DSGVO-konforme Website 2026: Die ultimative Checkliste für Unternehmen (Cookie Banner, Consent Management, Impressumspflicht, Google Fonts lokal)

Eine DSGVO-konforme Website ist heute nicht mehr nur “nice to have”, sondern rechtliche Pflicht für jedes Unternehmen. Die Herausforderung: Die Anforderungen der Datenschutz-Grundverordnung und des TTDSG sind komplex und ändern sich laufend durch neue Rechtsprechung und Behördenentscheidungen.

Diese Praxis-Checkliste hilft Ihnen dabei, Ihre DSGVO-konforme Website Schritt für Schritt umzusetzen und zu prüfen – rechtlich, technisch und organisatorisch. Sie erhalten konkrete To-dos zu Cookie Banner, Consent Management, Datenschutzerklärung, Impressumspflicht, Tracking ohne Cookies und Google Fonts lokal.

Rollen und Verantwortlichkeiten verstehen

Zunächst müssen Sie klären: Sind Sie Verantwortlicher oder Auftragsverarbeiter? Als Verantwortlicher bestimmen Sie Zwecke und Mittel der Verarbeitung und tragen die Hauptverantwortung. Das Accountability-Prinzip verpflichtet Sie, die Einhaltung der DSGVO nachweisen zu können. Dazu gehört das Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 DSGVO.

Rechtsgrundlagen richtig anwenden

Für jede Datenverarbeitung auf Ihrer Website benötigen Sie eine Rechtsgrundlage nach Art. 6 DSGVO – sei es Einwilligung, Vertragserfüllung oder berechtigtes Interesse. Besonders wichtig: Das TTDSG regelt das Setzen und Auslesen nicht-essentieller Cookies und Tracker. Hier gilt grundsätzlich das Opt-in-Prinzip.

Vergessen Sie nicht die Informationspflichten und Dokumentationspflichten. Jede Verarbeitung muss transparent dargestellt und nachvollziehbar dokumentiert werden.

Wichtiger Hinweis: Dieser Artikel stellt keine Rechtsberatung dar. Prüfen Sie regelmäßig Änderungen in Gesetz, Rechtsprechung und Verlautbarungen der Aufsichtsbehörden oder konsultieren Sie einen spezialisierten Anwalt.

Quick-Check: Erfüllt meine Website die DSGVO-Basics?

Sofort prüfen (5-Min-Check)

Starten Sie mit diesen drei kritischen Punkten für Ihre DSGVO-konforme Website (siehe Quick-Check-Übersicht):

SSL/TLS und HTTPS-Weiterleitung: Prüfen Sie, ob Ihre Website durchgängig verschlüsselt ist. Alle HTTP-Aufrufe sollten automatisch auf HTTPS weitergeleitet werden.

Impressum und Datenschutzerklärung: Beide müssen von jeder Seite aus in maximal zwei Klicks erreichbar sein. Testen Sie verschiedene Seitentypen und Endgeräte.

Cookie-Blockierung: Nicht-essentielle Cookies und Tracking-Tags dürfen erst nach expliziter Einwilligung gesetzt werden. Verwenden Sie die Entwicklertools Ihres Browsers, um zu prüfen, ob vor der Consent-Erteilung bereits Tracking-Cookies gesetzt werden.

Sichtprüfung kritischer Templates

Testen Sie systematisch diese Bereiche Ihrer Website:

• Startseite und wichtigste Landingpages
• Blog-Artikel und Content-Seiten
• Kontakt- und andere Formulare
• Checkout- und Bestellprozess

Prüfen Sie dabei verschiedene Ansichten: Desktop, Tablet und Mobile. Nutzen Sie auch den Inkognito-Modus und testen Sie gegebenenfalls die EU-spezifische Variante Ihrer Website.

Protokoll & Nachweise

Dokumentieren Sie Ihre Prüfungen strukturiert:

• Datum und verantwortliche Person
• Gefundene Risiken mit Schweregrad
• Gesetzte Fristen und erstellte Tickets
• Screenshots oder Videos als Belege

Diese Dokumentation ist nicht nur für interne Zwecke wichtig, sondern kann auch bei Behördenanfragen oder rechtlichen Auseinandersetzungen wertvoll sein.

Rechtliche Pflichtangaben sauber umsetzen

Impressumspflicht

Das Impressum ist das Aushängeschild Ihrer rechtlichen Compliance. Es muss eine vollständige Anbieterkennzeichnung enthalten und schnell erreichbar sein – maximal ein bis zwei Klicks von jeder Seite.

Achten Sie auf dauerhafte Verfügbarkeit und rechtssichere Kontaktangaben. Unvollständige oder schwer auffindbare Impressen sind häufige Abmahngründe und lassen sich einfach vermeiden.

Datenschutzerklärung

Ihre Datenschutzerklärung muss konkret die verwendeten Dienste benennen, nicht nur generische Kategorien. Für jeden Dienst gehören dazu:

• Zwecke der Datenverarbeitung
• Angewandte Rechtsgrundlagen
• Empfänger oder Kategorien von Empfängern
• Informationen zu Drittlandtransfers
• Speicherdauer oder Kriterien für deren Bestimmung
• Hinweise zu Widerruf und Widerspruchsrechten
• Vollständige Betroffenenrechte
• Informationen zu Cookies und CMP-Einstellungen

Vergessen Sie nicht das Datum der letzten Aktualisierung anzugeben.

Versionskontrolle & Änderungs-Log

Führen Sie ein systematisches Änderungsmanagement:

• Veröffentlichungsdatum jeder Version
• Eindeutige Versionsnummerierung
• Dokumentation des Änderungsgrunds
• Archiv älterer Fassungen
• Synchronisation mit CMP-Kategorien

Dies hilft bei der Nachweisführung und erleichtert die Kommunikation von Änderungen an Nutzer.

Consent Management & Cookie Banner korrekt konfigurieren

Gestaltungsregeln

Das Design Ihres Cookie Banners entscheidet über die rechtliche Wirksamkeit. Zentrale Anforderungen:

Gleichwertige Optionen: “Ablehnen” und “Annehmen” müssen gleich sichtbar und gleich prominent platziert sein (rechtliche Anforderungen an Cookie-Banner). Vermeiden Sie Dark Patterns wie versteckte Ablehnen-Buttons oder irreführende Formulierungen.

Keine Voreinstellungen: Nutzer müssen aktiv entscheiden. Vorausgewählte Häkchen für nicht-essentielle Cookies sind unzulässig.

Einfacher Widerruf: Benutzer müssen ihre Einwilligung jederzeit einfach ändern oder widerrufen können.

Technische Umsetzung

Die technische Implementation ist entscheidend für eine DSGVO-konforme Website:

Script-Blockierung: Alle nicht-essentiellen Skripte und Tags müssen bis zur Einwilligung blockiert bleiben. Nutzen Sie entsprechende Consent-Checks in Ihrem Tag Manager.

Re-Consent: Bei wesentlichen Änderungen der Zwecke oder neuen Anbietern müssen Sie erneut um Einwilligung bitten.

Consent-Logging: Speichern Sie Einwilligungen mit Zeitstempel, gewählten Zwecken und Version der Datenschutzerklärung.

“Nur Essenzielles”-Option: Bieten Sie eine klare Option an, nur technisch notwendige Cookies zu akzeptieren.

Kategorien & Zwecke

Strukturieren Sie Ihre Cookies sinnvoll:

Granulare Auswahl: Mindestens die Kategorien “Essenziell”, “Statistik” und “Marketing” sollten getrennt wählbar sein.

Anbieterlisten: Führen Sie alle Drittanbieter mit Links zu deren Datenschutzrichtlinien auf.

Speicherfristen: Geben Sie konkrete Aufbewahrungsdauern an, nicht nur “bis zum Widerruf”.

Berechtigtes Interesse: Nutzen Sie diese Rechtsgrundlage nur wo tatsächlich anwendbar und dokumentieren Sie die Abwägung.

CMP-Integration

Bei der Auswahl und Einrichtung einer Consent Management Plattform beachten Sie:

• Rechtssichere Konfiguration entsprechend deutschem/EU-Recht
• TCF (Transparency & Consent Framework) ist optional, nicht verpflichtend
• Mehrsprachigkeit und Region-Targeting
• Performance-Optimierung
• Barrierefreiheit für alle Nutzergruppen

Tracking ohne Cookies datenschutzfreundlich lösen

Cookieless Web-Analytics

Moderne Analyselösungen funktionieren auch ohne personenbezogene Cookies:

Serverseitige Lösungen: Nutzen Sie Analytics-Tools, die ihre Daten auf Ihren eigenen Servern verarbeiten, statt sie an Drittanbieter zu senden.

IP-Anonymisierung: Kürzen oder hashen Sie IP-Adressen, bevor sie gespeichert werden.

Aggregierte Auswertungen: Verzichten Sie auf nutzerbezogene Pfade und arbeiten Sie mit statistischen Gesamtauswertungen.

Kein Cross-Site-Tracking: Vermeiden Sie websiteübergreifende Verfolgung von Nutzern.

Ereignis-Messung ohne Fingerprinting

Wenn Sie Nutzerinteraktionen messen möchten, ohne personenbezogene Profile zu erstellen:

• Verzichten Sie auf eindeutige Gerätekennungen
• Nutzen Sie Event-Pings ohne Personenbezug
• Implementieren Sie konsequente Datenminimierung
• Definieren Sie kurze Aufbewahrungsfristen
• Erstellen Sie ein systematisches Löschkonzept

Hinweis zu US-Tools

Bei der Nutzung von Analytics-Diensten mit US-Bezug beachten Sie:

• Einwilligung der Nutzer ist erforderlich
• Implementierung von Transfer-Schutzmaßnahmen (SCC, TIA)
• Zusätzliche technische und organisatorische Maßnahmen
• Deaktivierung datenteilender Funktionen

Google Fonts lokal und externe Einbindungen kontrollieren

Google Fonts lokal hosten

Das lokale Hosting von Google Fonts ist ein wichtiger Baustein für Ihre DSGVO-konforme Website:

Schriftdateien herunterladen: Laden Sie die benötigten Schriftarten (idealerweise als WOFF2) herunter und speichern Sie sie auf Ihrem Server.

CSS anpassen: Nutzen Sie @font-face-Deklarationen in Ihrem CSS, um auf die lokalen Dateien zu verweisen.

Performance optimieren: Implementieren Sie Preload-Strategien und effiziente Cache-Regeln.

Requests testen: Überprüfen Sie mit Entwicklertools, dass keine Anfragen mehr an Google-Server gestellt werden.

YouTube/Maps/Widgets

Für die Einbindung externer Inhalte gibt es datenschutzfreundliche Alternativen:

Zwei-Klick-Lösung: Externe Inhalte werden erst nach bewusster Nutzeraktion geladen.

Privacy-Proxy: Nutzen Sie Dienste, die als Vermittler fungieren und die direkte Datenübertragung verhindern.

Vorschaubilder lokal: Speichern Sie Thumbnails auf Ihren eigenen Servern.

Transparente Information: Informieren Sie klar über Datenempfänger und Zwecke vor dem Laden externer Inhalte.

Social-Media-Embeds

Auch bei Social-Media-Einbindungen können Sie datenschutzkonform vorgehen:

• Implementieren Sie Opt-in-basierte Einbindung
• Nutzen Sie datensparsame Alternativen wie statische Share-Links
• Verwenden Sie lokale Thumbnails statt eingebetteter Inhalte
• Ordnen Sie Social-Media-Funktionen den richtigen CMP-Zwecken zu

Formulare, Newsletter & Lead-Erfassung DSGVO-sicher

Kontaktformulare

Bei der Gestaltung von Kontaktformularen gilt das Prinzip der Datenminimierung:

Pflichtfelder begrenzen: Fragen Sie nur nach Informationen, die Sie tatsächlich benötigen.

Rechtsgrundlage transparent machen: Erklären Sie, warum Sie welche Daten erheben und wie lange Sie diese speichern.

Sichere Übertragung: Verwenden Sie TLS-Verschlüsselung für die Datenübertragung.

Automatische Löschung: Implementieren Sie Löschfristen und automatisierte Löschprozesse.

Logging begrenzen: Protokollieren Sie keine Freitextinhalte in Server-Logs.

Newsletter

Für Newsletter-Marketing gelten strenge Anforderungen:

Double-Opt-in: Bestätigen Sie jede Anmeldung durch eine separate E-Mail.

Einwilligungsnachweis: Dokumentieren Sie Zeit, IP-Adresse und Inhalt der Einwilligung.

Einfache Abmeldung: Ermöglichen Sie die Abmeldung mit einem Klick, ohne Login.

Separates Tracking-Opt-in: Fragen Sie gesondert nach Einwilligung für Öffnungs- und Klick-Tracking.

CAPTCHA & Bot-Schutz

Auch beim Schutz vor Spam sollten Sie datenschutzkonform vorgehen:

• Laden Sie externe CAPTCHA-Dienste nur nach vorheriger Einwilligung
• Prüfen Sie Alternativen wie Honeypots oder Rate-Limits
• Implementieren Sie serverseitige Validierungen wo möglich

Auftragsverarbeitung (AV) und internationale Transfers

AV-Verträge (Art. 28 DSGVO)

Für jeden externen Dienstleister benötigen Sie einen Auftragsverarbeitungsvertrag:

Wichtige Bereiche: Hosting, E-Mail-Versand, Analytics, CRM, Support-Tools

Pflichtinhalte: Technische und organisatorische Maßnahmen (TOMs), Regelungen zu Subprozessoren, Weisungsbefugnis, Prüf- und Löschrechte

Dokumentation: Führen Sie ein Verzeichnis aller Auftragsverarbeiter mit aktuellen Vertragsdaten.

Drittlandtransfer

Bei Datenübertragungen außerhalb der EU/EWR beachten Sie:

Schutzmaßnahmen: Standardvertragsklauseln (SCC), Transfer Impact Assessment (TIA), zusätzliche technische und organisatorische Maßnahmen

Konkrete Umsetzung: Starke Verschlüsselung, Schlüsselhoheit in der EU, strenge Zugriffskontrollen

Laufende Bewertung: Dokumentieren Sie regelmäßig die Risikoabwägung und passen Sie Maßnahmen bei Bedarf an.

Anbieterwechsel-Checkliste

Bereiten Sie Anbieterwechsel systematisch vor:

• Datenrückgabeformate definieren
• Löschbestätigungen einfordern
• Exit-Klauseln vereinbaren
• Migrationsplan entwickeln
• Kündigungsfristen beachten

Technische und organisatorische Maßnahmen (TOMs) auf der Website

Security-Header

Implementieren Sie wichtige Sicherheits-Header für Ihre DSGVO-konforme Website:

Content Security Policy (CSP): Verhindert Code-Injection und bietet Reporting-Funktionen

HTTP Strict Transport Security (HSTS): Erzwingt verschlüsselte Verbindungen

Referrer-Policy: Kontrolliert die Übertragung von Referrer-Informationen

Permissions-Policy: Beschränkt Browser-APIs und Features

Weitere Header: X-Content-Type-Options, X-Frame-Options für zusätzlichen Schutz

Zugriffskontrollen & Betrieb

Sichern Sie den Betrieb Ihrer Website ab:

Least Privilege Prinzip: Vergeben Sie nur minimal notwendige Berechtigungen

Multi-Faktor-Authentifizierung: Schützen Sie Admin-Zugänge zusätzlich ab

Protokollierung: Dokumentieren Sie sicherheitsrelevante Ereignisse

Backup und Recovery: Testen Sie regelmäßig Ihre Wiederherstellungsprozesse

Update-Management: Halten Sie System und Software aktuell

Secret-Management: Verwalten Sie Zugangsdaten sicher

Datenminimierung in Logs

Auch Server-Logs müssen datenschutzkonform gestaltet werden:

IP-Kürzung: Kürzen oder hashen Sie IP-Adressen in Log-Dateien

Parameter-Bereinigung: Entfernen Sie sensible Daten aus Query-Parametern

Fehlerseiten: Zeigen Sie keine personenbezogenen Daten in Fehlermeldungen an

Aufbewahrung: Definieren Sie kurze Aufbewahrungsfristen für Log-Dateien

Datenschutz Audit Website – Vorgehen und Tools

Asset- & Datenfluss-Inventar

Verschaffen Sie sich einen vollständigen Überblick:

Technische Assets: Erfassen Sie alle Domains, Subdomains, Tags und iFrames

Third-Party-Calls: Identifizieren Sie alle externen Verbindungen

Datenkategorien: Listen Sie verarbeitete Datenarten und deren Empfänger auf

Verarbeitungsmapping: Ordnen Sie alle Verarbeitungen den entsprechenden Rechtsgrundlagen zu

Scans & Tests

Nutzen Sie systematische Prüfmethoden:

Cookie-Scanner: Identifizieren Sie alle gesetzten Cookies und Tracker

Consent-Tests: Prüfen Sie, ob Tags erst nach Einwilligung ausgelöst werden

Script-Blockierung: Testen Sie die Wirksamkeit Ihrer Consent-Implementierung

Geo-Tests: Überprüfen Sie unterschiedliches Verhalten je nach Standort

CSP-Report-Only: Nutzen Sie Content Security Policy im Report-Modus zur Leak-Erkennung

Review-Zyklus

Etablieren Sie regelmäßige Überprüfungen:

Quartalsweise Audits: Führen Sie systematische Re-Audits durch

CI/CD-Integration: Bauen Sie Privacy-Checks in Ihre Deployment-Pipeline ein

Change-Management: Dokumentieren Sie datenschutzrelevante Änderungen

Schulungen: Halten Sie Ihr Team über aktuelle Entwicklungen auf dem Laufenden

Freigabeprozesse: Involvieren Sie Datenschutzbeauftragte und Rechtsabteilung

Nachweise

Dokumentieren Sie alle Prüfungen systematisch:

• Detaillierte Prüfberichte mit Datum und Prüfer
• Consent-Logs mit Zeitstempeln und Versionen
• Versionierung der Datenschutzerklärung
• Aktuelles Verzeichnis der Verarbeitungstätigkeiten

Häufige Fehler, die Abmahnungen auslösen

Remote geladene Google Fonts

Das Problem: Google Fonts werden direkt von Google-Servern geladen, wodurch IP-Adressen ohne Einwilligung in die USA übertragen werden (häufige Abmahnursache, siehe Hinweise zu Google Fonts und DSGVO).

Die Lösung: Hosten Sie alle Schriftarten lokal auf Ihren eigenen Servern.

Cookie Banner-Fehler

Typische Probleme: Keine echte Ablehnen-Option, Vorauswahl von Häkchen, irreführendes Design, Skripte die vor der Einwilligung ausgeführt werden

Die Lösung: Implementieren Sie gleichwertige Optionen, verzichten Sie auf Dark Patterns und blockieren Sie alle nicht-essentiellen Skripte bis zur Einwilligung.

AV/Transfers

Häufige Mängel: Fehlende oder unvollständige Auftragsverarbeitungsverträge, Drittlandtransfers ohne entsprechende Schutzmaßnahmen

Die Lösung: Schließen Sie vollständige AV-Verträge ab und implementieren Sie bei Drittlandtransfers Standardvertragsklauseln plus zusätzliche Schutzmaßnahmen.

Datenschutzerklärung

Typische Schwächen: Veraltete oder zu generische Inhalte, fehlende Dienste oder Empfänger, keine konkreten Speicherfristen, Inkonsistenzen zum Cookie-Banner

Die Lösung: Halten Sie die Datenschutzerklärung aktuell und konkret, synchronisieren Sie sie mit Ihrem CMP und benennen Sie alle tatsächlich verwendeten Dienste.

Umsetzungsfahrplan für Unternehmen

Prioritäten

Must-haves vor Livegang: Diese Elemente müssen vor der Veröffentlichung Ihrer DSGVO-konformen Website implementiert sein:

• SSL-Verschlüsselung und HTTPS-Weiterleitung
• Vollständiges Impressum und aktuelle Datenschutzerklärung
• Funktionierendes Consent Management mit Script-Blockierung
• Lokales Hosting von Google Fonts

Quick Wins (24-48h): Diese Verbesserungen können Sie kurzfristig umsetzen:

• Security-Header implementieren
• Cookie-Banner optimieren
• Offensichtliche Tracking-Lecks schließen

Mittelfristige Tasks: Diese Aufgaben erfordern mehr Planung und Zeit:

• Umfassende TOMs implementieren
• Systematische Audits etablieren
• Serverseitige Analytics einführen

Verantwortlichkeiten & RACI

Definieren Sie klare Rollen in Ihrem Team:

Recht/DSB: Responsible für rechtliche Bewertungen, Accountable für Compliance-Entscheidungen

IT/Security: Responsible für technische Umsetzung, Consulted bei Architekturentscheidungen

Marketing: Consulted bei Tracking-Anforderungen, Informed über Änderungen

Content: Responsible für Texterstellung, Consulted bei UX-Entscheidungen

Einkauf: Responsible für Lieferantenmanagement, Accountable für AV-Verträge

Etablieren Sie interne Freigabeprozesse und systematisches Lieferantenmanagement.

Monitoring & Wartung

Regelmäßige Updates: Überwachen Sie Änderungen in Gesetzen, Rechtsprechung und Behördenpraxis

Re-Consent-Management: Definieren Sie Trigger für erneute Einwilligung bei neuen Zwecken oder Anbietern

Incident Response: Bereiten Sie Prozesse für Datenschutzverletzungen vor, inklusive Meldeverfahren an Aufsichtsbehörden

Schulungsprogramm: Halten Sie alle Beteiligten über aktuelle Entwicklungen auf dem Laufenden

Fazit

Mit dieser umfassenden Checkliste bringen Sie Ihre DSGVO-konforme Website auf einen sicheren rechtlichen, technischen und organisatorischen Stand. Die Kombination aus schnell umsetzbaren Sofortmaßnahmen und systematischen Langzeitprozessen schützt Sie vor Abmahnungen und schafft Vertrauen bei Ihren Nutzern.

Ihre nächsten Schritte:

1. Führen Sie den 5-Minuten-Quick-Check durch und identifizieren Sie die wichtigsten Lücken
2. Priorisieren Sie die gefundenen Probleme nach Risiko und Umsetzungsaufwand
3. Aktualisieren Sie Ihr Consent Management und Ihre Pflichtangaben
4. Dokumentieren Sie alle Auftragsverarbeitungen und Drittlandtransfers
5. Fixieren Sie regelmäßige Audit-Termine und etablieren Sie einen kontinuierlichen Review-Zyklus

Eine DSGVO-konforme Website ist kein einmaliges Projekt, sondern ein kontinuierlicher Prozess. Mit der richtigen Struktur und den passenden Prozessen meistern Sie jedoch auch künftige Herausforderungen souverän und rechtssicher.