DSGVO-Checkliste für Deine Website: 12 Punkte für 2026
Deine Website läuft seit Jahren, Kunden finden Dich, alles gut – bis eine Abmahnung im Briefkasten liegt. Genau für diesen Moment, bevor er passiert, gibt es diese DSGVO-Checkliste für Deine Website: 12 Punkte, die Du selbst prüfen kannst, ohne Jurist zu sein. Sie deckt die Stellen ab, an denen Websites von kleinen Unternehmen in der Praxis am häufigsten angreifbar sind.
Aus unserer Arbeit als Webdesign-Agentur wissen wir: Die wenigsten Datenschutzprobleme entstehen aus Absicht. Meist ist es ein Plugin, das irgendwann installiert wurde, ein YouTube-Video, das jemand schnell eingebettet hat, oder eine Datenschutzerklärung, die seit dem Website-Start nicht mehr angefasst wurde. Das Tückische: Von außen sieht die Seite tadellos aus – technisch überträgt sie aber munter Besucherdaten an Dritte.
Geh die folgenden Abschnitte der Reihe nach durch. Am Ende findest Du alle 12 Punkte als kompakte Tabelle zum Abhaken, plus Antworten auf die Fragen, die uns Kunden dazu am häufigsten stellen.
Warum Website-Abmahnungen gerade kleine Unternehmen treffen
Abmahnanwälte und automatisierte Scan-Dienste suchen nicht nach den größten Unternehmen, sondern nach den leichtesten Zielen. Und das sind oft die Websites von Handwerksbetrieben, Praxen, Restaurants und lokalen Dienstleistern – aus einem einfachen Grund: Sie wurden einmal erstellt und danach selten technisch gepflegt. Kein böser Wille, einfach fehlende Zeit.
Dazu kommt: Viele DSGVO-Verstöße sind von außen automatisiert nachweisbar. Ob Deine Seite Google Fonts vom Google-Server lädt oder ob Tracking-Cookies vor der Einwilligung gesetzt werden, lässt sich per Skript in Sekunden prüfen – für tausende Websites gleichzeitig. Die Google-Fonts-Abmahnwelle von 2022 hat gezeigt, wie schnell aus einem unscheinbaren technischen Detail massenhaft Post vom Anwalt wird.
Die gute Nachricht: Dieselbe Logik funktioniert auch umgekehrt. Wenn Du die typischen Prüfpunkte kennst und sauber abarbeitest, fällst Du aus dem Raster der leichten Ziele heraus. Genau dabei hilft Dir diese Checkliste.
Impressum und Datenschutzerklärung: Die Pflichtbasics
Punkt 1: Impressum vollständig und erreichbar
Das Impressum ist der älteste Prüfpunkt und trotzdem eine häufige Fehlerquelle. Es muss von jeder Unterseite aus mit maximal zwei Klicks erreichbar sein – der klassische Footer-Link erfüllt das. Inhaltlich gehören je nach Rechtsform hinein: vollständiger Name bzw. Firmierung, ladungsfähige Anschrift (kein Postfach), Kontaktmöglichkeit mit E-Mail-Adresse, gegebenenfalls Handelsregister-Eintrag, Umsatzsteuer-ID und bei reglementierten Berufen die zuständige Kammer.
Typischer Praxisfehler: Das Unternehmen ist umgezogen oder hat die Rechtsform gewechselt, aber im Impressum steht noch der alte Stand. Prüf das einmal im Jahr – es dauert fünf Minuten.
Punkt 2: Datenschutzerklärung aktuell und vollständig
Die Datenschutzerklärung muss beschreiben, was auf Deiner Website tatsächlich passiert – nicht, was vor fünf Jahren mal passierte. Jeder eingesetzte Dienst gehört hinein: Hosting, Kontaktformular, Analyse-Tools, eingebettete Karten und Videos, Newsletter-Anbieter, Buchungs- oder Chat-Widgets. Fehlt ein Dienst, ist die Erklärung unvollständig; steht ein Dienst drin, den Du gar nicht mehr nutzt, wirkt sie ungepflegt und wirft bei einer Prüfung Fragen auf.
Punkt 3: Beide Seiten ohne Hürden aufrufbar
Impressum und Datenschutzerklärung müssen erreichbar sein, ohne dass Besucher vorher in ein Cookie-Banner einwilligen. Ein Banner, das die komplette Seite sperrt, bis geklickt wurde, verstößt genau dagegen. Teste das im privaten Browserfenster: Kommst Du ohne einen einzigen Klick im Banner zu beiden Seiten?
Cookie-Banner richtig einsetzen: Einwilligung statt Alibi-Banner
Hier scheitern die meisten Websites – nicht am Fehlen eines Banners, sondern an einem Banner, das nur so tut, als würde es Einwilligungen einholen.
Punkt 4: Ablehnen ist so einfach wie Akzeptieren
Eine Einwilligung ist nur wirksam, wenn sie freiwillig ist. Datenschutzbehörden verlangen deshalb eine gleichwertige Ablehnen-Option direkt auf der ersten Banner-Ebene. Ein knallgrüner “Alle akzeptieren”-Button neben einem grauen “Einstellungen”-Link, hinter dem sich das Ablehnen versteckt, genügt dem nicht. Ebenso tabu: vorangekreuzte Häkchen bei Statistik oder Marketing.
Punkt 5: Vor dem Klick lädt nichts
Der häufigste technische Fehler überhaupt: Das Banner ist da, aber Google Analytics, YouTube oder Werbe-Pixel laden trotzdem sofort beim Seitenaufruf. Das kannst Du selbst prüfen: Öffne Deine Seite im privaten Fenster, öffne die Entwicklertools des Browsers (F12), Tab “Netzwerk” – und schau, welche fremden Domains geladen werden, bevor Du irgendetwas geklickt hast. Genau so arbeiten übrigens auch Abmahner. Wenn Du Kampagnen über Google Ads laufen hast, betrifft Dich das doppelt: Ohne korrekt eingeholte Einwilligung ist auch Dein Conversion-Tracking wertlos.
Google Fonts, Maps und YouTube DSGVO-konform einbinden
Externe Inhalte sind der Bereich, in dem Website-Betreiber am häufigsten unwissentlich Daten übertragen – denn schon der Aufruf eines fremden Servers sendet die IP-Adresse Deiner Besucher dorthin, ganz ohne Cookie.
Punkt 6: Google Fonts lokal einbinden
Lädt Deine Website Schriften direkt von Google-Servern, wird bei jedem Seitenaufruf die IP-Adresse der Besucher an Google übertragen. Die Lösung ist simpel: Schriftdateien herunterladen und vom eigenen Server ausliefern. Optisch ändert sich nichts, rechtlich sehr viel. Viele WordPress-Themes und Baukasten-Seiten laden Google Fonts, ohne dass es der Betreiber weiß – ein Blick in den Netzwerk-Tab (siehe Punkt 5) verrät es Dir.
Punkt 7: Google Maps nur nach Einwilligung
Eine eingebettete Karte lädt Inhalte von Google-Servern, sobald die Seite geöffnet wird. DSGVO-konform geht das über eine Zwei-Klick-Lösung: Zuerst siehst Du nur ein Vorschaubild oder einen Platzhalter, die echte Karte lädt erst nach aktivem Klick samt Einwilligung. Alternativ reicht für viele lokale Betriebe ein statisches Anfahrtsbild mit verlinkter Adresse.
Punkt 8: YouTube-Videos mit Platzhalter oder erweitertem Datenschutzmodus
Für Videos gilt dasselbe Prinzip: Standard-Embeds laden sofort Skripte und Cookies von YouTube. Nutze den erweiterten Datenschutzmodus (youtube-nocookie.com) in Kombination mit einer Platzhalter-Lösung, die das Video erst nach Klick nachlädt. Gute Consent-Tools bringen diese Funktion für Karten und Videos bereits mit.
Kontaktformulare, Newsletter und SSL: Die Technik-Punkte
Punkt 9: SSL-Verschlüsselung aktiv – ohne Ausnahmen
HTTPS ist Pflicht, sobald Deine Website personenbezogene Daten überträgt – und das tut schon jedes Kontaktformular. Prüf zusätzlich, ob alte http-Adressen sauber auf die verschlüsselte Version weiterleiten und ob keine “Mixed Content”-Warnungen auftauchen. Nebenbei ist SSL auch ein Ranking-Faktor: Datenschutz und Sichtbarkeit ziehen hier am selben Strang.
Punkt 10: Kontaktformular datensparsam gestalten
Frag nur ab, was Du für die Antwort wirklich brauchst. Name, E-Mail-Adresse und Nachricht reichen fast immer – Geburtsdatum oder Telefonnummer als Pflichtfelder sind unnötig und damit ein Verstoß gegen den Grundsatz der Datenminimierung. Dazu gehört ein Hinweis auf die Datenschutzerklärung in Formularnähe.
Punkt 11: Newsletter nur mit Double-Opt-in
Wer sich in Deinen Newsletter einträgt, muss die Anmeldung per Bestätigungs-Mail aktiv bestätigen, bevor Du die erste Werbe-Mail schickst. Und: Die Einwilligung musst Du nachweisen können. Ein Häkchen “Newsletter abonnieren”, das beim Kauf im Online-Shop schon gesetzt ist, ist keine wirksame Einwilligung – ein Punkt, den wir bei der Erstellung von Online-Shops regelmäßig korrigieren müssen.
Punkt 12: Hosting mit AV-Vertrag, idealerweise in Deutschland
Dein Hoster verarbeitet in Deinem Auftrag personenbezogene Daten – dafür brauchst Du einen Auftragsverarbeitungsvertrag (AV-Vertrag). Bei seriösen Anbietern schließt Du den mit wenigen Klicks online ab. Deutlich entspannter wird die Sache mit einem Serverstandort in Deutschland oder der EU, weil Du Dir die Diskussion um Datentransfers in Drittländer sparst. Wir hosten Kundenprojekte deshalb bei IONOS in Deutschland – als Teil unserer DSGVO-Optimierung gehört der passende AV-Vertrag von Anfang an dazu.
DSGVO-Checkliste für Deine Website: Alle 12 Punkte zum Abhaken
| # | Prüfpunkt | Kernfrage |
|---|---|---|
| 1 | Impressum | Vollständig, aktuell, von jeder Seite erreichbar? |
| 2 | Datenschutzerklärung | Alle tatsächlich genutzten Dienste beschrieben? |
| 3 | Erreichbarkeit der Pflichtseiten | Ohne Cookie-Einwilligung aufrufbar? |
| 4 | Cookie-Banner | Ablehnen auf erster Ebene, keine Vorab-Häkchen? |
| 5 | Lade-Reihenfolge | Kein Tracking, bevor eingewilligt wurde? |
| 6 | Google Fonts | Lokal vom eigenen Server eingebunden? |
| 7 | Google Maps | Zwei-Klick-Lösung oder statisches Bild? |
| 8 | YouTube | Platzhalter plus erweiterter Datenschutzmodus? |
| 9 | SSL | HTTPS überall, saubere Weiterleitungen? |
| 10 | Kontaktformular | Nur nötige Pflichtfelder, Datenschutzhinweis? |
| 11 | Newsletter | Double-Opt-in aktiv und nachweisbar? |
| 12 | Hosting | AV-Vertrag vorhanden, Serverstandort geklärt? |
Wenn Du bei mehreren Punkten unsicher bist oder Deine Website ohnehin in die Jahre gekommen ist, lohnt sich oft der größere Schritt: Bei einem Relaunch lässt sich Datenschutz von Anfang an sauber mitdenken, statt Altlasten einzeln zu flicken. Worauf es dabei ankommt, liest Du auf unserer Seite zum Thema Website erstellen lassen.
Häufige Fragen (FAQ)
Reicht ein kostenloser Datenschutz-Generator für meine Website?
Für einfache Websites kann ein Generator eine brauchbare Grundlage liefern – aber nur, wenn Du wirklich weißt, welche Dienste Deine Seite nutzt, und die Erklärung bei jeder Änderung aktualisierst. Genau daran scheitert es in der Praxis meist. Der Text ist nur so gut wie die Bestandsaufnahme dahinter.
Kann ich die DSGVO-Prüfung meiner Website selbst durchführen?
Die Basics ja: Impressum, Datenschutzerklärung, SSL und den Netzwerk-Tab-Test aus Punkt 5 schaffst Du ohne Vorkenntnisse. Schwieriger wird es bei der technischen Umsetzung – etwa Fonts lokal einzubinden oder ein Consent-Tool korrekt mit allen Skripten zu verdrahten. Dafür braucht es Zugriff auf den Code und etwas Erfahrung.
Was kostet es, eine Website DSGVO-konform machen zu lassen?
Das hängt stark vom Zustand der Website ab: Eine kleine Seite, die nur ein Consent-Tool und lokale Fonts braucht, ist deutlich schneller umgestellt als ein Shop mit vielen Drittanbieter-Diensten. Seriös lässt sich das erst nach einem Blick auf die Seite beziffern – Pauschalpreise ohne Prüfung wären unseriös.
Muss ich als kleiner Betrieb einen Datenschutzbeauftragten benennen?
In den meisten Fällen nicht: Die Pflicht greift in der Regel erst, wenn mindestens 20 Personen ständig mit automatisierter Datenverarbeitung beschäftigt sind oder besonders sensible Daten im Kerngeschäft verarbeitet werden. Verantwortlich für die DSGVO-Konformität Deiner Website bist Du aber auch ohne Beauftragten.
Wie oft sollte ich diese Checkliste durchgehen?
Mindestens einmal im Jahr – und immer dann, wenn sich an der Website etwas ändert: neues Plugin, neues Formular, neues Video, neuer Dienstleister. Jede technische Änderung kann neue Datenflüsse erzeugen, die in Banner und Datenschutzerklärung nachgezogen werden müssen.
Fazit: Lieber einmal gründlich prüfen als auf Post vom Anwalt warten
Die zwölf Punkte dieser Checkliste decken die Schwachstellen ab, über die kleine Unternehmen in der Praxis am häufigsten stolpern. Vieles davon kannst Du heute noch selbst kontrollieren – und allein damit bist Du weiter als ein großer Teil der Websites da draußen.
Wenn Du bei der Umsetzung Unterstützung möchtest oder wissen willst, wie Deine Website aktuell dasteht: Wir schauen sie uns im kostenlosen Erstgespräch gemeinsam an und sagen Dir ehrlich, wo Handlungsbedarf besteht und wo nicht. Melde Dich einfach bei uns – ganz ohne Verpflichtung.