Das Wichtigste zuerst Die DSGVO-Checkliste 2026 deckt alle Pflichten ab, die Website-Betreiber erfüllen müssen — von der Datenschutzerklärung bis zum Cookie-Consent und der Auftragsverarbeitung.

Ein Handwerker aus München öffnet morgens seine Mails. Zwischen Angeboten und Rechnungen liegt ein Schreiben einer Anwaltskanzlei: Abmahnung wegen Google Fonts. Schadenersatzforderung: 170 Euro. Der Mann hat seine Website vor drei Jahren erstellen lassen und seitdem nicht mehr angefasst. Die Schriftarten lädt sie direkt von Google-Servern — und überträgt dabei die IP-Adressen seiner Besucher in die USA.

Die Geschichte ist real, tausendfach passiert. Die meisten Websites in Deutschland sind nicht datenschutzkonform. Nicht aus bösem Willen, sondern weil die Anforderungen komplex sind, sich ständig ändern und niemand einen klaren Überblick hat.

Dieser Artikel liefert diesen Überblick. Eine vollständige, aktuelle Checkliste für 2026 — mit interaktiver Checkliste zum Abhaken, einem Praxisbeispiel anhand unseres eigenen Cookie-Banners und fertigen Prompts, mit denen du deine Website prüfen lassen kannst.

Die Rechtslage 2026: DSGVO trifft TDDDG

Zwei Gesetze bestimmen den Datenschutz auf Websites. Die DSGVO gilt seit Mai 2018 EU-weit und regelt den Umgang mit personenbezogenen Daten. Das TDDDG (seit Mai 2024, früher TTDSG) ist die deutsche Umsetzung der ePrivacy-Richtlinie.

Die Arbeitsteilung: Das TDDDG regelt in § 25, wann du auf Endgeräte zugreifen darfst — Cookies, Tracking, Fingerprinting. Die DSGVO regelt alles Weitere: Rechtsgrundlagen, Betroffenenrechte, Informationspflichten, Auftragsverarbeitung.

Kernerkenntnis

Verstösse gegen § 25 TDDDG: bis zu 300.000 Euro. DSGVO-Verstösse: bis zu 20 Millionen Euro oder 4 % des Jahresumsatzes. In der Praxis liegen die meisten Bussgelder im dreistelligen bis niedrigen fünfstelligen Bereich — aber Abmahnungen treffen gezielt kleine Unternehmen.

Interaktive Checkliste

Geh jeden Punkt durch. Die Farbe zeigt das Risiko: rot = kritisch, orange = hoch, gelb = mittel. Dein Fortschritt wird im Browser gespeichert.

Grundlagen

Cookie-Banner

Datenschutzerklärung — Inhalt

Tracking & Drittanbieter

Wartung

0 / 22 erledigt

Praxisbeispiel: Unser Cookie-Banner

Wir haben für while.chat einen eigenen Cookie-Consent-Banner gebaut — ohne externe Abhängigkeiten, DSGVO-konform, mit Google Consent Mode v2. Was der Banner richtig macht und warum:

Tools wie threefor.one scannen deine Seite in unter 60 Sekunden auf genau diese Probleme.

Konform

Drei gleichwertige Buttons: "Nur Notwendige", "Auswahl speichern", "Alle akzeptieren"

Granulare Kategorien: Notwendig / Statistik / Marketing einzeln wählbar

Keine vorausgewählten Checkboxen — nur "Notwendig" ist checked und disabled

Detail-Layer mit Cookie-Tabelle (Name, Anbieter, Zweck, Laufzeit)

GTM + GA4 laden erst NACH Consent (nicht vorher)

Footer-Link "Cookie-Einstellungen" für jederzeitigen Widerruf

Typische Verstösse

Nur ein großer "OK"-Button ohne echte Ablehnoption

"Alle akzeptieren" farbig, "Ablehnen" grau und versteckt

Tracking-Scripts laden schon beim Seitenaufruf, vor jedem Klick

Pauschal "Wir nutzen Cookies" ohne Kategorien oder Details

Kein Widerruf möglich — einmal geklickt, für immer getrackt

"Weiterscrollen = Zustimmung" Banner ohne Interaktion

Der vollständige Code unseres Banners ist Open Source und im zweiten Artikel dieser Serie Schritt für Schritt erklärt.

Quellen

Rechtsgrundlagen

DSGVO Volltext (EUR-Lex)

TDDDG Volltext (gesetze-im-internet.de)

FAQ TDDDG — LfD Niedersachsen

Praxisleitfäden

Cookie-Ratgeber — Dr. Thomas Schwenke

Cookies zwischen TDDDG und DSGVO — Dr. Datenschutz

DSGVO Website Checkliste — Sascha Fix

TDDDG Überblick — eRecht24

Tools

Webbkoll — Website-Datenschutz-Check

Cookiebot Scanner

Wichtiger Hinweis

Dieser Artikel dient ausschließlich der allgemeinen Information und ersetzt keine Rechtsberatung. Die Inhalte wurden sorgfältig recherchiert, erheben aber keinen Anspruch auf Vollständigkeit oder Aktualität. Führe immer eine eigene Recherche durch und ziehe bei Unsicherheiten einen auf Datenschutzrecht spezialisierten Rechtsanwalt hinzu. Für die Richtigkeit der Angaben wird keine Haftung übernommen.

Frequently Asked Prompts

Kopiere diese Prompts direkt in Claude, ChatGPT oder ein anderes LLM. Ersetze die Platzhalter in eckigen Klammern mit deinen eigenen Daten.

DSGVO Quick-Check

Prüfe die Website [URL] auf DSGVO-Konformität. Checke: SSL, Impressum, Datenschutzerklärung, Cookie-Banner (Opt-in, gleichwertige Buttons, granulare Auswahl), Tracking vor Consent, Google Fonts extern, Embeds ohne Consent. Für jeden Punkt: Status (OK/PROBLEM/KRITISCH) + konkreter Fix. Priorisierte To-Do-Liste am Ende. Deutsch, kein Juristendeutsch.

Datenschutzerklärung generieren

Erstelle eine vollständige Datenschutzerklärung nach Art. 13 DSGVO für folgende Website: - URL: [URL] - Betreiber: [Name, Adresse, E-Mail] - Hosting: [Anbieter, Land] - Analytics: [z.B. Google Analytics 4, Measurement-ID] - Cookie-Tools: [z.B. eigener Banner, Cookiebot] - Formulare: [Kontaktformular, Newsletter mit Double-Opt-in] - Fonts: [lokal gehostet / Google Fonts CDN] - Embeds: [YouTube, Google Maps, Social Buttons] - Payment: [Stripe, PayPal, keins] Für jeden Dienst: Anbieter + Adresse, erfasste Daten, Zweck, Rechtsgrundlage (Art. 6 DSGVO), Speicherdauer, Drittlandtransfer mit Garantien. Betroffenenrechte einzeln mit Artikel-Nummern. Aufsichtsbehörde mit Kontaktdaten. Sprache: verständliches Deutsch. Aktueller Rechtsstand 2026 (TDDDG statt TTDSG).

Cookie-Banner Code generieren

Erstelle einen DSGVO- und TDDDG-konformen Cookie-Consent-Banner als Vanilla JavaScript (kein Framework, keine externe Abhängigkeit). Anforderungen: - Granulare Kategorien: Notwendig (immer aktiv), Statistik, Marketing - Keine vorausgewählten Checkboxen - 3 gleichwertige Buttons: "Nur Notwendige", "Auswahl speichern", "Alle akzeptieren" - Detail-Layer mit Cookie-Tabelle (Name, Anbieter, Zweck, Laufzeit) - Google Consent Mode v2 (default denied, update auf granted) - Consent in localStorage speichern (Zeitpunkt, Version, Auswahl) - Footer-Link "Cookie-Einstellungen" für Widerruf - Scripts erst NACH Consent laden (kein Tracking vor Klick) - Tracking-IDs: GTM [GTM-ID], GA4 [GA4-ID] - Design: [Dark/Light], passend zu [Farbschema] - Mobile-responsive, accessible (role=dialog, aria-label)

Cookie-Audit einer Website

Führe einen Cookie-Audit für [URL] durch. Ich will wissen: 1. Welche Cookies werden gesetzt BEVOR ich auf "Akzeptieren" klicke? (→ Verstoß) 2. Welche Cookies nach Consent? (→ müssen in Datenschutzerklärung stehen) 3. Welche Drittanbieter-Requests gehen raus? (→ Drittlandtransfer?) 4. Ist der Cookie-Banner konform? (gleichwertige Buttons, granular, kein Dark Pattern) 5. Stimmt die Datenschutzerklärung mit den tatsächlichen Cookies überein? Erstelle eine Tabelle: Cookie-Name | Anbieter | Kategorie | Vor/Nach Consent | In DSE dokumentiert?

Impressum prüfen

Prüfe dieses Impressum auf Vollständigkeit nach TMG/DDG: [IMPRESSUM-TEXT HIER EINFUEGEN] Check: Name/Firma, Adresse, E-Mail, Telefon, Handelsregister (falls Firma), USt-IdNr (falls vorhanden), Vertretungsberechtigte, Berufsrechtliche Angaben (falls regulierter Beruf). Was fehlt? Was ist falsch? Korrigierte Version ausgeben.

AVV-Check Dienstleister

Ich nutze folgende Dienste auf meiner Website: [Liste: z.B. Vercel Hosting, Google Analytics 4, Mailchimp Newsletter, Stripe Payment]. Für welche brauche ich einen Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO? Wo finde ich den AVV bei jedem Anbieter (direkter Link wenn möglich)? Welche sind Auftragsverarbeiter, welche eigenständige Verantwortliche?

DSGVO-Anforderungen nach Kategorie

Überblick über alle Pflichtbereiche — sortiert nach Priorität und Rechtsgrundlage.

  • Kritisch Datenschutzerklärung mit allen Diensten und Rechtsgrundlagen (Art. 13 DSGVO)
  • Kritisch Keine externen Ressourcen ohne Opt-in (Google Fonts, CDNs, Embeds)
  • Hoch Kontaktformular mit DSGVO-Hinweis und Einwilligungscheckbox
  • Hoch SSL-Verschlüsselung (HTTPS) auf allen Seiten
  • Mittel Auskunftsrecht und Löschprozess dokumentiert

Haeufige Fragen

Was hat sich 2026 zwischen DSGVO und TDDDG geaendert?

Das TDDDG regelt seit 2024 den Zugriff auf Endgeraete — also Cookies, LocalStorage und vergleichbare Tracking-Technologien. Die DSGVO regelt die Verarbeitung der dadurch gewonnenen Daten. TDDDG fuer den Setz-Vorgang, DSGVO fuer alles, was danach passiert.

Welche Cookies sind ohne Einwilligung erlaubt?

Nur technisch notwendige: Session-Cookies, Warenkorb-Cookies, Consent-Cookie selbst, Sicherheits-Token. Alles andere — Analytics, Tracking-Pixel, Marketing-Cookies, A/B-Test-Cookies — braucht eine aktive Einwilligung vor dem Setzen.

Brauche ich einen Datenschutzbeauftragten fuer meine KMU-Website?

Pflicht ab 20 Mitarbeitenden, die mit personenbezogenen Daten arbeiten (BDSG §38). Auch ohne diese Schwelle Pflicht, wenn die Kerntaetigkeit umfangreiche Verarbeitung sensibler Daten umfasst. Fuer typische KMU-Websites unter 20 Mitarbeitenden meist keine Pflicht — die DSGVO-Anforderungen gelten trotzdem.

Was gilt beim Drittlandtransfer in die USA?

Das EU-US Data Privacy Framework (seit 2023) ist die aktuelle Rechtsgrundlage fuer Transfers in zertifizierte US-Unternehmen. Anbieter muessen DPF-zertifiziert sein, Standardvertragsklauseln und ein Transfer Impact Assessment liegen vor. In der DSE muss der Drittlandtransfer mit Garantie genannt werden.

Wie hoch sind die realistischen Bussgelder bei DSGVO-Verstoessen?

Theoretisches Maximum: 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes. Realistisch fuer KMU sind Abmahnungen (200-1500 Euro plus Anwaltskosten) und seltener Bussgelder im vier- bis fuenfstelligen Bereich.

Weiterlesen

Datenschutzerklärung schreiben: Schritt für Schritt zur rechtssicheren DSE Datenschutzerklärung selbst schreiben oder generieren? Alle Pflichtangaben nach Art. 13 DSGVO, Vorlagen, Checkliste und... Cookie-Banner DSGVO-konform bauen: So geht's richtig Cookie-Banner selber bauen oder Tool nutzen? Anforderungen nach TDDDG und DSGVO, Praxisbeispiel mit Code, Dark Patterns ... Dark Patterns: Wie Design dich manipuliert — und was du dagegen tun kannst Von Confirm Shaming bis Roach Motel: Die psychologischen Tricks hinter manipulativem Webdesign — und warum die EU sie je...

threefor.one — Kostenloser SEO-Audit — 19 Dimensionen, unter 60 Sekunden, keine Anmeldung.

Kostenlos testen

DSGVO ist nur ein Teil. threefor.one prüft auch SEO, Performance und Accessibility — alles in einem Scan.

Jetzt scannen →