WHILE.CHAT·WORK · SEO·14 MIN·Max Götte
work · SEOJuni 202614 Min. LesezeitMax Götte

DSGVO-Checkliste 2026: Was du brauchst

DSGVO-Checkliste 2026: Was du brauchst

Ein Handwerker aus München öffnet morgens seine Mails. Zwischen Angeboten und Rechnungen liegt ein Schreiben einer Anwaltskanzlei: Abmahnung wegen Google Fonts. Schadenersatzforderung: 170 Euro. Der Mann hat seine Website vor drei Jahren erstellen lassen und seitdem nicht mehr angefasst. Die Schriftarten lädt sie direkt von Google-Servern, und überträgt dabei die IP-Adressen seiner Besucher in die USA.

Die Geschichte ist real, tausendfach passiert. Die meisten Websites in Deutschland sind nicht datenschutzkonform. Nicht aus bösem Willen, sondern weil die Anforderungen komplex sind, sich ständig ändern und niemand einen klaren Überblick hat.

Dieser Artikel liefert diesen Überblick. Eine vollständige, aktuelle Checkliste für 2026, mit interaktiver Checkliste zum Abhaken, einem Praxisbeispiel anhand unseres eigenen Cookie-Banners und fertigen Prompts, mit denen du deine Website prüfen lassen kannst.

// 01 / 07Die Rechtslage 2026: DSGVO trifft TDDDG

Zwei Gesetze bestimmen den Datenschutz auf Websites. Die DSGVO gilt seit Mai 2018 EU-weit und regelt den Umgang mit personenbezogenen Daten. Das TDDDG (seit Mai 2024, früher TTDSG) ist die deutsche Umsetzung der ePrivacy-Richtlinie.

Die Arbeitsteilung: Das TDDDG regelt in § 25, wann du auf Endgeräte zugreifen darfst, Cookies, Tracking, Fingerprinting. Die DSGVO regelt alles Weitere: Rechtsgrundlagen, Betroffenenrechte, Informationspflichten, Auftragsverarbeitung.

// 02 / 07Interaktive Checkliste

Geh jeden Punkt durch. Die Farbe zeigt das Risiko: kritisch, hoch, mittel. Dein Fortschritt wird im Browser gespeichert.

Grundlagen

SSL/HTTPS, Gesamte Website über https://, kein Mixed Content (Art. 32 DSGVO) Impressum, Name, Adresse, E-Mail, Telefon. Von jeder Seite mit max. 2 Klicks erreichbar Datenschutzerklärung, Vollständig nach Art. 13 DSGVO, von jeder Seite verlinkt Google Fonts lokal, Keine externen Requests an fonts.googleapis.com

Cookie-Banner

Consent-Banner vorhanden, Pflicht bei nicht-essentiellen Cookies (§ 25 TDDDG) Echtes Opt-in, Keine vorausgewählten Checkboxen, kein "Weiterscrollen = Zustimmung" Gleichwertige Buttons, "Akzeptieren" und "Ablehnen" gleich sichtbar, kein Dark Pattern Granulare Auswahl, Kategorien einzeln wählbar (Notwendig, Statistik, Marketing) Scripts erst nach Consent, Kein Tracking vor Klick auf Akzeptieren Widerruf möglich, Footer-Link "Cookie-Einstellungen" Consent dokumentiert, Zeitpunkt, Version, Auswahl gespeichert

Datenschutzerklärung, Inhalt

Verantwortlicher, Name, Adresse, E-Mail, ggf. Datenschutzbeauftragter Alle Dienste dokumentiert, Hosting, Analytics, Fonts, Newsletter, Formulare, Embeds Cookie-Tabelle, Name, Anbieter, Zweck, Laufzeit pro Cookie. Konsistent mit Banner Drittlandtransfer, USA-Transfers mit Standardvertragsklauseln / DPF dokumentiert Betroffenenrechte, Art. 15-21 DSGVO + Widerruf (Art. 7 Abs. 3)

Tracking & Drittanbieter

Google Maps, Nur nach Consent laden oder statisches Bild YouTube Embeds, Nocookie-Variante oder Facade-Pattern AVV mit Dienstleistern, Hoster, Analytics, Newsletter, Payment Newsletter Double-Opt-in, Bestätigung per E-Mail, Einwilligung dokumentiert

Wartung

Verarbeitungsverzeichnis, Alle Verarbeitungen dokumentiert (Art. 30 DSGVO) Regelmäßige Prüfung, Alle 6 Monate oder nach Website-Änderungen Datenpannen-Prozess, Meldepflicht 72h an Aufsichtsbehörde (Art. 33)

0 / 22 erledigt

// 03 / 07Praxisbeispiel: Unser Cookie-Banner

Wir haben für while.chat einen eigenen Cookie-Consent-Banner gebaut, ohne externe Abhängigkeiten, DSGVO-konform, mit Google Consent Mode v2. Was der Banner richtig macht und warum:

Tools wie threefor.one scannen deine Seite in unter 60 Sekunden auf genau diese Probleme.

Konform

Drei gleichwertige Buttons: "Nur Notwendige", "Auswahl speichern", "Alle akzeptieren"

Granulare Kategorien: Notwendig / Statistik / Marketing einzeln wählbar

Keine vorausgewählten Checkboxen, nur "Notwendig" ist checked und disabled

Detail-Layer mit Cookie-Tabelle (Name, Anbieter, Zweck, Laufzeit)

GTM + GA4 laden erst NACH Consent (nicht vorher)

Footer-Link "Cookie-Einstellungen" für jederzeitigen Widerruf

Typische Verstösse

Nur ein großer "OK"-Button ohne echte Ablehnoption

"Alle akzeptieren" farbig, "Ablehnen" grau und versteckt

Tracking-Scripts laden schon beim Seitenaufruf, vor jedem Klick

Pauschal "Wir nutzen Cookies" ohne Kategorien oder Details

Kein Widerruf möglich, einmal geklickt, für immer getrackt

"Weiterscrollen = Zustimmung" Banner ohne Interaktion

Der vollständige Code unseres Banners ist Open Source und im zweiten Artikel dieser Serie Schritt für Schritt erklärt.

// 04 / 07Quellen

Rechtsgrundlagen

DSGVO Volltext (EUR-Lex)

TDDDG Volltext (gesetze-im-internet.de)

FAQ TDDDG, LfD Niedersachsen

Praxisleitfäden

Cookie-Ratgeber, Dr. Thomas Schwenke

Cookies zwischen TDDDG und DSGVO, Dr. Datenschutz

DSGVO Website Checkliste, Sascha Fix

TDDDG Überblick, eRecht24

Tools

Webbkoll, Website-Datenschutz-Check

Cookiebot Scanner

// 05 / 07Frequently Asked Prompts

Kopiere diese Prompts direkt in Claude, ChatGPT oder ein anderes LLM. Ersetze die Platzhalter in eckigen Klammern mit deinen eigenen Daten.

DSGVO Quick-Check

Prüfe die Website [URL] auf DSGVO-Konformität. Checke: SSL, Impressum, Datenschutzerklärung, Cookie-Banner (Opt-in, gleichwertige Buttons, granulare Auswahl), Tracking vor Consent, Google Fonts extern, Embeds ohne Consent. Für jeden Punkt: Status (OK/PROBLEM/KRITISCH) + konkreter Fix. Priorisierte To-Do-Liste am Ende. Deutsch, kein Juristendeutsch. Kopieren

Datenschutzerklärung generieren

Erstelle eine vollständige Datenschutzerklärung nach Art. 13 DSGVO für folgende Website: - URL: [URL] - Betreiber: [Name, Adresse, E-Mail] - Hosting: [Anbieter, Land] - Analytics: [z.B. Google Analytics 4, Measurement-ID] - Cookie-Tools: [z.B. eigener Banner, Cookiebot] - Formulare: [Kontaktformular, Newsletter mit Double-Opt-in] - Fonts: [lokal gehostet / Google Fonts CDN] - Embeds: [YouTube, Google Maps, Social Buttons] - Payment: [Stripe, PayPal, keins] Für jeden Dienst: Anbieter + Adresse, erfasste Daten, Zweck, Rechtsgrundlage (Art. 6 DSGVO), Speicherdauer, Drittlandtransfer mit Garantien. Betroffenenrechte einzeln mit Artikel-Nummern. Aufsichtsbehörde mit Kontaktdaten. Sprache: verständliches Deutsch. Aktueller Rechtsstand 2026 (TDDDG statt TTDSG). Kopieren

Cookie-Banner Code generieren

Erstelle einen DSGVO- und TDDDG-konformen Cookie-Consent-Banner als Vanilla JavaScript (kein Framework, keine externe Abhängigkeit). Anforderungen: - Granulare Kategorien: Notwendig (immer aktiv), Statistik, Marketing - Keine vorausgewählten Checkboxen - 3 gleichwertige Buttons: "Nur Notwendige", "Auswahl speichern", "Alle akzeptieren" - Detail-Layer mit Cookie-Tabelle (Name, Anbieter, Zweck, Laufzeit) - Google Consent Mode v2 (default denied, update auf granted) - Consent in localStorage speichern (Zeitpunkt, Version, Auswahl) - Footer-Link "Cookie-Einstellungen" für Widerruf - Scripts erst NACH Consent laden (kein Tracking vor Klick) - Tracking-IDs: GTM [GTM-ID], GA4 [GA4-ID] - Design: [Dark/Light], passend zu [Farbschema] - Mobile-responsive, accessible (role=dialog, aria-label) Kopieren

Cookie-Audit einer Website

Führe einen Cookie-Audit für [URL] durch. Ich will wissen: 1. Welche Cookies werden gesetzt BEVOR ich auf "Akzeptieren" klicke? (→ Verstoß) 2. Welche Cookies nach Consent? (→ müssen in Datenschutzerklärung stehen) 3. Welche Drittanbieter-Requests gehen raus? (→ Drittlandtransfer?) 4. Ist der Cookie-Banner konform? (gleichwertige Buttons, granular, kein Dark Pattern) 5. Stimmt die Datenschutzerklärung mit den tatsächlichen Cookies überein? Erstelle eine Tabelle: Cookie-Name | Anbieter | Kategorie | Vor/Nach Consent | In DSE dokumentiert? Kopieren

Impressum prüfen

Prüfe dieses Impressum auf Vollständigkeit nach TMG/DDG: [IMPRESSUM-TEXT HIER EINFUEGEN] Check: Name/Firma, Adresse, E-Mail, Telefon, Handelsregister (falls Firma), USt-IdNr (falls vorhanden), Vertretungsberechtigte, Berufsrechtliche Angaben (falls regulierter Beruf). Was fehlt? Was ist falsch? Korrigierte Version ausgeben. Kopieren

AVV-Check Dienstleister

Ich nutze folgende Dienste auf meiner Website: [Liste: z.B. Vercel Hosting, Google Analytics 4, Mailchimp Newsletter, Stripe Payment]. Für welche brauche ich einen Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO? Wo finde ich den AVV bei jedem Anbieter (direkter Link wenn möglich)? Welche sind Auftragsverarbeiter, welche eigenständige Verantwortliche? Kopieren

// 06 / 07DSGVO-Anforderungen nach Kategorie

Überblick über alle Pflichtbereiche, sortiert nach Priorität und Rechtsgrundlage.

Datenschutz Cookies Rechtliches Verträge

  • Kritisch Datenschutzerklärung mit allen Diensten und Rechtsgrundlagen (Art. 13 DSGVO)

  • Kritisch Keine externen Ressourcen ohne Opt-in (Google Fonts, CDNs, Embeds)

  • Hoch Kontaktformular mit DSGVO-Hinweis und Einwilligungscheckbox

  • Hoch SSL-Verschlüsselung (HTTPS) auf allen Seiten

  • Mittel Auskunftsrecht und Löschprozess dokumentiert

  • Kritisch Consent vor Tracking, kein GA/GTM ohne Einwilligung (§ 25 TDDDG)

  • Kritisch Gleichwertige Ablehnen/Akzeptieren-Buttons (kein Dark Pattern)

  • Hoch Granulare Kategorien: Notwendig, Statistik, Marketing

  • Hoch Consent-Widerruf jederzeit möglich (Cookie-Einstellungen im Footer)

  • Mittel Consent-Protokollierung für Nachweis

  • Kritisch Impressum nach § 5 DDG (ehemals TMG) mit vollständigen Angaben

  • Kritisch Impressum und Datenschutz max. 2 Klicks erreichbar

  • Hoch Keine irreführenden Formulierungen in Cookie-Texten

  • Mittel Barrierefreiheitserklärung (ab 2025 für viele Anbieter Pflicht)

  • Kritisch AVV mit Hosting-Anbieter (Art. 28 DSGVO)

  • Kritisch AVV mit Analyse-Tools (Google Analytics, Matomo etc.)

  • Hoch AVV mit Newsletter-Dienst (Mailchimp, Brevo etc.)

  • Hoch AVV mit Zahlungsdienstleister

  • Mittel Verarbeitungsverzeichnis (Art. 30 DSGVO) bei mehr als 250 Mitarbeitern Pflicht

// 07 / 07Häufige Fragen

MG

Max Götte

SEO Strategist · Founder · while.chat

SEO-Berater aus Bochum. Spezialisiert auf technisches SEO, Local SEO und Generative Engine Optimization für KMU im DACH-Raum. Von Audit über Content-Strategie bis Local SEO, evidenzbasiert, ohne Hype-Versprechen.

projekt anfragen → WhatsApp mehr Artikel

FAQ

Was hat sich 2026 zwischen DSGVO und TDDDG geaendert?

Das TDDDG regelt seit 2024 den Zugriff auf Endgeraete, also Cookies, LocalStorage und vergleichbare Tracking-Technologien. Die DSGVO regelt die Verarbeitung der dadurch gewonnenen Daten. TDDDG für den Setz-Vorgang, DSGVO für alles, was danach passiert.

Welche Cookies sind ohne Einwilligung erlaubt?

Nur technisch notwendige: Session-Cookies, Warenkorb-Cookies, Consent-Cookie selbst, Sicherheits-Token. Alles andere, Analytics, Tracking-Pixel, Marketing-Cookies, A/B-Test-Cookies, braucht eine aktive Einwilligung vor dem Setzen.

Brauche ich einen Datenschutzbeauftragten für meine KMU-Website?

Pflicht ab 20 Mitarbeitenden, die mit personenbezogenen Daten arbeiten (BDSG §38). Auch ohne diese Schwelle Pflicht, wenn die Kerntaetigkeit umfangreiche Verarbeitung sensibler Daten umfasst. Für typische KMU-Websites unter 20 Mitarbeitenden meist keine Pflicht, die DSGVO-Anforderungen gelten trotzdem.

Was gilt beim Drittlandtransfer in die USA?

Das EU-US Data Privacy Framework (seit 2023) ist die aktuelle Rechtsgrundlage für Transfers in zertifizierte US-Unternehmen. Anbieter müssen DPF-zertifiziert sein, Standardvertragsklauseln und ein Transfer Impact Assessment liegen vor. In der DSE muss der Drittlandtransfer mit Garantie genannt werden.

Wie hoch sind die realistischen Bussgelder bei DSGVO-Verstoessen?

Theoretisches Maximum: 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes. Realistisch für KMU sind Abmahnungen (200-1500 Euro plus Anwaltskosten) und seltener Bussgelder im vier- bis fuenfstelligen Bereich.

← Zurück zur Übersicht