Website rechtssicher machen: DSGVO-Checkliste für Unternehmen 2026

Hinweis: Dieser Artikel stellt keine Rechtsberatung dar. Die Inhalte dienen ausschließlich der allgemeinen Information und ersetzen keine professionelle rechtliche Beratung. Bei konkreten rechtlichen Fragen wenden Sie sich bitte an einen Fachanwalt für IT-Recht.

Wer in Deutschland eine Website betreibt, kommt an der Datenschutz-Grundverordnung (DSGVO) nicht vorbei. Seit ihrem Inkrafttreten im Mai 2018 hat sich die Rechtslage stetig weiterentwickelt – und mit ihr die Anforderungen an einen rechtskonformen Webauftritt. Im Jahr 2026 gelten neue Pflichten, darunter das Barrierefreiheitsgesetz (BFSG), und die Aufsichtsbehörden gehen immer konsequenter gegen Verstöße vor.

In diesem Artikel zeigen wir Ihnen Schritt für Schritt, wie Sie Ihre Website rechtssicher machen – von Impressum über Datenschutzerklärung bis hin zu Cookie-Banner, Google Fonts und den neuen Barrierefreiheitsanforderungen.

Warum DSGVO-Konformität wichtig ist

Die DSGVO gilt für jedes Unternehmen, das personenbezogene Daten von EU-Bürgern verarbeitet – egal, ob Ein-Personen-Betrieb, mittelständisches Unternehmen oder Konzern. Eine nicht-konforme Website kann schnell teuer werden.

Reale Bußgelder in Deutschland

Die deutschen Datenschutzaufsichtsbehörden verhängen regelmäßig empfindliche Bußgelder:

• 1,2 Millionen Euro gegen eine Immobilienfirma wegen unzureichender Datenschutzmaßnahmen und fehlender Löschkonzepte (2023)
• 10 Millionen Euro gegen einen großen Online-Händler wegen unzureichender Datenaufbewahrung und mangelnder Auskunftspflicht (2023)
• 525.000 Euro gegen ein Telekommunikationsunternehmen wegen Verstoßes gegen die DSGVO bei der Datenverarbeitung (2024)
• 104.000 Euro gegen einen Website-Betreiber wegen Einsatz von Google Fonts ohne ausreichende Rechtsgrundlage (landesweite Wellen von Abmahnungen ab 2022)

Daneben gibt es ein massives Abmahnrisiko: Konkurrenten und Abmahnvereine scannen das Internet systematisch nach fehlenden oder fehlerhaften Impressen, Datenschutzerklärungen und Cookie-Bannern. Eine einzelne Abmahnung kostet schnell 500 bis 2.500 Euro – plus Anwaltskosten.

1. Impressum: Pflichtangaben nach § 5 TMG / § 5 DDG

Das Impressum ist das Fundament jeder rechtssicheren Website. Seit dem 1. Januar 2024 regelt das digitale DG (DDG) die Pflichtangaben, ehemals geregelt im TMG. Die Anforderungen bleiben jedoch im Kern gleich.

Vollständige Impressum-Checkliste

Folgende Angaben müssen zwingend enthalten sein:

Für Einzelunternehmer und Freiberufler:

• Vollständiger Vor- und Nachname
• Eine ladungsfähige Anschrift (kein Postfach!)
• Kontaktdaten: E-Mail-Adresse und Telefonnummer
• Umsatzsteuer-Identifikationsnummer (USt-IdNr.), sofern vorhanden
• Wirtschafts-ID, sofern vorhanden

Für GmbH, UG, AG und andere juristische Personen:

• Vollständige Firmenbezeichnung (gemäß Handelsregister)
• Rechtsform (z. B. GmbH, UG haftungsbeschränkt)
• Sitz der Gesellschaft
• Vertretungsberechtigte Personen (Vorstand/Geschäftsführer mit Vor- und Nachnamen)
• Handelsregister und Registernummer
• Umsatzsteuer-Identifikationsnummer

Weitere Pflichtangaben (falls zutreffend):

• Aufsichtsbehörde (für reglementierte Berufe)
• Berufsbezeichnung und zuständige Kammer
• Streitschlichtungsstelle (für Online-Händler)

Wichtig: Das Impressum muss von jeder Unterseite mit maximal zwei Klicks erreichbar sein. Die Verlinkung sollte eindeutig als „Impressum" gekennzeichnet sein.

2. Datenschutzerklärung: Was rein muss

Die Datenschutzerklärung ist das Herzstück der DSGVO-Konformität. Sie muss transparent, verständlich und vollständig sein.

Zwingende Inhalte

Ihre Datenschutzerklärung muss folgende Punkte abdecken:

1. Verantwortlicher: Name und Kontaktdaten des Website-Betreibers
2. Datenschutzbeauftragter: Kontaktdaten, sofern benannt (Pflicht ab 20 Mitarbeitern in der Datenverarbeitung)
3. Zwecke und Rechtsgrundlagen: Für jede Datenverarbeitungstätigkeit muss angegeben werden, zu welchem Zweck Daten erhoben werden und auf welcher Rechtsgrundlage das beruht (Einwilligung, Vertrag, berechtigtes Interesse, gesetzliche Pflicht)
4. Empfänger von Daten: Wer erhält die Daten? (z. B. Hosting-Provider, Analytics-Dienste, Zahlungsdienstleister)
5. Drittlandübermittlung: Werden Daten in Länder außerhalb der EU übertragen? Wenn ja, welche Sicherungsmaßnahmen bestehen?
6. Speicherdauer: Wie lange werden die Daten aufbewahrt?
7. Betroffenenrechte: Hinweis auf Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch und Beschwerde bei der Aufsichtsbehörde
8. Cookies und Tracking-Technologien: Welche Cookies kommen zum Einsatz und zu welchem Zweck?

Häufige Fehler

• Fehlende Nennung spezifischer Dienste: „Google Analytics" muss ebenso konkret genannt werden wie „Meta Pixel" oder „Matomo"
• Veraltete Angaben: Bei jeder Änderung der eingesetzten Tools muss die Datenschutzerklärung aktualisiert werden
• Zu komplex formuliert: Die DSGVO fordert eine klare, einfache Sprache – vermeiden Sie unnötigen juristischen Fachjargon

3. Cookie Consent: Anforderungen nach TTDSG

Das Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) regelt den Einsatz von Cookies auf deutschen Websites. Die Grundregel ist klar: Ohne Einwilligung keine nicht-technisch-notwendigen Cookies.

Was Sie beachten müssen

• Opt-in statt Opt out: Cookies dürfen erst gesetzt werden, nachdem der Nutzer aktiv eingewilligt hat. Vorab-Häkchen sind unzulässig.
• Granulare Steuerung: Nutzer müssen die Möglichkeit haben, verschiedene Cookie-Kategorien einzeln zu akzeptieren oder abzulehnen (z. B. Marketing-Cookies ablehnen, aber Analytics-Cookies erlauben).
• Widerrufbarkeit: Die Einwilligung muss jederzeit widerrufbar werden können – über einen deutlich sichtbaren Button auf der Website.
• Protokollierung: Sie müssen nachweisen können, dass ein Nutzer eingewilligt hat (Consent-Log).

Technisch notwendige Cookies

Nur diese Cookies dürfen ohne Einwilligung gesetzt werden:

• Session-Cookies (Warenkorb, Login)
• CSRF-Schutz-Cookies
• Load-Balancing-Cookies
• Spracheinstellungen (sofern für die Grundfunktion notwendig)

Empfohlene Consent-Management-Plattformen

Für die praktische Umsetzung eignen sich Tools wie Cookiebot, Usercentrics, Borlabs Cookie oder die Open-Source-Lösung Klaro. Achten Sie darauf, dass Ihr Consent-Banner DSGVO- und TTDSG-konform arbeitet.

4. Google Analytics & Tracking: Rechtlich sauber einsetzen

Google Analytics ist nach wie vor das meistgenutzte Web-Analyse-Tool – aber der Einsatz ist rechtlich anspruchsvoll.

Schritt-für-Schritt-Anleitung

1. Auftragsverarbeitungsvertrag (AVV) abschließen: Das ist zwingend erforderlich. Google bietet hierfür einen Standard-AVV an, den Sie in den Analytics-Einstellungen akzeptieren müssen.

2. IP-Adressen anonymisieren: Aktivieren Sie die Funktion „IP-Anonymisierung" in Google Analytics. Dadurch wird das letzte Oktett der IP-Adresse gekürzt.

3. Einwilligung einholen: Google Analytics darf erst nach aktiver Einwilligung des Nutzers geladen werden. Binden Sie Analytics in Ihr Consent-Management-Tool ein.

4. Serverstandort berücksichtigen: Google verarbeitet Daten teilweise in den USA. Weisen Sie in Ihrer Datenschutzerklärung auf diese Datenübermittlung hin und erwähnen Sie die EU-US Data Privacy Framework als Grundlage.

5. Datenschutzerklärungung aktualisieren: Beschreiben Sie präzise, welche Daten Google Analytics erfasst (z. B. IP-Adresse anonymisiert, Browser-Typ, Seitenaufrufe, Verweildauer).

Alternativen ohne Google

Wer den Aufwand minimieren möchte, kann auf datenschutzfreundlichere Alternativen setzen:

• Matomo (On-Premise): Selbstgehostet, keine Datenübermittlung an Dritte
• Plausible Analytics: Open Source, keine Cookies, DSGVO-konform ohne Consent-Banner
• Simple Analytics: Ähnlich wie Plausible, fokussiert auf Einfachheit

5. Google Fonts: Das BGH-Urteil und seine Folgen

Im Januar 2022 fällte der Bundesgerichtshof (BGH) ein weitreichendes Urteil (Az. I ZR 135/20): Das Einbinden von Google Fonts über einen externen Server ohne Einwilligung des Nutzers verstößt gegen die DSGVO.

Was passierte

Kläger machten geltend, dass beim Aufruf einer Website mit extern eingebundenen Google Fonts die IP-Adresse des Nutzers an Google-Server übermittelt wird – ohne dass dafür eine Rechtsgrundlage bestand. Der BGH gab den Klägern recht.

Was das für Sie bedeutet

• Google Fonts lokal hosten: Laden Sie die Schriftdateien herunter und binden Sie sie lokal auf Ihrem Server ein. So werden keine Daten an Google übertragen.
• Alternativ: Einwilligung einholen: Wenn Sie Google Fonts weiterhin über CDN einbinden, benötigen Sie eine aktive Einwilligung der Nutzer vor dem Laden.

Praktische Umsetzung

Der einfachste Weg: Nutzen Sie das Tool google-webfonts-helper, um Google Fonts herunterzuladen und per CSS lokal einzubinden. Alternativ bieten viele CMS-Plugins eine automatische Lokalisierung an.

6. Kontaktformulare: Datenschutz-Häkchen und mehr

Kontaktformulare sind praktisch – aber auch hier lauern Datenschutzfallen.

Pflichten bei Kontaktformularen

1. Datenschutzhinweis: Das Formular muss einen Link zur Datenschutzerklärung enthalten.
2. Aktives Häkchen: Der Nutzer muss per Checkbox bestätigen, dass er die Datenschutzerklärung zur Kenntnis genommen hat und mit der Verarbeitung seiner Daten einverstanden ist. Vorangekreuzte Häkchen sind unzulässig.
3. Speicherdauer angeben: Teilen Sie mit, wie lange die Formulardaten aufbewahrt werden.
4. Doppiopt-in bei Newsletter: Wenn Sie über das Kontaktformular einen Newsletter anbieten, ist ein Bestätigungsverfahren (Double-Opt-in) Pflicht.
5. SSL-Verschlüsselung: Kontaktformulare dürfen nur über HTTPS übertragen werden.
6. Spam-Schutz: Nutzen Sie CAPTCHA-Alternativen wie honeypot-basierte Verfahren, um Spambots abzuwehren, ohne Nutzerdaten an Drittanbieter zu übermitteln.

7. Sicherheit: SSL, Security Headers und technische Maßnahmen

Die DSGVO fordert „angemessene technische und organisatorische Maßnahmen" zum Schutz personenbezogener Daten (Art. 32 DSGVO).

SSL-Verschlüsselung

Eine Website ohne HTTPS ist 2026 nicht mehr zeitgemäß und verstößt gegen die Sorgfaltspflichten nach DSGVO. Stellen Sie sicher, dass:

• Ein gültiges SSL-Zertifikat installiert ist
• Alle HTTP-Anfragen automatisch auf HTTPS weitergeleitet werden (301-Redirect)
• HSTS (HTTP Strict Transport Security) aktiviert ist

Wichtige Security Headers

Folgende HTTP-Header sollten Sie setzen:

Content-Security-Policy: default-src 'self'; ...
X-Content-Type-Options: nosniff
X-Frame-Options: SAMEORIGIN
X-XSS-Protection: 1; mode=block
Referrer-Policy: strict-origin-when-cross-origin
Permissions-Policy: camera=(), microphone=(), geolocation=()

Weitere technische Maßnahmen

• Regelmäßige Updates: CMS, Plugins und Server-Software müssen aktuell gehalten werden
• Automatische Backups: Regelmäßige Datensicherungen mit verschlüsseltem Speicher
• Zugriffskontrolle: Starke Passwörter und Zwei-Faktor-Authentifizierung für alle Administratoren
• Protokollierung: Zugriffsprotokolle führen und regelmäßig auswerten

8. BFSG: Neue Barrierefreiheitsanforderungen seit Juni 2025

Seit dem 28. Juni 2025 gilt das Barrierefreiheitsstärkungsgesetz (BFSG) in Deutschland. Es verpflichtet bestimmte Website-Betreiber zur Barrierefreiheit ihres digitalen Angebots.

Wer ist betroffen?

Das BFSG gilt für:

• Unternehmen mit mehr als 10 Beschäftigten UND einem Jahresumsatz von mehr als 2 Millionen Euro
• Öffentliche Stellen des Bundes
• bestimmte Dienstleister im B2C-Bereich (E-Commerce, Bankdienstleistungen, Personenverkehr)

Was bedeutet Barrierefreiheit?

Eine barrierefreie Website muss mindestens die Richtlinien der Web Content Accessibility Guidelines (WCAG) 2.1 auf Stufe AA erfüllen. Konkret heißt das:

• Wahrnehmbar: Textalternativen für Bilder, Untertitel für Videos, ausreichende Farbkontraste (mindestens 4,5:1 für normalen Text)
• Bedienbar: Alle Funktionen per Tastatur nutzbar, ausreichend Zeit für Interaktionen, keine Inhalte, die Flash-auslösen können
• Verständlich: Klare Sprache, vorhersehbare Navigation, Hilfestellung bei Fehlern
• Robust: Kompatibilität mit assistiven Technologien wie Screenreadern

Barrierefreiheitserklärung

Betroffene Website-Betreiber müssen eine Barrierefreiheitserklärung veröffentlichen, die dokumentiert:

• Welche WCAG-Anforderungen erfüllt werden
• Welche Inhalte noch nicht barrierefrei sind (mit Begründung und Zeitplan)
• Wie Betroffene Feedback geben können
• Eine Kontaktmöglichkeit für Beschwerden

9. Schnell-Checkliste: Website rechtssicher machen

Nutzen Sie diese Checkliste, um Ihre Website Schritt für Schritt rechtskonform zu gestalten:

Grundlagen

• Impressum vollständig und von überall mit zwei Klicks erreichbar
• Datenschutzerklärung aktuell, verständlich und vollständig
• SSL-Zertifikat aktiv und HTTP → HTTPS-Weiterleitung eingerichtet

Cookies & Tracking

• Cookie-Banner mit Opt-in-Prinzip implementiert
• Granulare Cookie-Steuerung (Kategorien einzeln wählbar)
• Consent-Log wird geführt
• Widerrufsmöglichkeit deutlich sichtbar auf der Website

Tools & Dienste

• Google Analytics: AVV abgeschlossen, IP-Anonymisierung aktiv, Consent-integriert
• Google Fonts: Lokal gehostet oder nur nach Einwilligung geladen
• Alle Drittanbieter in Datenschutzerklärung genannt
• Auftragsverarbeitungsverträge für alle externen Dienstleister abgeschlossen

Formulare & Interaktion

• Kontaktformular mit aktivem Datenschutz-Häkchen
• Datenschutzerklärung verlinkt
• Newsletter-Anmeldung mit Double-Opt-in

Sicherheit

• Security Headers gesetzt
• CMS und Plugins aktuell
• Regelmäßige Backups eingerichtet
• Zwei-Faktor-Authentifizierung für Admin-Zugänge

Barrierefreiheit (BFSG, falls betroffen)

• WCAG 2.1 AA-Richtlinien umgesetzt
• Barrierefreiheitserklärung veröffentlicht
• Feedback-Mechanismus für Betroffene eingerichtet

Regelmäßige Pflege

• Datenschutzerklärung bei Änderungen aktualisieren
• Cookie-Einstellungen bei neuen Tools anpassen
• Jährliche Überprüfung aller rechtlichen Dokumente

Tipp: Sie wissen nicht, wo Ihre Website Schwachstellen hat? Nutzen Sie unseren kostenlosen DSGVO-Website-Check, um Ihre Website automatisch auf die wichtigsten Rechtspflichten zu prüfen.

Fazit

Eine rechtssichere Website ist kein Einmalprojekt, sondern ein fortlaufender Prozess. Die DSGVO, das TTDSG und das BFSG setzen klare Rahmenbedingungen – wer diese ignoriert, riskiert empfindliche Bußgelder und Abmahnungen.

Die wichtigsten Maßnahmen auf einen Blick:

1. Impressum und Datenschutzerklärung vollständig und aktuell halten
2. Cookie-Banner mit echtem Opt-in einsetzen
3. Google Fonts lokal hosten statt extern einzubinden
4. Tracking-Tools nur nach Einwilligung laden und AVVs abschließen
5. Security Headers und SSL als technische Basis
6. BFSG-Anforderungen prüfen und bei Bedarf umsetzen

Möchten Sie sicherstellen, dass Ihre Website alle gesetzlichen Anforderungen erfüllt? Wir von MOKKA helfen Ihnen dabei – von der rechtlichen Überprüfung über die technische Umsetzung bis zum laufenden Monitoring. Kontaktieren Sie uns für ein unverbindliches Gespräch.

---

Dieser Artikel wurde zuletzt am 28. März 2026 aktualisiert. Rechtliche Änderungen nach diesem Datum sind nicht berücksichtigt. Dieser Beitrag stellt keine Rechtsberatung dar – konsultieren Sie bei konkreten Fragen einen Fachanwalt für IT-Recht.

Weiterlesen

• DSGVO Schnellcheck Tool – Kostenlos Ihre Website prüfen
• Website Check – Performance & SEO Analyse
• Leistungen: Webentwicklung – Rechtssichere Websites erstellen
• Kontakt – Wir machen Ihre Website DSGVO-konform