einzusetzen, ist eine Einwilligung für Analytics und Marketing zwingend erforderlich. Aktivieren Sie IP-Anonymisierung in allen Tools.

Events und Tags dürfen erst nach Consent gefeuert werden. Als No-Consent-Fallback können Sie anonyme, cookielose Seitenstatistiken verwenden. Schließen Sie AVV (Auftragsverarbeitungsverträge) mit allen Anbietern ab, begrenzen Sie die Datenaufbewahrung und setzen Sie auf Event- und Datenminimierung.

Consent Mode v2, Server-Side vs. Client-Side Tracking

Konfigurieren Sie Consent Mode v2 korrekt und mappen Sie Signale für Ads und Analytics sauber. Modellierung sollte nur bei fehlendem Consent erfolgen.

Client-Side Tracking führt zu mehr Drittland-Requests und Browser-Risiken. Server-Side Tracking gibt Ihnen bessere Kontrolle über Datenflüsse, EU-Speicherorte und Filter-/Anonymisierungsmöglichkeiten.

Bewerten Sie Ihr Setup rechtlich individuell und führen Sie gegebenenfalls eine DPIA (Datenschutz-Folgenabschätzung) bei umfangreichem Tracking durch.

Alternative Tools (z. B. Matomo)

Self-gehostetes Matomo in EU-Rechenzentren bietet eine DSGVO-freundliche Alternative. Schließen Sie AVV/TOMs (Technische und organisatorische Maßnahmen) ab.

Cookieloser Betrieb ist möglich und kann unter bestimmten Bedingungen ohne Consent erfolgen – allerdings nur ohne Fingerprinting oder Cross-Site-IDs. Setzen Sie auf Datensparsamkeit: nur aggregierte Metriken, IP-Kürzung und kurze Retention-Zeiten.

Drittanbieter & Verträge

AV-Vertrag (Data Processing Agreement)

AV-Verträge sind Pflicht mit Hostern, Newsletter-, Analytics-, Support-, Cloud- und Wartungs-Dienstleistern. Diese Verträge regeln die Auftragsverarbeitung nach Art. 28 DSGVO.

Mindestinhalte umfassen Gegenstand und Zweck, Weisungsrecht, TOMs, Unterauftragsverarbeiter, Lösch- und Supportregelungen sowie Audit- und Informationsrechte.

Organisieren Sie interne Ablage, Versionierung und Laufzeit- sowie Review-Management professionell.

Datenübermittlungen in Drittländer

Prüfen Sie Rechtsgrundlagen für Drittlandtransfers und wenden Sie Standardvertragsklauseln an. Führen Sie Transfer Impact Assessments durch.

Implementieren Sie technische und organisatorische Zusatzschutzmaßnahmen wie Ende-zu-Ende-Verschlüsselung und Pseudonymisierung. Dokumentieren Sie Datenflüsse und Empfänger und führen Sie regelmäßige Re-Evaluierungen durch.

Gemeinsame Verantwortlichkeit vs. Auftragsverarbeitung

Grenzen Sie ab: gemeinsame Zwecke und Mittel versus weisungsgebundene Verarbeitung. Bei gemeinsamer Verantwortlichkeit nach Art. 26 DSGVO sind Vereinbarungen über Rollen und Verantwortungen sowie Transparenzpflichten erforderlich.

Führen Sie Praxischecks bei eingebetteten Diensten und Plugins durch und wählen Sie die passenden Verträge und Hinweise.

Privacy by Design in der Praxis

Datenminimierung & Zweckbindung

Privacy by Design beginnt mit der Beschränkung auf notwendige Felder und restriktiven Standard-Privacy-Einstellungen.

Nutzen Sie Pseudonymisierung und Anonymisierung, trennen Sie Daten nach Zwecken und führen Sie Privacy-Reviews bei Produkt- oder Feature-Änderungen durch.

Speicherfristen & Löschkonzepte

Entwickeln Sie eine Retention-Strategie pro Datentyp mit automatischen Löschroutinen. Berücksichtigen Sie Löschung in Produktivsystemen und Backups.

Gestalten Sie Restore-Prozesse datenschutzkonform, führen Sie Löschprotokolle und setzen Sie Betroffenenrechte effizient um.

Formulare, Login & Newsletter

Double-Opt-In & Transparenz

Definieren Sie klare Zwecke je Formular und verwenden Sie getrennte Checkboxen je Zweck. Beachten Sie das Kopplungsverbot.

Für Newsletter ist Double-Opt-In (DOI) erforderlich: Bestätigungs-E-Mail mit Logging von Zeitstempel, IP und Textversion. Kennzeichnen Sie Pflichtfelder und platzieren Sie Datenschutzhinweise direkt am Formular.

Spam-/Bot-Schutz

Verwenden Sie reCAPTCHA nur nach Einwilligung und prüfen Sie datensparsame Alternativen wie hCaptcha oder Honeypots.

Implementieren Sie serverseitige Prüfungen: Rate Limiting, Zeit- und Hidden-Field-Checks sowie IP/ASN-Blocklisten. Laden Sie Drittinhalte erst nach Opt-in und bieten Sie Fallbacks für Nutzer ohne JavaScript.

Praxis-Checkliste zum Abhaken

Pflichtangaben

  • ✅ Impressum vollständig, von jeder Seite erreichbar
  • Datenschutzerklärung aktuell, vollständig, versioniert

Consent & Banner

  • ✅ Banner mit gleichwertigem „Ablehnen"; keine vorausgewählten Optionen
  • ✅ Cookies/Tags bis Opt-in blockiert; Widerruf jederzeit möglich
  • ✅ Consent-Logs aktiv: Zeitstempel, Status, Version

Technik

  • SSL/TLS aktiv; HSTS gesetzt; kein Mixed Content
  • Google Fonts lokal; externe Ressourcen minimiert; CSP/SRI aktiv

Tracking

  • ✅ Tags erst nach Consent; IP-Anonymisierung; Retention begrenzt
  • ✅ Consent Mode v2 eingerichtet; No-Consent-Fallback vorhanden
  • ✅ AVV mit Analytics/Ads-Anbietern vorhanden

Drittanbieter & Transfers

  • AV-Verträge mit allen Dienstleistern abgeschlossen und dokumentiert
  • ✅ Drittlandtransfers bewertet; SCC/TIA und Schutzmaßnahmen dokumentiert

Privacy by Design

  • ✅ Datenminimierung und restriktive Defaults umgesetzt
  • ✅ Speicher- und Löschfristen aktiv; Backups berücksichtigt

Manuelle Prüfung

  • Inkognito-Test: Network-Tab prüfen, keine externen Requests ohne vorherigen Consent
  • ✅ Cookies löschen, Banner testen: „Ablehnen" klicken, sicherstellen, dass kein Tracking startet

Fazit: Ihre nächsten Schritte zur DSGVO-Compliance

Diese Website DSGVO Checkliste hat die wichtigsten Schritte zusammengefasst: vollständige Pflichtangaben, sauberes Consent Management, sichere Technik, datensparsames Tracking DSGVO-konform und belastbare Verträge.

Meine Empfehlung: Führen Sie regelmäßige Audits durch – sowohl technisch als auch rechtlich. Testen Sie Ihr CMP systematisch, monitoren Sie Consent-Raten und versionieren Sie Ihre Rechtstexte professionell.

Ihre nächsten Schritte: Führen Sie einen Quick-Audit Ihrer Website durch, priorisieren Sie identifizierte Lücken, setzen Sie einen strukturierten Maßnahmenplan um und pflegen Sie Ihre Dokumentation laufend. Eine rechtssichere Website ist kein einmaliges Projekt, sondern ein kontinuierlicher Prozess – aber mit dieser Checkliste haben Sie alle wichtigen Bausteine an der Hand.

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert