Zum Inhalt springen
Website, Shop & Sichtbarkeit aus einer Hand
Datenschutz

DSGVO-konforme Website: Checkliste 2026

Checkliste für eine DSGVO-konforme Website: Impressum, Datenschutzerklärung, Cookies, Formulare und Hosting in Deutschland. Sachlich, keine Rechtsberatung.

13 Min. Lesezeit DSGVODatenschutzImpressumCookiesWebsite

Ob Handwerksbetrieb, Praxis oder Dienstleister: Sobald eine Website Besucher empfängt, verarbeitet sie personenbezogene Daten, oft schon beim ersten Seitenaufruf über die IP-Adresse. Die Datenschutz-Grundverordnung (DSGVO) und das deutsche Digitale-Dienste-Gesetz (DDG) setzen dafür klare Regeln. Verstöße sind kein theoretisches Risiko: Der Bußgeldrahmen reicht bis zu 20 Millionen Euro (Art. 83 DSGVO) oder 4 Prozent (Art. 83 DSGVO) des weltweiten Jahresumsatzes, und abmahnfähige Details wie extern geladene Schriftarten haben Gerichte bereits mit 100 Euro (LG München I, Az. 3 O 17493/20) Schadenersatz je Fall belegt. Dieser Beitrag fasst die fünf zentralen Bausteine einer datenschutzkonformen Website als praktische Checkliste zusammen: Impressum, Datenschutzerklärung, Cookies, Formulare und Hosting. Der Text ist sachlich gehalten und ersetzt keine Rechtsberatung im Einzelfall, er soll Ihnen aber eine belastbare Orientierung geben, welche Punkte typischerweise zu prüfen sind.

DSGVO-konforme Website: die fünf Bausteinehttps://ihre-website.deAnfrage sendenCookie-EinwilligungAkzeptierenAblehnenPflicht-Bausteine prüfenImpressumAnbieterkennzeichnung nach Paragraf 5 DDGDatenschutzerklärungTransparente Angaben nach Artikel 13 DSGVOCookies und EinwilligungAktive Zustimmung vor nicht nötigen DienstenFormulare und VerschlüsselungTLS, Datensparsamkeit, klare EinwilligungHosting in DeutschlandAuftragsverarbeitung, EU-Serverstandort20 MioEuro Bußgeldrahmen (Art. 83)100Euro je Google-Fonts-Fall5Bausteine der ChecklisteDatenschutz ist kein einmaliges Häkchen, sondern ein laufender Prozess.Rechtsgrundlagen dokumentieren, Dienste sparsam einbinden, Einwilligungen sauber protokollieren und regelmäßig prüfen.

Warum Datenschutz zur Grundausstattung jeder Website gehört

Datenschutz auf der Website ist kein reines Formalthema, sondern berührt Vertrauen und Reputation. Eine aktuelle Erhebung zeigt, dass 68 Prozent (Cisco Consumer Privacy Survey) der Verbraucher sich um den Umgang mit ihren Daten im Internet sorgen und ein erheblicher Teil davon Anbieter meidet, denen sie beim Datenschutz nicht vertrauen. Gleichzeitig steigt der Aufwand für Aufsichtsbehörden und Betroffene: Seit Inkrafttreten der DSGVO wurden europaweit Bußgelder in Summe von mehr als 5,8 Milliarden Euro (DLA Piper GDPR Fines Survey) verhängt. Für kleine und mittlere Betriebe geht es dabei selten um Rekordsummen, sondern um Abmahnungen, Beschwerden und den Zeitaufwand, den ein vermeidbarer Fehler nach sich zieht.

Die gute Nachricht: Die meisten Anforderungen lassen sich mit überschaubarem Aufwand sauber umsetzen, wenn man sie von Anfang an mitdenkt. Wer eine Website neu aufsetzt oder relauncht, kann Datenschutz direkt in die Struktur einbauen, statt später nachzurüsten. Wie sich ein solcher Umbau planen lässt, ohne Sichtbarkeit und Funktion zu verlieren, beschreibt unser Beitrag dazu, welche Fehler man beim Website-Relaunch vermeiden sollte. Die folgenden fünf Bausteine bilden das Gerüst, an dem sich die meisten Prüfungen orientieren.

Kurz eingeordnet: DSGVO, DDG und TDDDG

Die DSGVO regelt europaweit die Verarbeitung personenbezogener Daten. Das deutsche Digitale-Dienste-Gesetz (DDG) hat 2024 das Telemediengesetz abgelöst und enthält unter anderem die Impressumspflicht. Das Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG, früher TTDSG) regelt den Zugriff auf Endgeräte, also Cookies und ähnliche Technologien. Diese drei Regelwerke greifen bei einer Website ineinander.

Baustein 1: Das Impressum richtig aufsetzen

Nahezu jede geschäftsmäßige Website in Deutschland braucht ein Impressum, also eine Anbieterkennzeichnung nach Paragraf 5 DDG. Die Pflicht gilt nicht nur für Onlineshops, sondern auch für die Website eines Handwerksbetriebs, einer Praxis oder eines Vereins, sobald sie über rein private oder familiäre Zwecke hinausgeht. Das Impressum muss leicht erkennbar, unmittelbar erreichbar und ständig verfügbar sein. In der Praxis bedeutet das einen klar benannten Link, etwa Impressum im Footer, der von jeder Unterseite mit einem Klick erreichbar ist. Formulierungen wie Kontakt oder Über uns als alleiniger Zugang gelten als nicht ausreichend.

Inhaltlich gehören dazu je nach Rechtsform unter anderem der vollständige Name und die Anschrift, bei juristischen Personen die Vertretungsberechtigten, eine schnelle elektronische Kontaktmöglichkeit samt E-Mail-Adresse, gegebenenfalls Registereintrag und Registernummer, die Umsatzsteuer-Identifikationsnummer sowie bei bestimmten Berufsgruppen zusätzliche Angaben wie Kammer, Berufsbezeichnung und berufsrechtliche Regelungen. Bei Ärzten, Steuerberatern, Rechtsanwälten oder Handwerkern mit Meisterpflicht sind diese Zusatzangaben besonders relevant. Ein unvollständiges Impressum ist einer der häufigsten Abmahngründe, obwohl es sich mit geringem Aufwand vermeiden lässt.

Schnellcheck Impressum

Link mit eindeutiger Bezeichnung im Footer, von jeder Seite in einem Klick erreichbar, vollständige Anschrift und Vertretungsberechtigte, E-Mail-Adresse und schnelle Kontaktmöglichkeit, Register- und Umsatzsteuerangaben soweit vorhanden, berufsrechtliche Zusatzangaben bei reglementierten Berufen. Bei Unsicherheit über die Pflichtangaben lohnt eine kurze rechtliche Abstimmung.

Baustein 2: Die Datenschutzerklärung transparent gestalten

Die Datenschutzerklärung informiert Besucher darüber, welche Daten die Website zu welchem Zweck und auf welcher Rechtsgrundlage verarbeitet. Grundlage sind vor allem die Informationspflichten aus Artikel 13 DSGVO. Anders als das Impressum ist die Datenschutzerklärung kein statischer Standardtext, sondern muss die tatsächlich eingesetzten Dienste und Verarbeitungen abbilden. Wer ein Kontaktformular, eine Reichweitenmessung, eine Karteneinbindung oder einen Newsletter nutzt, muss genau diese Verarbeitungen benennen. Eine aus dem Netz kopierte Erklärung, die nicht zur eigenen Website passt, ist im Zweifel wertlos oder sogar irreführend.

Zu den üblichen Bestandteilen gehören Angaben zum Verantwortlichen, die Kategorien verarbeiteter Daten, Zwecke und Rechtsgrundlagen, Empfänger und Auftragsverarbeiter, Speicherdauer beziehungsweise Löschfristen sowie die Rechte der Betroffenen auf Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit und Widerspruch. Ergänzt wird das um einen Hinweis auf das Beschwerderecht bei einer Aufsichtsbehörde. Werden Daten in Länder außerhalb der EU übermittelt, etwa durch Dienste mit Servern in Drittstaaten, braucht es dafür eine geeignete Rechtsgrundlage und einen entsprechenden Hinweis. Die Erklärung sollte in klarer, verständlicher Sprache formuliert und ohne Registrierung erreichbar sein.

Lebendes Dokument statt Einmalaufgabe

Jede neue Funktion, jedes neue Tool und jeder neue Dienstleister kann die Datenschutzerklärung verändern. Sie sollte deshalb bei jeder größeren Änderung an der Website mitgepflegt werden. Eine Erklärung, die einen längst entfernten Dienst beschreibt oder einen neu eingebundenen verschweigt, schützt niemanden.

Baustein 3: Cookies und Einwilligung sauber lösen

Cookies und vergleichbare Technologien dürfen nur dann ohne Einwilligung gesetzt werden, wenn sie für den vom Nutzer ausdrücklich gewünschten Dienst unbedingt erforderlich sind, etwa ein Warenkorb oder die Speicherung der Cookie-Auswahl selbst. Für alles andere, insbesondere Reichweitenmessung, Marketing und externe Einbindungen, ist nach Paragraf 25 TDDDG und der Rechtsprechung des Europäischen Gerichtshofs eine aktive, informierte Einwilligung erforderlich. Der EuGH hat im Planet49-Urteil (Az. C-673/17) klargestellt, dass vorangekreuzte Kästchen keine wirksame Einwilligung darstellen. Eine wirksame Zustimmung setzt eine bewusste Handlung voraus.

Für die praktische Umsetzung mit einem Einwilligungsbanner haben sich einige Grundregeln etabliert: Nicht notwendige Dienste dürfen erst nach der Einwilligung laden, nicht schon beim Seitenaufruf. Ablehnen muss so einfach möglich sein wie Zustimmen, idealerweise auf derselben Ebene und mit gleich sichtbaren Schaltflächen. Voreinstellungen dürfen keine Zustimmung vortäuschen, und die einmal getroffene Wahl muss jederzeit widerrufbar sein. Zudem sollte dokumentiert werden, wer wann in welche Verarbeitung eingewilligt hat. Diese Nachweisbarkeit ist Teil der Rechenschaftspflicht aus der DSGVO.

AspektNicht konformKonform
LadezeitpunktTracking lädt schon beim SeitenaufrufNicht notwendige Dienste laden erst nach Einwilligung
ButtonsNur Akzeptieren sichtbar, Ablehnen verstecktAkzeptieren und Ablehnen gleichwertig sichtbar
VoreinstellungHäkchen vorab gesetztKeine Vorauswahl für nicht notwendige Dienste
WiderrufKeine Möglichkeit zum ÄndernAuswahl jederzeit widerrufbar
NachweisKeine ProtokollierungEinwilligungen dokumentiert und abrufbar

Ein oft unterschätzter Sonderfall sind extern geladene Ressourcen wie Schriftarten, Kartendienste oder Videoeinbettungen. Werden sie direkt von fremden Servern geladen, wird schon dabei die IP-Adresse der Besucher an Dritte übertragen, bevor irgendeine Einwilligung vorliegt. Genau das war Gegenstand des erwähnten Google-Fonts-Urteils. Der saubere Weg ist, solche Ressourcen lokal einzubinden oder erst nach Einwilligung zu laden. Wie sich das technisch ohne Tempoverlust umsetzen lässt, greift unser Beitrag zu den Core Web Vitals und der Ladezeit auf.

Baustein 4: Formulare und Datensparsamkeit

Kontakt-, Anfrage- und Newsletterformulare sind für viele Betriebe der wichtigste Kanal für neue Aufträge und zugleich ein sensibler Punkt im Datenschutz. Zwei Prinzipien stehen im Vordergrund: Datensparsamkeit und Transparenz. Datensparsamkeit bedeutet, nur die Angaben abzufragen, die für den jeweiligen Zweck wirklich nötig sind. Für eine Rückfrage genügt meist Name, Nachricht und eine Kontaktmöglichkeit. Pflichtfelder wie eine vollständige Anschrift oder das Geburtsdatum sind bei einer einfachen Anfrage in der Regel nicht erforderlich und sollten optional bleiben oder ganz entfallen.

Technisch muss die Übertragung verschlüsselt erfolgen. Eine durchgängige TLS-Verschlüsselung, erkennbar am https in der Adresszeile, ist heute Mindeststandard und zugleich ein Rankingsignal. Am Formular selbst gehört ein kurzer, verständlicher Datenschutzhinweis mit Verweis auf die Datenschutzerklärung. Für einen Newsletter ist zusätzlich das Double-Opt-in-Verfahren üblich, bei dem die Anmeldung über einen Bestätigungslink verifiziert wird. So lässt sich nachweisen, dass die Einwilligung tatsächlich von der angegebenen Person stammt. Auch beim Formular gilt die Nachweispflicht: Es sollte dokumentierbar sein, welche Einwilligung mit welchem Text zu welchem Zeitpunkt erteilt wurde.

  • Nur wirklich benötigte Felder als Pflicht kennzeichnen, den Rest optional halten oder streichen
  • Durchgängige TLS-Verschlüsselung für die gesamte Website sicherstellen
  • Klarer Datenschutzhinweis am Formular mit Link zur Datenschutzerklärung
  • Bei Newslettern Double-Opt-in mit protokolliertem Bestätigungsschritt
  • Spamschutz ohne unnötige Datenweitergabe an Dritte einsetzen
  • Eingegangene Anfragen nur so lange speichern, wie es der Zweck erfordert

Ein gut gebautes Formular verbindet Datenschutz und Wirkung: Weniger Pflichtfelder senken die Hürde zur Kontaktaufnahme und erhöhen zugleich die Datensparsamkeit. Beides zahlt auf dasselbe Ziel ein. Wie sich Formulare und Seitenaufbau gezielt auf mehr Anfragen ausrichten lassen, vertieft unser Beitrag zur Conversion-Optimierung für mehr Anfragen.

Baustein 5: Hosting in Deutschland und Auftragsverarbeitung

Wer den Betrieb einer Website an einen Hosting-Anbieter auslagert, gibt die Verarbeitung personenbezogener Daten wie Server-Logs mit IP-Adressen in fremde Hände. Dafür verlangt Artikel 28 DSGVO einen Vertrag zur Auftragsverarbeitung, kurz AVV oder AV-Vertrag. Er regelt, dass der Anbieter die Daten nur nach Weisung und im vereinbarten Rahmen verarbeitet. Ohne einen solchen Vertrag ist die Zusammenarbeit datenschutzrechtlich angreifbar. Seriöse Hoster stellen den AV-Vertrag standardmäßig bereit, oft direkt im Kundenkonto zum Abschluss.

Ein Serverstandort in Deutschland oder zumindest innerhalb der EU vereinfacht die Rechtslage erheblich, weil dann keine Datenübermittlung in unsichere Drittstaaten erfolgt und keine zusätzlichen Garantien nötig sind. Hosting in Deutschland ist damit nicht nur ein Vertrauensargument gegenüber Kunden, sondern reduziert auch den dokumentarischen Aufwand. Bei der Wahl des Anbieters lohnt der Blick auf Serverstandort, angebotenen AV-Vertrag, technische Sicherheitsmaßnahmen und Löschkonzepte. Wie ein zuverlässiges, datenschutzfreundliches Hosting-Setup aussieht, beschreibt unsere Seite zum Webhosting im Detail.

Häufig übersehen

Auch scheinbar harmlose Zusatzdienste verarbeiten Daten: eingebettete Karten, Video-Player, Schriftarten von externen Servern, Chat-Widgets oder Statistik-Werkzeuge. Jeder dieser Dienste braucht eine Rechtsgrundlage, einen Eintrag in der Datenschutzerklärung und gegebenenfalls einen AV-Vertrag. Eine Bestandsaufnahme aller eingebundenen Dienste ist der erste Schritt zu einer sauberen Website.

Datenschutz als laufender Prozess

Die fünf Bausteine bilden ein solides Fundament, doch Datenschutz ist kein Zustand, den man einmal herstellt und dann abhakt. Websites verändern sich: Es kommen Funktionen hinzu, Dienstleister wechseln, Rechtsprechung entwickelt sich weiter. Deshalb gehört zu einer datenschutzkonformen Website ein regelmäßiger Blick auf die eingebundenen Dienste, die Aktualität der Datenschutzerklärung und die Funktion des Einwilligungsbanners. Aus über 50 umgesetzten Website-Projekten (Projekterfahrung) zeigt sich, dass die meisten Probleme nicht aus bösem Willen entstehen, sondern aus einer Website, die schneller wächst als ihre Dokumentation.

Wer diese Pflege nicht selbst leisten kann oder will, kann sie an eine laufende Website-Betreuung übergeben, die technische Updates, Sicherheit und Datenschutz zusammen im Blick behält. Ergänzend lohnt der Gedanke an Barrierefreiheit, denn seit 2025 gelten für viele Anbieter neue Pflichten. Wie das zusammenhängt, erläutert unser Beitrag zur BFSG-Pflicht für barrierefreie Websites. Datenschutz, Sicherheit und Barrierefreiheit greifen ineinander: Alle drei sorgen dafür, dass eine Website nicht nur gut aussieht, sondern auch verlässlich und rechtlich sauber funktioniert.

Dieser Artikel basiert auf Daten aus: Verordnung (EU) 2016/679 (DSGVO, insbesondere Art. 13, 25, 28, 83), Digitale-Dienste-Gesetz (DDG, Paragraf 5), Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG, Paragraf 25), Urteil des LG München I (Az. 3 O 17493/20, Google Fonts), Urteil des EuGH (Az. C-673/17, Planet49), Cisco Consumer Privacy Survey (Verbrauchersorgen), DLA Piper GDPR Fines Survey (Bußgeldsumme) sowie eigenen Projekten. Mit (Projekterfahrung) markierte Angaben beruhen auf eigenen Website-Projekten. Dieser Beitrag ist eine allgemeine Orientierung und ersetzt keine Rechtsberatung im Einzelfall.