DSGVO-konforme Website: Die komplette Checkliste 2026
Hinweis: Dieser Artikel gibt einen pragmatischen Überblick, ersetzt aber keine Rechtsberatung. Bei Unsicherheiten konsultieren Sie einen Anwalt.
Die DSGVO ist seit 2018 in Kraft — und sorgt noch immer für Verwirrung. Manche ignorieren sie komplett, andere übertreiben mit Cookie-Bannern, die gar nicht nötig wären. Dieser Artikel zeigt, was Sie wirklich brauchen.
1. Impressum (Pflicht)
Keine DSGVO-Anforderung, sondern DDG. Trotzdem die häufigste Abmahnfalle.
Was rein muss:
- Vollständiger Name oder Firmenname
- Anschrift (kein Postfach)
- E-Mail-Adresse
- Umsatzsteuer-ID (falls vorhanden)
- Handelsregister-Eintrag (falls vorhanden)
- Verantwortlicher nach § 18 MStV
Wichtig: Maximal 2 Klicks erreichbar. Ein Link im Footer auf jeder Seite reicht.
2. Datenschutzerklärung (Pflicht)
Jede Website braucht eine. Sie muss erklären, welche Daten gesammelt werden.
Was typischerweise rein muss:
- Name und Kontaktdaten des Verantwortlichen
- Welche Daten erhoben werden (z. B. IP-Adressen in Server-Logs)
- Kontaktformular: welche Daten gespeichert werden und wie lange
- Hosting-Anbieter und Server-Standort
- Eingebundene Drittanbieter (Google Fonts, Analytics, Maps …)
- Rechte der Betroffenen (Auskunft, Löschung, Widerspruch)
3. Cookie-Banner: Wann Sie einen brauchen
Kein Cookie-Banner nötig, wenn:
Nur technisch notwendige Cookies, keine externen Dienste, Google Fonts lokal gehostet, keine Tracking-Pixel.
Cookie-Banner nötig, wenn:
Google Analytics, Google Fonts von Google-Servern, YouTube-Videos, Facebook Pixel, LinkedIn Insight Tag, Werbung.
Einfachste Lösung: Auf unnötiges Tracking verzichten. Eine handcodierte Website ohne externe Dienste braucht oft kein Cookie-Banner.
4. Google Fonts: Das Abmahn-Risiko
2022 gab es eine Abmahnwelle. Das Problem: Google Fonts von Google-Servern laden = IP-Adresse wird an Google (USA) übertragen — ohne Einwilligung.
Lösung: Google Fonts lokal hosten. So prüfen Sie es:
- Website in Chrome öffnen
- Rechtsklick → "Untersuchen" (oder F12)
- Tab "Network" (Netzwerk)
- Seite neu laden
- Suchen nach "fonts.googleapis.com" oder "fonts.gstatic.com"
- Treffer = Fonts werden extern geladen → muss gefixt werden
5. Google Analytics: Geht das noch?
Seit den Schrems-II-Urteilen problematisch (Datenübertragung in die USA). Technisch möglich, aber mit Aufwand:
- Cookie-Banner mit echtem Opt-in nötig
- IP-Anonymisierung aktivieren
- In Datenschutzerklärung erwähnen
- Rechtliches Risiko bleibt
Bessere Alternativen: Plausible Analytics (EU-gehostet, cookieless), Matomo (self-hosted) — oder gar kein Analytics. Für kleine Websites oft die beste Lösung.
Die DSGVO-Checkliste
Muss vorhanden sein:
- Impressum (max. 2 Klicks erreichbar)
- Datenschutzerklärung (vollständig und aktuell)
- SSL-Verschlüsselung (https://)
- Google Fonts lokal gehostet
- Kontaktformular: Hinweis auf Datenverarbeitung
Falls Tracking/Cookies genutzt werden:
- Cookie-Banner mit echtem Opt-in
- "Ablehnen" genauso einfach wie "Akzeptieren"
- Tracking erst nach Einwilligung starten
- Möglichkeit zum späteren Widerruf
Fazit: Keep it simple
Die einfachste Art, DSGVO-konform zu sein: weniger tracken. Bei jedem externen Dienst fragen: Brauche ich das wirklich? Gibt es eine datenschutzfreundlichere Alternative?
Eine handcodierte Website ohne Google Analytics, ohne externe Fonts, ohne Social-Media-Embeds braucht oft nur Impressum und Datenschutzerklärung — kein Cookie-Banner.
DSGVO-konforme Website ohne Stress
Unsere handcodierten Websites sind standardmäßig datenschutzfreundlich — ohne nervige Cookie-Banner.