DSGVO-Checkliste für Websites 2026
Das Wichtigste in Kürze
- Impressum & Datenschutzerklärung sind Pflicht – mit korrekten Angaben
- Google Fonts lokal hosten – sonst drohen Abmahnungen (50-150€ pro Betroffenen)
- Cookie-Banner nur nötig, wenn Sie tatsächlich Cookies setzen
- Hosting in der EU bevorzugen – weniger Dokumentationsaufwand
- SSL-Zertifikat ist Standard und Pflicht bei Formularen
Warum DSGVO für Websites wichtig ist
Die DSGVO (Datenschutz-Grundverordnung) gilt seit 2018 und betrifft jede Website, die Besucher aus der EU hat. Verstöße können teuer werden:
| Verstoß | Typische Kosten |
|---|---|
| Google Fonts Abmahnung | 50-150€ pro Besucher |
| Fehlendes Impressum | 50.000€+ Bußgeld |
| Fehlende Datenschutzerklärung | Bis 4% des Jahresumsatzes |
Die gute Nachricht: Die meisten Anforderungen sind schnell umgesetzt.
Die komplette DSGVO-Checkliste
✅ 1. Impressum
Pflichtangaben für Unternehmen:
- Vollständiger Name / Firmenname
- Anschrift (keine Postfächer)
- E-Mail-Adresse
- Telefonnummer (empfohlen)
- Umsatzsteuer-ID (falls vorhanden)
- Handelsregisternummer (falls vorhanden)
- Verantwortliche Person
Wichtig: Das Impressum muss von jeder Seite mit maximal 2 Klicks erreichbar sein.
Häufige Fehler beim Impressum:
❌ Postfach statt Straßenadresse
- “Postfach 123” ist NICHT ausreichend
- Muss ladungsfähige Anschrift sein
❌ Nur Kontaktformular, keine E-Mail
- E-Mail-Adresse ist Pflicht
- Kontaktformular allein reicht nicht
❌ Impressum nur als PDF verlinkt
- Muss als HTML-Seite verfügbar sein
- PDF zusätzlich ist okay
❌ Impressum im Footer versteckt
- Muss klar erkennbar sein (“Impressum” oder “Kontakt”)
- Nicht: “Rechtliches” oder kryptische Abkürzungen
Impressumspflicht auch auf Social Media:
Ja! Auch Ihre Facebook-Seite, Instagram, LinkedIn usw. brauchen ein Impressum:
- Facebook: Info-Bereich mit Link zur Website
- Instagram: Link in Bio
- LinkedIn: Info-Sektion der Unternehmensseite
Kostenlose Impressum-Generatoren (mit Vorsicht):
- eRecht24: Sehr bekannt, aber Premium-Version empfohlen
- Impressum-Generator.de: Einfach, aber prüfen lassen
- Anwalt.de: Oft aktuell
Tipp: Lassen Sie Ihr Impressum einmalig von einem Anwalt prüfen (~150-300€). Besser als eine teure Abmahnung!
✅ 2. Datenschutzerklärung
Muss enthalten:
- Verantwortlicher (Name, Adresse, Kontakt)
- Welche Daten werden erhoben?
- Warum werden die Daten erhoben?
- Rechtsgrundlage (Art. 6 DSGVO)
- Speicherdauer
- Betroffenenrechte (Auskunft, Löschung, etc.)
- Info zu Cookies
- Auftragsverarbeiter (Hosting, Analytics, etc.)
Tipp: Nutzen Sie keine kostenlosen Generatoren – die sind oft veraltet oder unvollständig.
Empfohlene Datenschutzerklärungs-Generatoren:
| Generator | Kosten | Bewertung |
|---|---|---|
| eRecht24 Premium | ~15€/Monat | ⭐⭐⭐⭐⭐ Sehr umfassend |
| Datenschutz-Generator.de | Kostenlos | ⭐⭐⭐ Basis ausreichend |
| Anwalt.de Generator | Kostenlos | ⭐⭐⭐ Gut für Einsteiger |
| Individuelle Erstellung | 300-800€ | ⭐⭐⭐⭐⭐ Maßgeschneidert |
Bei TTT Digital: Datenschutzerklärung ist im Website-Abo bereits korrekt integriert und wird automatisch aktualisiert.
✅ 3. SSL-Zertifikat (HTTPS)
Pflicht, wenn:
- Kontaktformulare vorhanden
- Newsletter-Anmeldung
- Login-Bereich
- Online-Shop
Empfehlung: HTTPS sollte heute Standard sein – auch ohne Formulare.
So erkennen Sie SSL:
- URL beginnt mit
https:// - Schloss-Symbol im Browser
✅ 4. Google Fonts (ACHTUNG!)
Das größte Abmahnrisiko 2024/2025!
Problem: Wenn Google Fonts von Google-Servern geladen werden, wird die IP-Adresse des Besuchers an Google in die USA übermittelt – ohne Einwilligung ein DSGVO-Verstoß.
Lösung: Google Fonts lokal hosten.
So prüfen Sie es:
- Website öffnen
- Rechtsklick → “Seitenquelltext anzeigen”
- Nach
fonts.googleapis.comsuchen - Wenn gefunden → Problem!
Bei TTT Digital: Alle Websites nutzen lokal gehostete Schriften – 100% DSGVO-konform.
Mehr dazu: Google Fonts & DSGVO: So vermeiden Sie Abmahnungen
✅ 5. Cookie-Banner
Sie brauchen ein Cookie-Banner, wenn:
- Google Analytics oder ähnliches genutzt wird
- Marketing-Cookies gesetzt werden
- Facebook Pixel aktiv ist
- Tracking-Tools im Einsatz sind
Sie brauchen KEIN Cookie-Banner, wenn:
- Nur technisch notwendige Cookies (Session, Warenkorb)
- Keine Analytics oder Tracking-Tools
- Keine externen Ressourcen mit Cookies
Wichtig bei Cookie-Bannern:
- “Alle akzeptieren” und “Ablehnen” müssen gleich prominent sein
- Keine Dark Patterns (versteckte Ablehnung)
- Technisch notwendige Cookies dürfen vorausgewählt sein, aber nicht Tracking
✅ 6. Kontaktformulare
Anforderungen:
- Checkbox für Datenschutz-Zustimmung
- Link zur Datenschutzerklärung
- Keine unnötigen Pflichtfelder
- Sichere Übertragung (HTTPS)
- Info zur Speicherdauer
Beispiel-Text:
“Ich habe die Datenschutzerklärung gelesen und stimme der Verarbeitung meiner Daten zu.”
✅ 7. Hosting & Server
Empfehlung: Hosting in Deutschland oder EU
| Hosting-Standort | DSGVO-Aufwand |
|---|---|
| Deutschland | ✅ Minimal |
| EU | ✅ Gering |
| USA (mit Standardvertragsklauseln) | ⚠️ Mehr Dokumentation |
| Andere Drittländer | ❌ Komplex |
Bei TTT Digital: Hosting in Deutschland – volle DSGVO-Konformität ohne Extra-Aufwand.
DSGVO-konforme Tools und Plugins
Die richtigen Tools machen DSGVO-Konformität einfacher:
Cookie-Consent-Tools
Empfohlene Lösungen:
| Tool | Kosten | DSGVO-konform | Bewertung |
|---|---|---|---|
| Borlabs Cookie (WordPress) | 39€/Jahr | ✅ | ⭐⭐⭐⭐⭐ |
| Usercentrics | Ab 0€ | ✅ | ⭐⭐⭐⭐ |
| Cookiebot | Ab 0€ | ✅ | ⭐⭐⭐⭐ |
| Real Cookie Banner (WP) | Ab 69€/Jahr | ✅ | ⭐⭐⭐⭐ |
Was ein gutes Cookie-Tool können muss:
- Opt-in (nicht Opt-out)
- Granulare Kontrolle (nicht nur “Alle akzeptieren”)
- Cookie-Liste automatisch erkennen
- Consent-Protokoll speichern
Analytics-Alternativen zu Google Analytics
DSGVO-freundliche Optionen:
-
Matomo Cloud (ab 19€/Monat)
- 100% DSGVO-konform
- Hosting in Deutschland/EU
- Umfassende Statistiken wie GA
-
Plausible (ab 9€/Monat)
- Sehr einfach
- Cookie-frei!
- Open Source
-
etracker (ab 19€/Monat)
- Made in Germany
- Ohne Cookies nutzbar
- Zertifiziert DSGVO-konform
-
Simple Analytics (ab 19€/Monat)
- Minimalistisch
- Cookie-frei
- EU-Hosting
Google Analytics 4 DSGVO-konform nutzen:
- Auftragsverarbeitungsvertrag mit Google abschließen
- IP-Anonymisierung aktivieren
- Cookie-Consent einholen BEVOR GA lädt
- Datenweitergabe in USA transparent machen
Problem: Auch mit diesen Maßnahmen rechtlich umstritten!
WordPress DSGVO-Plugins
Must-Have für WordPress-Websites:
- WP GDPR Compliance (kostenlos): Basis-Funktionen
- Complianz (kostenlos + Premium): Umfassend
- GDPR Cookie Consent (kostenlos): Einfach
Was tun bei DSGVO-Verstoß?
Sie haben eine Abmahnung bekommen oder einen Verstoß entdeckt?
Schritt-für-Schritt bei Abmahnung
1. Ruhe bewahren
- Nicht sofort zahlen
- Nicht unterschreiben
- Frist beachten (meist 1-2 Wochen)
2. Verstoß prüfen
- Ist die Abmahnung berechtigt?
- Existiert der Verstoß wirklich?
- Website screenshotten als Beweis
3. Verstoß sofort beheben
- Google Fonts lokal hosten
- Datenschutzerklärung ergänzen
- Impressum korrigieren
- etc.
4. Anwalt konsultie ren (bei Beträgen >100€)
- Oft können Forderungen reduziert werden
- Unterlassungserklärung modifiziert werden
- Verjährungsfristen prüfen
5. Dokumentieren
- Wann wurde Verstoß behoben?
- Screenshots der Korrektur
- E-Mail-Verkehr aufbewahren
Selbstanzeige bei Datenpanne
Wenn personenbezogene Daten geleaked wurden:
Meldepflicht bei:
- Hack mit Datenleck
- Versehentliche Veröffentlichung von Kundendaten
- Datenverlust ohne Backup
Frist: 72 Stunden nach Bekanntwerden!
Wo melden?
- Zuständige Landesdatenschutzbehörde
- Formular auf deren Website
Tipp: Lieber einmal zu viel melden als zu wenig. Freiwillige Meldung wird milder beurteilt.
Bußgeldkatalog DSGVO
Realistische Bußgelder für KMU:
| Verstoß | Kleinstunternehmen | KMU | Großunternehmen |
|---|---|---|---|
| Fehlendes Impressum | 50-500€ | 500-5.000€ | 50.000€+ |
| Google Fonts extern | 50-150€ pro Betroffenen | 100-250€ | k.A. |
| Keine Datenschutzerklärung | 500-2.000€ | 2.000-10.000€ | 20.000€+ |
| Datenpanne nicht gemeldet | 1.000-5.000€ | 5.000-50.000€ | 1-4% Umsatz |
| Schwerer Datenmissbrauch | 5.000-20.000€ | 20.000-100.000€ | Bis 20 Mio € |
Wichtig: Behörden haben Ermessens spielraum. Bei Kooperation oft milde Urteile.
✅ 8. Externe Dienste
Für jeden externen Dienst brauchen Sie:
- Eintrag in der Datenschutzerklärung
- Ggf. Auftragsverarbeitungsvertrag (AVV)
- Bei US-Diensten: Standardvertragsklauseln
Typische externe Dienste:
| Dienst | AVV nötig? | Datenschutz-Eintrag? |
|---|---|---|
| Google Analytics | Ja | Ja |
| Google Maps | Nein | Ja |
| YouTube embeds | Nein | Ja |
| Newsletter-Tool | Ja | Ja |
| Buchungssystem | Ja | Ja |
Quick-Check: Ist Ihre Website konform?
Grüne Ampel ✅
- HTTPS aktiv
- Impressum vollständig & erreichbar
- Datenschutzerklärung vorhanden
- Keine Google Fonts von extern
- Keine Tracking-Tools ohne Consent
Gelbe Ampel ⚠️
- Cookie-Banner vorhanden, aber nicht optimal
- Datenschutzerklärung unvollständig
- Externe Dienste nicht dokumentiert
Rote Ampel 🔴
- Kein HTTPS
- Google Fonts von Google-Servern
- Tracking ohne Cookie-Consent
- Fehlendes Impressum
FAQ: Häufige DSGVO-Fragen
Brauche ich einen Datenschutzbeauftragten?
Nur wenn Sie:
- Mehr als 20 Mitarbeiter haben, die mit personenbezogenen Daten arbeiten
- Besonders sensible Daten verarbeiten (Gesundheit, Religion, etc.)
Für die meisten KMU: Nein.
Muss ich einen Cookie-Banner haben?
Nur wenn Sie Cookies setzen, die nicht technisch notwendig sind. Eine Website ohne Analytics und ohne Tracking braucht oft keinen Banner.
Wie lange muss ich Daten speichern?
Das kommt auf die Datenart an:
- Kontaktanfragen: Nur so lange wie nötig (dann löschen)
- Rechnungen: 10 Jahre (gesetzliche Pflicht)
- Newsletter: Bis zur Abmeldung
Was passiert bei einem DSGVO-Verstoß?
- Abmahnung durch Betroffene oder Konkurrenten
- Bußgelder durch Datenschutzbehörden
- Unterlassungserklärungen
Muss ich Server-Logs anonymisieren?
Ja, wenn Sie IP-Adressen länger als 7 Tage speichern.
Lösung:
- IP-Adressen nach 7 Tagen anonymisieren
- Oder: Gleich anonymisiert loggen
- Hosting-Anbieter oft als Auftragsverarbeiter → deren Verantwortung
Was ist mit Social Media Buttons/Embeds?
Problem: Standard Social-Share-Buttons übertragen sofort Daten!
DSGVO-konforme Alternativen:
- 2-Klick-Lösung (Shariff, etc.)
- Nur Links statt Einbettung
- Vor Embed: Cookie-Consent einholen
Darf ich Google Maps einbinden?
Ja, aber:
- Nur nach Cookie-Consent
- Alternativ: Screenshot mit Link (ohne Consent)
- Besser: OpenStreetMap (DSGVO-einfacher)
Fazit: DSGVO ist machbar
Die DSGVO klingt kompliziert, aber für die meisten Websites sind es 5 konkrete Punkte:
- ✅ Impressum vollständig
- ✅ Datenschutzerklärung aktuell
- ✅ Google Fonts lokal
- ✅ HTTPS aktiv
- ✅ Cookie-Banner nur wenn nötig, dann richtig
Keine Lust auf DSGVO-Stress?
Bei TTT Digital sind alle Websites standardmäßig DSGVO-konform:
- ✅ Hosting in Deutschland
- ✅ Lokale Schriften (keine Google Fonts)
- ✅ Kein überflüssiges Tracking
- ✅ Korrektes Impressum & Datenschutz
- ✅ SSL inklusive
Bereit für Ihre neue Website?
Lassen Sie uns in einem kostenlosen 15-Minuten-Gespräch besprechen, wie wir Ihr Unternehmen online nach vorne bringen können.
Kostenloses Beratungsgespräch buchenTTT Digital
Wir erstellen professionelle Websites im Abo für deutsche KMU. Modern, schnell, DSGVO-konform – ohne Einrichtungskosten.
Mehr über uns →Weitere Artikel
Arztpraxis Website: Das muss 2026 drauf
Website für Arztpraxis erstellen: Online-Terminbuchung, DSGVO, Patienteninfo. Der komplette Guide für Ärzte, Zahnärzte und Therapeuten.
Was kostet eine Website 2026? Der komplette Preisguide
Website Kosten 2026: Von DIY bis Agentur. Erfahre die echten Preise, versteckte Kosten und warum das Abo-Modell die smarteste Wahl ist.
Google Fonts & DSGVO: So vermeiden Sie Abmahnungen
Google Fonts Abmahnung vermeiden: Warum externe Google Fonts ein DSGVO-Problem sind und wie Sie sie in 5 Minuten lokal hosten.