Alle Artikel
DSGVO 10. April 2026 7 min Lesezeit

DSGVO Website Checkliste 2026: 12 Punkte die jede Firma prüfen muss

Abmahnungen, Bußgelder, Vertrauensverlust — eine nicht DSGVO-konforme Website ist ein Geschäftsrisiko. Diese 12 Punkte sollte jedes Unternehmen prüfen. Mit konkreten Handlungsanweisungen.

Warum diese Checkliste wichtig ist

Die DSGVO gilt seit 2018. Trotzdem verstoßen geschätzt 60 bis 70 Prozent aller deutschen Unternehmenswebsites gegen mindestens eine Vorschrift. Oft nicht aus bösem Willen, sondern aus Unwissenheit.

Die Folgen können teuer werden: Abmahnungen ab 150 Euro, Bußgelder bis zu 20 Millionen Euro (theoretisch), und vor allem: Vertrauensverlust bei Kunden. Wer sieht, dass eine Website nicht einmal die Basics erfüllt, fragt sich ob man dort sein Geld lassen sollte.

Diese Checkliste gibt Ihnen 12 konkrete Punkte die Sie heute prüfen können — ohne Jura-Studium.

Punkt 1: Impressum

Jede gewerbliche Website in Deutschland braucht ein Impressum. Es muss mit maximal zwei Klicks von jeder Unterseite erreichbar sein — typischerweise über einen Link im Footer.

Das Impressum muss enthalten:

  • Vollständiger Name und Anschrift des Unternehmens
  • Rechtsform und Vertretungsberechtigte
  • E-Mail-Adresse und Telefonnummer
  • Umsatzsteuer-ID (falls vorhanden)
  • Handelsregistereintrag (falls vorhanden)
  • Bei regulierten Berufen: Kammer, Berufsbezeichnung, Aufsichtsbehörde

Punkt 2: Datenschutzerklärung

Die Datenschutzerklärung ist nicht dasselbe wie das Impressum. Sie erklärt detailliert, welche personenbezogenen Daten auf Ihrer Website erfasst werden, warum und auf welcher Rechtsgrundlage.

Sie muss ebenfalls von jeder Seite erreichbar sein (eigener Link im Footer). Eine kopierte Vorlage aus dem Internet reicht nicht. Die Erklärung muss Ihre tatsächlich genutzten Dienste und Datenverarbeitungen abbilden.

Punkt 3: SSL-Verschlüsselung

Ihre Website muss über HTTPS erreichbar sein — nicht nur HTTP. Das erkennen Sie am Schloss-Symbol in der Adressleiste des Browsers.

Ohne SSL werden Formulardaten (Kontaktanfragen, Bestellungen) unverschlüsselt übertragen. Das ist ein klarer DSGVO-Verstoß. Außerdem stuft Google Websites ohne HTTPS im Ranking herunter.

Punkt 4: Cookie-Banner

Ein Cookie-Banner ist Pflicht, wenn Ihre Website nicht-essenzielle Cookies setzt — also Cookies für Tracking, Analyse, Marketing oder Social Media.

Wichtig: Der Banner muss eine echte Wahlmöglichkeit bieten. „Alle akzeptieren“ als einziger großer Button und „Einstellungen“ versteckt in Kleinschrift — das reicht nicht. Ablehnen muss genauso einfach sein wie Zustimmen.

Und: Bevor der Nutzer zustimmt, dürfen keine Tracking-Cookies gesetzt werden. Viele Cookie-Banner laden trotzdem Google Analytics im Hintergrund — ein häufiger Fehler.

Punkt 5: Google Fonts lokal einbinden

Wenn Ihre Website Schriften von fonts.googleapis.com lädt, wird bei jedem Seitenaufruf die IP-Adresse des Besuchers an Google übermittelt — ohne Einwilligung. Seit dem Urteil des LG München (2022) ist das ein Abmahngrund.

Die Lösung: Google Fonts lokal auf Ihrem Server einbinden. Mehr dazu in unserem ausführlichen Artikel zu Google Fonts Abmahnungen.

Punkt 6: Kontaktformulare

Jedes Kontaktformular auf Ihrer Website erhebt personenbezogene Daten (mindestens Name und E-Mail). Sie brauchen:

  • Einen Hinweis auf die Datenschutzerklärung direkt am Formular
  • Eine SSL-verschlüsselte Übertragung
  • Angabe, wie lange die Daten gespeichert werden

Eine Checkbox mit „Ich habe die Datenschutzerklärung gelesen“ ist nicht zwingend vorgeschrieben, aber empfehlenswert als Nachweis.

Punkt 7: Analyse-Tools (Google Analytics & Co.)

Google Analytics, Matomo, Hotjar und ähnliche Tools dürfen nur mit vorheriger Einwilligung des Nutzers geladen werden. Das bedeutet: Erst wenn der Besucher im Cookie-Banner aktiv zustimmt, darf das Script starten.

Tipp: Prüfen Sie ob Google Analytics auf Ihrer Website auch dann lädt, wenn Sie alle Cookies ablehnen. Wenn ja, haben Sie ein Problem.

Punkt 8: Eingebettete Inhalte

YouTube-Videos, Google Maps, Instagram-Feeds — all diese Einbettungen übertragen beim Laden Daten an Drittanbieter. Die Lösung:

  • YouTube: Mindestens youtube-nocookie.com nutzen, besser: 2-Klick-Lösung (Vorschaubild zeigen, erst bei Klick laden)
  • Google Maps: Nicht direkt einbetten, sondern Vorschaubild mit Link oder 2-Klick-Lösung
  • Social-Media-Plugins: Keine Like-Buttons oder Feeds einbetten die beim Laden Daten senden

Punkt 9: Externe Ressourcen

Neben Google Fonts gibt es viele weitere externe Ressourcen die heimlich Daten übertragen:

  • CDN-Bibliotheken: jQuery, Bootstrap oder Font Awesome von externen Servern — lokal einbinden
  • Captcha-Dienste: Google reCAPTCHA überträgt Daten an Google — Alternative: hCaptcha oder serverseitige Validierung
  • Chat-Widgets: Viele Live-Chat-Tools setzen Tracking-Cookies ohne Einwilligung

Punkt 10: Auftragsverarbeitungsverträge (AVV)

Für jeden Dienstleister der personenbezogene Daten verarbeitet, brauchen Sie einen Auftragsverarbeitungsvertrag. Das betrifft:

  • Ihren Webhoster
  • Ihren E-Mail-Anbieter
  • Google (für Analytics, Maps etc.)
  • Newsletter-Tools (Mailchimp, CleverReach etc.)
  • Ihre Webagentur (wenn sie Zugriff auf Kundendaten hat)

Die meisten großen Anbieter stellen AVVs online bereit. Sie müssen diese aber aktiv abschließen — es passiert nicht automatisch.

Punkt 11: Verzeichnis der Verarbeitungstätigkeiten

Die DSGVO schreibt vor, dass Sie ein Verzeichnis aller Datenverarbeitungen führen. Das klingt bürokratisch, ist aber in der Praxis ein einfaches Dokument das beschreibt:

  • Welche Daten Sie erheben (Kontaktformular, Newsletter, Bestellungen)
  • Warum Sie sie erheben (Vertragsanbahnung, Marketing)
  • Wie lange Sie sie speichern
  • An wen Sie sie weitergeben (Hoster, E-Mail-Anbieter)

Dieses Verzeichnis muss nicht öffentlich sein, aber Sie müssen es bei einer Prüfung vorlegen können.

Punkt 12: Recht auf Löschung und Auskunft

Jeder Besucher hat das Recht, von Ihnen zu erfahren welche Daten Sie über ihn gespeichert haben — und diese löschen zu lassen. Sie müssen in der Lage sein, solche Anfragen innerhalb eines Monats zu beantworten.

In der Praxis heißt das: Sie müssen wissen wo Ihre Kundendaten gespeichert sind — in Ihrem E-Mail-Postfach, in einer Datenbank, in einem CRM, bei Ihrem Hoster. Und Sie müssen sie dort löschen können.

DSGVO-Konformität ist kein einmaliges Projekt. Es ist ein laufender Prozess — aber einer der mit den richtigen Grundlagen sehr wenig Aufwand macht.

Wie gehen Sie am besten vor?

Gehen Sie die 12 Punkte der Reihe nach durch. Die meisten lassen sich an einem Nachmittag prüfen und viele Probleme sofort beheben. Für technische Themen (Google Fonts lokal einbinden, Cookie-Banner konfigurieren, Analytics-Einbindung prüfen) brauchen Sie möglicherweise Ihren Webentwickler.

Wichtig: Dokumentieren Sie, was Sie geprüft und geändert haben. Im Streitfall zeigt das, dass Sie sich aktiv um Datenschutz bemühen — und das zählt.

Fazit

Die DSGVO ist kein Bürokratie-Monster. Die meisten Anforderungen sind einfach und nachvollziehbar. Sie schützen nicht nur Ihre Besucher, sondern auch Sie selbst — vor Abmahnungen, Bußgeldern und Vertrauensverlust.

Wer heute eine Website betreibt, muss diese 12 Punkte kennen. Nicht um perfekt zu sein — sondern um die größten Risiken auszuschalten.

Sie möchten wissen, wie Ihre Website bei diesen 12 Punkten abschneidet? Unser kostenloser Website-Scanner prüft die wichtigsten DSGVO-Kriterien automatisch — in 30 Sekunden.

Nächster Schritt

Wissen ist gut.
Umsetzen ist besser.

Sie lesen über Probleme die auch Sie betreffen? In 20 Minuten zeigen wir Ihnen was sich konkret verbessern lässt — und was es kostet. Kein Pitch, kein Druck.

Kostenloses Erstgespräch → Per WhatsApp
030 75435440 kontakt@dielauncher.de Deutschlandweit · DSGVO-konform