DSGVO-konforme Website: Die komplette Checkliste 2026

DSGVO-konforme Website — Was Sie 2026 beachten müssen

Eine DSGVO-konforme Website ist seit 2018 Pflicht für alle Unternehmen, die personenbezogene Daten verarbeiten. Verstöße können Bußgelder bis zu 20 Millionen EUR oder 4% des Jahresumsatzes nach sich ziehen. Diese Checkliste hilft Ihnen, die wichtigsten Anforderungen zu erfüllen.

Die wichtigsten Änderungen 2025/2026

• DDG statt TMG: Seit Mai 2024 gilt das Digitale-Dienste-Gesetz (DDG) anstelle des Telemediengesetzes
• TDDDG: Das Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz regelt Cookie-Consent
• BFSG: Seit Juni 2025 verpflichtet das Barrierefreiheitsstärkungsgesetz zu barrierefreien Webseiten
• ODR-Plattform eingestellt: Die EU-Online-Streitbeilegungsplattform wurde zum 20.07.2025 abgeschaltet

Checkliste: 10 Punkte für DSGVO-Konformität

1. SSL-Verschlüsselung (HTTPS)

Jede Website, die personenbezogene Daten verarbeitet (Kontaktformulare, Login, Shop), benötigt eine SSL-Verschlüsselung. Das erkennen Sie am Schloss-Symbol in der Browserleiste und der URL mit “https://”.

2. Datenschutzerklärung

Die Datenschutzerklärung muss von jeder Seite aus erreichbar sein (typischerweise im Footer). Sie muss enthalten:

• Name und Kontaktdaten des Verantwortlichen
• Zweck und Rechtsgrundlage der Datenverarbeitung
• Empfänger der Daten (Hosting-Anbieter, Analytics, etc.)
• Speicherdauer oder Kriterien für die Festlegung
• Betroffenenrechte (Auskunft, Löschung, Widerspruch)
• Hinweis auf Beschwerderecht bei der Aufsichtsbehörde

3. Cookie-Consent (TDDDG)

Cookies und Tracking-Tools, die nicht technisch notwendig sind, benötigen eine aktive Einwilligung vor dem Setzen. Ein DSGVO-konformer Cookie-Banner muss:

• Vor dem Laden von Tracking-Skripten erscheinen
• Eine echte Wahlmöglichkeit bieten (nicht nur “Akzeptieren”)
• Ablehnen genauso einfach machen wie Zustimmen
• Die Einwilligung dokumentieren

Alternative: Cookieless Analytics wie Matomo ohne Cookies benötigen keinen Cookie-Banner für das Tracking.

4. Impressum (DDG)

Das Impressum muss gemäß §5 DDG (nicht mehr TMG!) folgende Angaben enthalten:

• Vollständiger Name und Anschrift des Anbieters
• Kontaktmöglichkeit (E-Mail, Telefon)
• Handelsregister und Registernummer (bei Gesellschaften)
• Umsatzsteuer-ID
• Inhaltlich Verantwortlicher nach §18 Abs. 2 MStV

5. Hosting in der EU

Der Hosting-Standort bestimmt, welches Datenschutzrecht gilt. Hosting in Deutschland oder der EU ist die sicherste Wahl. Bei US-Anbietern muss ein Data Processing Agreement (DPA) vorliegen und die Übermittlung auf Basis eines Angemessenheitsbeschlusses oder Standardvertragsklauseln erfolgen.

6. Kontaktformulare

Kontaktformulare verarbeiten personenbezogene Daten und erfordern:

• Hinweis auf die Datenschutzerklärung
• Nur notwendige Pflichtfelder (Datensparsamkeit)
• Verschlüsselte Übertragung (HTTPS)
• Keine Speicherung über den Zweck hinaus

7. Externe Dienste

Jeder externe Dienst, der Nutzerdaten verarbeitet, muss in der Datenschutzerklärung aufgeführt werden. Häufige Beispiele:

• Google Fonts (besser: lokal einbinden)
• Google Maps (Zwei-Klick-Lösung empfohlen)
• YouTube-Videos (No-Cookie-Modus verwenden)
• Social-Media-Buttons (Shariff-Lösung oder statische Links)
• Payment-Provider (Stripe, PayPal)

8. Auftragsverarbeitungsvertrag (AVV)

Mit jedem Dienstleister, der in Ihrem Auftrag personenbezogene Daten verarbeitet, benötigen Sie einen AVV. Das betrifft:

• Hosting-Anbieter
• E-Mail-Provider
• Analytics-Tools
• Newsletter-Dienste
• Payment-Anbieter

9. Verzeichnis der Verarbeitungstätigkeiten

Art. 30 DSGVO verpflichtet Unternehmen, ein Verzeichnis aller Datenverarbeitungstätigkeiten zu führen. Das umfasst die Website, aber auch interne Prozesse wie Personalverwaltung.

10. Barrierefreiheit (BFSG)

Seit Juni 2025 müssen viele digitale Angebote barrierefrei sein. Die Anforderungen basieren auf WCAG 2.1 Level AA und umfassen:

• Tastaturbedienbarkeit
• Ausreichende Farbkontraste
• Alternative Texte für Bilder
• Strukturierte Überschriften
• Untertitel für Videos

Häufige DSGVO-Fehler auf Websites

1. Google Fonts von Google-Servern laden — Lösung: Fonts lokal einbinden
2. Cookie-Banner ohne echte Ablehnoption — Lösung: Gleichwertige “Ablehnen”-Option anbieten
3. Kein AVV mit dem Hoster — Lösung: AVV beim Hosting-Anbieter anfordern
4. Veraltete Rechtsgrundlagen — Lösung: TMG durch DDG ersetzen, RStV durch MStV
5. YouTube ohne Datenschutz-Modus — Lösung: youtube-nocookie.com verwenden

So setzen wir DSGVO bei Rocket Space um

Bei jeder Website, die wir entwickeln, ist DSGVO-Konformität Standard:

• Hosting auf Servern in deutschen Rechenzentren
• Cookieless Analytics mit Matomo (kein Cookie-Banner nötig)
• Selbst gehostete Fonts (kein Google Fonts CDN)
• Cloudflare Turnstile statt Google reCAPTCHA
• Automatische SSL-Verschlüsselung
• Zwei-Klick-Lösung für externe Inhalte

Sie sind unsicher, ob Ihre Website DSGVO-konform ist? Wir prüfen das gerne für Sie.