StartArbeitenPreiseProzess StudioJournalFAQ Projekt starten
arrow_back Zurück zum Journal
RECHT · 13 MIN LESEZEIT

DSGVO-Checkliste für Websites 2026.

Marlon Borz
Marlon Borz
18. April 2026
Sieben-Tage-Workflow im Studio

Die DSGVO ist 2026 kein Kavaliersdelikt mehr. Abmahnungen wegen fehlender Cookie-Banner, unvollständiger Impressen oder falsch eingebundener Google Fonts kosten zwischen 150 und 5.000 Euro — und treffen fast immer genau die Unternehmen, die sich am wenigsten wehren können. Diese Checkliste geht jeden Pflichtpunkt durch und nennt die konkreten Abmahnfallen, die 2025 und 2026 am häufigsten vorkamen.

Kurzantwort vorweg: Eine DSGVO-konforme Unternehmens-Website braucht neun Pflichtelemente — Impressum nach TMG, Datenschutzerklärung, Cookie-Banner mit Opt-In, SSL-Verschlüsselung, Tracking-Einwilligung, Kontaktformular-Hinweis, Newsletter-Double-Opt-In, datensparsame Logs und einen DPO falls nötig. Alles darunter ist abmahnbar.

Die 9 Pflichtelemente im Detail

1. Impressum nach § 5 TMG

Unvollständige Impressa sind die häufigste Abmahnquelle. Pflicht: Firmenname, Anschrift, Vertretungsberechtigter, Kontaktmöglichkeit (E-Mail und Telefon), Handelsregister + Registernummer, USt-ID falls vorhanden, Verantwortlicher nach § 55 Abs. 2 RStV, Streitschlichtungshinweis. Häufiger Fehler: Kein Streitschlichtungs-Link zur EU-Plattform — das allein ist 2026 bereits abmahnbar.

2. Datenschutzerklärung

Muss mindestens enthalten: verantwortliche Stelle, erhobene Daten, Zweck der Erhebung, Rechtsgrundlage, Speicherdauer, Empfänger (z. B. Hostinger, Google), Betroffenenrechte (Auskunft, Löschung, Beschwerde), Hinweis auf Datenverarbeitung in Drittländern. Die Datenschutzerklärung muss von jeder Unterseite verlinkt sein — nicht nur im Footer versteckt.

3. Cookie-Banner mit echtem Opt-In

⚠ Die häufigste Falle 2026

Ein Cookie-Banner mit nur Akzeptieren-Button oder mit vorangekreuzten Checkboxen ist NICHT DSGVO-konform. Sie brauchen einen gleichwertigen Ablehnen-Button, und Tracking-Cookies dürfen erst NACH dem Klick auf Akzeptieren gesetzt werden. Das BGH-Urteil (Cookie-II-Entscheidung) ist seit Mai 2020 bindend.

4. SSL-Verschlüsselung (HTTPS)

Seit 2023 de facto Pflicht für alle Seiten mit Formular oder Login. Lets Encrypt ist kostenlos und bei fast jedem Hoster mit einem Klick aktiviert. Ohne SSL wird die Seite in Chrome, Firefox und Safari als unsicher markiert — das allein kostet Sie 30 Prozent Besucher.

5. Tracking-Einwilligung

Google Analytics, Meta Pixel, Hotjar, Microsoft Clarity — alles Consent-pflichtig. Darf erst laden nach Klick auf Akzeptieren. Server-seitiges Tracking oder Consent-mode-v2 sind Alternativen, aber ohne korrekte Konfiguration ebenfalls problematisch.

6. Kontaktformular-Hinweis

Über jedem Kontaktformular muss ein Hinweis stehen, dass die Daten nur zur Bearbeitung der Anfrage verwendet werden, plus Link zur Datenschutzerklärung. Praxis: eine Checkbox mit der Einwilligung, unchecked voreingestellt. Ohne Haken geht das Formular nicht ab.

7. Newsletter-Double-Opt-In

Wer E-Mails für Newsletter sammelt, muss Double-Opt-In einsetzen: Anmeldung, Bestätigungsmail mit Link, erst dann Eintrag in die Liste. Single-Opt-In ist abmahnbar und schon in zahlreichen Urteilen sanktioniert worden.

8. Datensparsame Server-Logs

Apache-Standard-Logs speichern IP-Adressen. Das ist grundsätzlich okay, aber muss in der Datenschutzerklärung erwähnt und zeitlich begrenzt werden (üblich: 7 Tage). Einige Hoster bieten IP-Anonymisierung direkt im Webserver an.

9. Datenschutzbeauftragter (falls nötig)

Für die meisten KMU nicht Pflicht, aber relevant ab 20 Beschäftigten (Bayern und NRW) oder wenn die Kerntätigkeit besondere Datenverarbeitung umfasst (z. B. Gesundheitsdaten). Im Zweifel IHK fragen.

Die häufigsten Abmahnfallen 2025–2026

  • Google Fonts direkt eingebunden. Übermittelt IP an Google. Lösung: lokale Font-Einbindung. Seit dem LG-München-Urteil 2022 die Abmahnfalle Nummer 1.
  • YouTube-Einbettung ohne Consent. YouTube setzt sofort Cookies. Lösung: youtube-nocookie.com oder Klick-to-Load-Placeholder.
  • Google Maps direkt eingebunden. Gleiche Falle. Lösung: Bild mit Link zu Maps oder Consent-basiertes Laden.
  • Kontaktformular ohne Pflicht-Checkbox. Besonders bei alten WordPress-Themes. Muss ergänzt werden.
  • Social-Media-Icons mit direkter Verknüpfung. Besser: nur Verlinkung per href, keine JS-Widgets.

Praxis-Tipp: DSGVO-konform mit Atlas Webcraft

Jede von uns gebaute Website ist DSGVO-konform ausgeliefert. Das ist kein Extra-Paket — das ist Standard. Konkret: lokale Google Fonts, Cookie-Banner mit echtem Opt-In (siehe unsere eigene Website), Meta Pixel nur nach Zustimmung, Impressum mit allen Pflichtfeldern, Kontaktformular mit Einwilligungs-Checkbox, SSL via Hostinger.

Wir liefern auch eine textliche Vorlage für Impressum und Datenschutzerklärung. Die muss Ihre Firma im Einzelfall noch auf sich anpassen (Vertretungsberechtigung, USt-ID, spezifische Verarbeitungszwecke), aber 80 Prozent der Arbeit ist gemacht.

DSGVO ist nicht kompliziert — sie wird kompliziert, wenn man sie nachträglich einbaut.
— Atlas Studio, Leitprinzip

Haftungsausschluss

Dieser Artikel ist eine Übersicht, keine Rechtsberatung. Für die rechtssichere Umsetzung konsultieren Sie bitte einen auf IT-Recht spezialisierten Anwalt. Links zu weiterführenden Quellen: Bundesbeauftragte für Datenschutz (BfDI), EDPB-Guidelines, activeMind-Musterverträge.

Wenn Sie eine neue Website brauchen und keine Lust auf nachträgliche Abmahnungen haben: Schreiben Sie uns kurz. Wir bauen von Anfang an sauber.

Marlon Borz
Über den Autor

Marlon Borz

Co-Founder ATLAS Webcraft. Seit 2023 im Webbusiness. Schreibt gelegentlich, baut ständig.

Weiter im Journal
Webdesign-Kosten 2026: Der komplette Guide →
arrow_forward