Aktualisiert: März 2026 · Lesezeit: 10 Min.
Seit Mai 2018 gilt die Datenschutz-Grundverordnung. Acht Jahre später haben immer noch erschreckend viele Websites grundlegende Probleme. Fehlende Cookie-Banner, veraltete Datenschutzerklärungen, Google Fonts über externe Server — die Liste ist lang. Eine systematische Checkliste hilft, die größten Baustellen abzuarbeiten.
Aber Vorsicht: Keine Checkliste ersetzt das Verständnis dafür, warum bestimmte Maßnahmen nötig sind. Wer nur Häkchen setzt, ohne die Logik dahinter zu begreifen, macht beim nächsten Website-Update wieder dieselben Fehler.
Das ist 2026 eigentlich selbstverständlich, aber ich treffe immer noch Seiten ohne HTTPS an. Jede Website, die personenbezogene Daten erhebt — und sei es nur über ein Kontaktformular — braucht eine SSL-Verschlüsselung. Die meisten Hoster bieten das kostenlos über Let's Encrypt an. Keine Ausrede also.
Art. 13 DSGVO schreibt genau vor, was drinstehen muss. Verantwortlicher, Rechtsgrundlagen, Betroffenenrechte, eingesetzte Dienste. Eine Datenschutzerklärung von 2019 reicht nicht mehr — seitdem hat sich zu viel geändert.
Ein Link im Footer, maximal zwei Klicks entfernt. Das klingt trivial, aber bei manchen Single-Page-Designs oder Landingpages fehlt genau das. Das OLG Hamburg hat 2023 bestätigt: Der Link muss von jeder Unterseite direkt erreichbar sein.
Streng genommen kein DSGVO-Thema, sondern § 5 DDG (ehemals TMG). Aber in der Praxis werden Impressum und Datenschutz oft gemeinsam abgemahnt. Also gleich mit prüfen.
Seit dem TTDSG von Dezember 2021 ist klar: Für nicht-essenzielle Cookies brauchen Sie eine Einwilligung VOR dem Setzen. Ein Banner, das nur informiert, reicht nicht. Der Nutzer muss aktiv zustimmen können — und ablehnen. Ein großer grüner „Akzeptieren"-Button neben einem winzigen grauen „Ablehnen"-Link? Das betrachten Aufsichtsbehörden zunehmend als Dark Pattern.
Google Analytics 4 darf erst nach Einwilligung laden. Keine Einwilligung = kein Tracking. Prüfen Sie das mit den Browser-Entwicklertools: Laden Google-Scripts schon vor dem Cookie-Consent? Dann haben Sie ein Problem. Seit dem EU-US Data Privacy Framework gibt es zwar eine neue Rechtsgrundlage für US-Transfers, aber die Einwilligung für das Cookie selbst bleibt Pflicht.
Nach dem Urteil des LG München (Az. 3 O 17493/20) ist klar: Google Fonts dürfen nicht über die Google-Server geladen werden, weil dabei IP-Adressen in die USA übertragen werden. Binden Sie Schriften lokal ein. Technisch einfach, vermeidet eine der häufigsten Abmahnfallen.
Vor dem Absenden muss der Nutzer wissen, was mit seinen Daten passiert. Ein kurzer Hinweis mit Link zur Datenschutzerklärung und optional eine Checkbox. Art. 13 DSGVO verlangt die Information zum Zeitpunkt der Datenerhebung — nicht irgendwann danach.
Für jeden externen Dienst, der personenbezogene Daten in Ihrem Auftrag verarbeitet — Hosting-Anbieter, E-Mail-Marketing-Tools, Analyse-Dienste — brauchen Sie einen AVV nach Art. 28 DSGVO. Die meisten großen Anbieter stellen diese online bereit. Bei Hetzner finden Sie den AVV im Robot, bei Mailchimp im Account-Bereich.
Ohne doppelte Bestätigung kein rechtssicherer Newsletter-Versand. Der Nutzer trägt seine E-Mail ein, bekommt eine Bestätigungsmail, klickt den Link — erst dann dürfen Sie Mails senden. Klingt umständlich, ist aber seit Jahren Standard.
Die klassischen Facebook-Like-Buttons oder Twitter-Share-Widgets übertragen Daten schon beim Laden der Seite. Lösung: Shariff oder ähnliche 2-Klick-Lösungen, die erst nach Nutzerinteraktion eine Verbindung aufbauen.
YouTube im erweiterten Datenschutzmodus einbetten (youtube-nocookie.com statt youtube.com). Und auch hier: erst nach Cookie-Einwilligung laden lassen.
Art. 30 DSGVO verlangt ein VVT von fast jedem Unternehmen. Die Ausnahme für Betriebe unter 250 Mitarbeitern greift nur, wenn die Verarbeitung nicht regelmäßig erfolgt. Da eine Website permanent Daten verarbeitet, trifft die Ausnahme praktisch nie zu. Auch ein Bäcker in Bremen mit einer Website braucht ein VVT.
Art. 17 DSGVO gibt Betroffenen das Recht auf Löschung. Aber auch ohne Anfrage müssen Sie Daten löschen, wenn der Zweck entfällt. Kontaktformular-Anfragen ewig aufbewahren? Geht nicht. Definieren Sie Löschfristen — zum Beispiel sechs Monate für Anfragen, die nicht zu einem Auftrag geführt haben.
Ab 20 Mitarbeitern, die regelmäßig personenbezogene Daten verarbeiten, ist ein DSB Pflicht (§ 38 BDSG). Aber auch kleinere Unternehmen brauchen einen, wenn sie besondere Datenkategorien verarbeiten oder Datenverarbeitungen durchführen, die einer Datenschutz-Folgenabschätzung bedürfen.
Mein Tipp aus der Praxis: Nehmen Sie sich einen Freitagnachmittag. Öffnen Sie Ihre Website im Inkognito-Modus. Gehen Sie die 15 Punkte nacheinander durch. Für die technischen Checks — laden externe Scripte vor dem Consent? — nutzen Sie die Browser-Entwicklertools oder einen spezialisierten Scanner.
Dokumentieren Sie jeden Punkt: erledigt, teilweise erledigt, offen. Was offen ist, priorisieren Sie nach Risiko. Cookie-Banner und Datenschutzerklärung haben Vorrang vor dem VVT, weil Abmahner zuerst auf die sichtbaren Mängel schauen.