Zum Inhalt springen
← Zurück zum Blog
DSGVO Datenschutz Checkliste

DSGVO-Checkliste für Websites 2026

Von René Pannier ·

Die DSGVO ist seit Jahren in Kraft, und trotzdem sind viele Websites nicht sauber aufgestellt. Das ist riskant: Abmahnungen und Bußgelder sind real. Die gute Nachricht: Mit einer strukturierten Checkliste bekommst du den Datenschutz deiner Website schnell in den Griff. Hier ist unsere praxiserprobte DSGVO-Checkliste für 2026.

Hinweis: Dieser Artikel ist eine verständliche Orientierungshilfe und ersetzt keine Rechtsberatung. Bei komplexen Fällen ziehe einen Datenschutzbeauftragten oder Anwalt hinzu.

1. Impressum

Jede geschäftsmäßige Website braucht ein vollständiges, leicht auffindbares Impressum mit den gesetzlich geforderten Angaben (Name, Anschrift, Kontakt, ggf. Register- und USt-Angaben).

  • Impressum vorhanden und von jeder Seite aus erreichbar
  • Angaben vollständig und aktuell

2. Datenschutzerklärung

Die Datenschutzerklärung muss erklären, welche Daten zu welchem Zweck auf welcher Rechtsgrundlage verarbeitet werden, und welche Rechte Nutzer haben.

  • Datenschutzerklärung vorhanden und aktuell
  • Alle eingesetzten Dienste (Hosting, Analyse, Schriften, Karten, Video, Newsletter) aufgeführt
  • Hinweise zu Betroffenenrechten (Auskunft, Löschung, Widerspruch …)

3. Cookies & Einwilligung

Der Klassiker, und häufigste Fehler. Nicht notwendige Cookies und Dienste dürfen erst nach aktiver Einwilligung laden.

  • Cookie-Banner mit echter Wahl („Akzeptieren” und „Ablehnen” gleichwertig)
  • Kein Tracking vor Einwilligung
  • Granulare Auswahl nach Kategorien möglich
  • Einwilligung jederzeit widerrufbar

Mehr Details dazu in unserem Artikel DSGVO-Cookies richtig.

4. Formulare & Kontakt

Jedes Formular verarbeitet personenbezogene Daten.

  • Nur notwendige Felder abfragen (Datenminimierung)
  • Datenschutzhinweis bzw. Checkbox beim Absenden
  • Sichere Übertragung (HTTPS) und sichere Speicherung/Weiterleitung

5. Eingebundene Drittinhalte

Schriftarten, Karten, Videos und Social-Media-Buttons übertragen oft unbemerkt Daten an Dritte.

  • Google Fonts & Co. möglichst lokal einbinden
  • Karten/Videos erst nach Einwilligung laden (Zwei-Klick-Lösung)
  • Social-Media-Einbindungen datenschutzfreundlich umgesetzt

6. Hosting & Auftragsverarbeitung

Auch dein Hoster verarbeitet Daten in deinem Auftrag.

  • Auftragsverarbeitungsvertrag (AVV) mit dem Hoster vorhanden
  • Serverstandort bekannt (idealerweise Deutschland/EU)
  • Verschlüsselung (HTTPS/SSL) aktiv und erzwungen

Bei uns liegt der Serverstandort in Deutschland, HTTPS ist Standard.

7. Sicherheit der Daten

Datenschutz ohne Datensicherheit ist wirkungslos.

  • Software (CMS, Plugins) aktuell, siehe WordPress-Wartung
  • Regelmäßige Backups
  • Zugriffsrechte sparsam vergeben, sichere Passwörter

8. Newsletter & Marketing

  • Anmeldung mit Double-Opt-in
  • Nachweis der Einwilligung wird gespeichert
  • Abmeldung in jeder E-Mail möglich

Wie oft solltest du prüfen?

Datenschutz ist kein einmaliges Projekt. Jedes neue Plugin, jedes eingebundene Tool und jede Designänderung kann neue Datenflüsse erzeugen. Deshalb empfehlen wir eine regelmäßige Überprüfung, idealerweise automatisiert. Genau das ist Teil unserer Care-&-Compliance-Pläne: Wir scannen laufend auf Tracking vor Einwilligung, fehlende Pflichtseiten und Sicherheitslücken.

Auftragsverarbeitung (AVV) verstehen

Sobald ein Dienstleister in deinem Auftrag personenbezogene Daten verarbeitet, dein Hoster, ein Newsletter-Tool, ein Analyse-Anbieter, brauchst du mit ihm einen Auftragsverarbeitungsvertrag (AVV). Darin wird geregelt, wie der Dienstleister mit den Daten umgeht. Seriöse Anbieter stellen einen AVV bereit; fehlt er, ist das ein Warnsignal. Führe am besten eine kleine Liste aller Dienstleister mit Status des jeweiligen AVV.

Datenschutz bei Analyse-Tools

Reichweitenmessung ist erlaubt, aber nur mit Augenmaß. Achte darauf, dass dein Analyse-Tool erst nach Einwilligung lädt, IP-Adressen anonymisiert und möglichst keine Daten in unsichere Drittländer überträgt. Datenschutzfreundliche, in der EU gehostete Alternativen sind hier oft die bessere Wahl als der US-Standard-Dienst.

Was tun bei einer Datenpanne?

Trotz aller Vorsicht kann etwas passieren, ein gehacktes Konto, ein versehentlich öffentlicher Datensatz. Wichtig: Eine meldepflichtige Datenpanne muss in der Regel innerhalb von 72 Stunden der zuständigen Aufsichtsbehörde gemeldet werden. Dokumentiere den Vorfall, begrenze den Schaden und hole im Zweifel fachlichen Rat. Wer Backups, Monitoring und klare Zuständigkeiten hat, reagiert in solchen Momenten deutlich souveräner.

Häufige Fragen

Gilt die DSGVO auch für kleine Websites? Ja. Sobald personenbezogene Daten verarbeitet werden, und sei es nur die IP-Adresse im Server-Log, greift die DSGVO. Der Umfang der Pflichten richtet sich nach der Datenverarbeitung.

Reicht ein gekaufter Generator-Text? Als Basis ja, aber er muss an die tatsächlich eingesetzten Tools angepasst werden. Ein generischer Text, der nicht zur Realität passt, schützt nicht.

Datenschutz als Wettbewerbsvorteil

Datenschutz wird oft nur als lästige Pflicht gesehen. Dabei ist er längst ein Vertrauensfaktor. Immer mehr Menschen achten bewusst darauf, wem sie ihre Daten geben. Eine Website, die sichtbar sorgsam mit Daten umgeht, schlankes Tracking, faire Cookie-Auswahl, transparente Erklärungen, wirkt seriöser und professioneller.

Gerade für kleine und mittlere Unternehmen ist das eine Chance, sich positiv abzuheben. Wo große Konzerne mit undurchsichtigen Datensammlungen Schlagzeilen machen, kannst du mit echter Datensparsamkeit punkten. Das ist kein Marketing-Trick, sondern eine Haltung, die Kunden honorieren.

Hinzu kommt der praktische Nebeneffekt: Wer weniger unnötige Skripte und Tracker lädt, hat oft auch eine schnellere Website. Datenschutz, Tempo und Nutzerfreundlichkeit ziehen damit am selben Strang, ein gutes Beispiel dafür, dass „richtig machen” sich gleich mehrfach auszahlt.

Die häufigsten Abmahnfallen im Überblick

Damit du die größten Risiken sofort im Blick hast, hier die Klassiker, die in der Praxis am häufigsten zu Ärger führen:

  • Google Fonts extern eingebunden statt lokal, ein beliebter Abmahngrund der letzten Jahre.
  • Tracking vor Einwilligung durch Analyse- oder Marketing-Tools, die zu früh laden.
  • Unvollständiges Impressum oder eine veraltete Datenschutzerklärung, die nicht zu den eingesetzten Tools passt.
  • Kontaktformulare ohne Datenschutzhinweis und ohne verschlüsselte Übertragung.
  • Eingebettete YouTube-Videos oder Karten, die ungefragt Daten an Dritte senden.

Das Tückische daran: Diese Fehler sind für Laien unsichtbar, für spezialisierte Tools und abmahnende Kanzleien aber leicht zu finden. Eine regelmäßige Prüfung ist daher die günstigste Versicherung. Wer die Punkte dieser Checkliste einmal sauber abarbeitet und danach im Blick behält, nimmt den meisten Risiken den Wind aus den Segeln.

Fazit

Mit dieser Checkliste deckst du die wichtigsten DSGVO-Pflichten deiner Website ab. Der Schlüssel ist, den Datenschutz nicht als einmaligen Haken, sondern als laufenden Prozess zu verstehen. Wer regelmäßig prüft, schläft ruhiger, und schützt sowohl seine Besucher als auch sich selbst. Nimm dir die Punkte dieser Liste am besten gleich vor: Schon das Abarbeiten der ersten drei Abschnitte beseitigt die häufigsten und riskantesten Fehler.

Unsicher, ob deine Website sauber ist? Starte mit dem kostenlosen Check oder lass uns deine Website im Rahmen von Care & Compliance dauerhaft überwachen.

Fragen zu diesem Thema?

Wir unterstützen dich konkret bei Website, Hosting, Barrierefreiheit und Datenschutz, persönlich und verständlich.

Projekt anfragen Für Agenturen