DSGVO Checkliste für Websites 2026 — Was Sie beachten sollten

Was bedeutet die DSGVO für Ihre Website?

Die Datenschutz-Grundverordnung (DSGVO) regelt den Umgang mit personenbezogenen Daten in der Europäischen Union. Für Webseitenbetreiber bedeutet das: Sobald Ihre Website personenbezogene Daten verarbeitet — und das tut praktisch jede Website — sollten Sie die Anforderungen der DSGVO kennen und umsetzen.

Personenbezogene Daten umfassen dabei mehr, als viele zunächst vermuten. Laut DSGVO Art. 4 Nr. 1 zählen dazu alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Im Kontext einer Website gehören dazu unter anderem:

• IP-Adressen der Besucher (werden bei jedem Seitenaufruf übertragen)
• E-Mail-Adressen aus Kontaktformularen oder Newsletter-Anmeldungen
• Cookies, die ein Nutzerprofil ermöglichen
• Eingaben in Formularen — Namen, Telefonnummern, Nachrichten
• Nutzungsdaten aus Analyse-Tools wie Google Analytics

Das bedeutet in der Praxis: Fast jede Website verarbeitet personenbezogene Daten und fällt damit in den Anwendungsbereich der DSGVO.

Rechtsgrundlagen nach Art. 6 DSGVO

Jede Verarbeitung personenbezogener Daten benötigt eine Rechtsgrundlage. Laut Art. 6 DSGVO Abs. 1 kommen für Websites vor allem diese Rechtsgrundlagen in Betracht:

• Einwilligung (Art. 6 Abs. 1 lit. a): Der Nutzer stimmt der Verarbeitung aktiv zu — z. B. durch Klick auf einen Cookie-Banner oder durch Ankreuzen einer Checkbox bei der Newsletter-Anmeldung
• Vertragserfüllung (Art. 6 Abs. 1 lit. b): Die Verarbeitung ist zur Erfüllung eines Vertrags erforderlich — z. B. die Speicherung von Bestelldaten in einem Online-Shop
• Berechtigtes Interesse (Art. 6 Abs. 1 lit. f): Die Verarbeitung dient einem berechtigten Interesse des Betreibers, sofern die Interessen der betroffenen Person nicht überwiegen — z. B. die technische Bereitstellung der Website über Server-Logs

Die Wahl der richtigen Rechtsgrundlage sollte für jeden Verarbeitungsvorgang einzeln geprüft werden. Wir empfehlen, dies sorgfältig zu dokumentieren.

Die wichtigsten DSGVO-Anforderungen für Websites

1. Datenschutzerklärung (Art. 13 DSGVO)

Die Datenschutzerklärung ist neben dem Impressum die wichtigste Pflichtseite einer Website. Laut Art. 13 DSGVO sollte sie Besucher umfassend darüber informieren, welche personenbezogenen Daten erhoben werden und wie diese verarbeitet werden.

Eine Datenschutzerklärung sollte folgende Punkte enthalten:

• Name und Kontaktdaten des Verantwortlichen (laut Art. 13 Abs. 1 lit. a)
• Kontaktdaten des Datenschutzbeauftragten, sofern einer bestellt ist (Art. 13 Abs. 1 lit. b)
• Zwecke der Verarbeitung und Rechtsgrundlage für jeden Verarbeitungsvorgang (Art. 13 Abs. 1 lit. c)
• Berechtigte Interessen, sofern die Verarbeitung darauf gestützt wird (Art. 13 Abs. 1 lit. d)
• Empfänger der Daten — wer erhält die Daten, ggf. Auftragsverarbeiter (Art. 13 Abs. 1 lit. e)
• Drittlandtransfers — ob Daten außerhalb der EU verarbeitet werden und welche Garantien bestehen (Art. 13 Abs. 1 lit. f)
• Speicherdauer oder die Kriterien für deren Festlegung (Art. 13 Abs. 2 lit. a)
• Rechte der Betroffenen — Auskunft, Berichtigung, Löschung, Einschränkung, Widerspruch, Datenübertragbarkeit (Art. 13 Abs. 2 lit. b-d)
• Recht auf Beschwerde bei einer Aufsichtsbehörde (Art. 13 Abs. 2 lit. d)

Die Datenschutzerklärung sollte in verständlicher Sprache verfasst sein und von jeder Seite der Website leicht erreichbar sein — idealerweise als separater Link im Footer.

2. Cookie Consent und § 25 TDDDG

Seit Dezember 2021 gilt in Deutschland das Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG), dessen §25 die Cookie-Einwilligung regelt. Laut § 25 TDDDG Abs. 1 ist die Speicherung von Informationen auf dem Endgerät des Nutzers oder der Zugriff auf bereits gespeicherte Informationen grundsätzlich nur mit Einwilligung des Nutzers zulässig.

Ausnahmen bestehen laut § 25 TDDDG Abs. 2 für:

• Technisch notwendige Cookies — Cookies, die für die Bereitstellung des Dienstes unbedingt erforderlich sind (z. B. Warenkorb-Cookies, Session-Cookies, Login-Cookies)
• Cookies zur Übertragung einer Nachricht — die technisch für die Kommunikation erforderlich sind

Alle anderen Cookies — insbesondere Tracking-, Marketing- und Analyse-Cookies — erfordern eine vorherige, aktive Einwilligung des Nutzers. Mehr dazu in unserem Ratgeber zum Cookie Banner.

Anforderungen an ein Cookie-Banner

Ein DSGVO- und TTDSG-konformes Cookie-Banner sollte folgende Merkmale aufweisen:

• Keine vorausgewählten Checkboxen — der Nutzer sollte aktiv zustimmen
• Gleichwertige Ablehnungsmöglichkeit — „Ablehnen” sollte ebenso leicht erreichbar sein wie „Akzeptieren”
• Informationen zu den einzelnen Cookie-Kategorien — welche Cookies werden gesetzt, zu welchem Zweck
• Keine irreführende Gestaltung — sogenannte „Dark Patterns” (z. B. versteckte Ablehnung, farblich hervorgehobene Zustimmung) könnten als problematisch gewertet werden
• Dokumentation der Einwilligung — die erteilte Einwilligung sollte nachweisbar gespeichert werden

3. Verarbeitungsverzeichnis (Art. 30 DSGVO)

Laut DSGVO Art. 30 müssen Verantwortliche ein Verzeichnis aller Verarbeitungstätigkeiten führen. Für Webseitenbetreiber bedeutet das: Alle Datenverarbeitungen, die über die Website erfolgen, sollten dokumentiert sein.

Ein Verarbeitungsverzeichnis sollte für jede Verarbeitungstätigkeit enthalten:

• Zweck der Verarbeitung
• Kategorien der betroffenen Personen und der Daten
• Empfänger der Daten
• Geplante Löschfristen
• Technische und organisatorische Maßnahmen

Kleinstunternehmen mit weniger als 250 Mitarbeitern sind von dieser Pflicht unter bestimmten Umständen ausgenommen — allerdings nur, wenn die Verarbeitung kein Risiko für die Betroffenen birgt und nur gelegentlich erfolgt. In der Praxis empfehlen wir, auch kleineren Unternehmen ein Verarbeitungsverzeichnis zu führen.

4. Auftragsverarbeitungsvertrag (Art. 28 DSGVO)

Wenn Sie Dienstleister einsetzen, die in Ihrem Auftrag personenbezogene Daten verarbeiten — z. B. Hosting-Anbieter, Newsletter-Dienste, Analyse-Tools — müssen Sie laut DSGVO Art. 28 einen Auftragsverarbeitungsvertrag (AVV) abschließen.

Typische Auftragsverarbeiter für Websites:

• Hosting-Anbieter (Server, auf dem die Website läuft)
• E-Mail-Marketing-Dienste (Newsletter-Versand)
• Analyse-Tools (sofern Daten an externe Server übermittelt werden)
• CDN-Anbieter (Content Delivery Networks)
• Chat-Dienste und Support-Tools

Externe Dienste und Drittanbieter

Einer der häufigsten Stolpersteine bei der DSGVO-Konformität von Websites sind extern eingebundene Dienste. Jeder externe Dienst, der beim Seitenaufruf Daten des Besuchers erhält, ist datenschutzrechtlich relevant.

Google Fonts

Google Fonts sind ein prominentes Beispiel: Werden die Schriftarten direkt von Googles Servern geladen, wird die IP-Adresse des Besuchers an Google übermittelt. Laut einem Urteil des LG München I (Az. 3 O 17493/20) könnte dies ohne Einwilligung einen Eingriff in das Persönlichkeitsrecht darstellen.

Die empfohlene Lösung: Google Fonts lokal einbinden (Self-Hosting). Ausführliche Anleitungen finden Sie in unserem Ratgeber zu Google Fonts und DSGVO.

Google Analytics

Google Analytics überträgt standardmäßig umfangreiche Nutzungsdaten an Google-Server — möglicherweise auch in die USA. Für den Einsatz von Google Analytics empfehlen wir:

• Einwilligung einholen — Analytics-Cookies sollten erst nach aktiver Zustimmung des Nutzers geladen werden
• IP-Anonymisierung aktivieren — reduziert den Personenbezug
• Auftragsverarbeitungsvertrag mit Google abschließen
• Alternative prüfen — datenschutzfreundliche Analyse-Tools wie Matomo (Self-Hosted) oder Plausible verarbeiten weniger Daten

Google Maps

Eingebettete Google Maps laden beim Seitenaufruf Daten von Google-Servern. Empfohlene Alternativen:

• Zwei-Klick-Lösung — die Karte wird erst nach Klick des Nutzers geladen
• Screenshot mit Link — ein statisches Bild der Karte mit Link zu Google Maps
• OpenStreetMap — eine datenschutzfreundlichere Alternative

YouTube und Video-Embeds

Eingebettete YouTube-Videos übertragen ebenfalls Daten an Google. Empfohlene Maßnahmen:

• Erweiterter Datenschutzmodus verwenden (youtube-nocookie.com)
• Zwei-Klick-Lösung — Vorschaubild zeigen, Video erst nach Klick laden
• Einwilligung über Cookie-Banner einholen

Social-Media-Plugins

Buttons zum Teilen auf Facebook, Twitter oder LinkedIn können ohne Interaktion des Nutzers bereits Daten an die Plattformen übertragen. Wir empfehlen die sogenannte Shariff-Lösung oder einfache Textlinks — diese übertragen erst bei Klick Daten.

Technische Maßnahmen

SSL-Verschlüsselung

Eine SSL-Verschlüsselung (erkennbar an „https://” in der Adresszeile) ist für Websites, die personenbezogene Daten verarbeiten, laut Art. 32 DSGVO als technische Maßnahme empfehlenswert. In der Praxis gilt eine HTTPS-Verschlüsselung mittlerweile als Mindeststandard.

Besonders wichtig ist SSL bei:

• Kontaktformularen — Übertragung von Namen, E-Mail-Adressen, Nachrichten
• Login-Bereichen — Übertragung von Benutzernamen und Passwörtern
• Online-Shops — Übertragung von Bestell- und Zahlungsdaten

Viele Hosting-Anbieter bieten kostenlose SSL-Zertifikate über Let’s Encrypt an. Die Einrichtung ist in der Regel unkompliziert.

Server-Logs

Webserver protokollieren standardmäßig Zugriffe in Log-Dateien. Diese enthalten in der Regel IP-Adressen, Zeitstempel, aufgerufene Seiten und den verwendeten Browser. Da IP-Adressen als personenbezogene Daten gelten, sollten Server-Logs in der Datenschutzerklärung erwähnt werden.

Empfohlene Maßnahmen:

• Löschfristen festlegen — Server-Logs sollten nach einem angemessenen Zeitraum (oft werden 7 bis 30 Tage empfohlen) automatisch gelöscht werden
• Zugriff beschränken — nur berechtigte Personen sollten Zugang zu den Logs haben
• In der Datenschutzerklärung erwähnen — Rechtsgrundlage ist in der Regel das berechtigte Interesse (Art. 6 Abs. 1 lit. f)

Formulare und Dateneingaben

Bei allen Formularen auf Ihrer Website — Kontaktformulare, Bestellformulare, Newsletter-Anmeldungen — sollten Sie folgende Punkte beachten:

• Datenminimierung — nur die tatsächlich benötigten Felder als Pflichtfelder einrichten
• Hinweis auf Datenschutzerklärung — vor dem Absenden auf die Datenschutzerklärung verweisen
• Einwilligung dokumentieren — bei Newsletter-Anmeldungen das Double-Opt-In-Verfahren nutzen
• Verschlüsselte Übertragung — Formulare sollten nur über HTTPS übertragen werden

Datenschutzbeauftragter

Wann ist ein Datenschutzbeauftragter erforderlich?

Laut BDSG §38 sollte ein Datenschutzbeauftragter bestellt werden, wenn:

• In der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind
• Die Kerntätigkeit in der umfangreichen Verarbeitung besonderer Kategorien von Daten (Art. 9 DSGVO) besteht — z. B. bei Arztpraxen
• Eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO erforderlich ist

Der Datenschutzbeauftragte kann intern bestellt oder extern beauftragt werden. Seine Kontaktdaten sollten in der Datenschutzerklärung und — sofern bestellt — bei der zuständigen Aufsichtsbehörde gemeldet sein.

Checkliste: DSGVO für Ihre Website

Nutzen Sie die folgende Checkliste, um den Datenschutz Ihrer Website systematisch zu prüfen:

Pflichtseiten und Informationspflichten

• Datenschutzerklärung vorhanden — vollständig nach Art. 13 DSGVO
• Von jeder Seite erreichbar — separater Link im Footer
• Verständliche Sprache — klar formuliert, für Laien nachvollziehbar
• Alle Verarbeitungsvorgänge beschrieben — Server-Logs, Cookies, Formulare, externe Dienste
• Rechtsgrundlagen angegeben — für jeden Verarbeitungsvorgang
• Betroffenenrechte aufgeführt — Auskunft, Löschung, Widerspruch etc.
• Impressum separat vorhanden — nicht mit Datenschutzerklärung vermischt

Cookies und Einwilligung

• Cookie-Banner vorhanden — für nicht-technische Cookies
• Keine vorausgewählten Checkboxen — aktive Einwilligung erforderlich
• Gleichwertige Ablehnungsmöglichkeit — „Ablehnen” ebenso leicht erreichbar
• Cookies erst nach Einwilligung gesetzt — keine Tracking-Cookies vor Klick
• Einwilligung dokumentiert — Nachweis der erteilten Zustimmung

Externe Dienste

• Google Fonts lokal eingebunden — kein Laden von Google-Servern
• Analyse-Tools mit Einwilligung — Analytics nur nach Cookie-Consent
• Karten und Videos mit Zwei-Klick-Lösung — erst nach Nutzerinteraktion laden
• Social-Media-Plugins datenschutzkonform — Shariff-Lösung oder Textlinks
• Auftragsverarbeitungsverträge — mit allen Dienstleistern abgeschlossen

Technische Maßnahmen

• SSL-Verschlüsselung aktiv — gesamte Website über HTTPS erreichbar
• Server-Logs mit Löschfrist — automatische Löschung nach angemessenem Zeitraum
• Formulare mit Datenminimierung — nur notwendige Pflichtfelder
• Newsletter mit Double-Opt-In — Bestätigung der Anmeldung per E-Mail

Organisation und Dokumentation

• Verarbeitungsverzeichnis geführt — nach Art. 30 DSGVO
• Datenschutzbeauftragter bestellt — sofern erforderlich (BDSG §38)
• Auftragsverarbeitungsverträge vorhanden — mit Hosting, Newsletter-Dienst etc.
• Datenschutzerklärung aktuell — bei neuen Diensten oder Änderungen aktualisiert

Für eine professionelle Prüfung aller datenschutzrelevanten Aspekte Ihrer Website empfehlen wir einen Website-Check. Wenn Ihre Website auch die Anforderungen des BFSG (Barrierefreiheit) erfüllen sollte, lässt sich dies in einem kombinierten Check abdecken.

DSGVO-Bußgelder: Was könnte passieren?

Die DSGVO sieht in Art. 83 Bußgelder in zwei Stufen vor:

• Bis zu 10 Mio. EUR oder 2 % des weltweiten Jahresumsatzes — bei Verstößen gegen organisatorische Pflichten (z. B. fehlendes Verarbeitungsverzeichnis, kein Auftragsverarbeitungsvertrag)
• Bis zu 20 Mio. EUR oder 4 % des weltweiten Jahresumsatzes — bei Verstößen gegen Grundsätze der Verarbeitung, Betroffenenrechte oder unzulässige Drittlandtransfers

In der Praxis fallen die Bußgelder für kleine und mittlere Unternehmen erfahrungsgemäß deutlich niedriger aus. Die Aufsichtsbehörden berücksichtigen laut Art. 83 Abs. 2 Faktoren wie die Art und Schwere des möglichen Verstoßes, ob vorsätzlich oder fahrlässig gehandelt wurde, und welche Maßnahmen zur Schadensbegrenzung ergriffen wurden.

Neben Bußgeldern können Betroffene laut Art. 82 DSGVO auch Schadensersatz geltend machen. Das LG München I hat beispielsweise in seinem Urteil zu Google Fonts (Az. 3 O 17493/20) einem Kläger 100 EUR Schadensersatz zugesprochen.

Besondere Anforderungen für bestimmte Branchen

Arztpraxen und Gesundheitswesen

Arztpraxen verarbeiten Gesundheitsdaten, die laut DSGVO Art. 9 zu den „besonderen Kategorien personenbezogener Daten” gehören. Hier gelten verschärfte Anforderungen — sowohl an die technischen Schutzmaßnahmen als auch an die Einwilligung der Patienten.

Online-Shops

Online-Shops verarbeiten in der Regel besonders viele personenbezogene Daten: Bestelldaten, Zahlungsinformationen, Lieferadressen, Kundenkonten. Hier empfehlen wir eine besonders sorgfältige Prüfung aller Datenflüsse.

Websites mit Kontaktformularen

Selbst eine einfache Unternehmenswebsite mit einem Kontaktformular verarbeitet bereits personenbezogene Daten. Die DSGVO-Anforderungen gelten unabhängig von der Unternehmensgröße.

Häufig gestellte Fragen (FAQ)

Gilt die DSGVO auch für kleine Websites?

Die DSGVO gilt für alle Websites, die personenbezogene Daten von EU-Bürgern verarbeiten — unabhängig von der Unternehmensgröße oder dem Umfang der Website. Da bereits ein Seitenaufruf die Übertragung einer IP-Adresse (ein personenbezogenes Datum) beinhaltet, fällt praktisch jede Website in den Anwendungsbereich. Für sehr kleine Unternehmen sind einzelne organisatorische Anforderungen (z. B. Datenschutzbeauftragter, Verarbeitungsverzeichnis) unter bestimmten Voraussetzungen weniger streng — die Grundpflichten wie Datenschutzerklärung und Cookie-Consent gelten jedoch für alle.

Was könnte ein DSGVO-Verstoß kosten?

Laut DSGVO Art. 83 könnten Bußgelder bis zu 20 Mio. EUR oder 4 % des weltweiten Jahresumsatzes verhängt werden. In der Praxis orientieren sich die Aufsichtsbehörden an der Schwere des möglichen Verstoßes und der Unternehmensgröße. Für kleine Unternehmen liegen die Bußgelder erfahrungsgemäß deutlich unter den Höchstgrenzen. Zusätzlich zu Bußgeldern könnten Betroffene Schadensersatz nach Art. 82 DSGVO geltend machen. Auch Abmahnungen wegen Datenschutzverstößen auf Websites sind möglich und verursachen zusätzliche Kosten für Anwalts- und Gerichtsgebühren.

Brauche ich einen Datenschutzbeauftragten für meine Website?

Ein Datenschutzbeauftragter ist laut BDSG §38 erforderlich, wenn in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, oder wenn die Kerntätigkeit in der umfangreichen Verarbeitung besonderer Datenkategorien besteht. Für die meisten kleinen Unternehmen mit einer Standard-Website ist daher kein Datenschutzbeauftragter erforderlich. Dennoch empfehlen wir, die datenschutzrechtlichen Anforderungen ernst zu nehmen und bei Unsicherheiten einen IT-Berater oder spezialisierten Datenschutzberater hinzuzuziehen.