Zum Inhalt springen
Sorrel
← Blog

14. Januar 2026 · Florian Wartner

DSGVO-Website-Checkliste 2026: 15 Punkte, die jede Seite erfüllen muss

Die wichtigsten 15 DSGVO- und TTDSG-Anforderungen für Websites 2026 im kompakten Überblick: Datenschutzerklärung, Impressum, Cookie-Einwilligung, AVV und US-Datentransfer.

dsgvochecklistewebsite

Eine DSGVO-konforme Website braucht 2026 vor allem fünf Dinge: ein vollständiges Impressum nach § 5 DDG, eine aktuelle Datenschutzerklärung nach Art. 13 DSGVO, eine echte Einwilligung für nicht notwendige Cookies (§ 25 TTDSG), Auftragsverarbeitungsverträge mit allen Dienstleistern und eine saubere Rechtsgrundlage für US-Datentransfers. Diese Checkliste fasst alle 15 Pflichtpunkte zusammen, die jede Seite erfüllen sollte.

Wer eine Website betreibt, verarbeitet fast immer personenbezogene Daten – sei es über Server-Logs, Kontaktformulare oder eingebundene Drittdienste. Diese Liste hilft Ihnen, systematisch zu prüfen, ob Ihre Seite den aktuellen Anforderungen genügt.

Rechtliche Grundlagen: Impressum und Datenschutzerklärung

Die formalen Pflichten sind der einfachste Teil – und werden trotzdem oft übersehen.

  1. Impressum nach § 5 DDG: Seit dem Digitale-Dienste-Gesetz (DDG, Nachfolger des TMG) gehören Name, Anschrift, schnelle Kontaktmöglichkeit und ggf. Register- und USt-Daten ins Impressum. Es muss von jeder Seite mit maximal zwei Klicks erreichbar sein.
  2. Datenschutzerklärung nach Art. 13 DSGVO: Sie informiert über Zwecke, Rechtsgrundlagen, Empfänger, Speicherdauer und Betroffenenrechte. Jeder eingesetzte Dienst muss benannt sein.
  3. Aktualität: Eine Datenschutzerklärung von 2021 ist 2026 fast immer veraltet. Prüfen Sie sie mindestens jährlich.
  4. Betroffenenrechte benennen: Auskunft, Berichtigung, Löschung, Widerspruch und Beschwerderecht bei der Aufsichtsbehörde müssen genannt werden.

Einwilligung und Cookies

Hier passieren die teuersten Fehler. Seit dem BGH-Urteil „Planet49" (I ZR 7/16) ist klar: Vorangekreuzte Kästchen sind keine wirksame Einwilligung.

  1. Consent vor dem Setzen von Cookies: Nicht notwendige Cookies und Tracker dürfen erst nach aktiver Einwilligung laden (§ 25 TTDSG). Details dazu in unserem Artikel § 25 TTDSG einfach erklärt.
  2. Ablehnen so einfach wie Akzeptieren: Der „Ablehnen"-Button gehört auf die erste Ebene, mit gleicher Prominenz. Unsere Consent-Banner-Checkliste zeigt alle Anforderungen.
  3. Keine Vorab-Tracker: Vor dem Klick dürfen keine Marketing- oder Statistik-Skripte laden.
  4. Granulare Auswahl: Nutzer müssen einzelne Kategorien (Statistik, Marketing) getrennt wählen können.
  5. Widerruf jederzeit möglich: Die Einwilligung muss so leicht widerrufbar sein, wie sie erteilt wurde.

Drittdienste, Analyse und Schriftarten

Viele Verstöße entstehen durch unbedacht eingebundene Dienste.

  1. Google Fonts lokal einbinden: Das dynamische Nachladen von Google-Servern überträgt die IP-Adresse in die USA. Das LG München (3 O 17493/20) sprach einem Betroffenen deshalb Schadensersatz zu. Die Lösung: Google Fonts lokal einbinden.
  2. Analytics nur mit Einwilligung: Google Analytics setzt Tracking-Cookies und überträgt Daten – ohne Consent ist das unzulässig. Warum das teuer wird, lesen Sie in Google Analytics ohne Einwilligung.
  3. Eingebettete Inhalte prüfen: YouTube, Maps oder Social-Media-Plugins laden oft schon beim Seitenaufruf Daten. Nutzen Sie Zwei-Klick-Lösungen oder Platzhalter.

Verträge und internationale Transfers

  1. AVV mit allen Auftragsverarbeitern: Wer Daten in Ihrem Auftrag verarbeitet (Hoster, Newsletter-Tool, CDN), braucht einen Vertrag nach Art. 28 DSGVO. Was das genau ist, erklärt Was ist ein AVV.
  2. US-Datentransfer absichern: Nach dem EuGH-Urteil Schrems II (C-311/18) brauchen Übermittlungen in die USA (Art. 44 ff. DSGVO) eine Rechtsgrundlage – heute meist das Data Privacy Framework. Mehr dazu in US-Datentransfer nach Schrems II.
  3. Verzeichnis von Verarbeitungstätigkeiten (VVT): Ab einer gewissen Größe Pflicht nach Art. 30 DSGVO – aber auch sonst ein nützliches internes Werkzeug.

So gehen Sie die Liste praktisch durch

Statt jede Seite manuell zu prüfen, lohnt sich ein automatisierter Erstcheck:

  • Öffnen Sie Ihre Seite im Inkognito-Modus und beobachten Sie über die Entwicklertools, welche Anfragen vor der Einwilligung laufen.
  • Gleichen Sie jeden geladenen Drittdienst mit Ihrer Datenschutzerklärung ab.
  • Prüfen Sie, ob für jeden Dienst ein AVV und – bei US-Anbietern – eine Transfergrundlage vorliegt.

Prüfen Sie Ihre Website mit einem kostenlosen DSGVO-Scan – Sorrel erkennt geladene Cookies, Tracker und externe Ressourcen automatisch. Welche Prüfungen genau ablaufen, sehen Sie unter Funktionen; Pakete für mehrere Domains finden Sie unter Preise.

Häufige Fragen

Reicht ein Cookie-Banner, um DSGVO-konform zu sein?

Nein. Der Banner ist nur ein Baustein. Ohne korrekte Datenschutzerklärung, AVVs und eine saubere Behandlung von US-Transfers bleibt die Seite angreifbar – selbst mit perfektem Consent-Tool.

Brauche ich für jede Website ein Verarbeitungsverzeichnis?

Nach Art. 30 DSGVO sind kleinere Organisationen unter bestimmten Bedingungen ausgenommen, etwa bei nur gelegentlicher Verarbeitung. In der Praxis verarbeiten Websites jedoch regelmäßig Daten, sodass ein VVT fast immer sinnvoll und meist verpflichtend ist.

Wie oft sollte ich diese Checkliste durchgehen?

Mindestens einmal jährlich sowie nach jeder Änderung an eingesetzten Tools, Plugins oder Drittdiensten. Neue Einbindungen sind die häufigste Ursache für neue Verstöße.