DSGVO-Checkliste 2026: 12 Punkte, die jede Website haben muss
Cookie-Banner reicht nicht. Hier sind die 12 technischen und rechtlichen DSGVO-Anforderungen, die Ihre Website 2026 erfüllen muss — inklusive der oft vergessenen.
$ audit --dsvo --full --strictDie DSGVO ist seit 2018 in Kraft, aber 2026 haben immer noch 40 % der deutschen Websites grundlegende Mängel. Die Bußgelder steigen — durchschnittlich 5.000–50.000 € pro Verstoß bei kleinen Unternehmen, Millionen bei Konzernen. Hier ist die praktische Checkliste, die wir bei jedem Projekt abarbeiten.
##Die 12 Punkte
###1. Cookie-Consent-Banner
Nicht irgendein Banner — sondern eines, das: (a) nicht vor dem ersten Consent andere Cookies setzt, (b) alle Kategorien granular erlaubt/verbietet, (c) jederzeit widerrufbar ist, (d) equal prominence hat (‘Alle akzeptieren’ nicht prominenter als ‘Nur essenziell’).
###2. Impressum (§5 TMG)
Vollständige Angaben: Firma, vertretungsberechtigte Person, Adresse, Kontakt, USt-ID, Handelsregister. Verantwortlich i.S.d. §18 MStV. Leicht erkennbar, direkt erreichbar, auf jeder Seite verlinkt.
###3. Datenschutzerklärung (Art. 13 DSGVO)
Verarbeitete Daten, Zwecke, Rechtsgrundlagen, Speicherdauer, Auftragsverarbeiter, Ihre Rechte (Art. 15–21), Aufsichtsbehörde. Aktuell und passgenau zur Website (kein generischer Text).
###4. Auftragsverarbeitungsverträge (Art. 28)
Mit jedem Dienstleister, der Daten verarbeitet: Hosting (Hetzner), Zahlungsanbieter (Stripe), E-Mail-Provider, Analytics. Ohne AVV haftet der Website-Betreiber.
###5. SSL/TLS-Verschlüsselung
HTTPS erzwingen (HTTP→HTTPS-Redirect), HSTS-Header setzen, TLS 1.2+ only, aktuelle Cipher-Suiten. Kostenlos mit Let's Encrypt.
Google Fonts direkt von fonts.googleapis.com einbinden = Datenübertragung in die USA = DSGVO-Verstoß. Lösung: Fonts self-hosten.
###6. Keine US-CDNs ohne AVV
Cloudflare, Google Fonts, Google Analytics, Facebook Pixel — alle übertragen IPs in die USA. Entweder: AVV + EU-Server, oder self-hosted Alternative.
###7. Aufbewahrungsfristen (§25 TTDSG)
Server-Logfiles: IPs nach 7 Tagen anonymisieren. Kontaktformular-Daten: nach 6 Monaten löschen (außer Vertragsanbahnung läuft). Bestandsdaten: 10 Jahre (§147 AO).
###8. Auskunfts- und Löschverfahren
Prozess dokumentieren: Wie reagieren Sie auf Auskunftsersuchen (Art. 15)? Wie löschen Sie Daten (Art. 17)? Wie exportieren Sie (Art. 20, Datenübertragbarkeit)? Innerhalb 1 Monat Antwort.
###9. Verzeichnis von Verarbeitungstätigkeiten (Art. 30)
Interne Dokumentation: Welche Daten, wofür, wo gespeichert, wer hat Zugriff, wie lange. Pflicht für jeden Verantwortlichen — auch kleine Unternehmen.
###10. Datenpannen-Prozess (Art. 33)
Bei Datenpanne: 72-Stunden-Meldepflicht an Aufsichtsbehörde. Betroffene benachrichtigen bei hohem Risiko. Prozess muss vorher definiert sein, nicht erst im Ernstfall.
###11. DatenschutzbyDesign (Art. 25)
Datenschutz von Anfang an: Datenminimierung in Formularen, Pseudonymisierung wo möglich, Privacy-Defaults (opt-in, nicht opt-out).
###12. Kindernschutz (Art. 8)
Bei Angeboten für Kinder unter 16: Einwilligung der Erziehungsberechtigten. Alter-Verifikation bei relevanten Angeboten.
##Bonus: Technische Details
- ›Content-Security-Policy-Header setzen
- ›Referrer-Policy auf strict-origin-when-cross-origin
- ›X-Content-Type-Options: nosniff
- ›Permissions-Policy für sensible Browser-APIs
- ›Do-Not-Track-Header respektieren
Alle 12 Punkte sind Standard in unseren Projekten. Das Cookie-Consent-Modul, die Impressum/Datenschutz-Seiten und die self-hosted Infrastruktur sind inklusive.
##Fazit
DSGVO-Compliance ist kein Einmal-Akt, sondern ein Prozess. Aber wenn das Fundament stimmt, ist der laufende Aufwand minimal. Die Checkliste oben ist der Startpunkt — bei Fragen helfen wir gerne.
Wir bauen das für Sie
Vom Artikel zur Implementierung — sprechen Sie mit uns.