Alle Artikel
Schloss-Symbol auf Laptop — DSGVO-Checkliste für Websites
DSGVO 19. April 2026 11 Min Lesezeit

DSGVO-Checkliste für Ihre Website: 30 Punkte, die 2026 stimmen müssen

30 Punkte zum Abhaken: von Cookie-Banner und Impressum über Google Fonts bis zu den Nutzer-Rechten — alles, was 2026 bei einer DSGVO-konformen Website stimmen muss.

PS

Patrick Strasser

Entwickler & Gründer Appgenau

Das Thema DSGVO war vor sechs Jahren Panik-Inhalt, inzwischen ist es Alltag — mit einem Unterschied: Die Abmahnwellen rollen weiterhin, nur gezielter. Google Fonts aus den USA, fehlende Cookie-Einwilligung, unvollständiges Impressum, falsch eingebundene YouTube-Videos. Jeder dieser Punkte kann 800 € und aufwärts kosten, wenn ein Anwalt darüber stolpert.

Diese Checkliste geht in 30 Punkten durch alles, was 2026 bei einer DSGVO-konformen Website stimmen muss. Abhaken, anpassen, ruhig schlafen.

1. Hosting und Datenfluss (Punkte 1–4)

  • Hosting-Standort: Server in der EU, idealerweise Deutschland (Frankfurt, Berlin, Nürnberg)
  • SSL-Zertifikat: HTTPS für alle Seiten, automatische Weiterleitung von HTTP
  • AV-Vertrag mit Hosting-Anbieter abgeschlossen und archiviert
  • Kein US-CDN ohne Einwilligung (Cloudflare-US, AWS-US, Vercel-Edge-US)

Seit Schrems II (EuGH 2020) ist Datenübermittlung in die USA nur mit zusätzlichen Schutzmassnahmen zulässig. Wer nicht prüfen will, hostet in der EU.

2. Cookie-Banner (Punkte 5–9)

  • Banner nur, wenn nicht-notwendige Cookies gesetzt werden (Analytics, Marketing, Embed)
  • Opt-in statt Opt-out: Tracker laden erst nach Einwilligung
  • „Akzeptieren“ und „Ablehnen“ gleichwertig gestaltet (Grösse, Farbe, Position)
  • Widerruf jederzeit möglich, Link im Footer oder dauerhafte Schaltfläche
  • Kategorisierung (technisch nötig, Analytics, Marketing) mit separaten Opt-ins

3. Impressum (Punkte 10–14)

  • Vollständiger Name (Vor- und Nachname oder Firma mit Rechtsform)
  • Postanschrift — keine Postfach-Adresse
  • E-Mail-Adresse und Telefonnummer (Telefon ist trotz anderer Gerüchte weiterhin Pflicht)
  • Umsatzsteuer-ID oder Steuernummer, Handelsregister-Eintrag bei Kapitalgesellschaften
  • Bei B2C: Link zur OS-Plattform der EU-Kommission

Impressum gehört in den Footer, mit einem Klick erreichbar, nicht versteckt in einem Unterverzeichnis. Faustregel: jede Seite, die ohne Einloggen erreichbar ist, muss einen Impressum-Link sichtbar haben.

4. Datenschutzerklärung (Punkte 15–19)

  • Verantwortlicher und Kontakt für Datenschutz-Fragen klar benannt
  • Alle erhobenen Daten aufgeführt: IP, Browser, Referrer, Cookies, Formulardaten
  • Rechtsgrundlage je Verarbeitung genannt (Art. 6 DSGVO, meist lit. b oder lit. f)
  • Externe Dienste (Fonts, Maps, Analytics, Embed) einzeln aufgeführt
  • Nutzer-Rechte (Auskunft, Berichtigung, Löschung, Widerspruch) und Beschwerde-Möglichkeit

5. Formulare und Newsletter (Punkte 20–23)

  • Pflichtfelder auf das Nötigste reduziert (Datenminimierung)
  • Checkbox zur Einwilligung bei Newsletter (Double-Opt-in)
  • Kurzer Datenschutz-Hinweis unter dem Formular, mit Link zur Datenschutzerklärung
  • Newsletter-Dienst mit EU-Servern oder AV-Vertrag (Brevo, MailPoet, CleverReach — nicht Mailchimp ohne Prüfung)

6. Externe Dienste (Punkte 24–27)

Das ist die häufigste Abmahn-Falle: Dienste, die im Hintergrund Daten an Drittanbieter senden, ohne dass der Nutzer es weiss.

  • Google Fonts lokal hosten — keine Einbindung über fonts.googleapis.com
  • Google Maps nur nach Klick laden, nicht automatisch mit iframe-Preview
  • YouTube/Vimeo-Videos mit Zwei-Klick-Lösung oder datenschutzfreundlichem Modus (youtube-nocookie.com)
  • Google Analytics nur mit Consent — oder durch Plausible/Matomo self-hosted ersetzen

7. Nutzer-Rechte und Pflichten (Punkte 28–30)

  • Prozess für Auskunftsanfragen definiert — wer antwortet in welcher Frist?
  • Prozess für Löschungsanfragen definiert — technische Umsetzung möglich?
  • Melde-Plan bei Datenschutz-Vorfall vorbereitet (72 h Meldefrist an Aufsichtsbehörde)

Was tun, wenn trotzdem eine Abmahnung kommt?

  1. Keine Panik, aber sofort reagieren — Fristen sind meist 7–14 Tage
  2. Abmahnung inhaltlich prüfen lassen: Oft sind Details formal falsch oder Forderungen überzogen
  3. Nicht vorschnell unterschreiben — modifizierte Unterlassungserklärungen sind oft möglich
  4. Den konkreten Anlass (Google Fonts, Cookie-Fehler, Impressum-Mangel) sofort abstellen
  5. Bei Unsicherheit: Fachanwalt für IT-Recht — die Beratungskosten amortisieren sich schnell

Fazit

DSGVO-Konformität ist keine einmalige Aktion, sondern ein Betriebs-Zustand. Wer die 30 Punkte dieser Liste abhakt und bei neuen Tools oder Updates kurz prüft, ob sich etwas verändert hat, ist auf der sicheren Seite. Die grössten Baustellen 2026 bleiben externe Dienste (Fonts, Maps, Analytics) und unvollständige Impressum-Angaben.

Nächster Schritt

Neue Website direkt DSGVO-sicher bauen lassen

Appgenau baut Websites mit DSGVO-Grundlagen ab Werk: EU-Hosting in Frankfurt, lokale Fonts, keine US-Tracker, saubere Impressum- und Datenschutz-Textbausteine. Ab 490 € Fixpreis.

DSGVO-Details ansehen

Artikel teilen

LinkedInE-MailTwitter / X

Weiterlesen

Verwandte Artikel

Team im Gespräch am Schreibtisch — Webagentur, Freelancer oder Wix?
Vergleich10 Min

Webagentur, Freelancer oder Wix? So finden Sie die richtige Lösung

Artikel lesen
Büro-Szene mit Notizbuch, Stift und Laptop — Website-Kosten kalkulieren
Kosten9 Min

Was kostet eine Website 2026? Echte Preise, ehrlich erklärt

Artikel lesen

Konkretes Projekt besprechen?

Wenn Sie nach diesem Artikel Fragen haben — ich melde mich meist am gleichen Tag. Ehrliche Einschätzung, keine Verkaufsphrasen.

Kontakt aufnehmen