DSGVO-Checkliste 2026: Was deine Website wirklich braucht
März 2026 · 14 Min. Lesezeit · Max Götte
Ein Handwerker aus München öffnet morgens seine Mails. Zwischen Angeboten und Rechnungen liegt ein Schreiben einer Anwaltskanzlei: Abmahnung wegen Google Fonts. Schadenersatzforderung: 170 Euro. Der Mann hat seine Website vor drei Jahren erstellen lassen und seitdem nicht mehr angefasst. Die Schriftarten lädt sie direkt von Google-Servern — und überträgt dabei die IP-Adressen seiner Besucher in die USA.
Die Geschichte ist real, tausendfach passiert. Die meisten Websites in Deutschland sind nicht datenschutzkonform. Nicht aus bösem Willen, sondern weil die Anforderungen komplex sind, sich ständig ändern und niemand einen klaren Überblick hat.
Dieser Artikel liefert diesen Überblick. Eine vollständige, aktuelle Checkliste für 2026 — mit interaktiver Checkliste zum Abhaken, einem Praxisbeispiel anhand unseres eigenen Cookie-Banners und fertigen Prompts, mit denen du deine Website prüfen lassen kannst.
I
Die Rechtslage 2026: DSGVO trifft TDDDG
Zwei Gesetze bestimmen den Datenschutz auf Websites. Die DSGVO gilt seit Mai 2018 EU-weit und regelt den Umgang mit personenbezogenen Daten. Das TDDDG (seit Mai 2024, früher TTDSG) ist die deutsche Umsetzung der ePrivacy-Richtlinie.
Die Arbeitsteilung: Das TDDDG regelt in § 25, wann du auf Endgeräte zugreifen darfst — Cookies, Tracking, Fingerprinting. Die DSGVO regelt alles Weitere: Rechtsgrundlagen, Betroffenenrechte, Informationspflichten, Auftragsverarbeitung.
Kernerkenntnis
Verstösse gegen § 25 TDDDG: bis zu 300.000 Euro. DSGVO-Verstösse: bis zu 20 Millionen Euro oder 4 % des Jahresumsatzes. In der Praxis liegen die meisten Bussgelder im dreistelligen bis niedrigen fünfstelligen Bereich — aber Abmahnungen treffen gezielt kleine Unternehmen.
II
Interaktive Checkliste
Geh jeden Punkt durch. Die Farbe zeigt das Risiko: rot = kritisch, orange = hoch, gelb = mittel. Dein Fortschritt wird im Browser gespeichert.
Grundlagen
Cookie-Banner
Datenschutzerklärung — Inhalt
Tracking & Drittanbieter
Wartung
0 / 22 erledigt
III
Praxisbeispiel: Unser Cookie-Banner
Wir haben für while.chat einen eigenen Cookie-Consent-Banner gebaut — ohne externe Abhängigkeiten, DSGVO-konform, mit Google Consent Mode v2. Was der Banner richtig macht und warum:
Konform
Drei gleichwertige Buttons: "Nur Notwendige", "Auswahl speichern", "Alle akzeptieren"
Granulare Kategorien: Notwendig / Statistik / Marketing einzeln wählbar
Keine vorausgewählten Checkboxen — nur "Notwendig" ist checked und disabled
Detail-Layer mit Cookie-Tabelle (Name, Anbieter, Zweck, Laufzeit)
GTM + GA4 laden erst NACH Consent (nicht vorher)
Footer-Link "Cookie-Einstellungen" für jederzeitigen Widerruf
Typische Verstösse
Nur ein großer "OK"-Button ohne echte Ablehnoption
"Alle akzeptieren" farbig, "Ablehnen" grau und versteckt
Tracking-Scripts laden schon beim Seitenaufruf, vor jedem Klick
Pauschal "Wir nutzen Cookies" ohne Kategorien oder Details
Kein Widerruf möglich — einmal geklickt, für immer getrackt
"Weiterscrollen = Zustimmung" Banner ohne Interaktion
Der vollständige Code unseres Banners ist Open Source und im zweiten Artikel dieser Serie Schritt für Schritt erklärt.
Dieser Artikel dient ausschliesslich der allgemeinen Information und ersetzt keine Rechtsberatung. Die Inhalte wurden sorgfältig recherchiert, erheben aber keinen Anspruch auf Vollständigkeit oder Aktualität. Führe immer eine eigene Recherche durch und ziehe bei Unsicherheiten einen auf Datenschutzrecht spezialisierten Rechtsanwalt hinzu. Für die Richtigkeit der Angaben wird keine Haftung übernommen.
FAP
Frequently Asked Prompts
Kopiere diese Prompts direkt in Claude, ChatGPT oder ein anderes LLM. Ersetze die Platzhalter in eckigen Klammern mit deinen eigenen Daten.
DSGVO Quick-Check
Prüfe die Website [URL] auf DSGVO-Konformität. Checke: SSL, Impressum, Datenschutzerklärung, Cookie-Banner (Opt-in, gleichwertige Buttons, granulare Auswahl), Tracking vor Consent, Google Fonts extern, Embeds ohne Consent. Für jeden Punkt: Status (OK/PROBLEM/KRITISCH) + konkreter Fix. Priorisierte To-Do-Liste am Ende. Deutsch, kein Juristendeutsch.
Datenschutzerklärung generieren
Erstelle eine vollständige Datenschutzerklärung nach Art. 13 DSGVO für folgende Website:
- URL: [URL]
- Betreiber: [Name, Adresse, E-Mail]
- Hosting: [Anbieter, Land]
- Analytics: [z.B. Google Analytics 4, Measurement-ID]
- Cookie-Tools: [z.B. eigener Banner, Cookiebot]
- Formulare: [Kontaktformular, Newsletter mit Double-Opt-in]
- Fonts: [lokal gehostet / Google Fonts CDN]
- Embeds: [YouTube, Google Maps, Social Buttons]
- Payment: [Stripe, PayPal, keins]
Für jeden Dienst: Anbieter + Adresse, erfasste Daten, Zweck, Rechtsgrundlage (Art. 6 DSGVO), Speicherdauer, Drittlandtransfer mit Garantien. Betroffenenrechte einzeln mit Artikel-Nummern. Aufsichtsbehörde mit Kontaktdaten. Sprache: verständliches Deutsch. Aktueller Rechtsstand 2026 (TDDDG statt TTDSG).
Cookie-Banner Code generieren
Erstelle einen DSGVO- und TDDDG-konformen Cookie-Consent-Banner als Vanilla JavaScript (kein Framework, keine externe Abhängigkeit). Anforderungen:
- Granulare Kategorien: Notwendig (immer aktiv), Statistik, Marketing
- Keine vorausgewählten Checkboxen
- 3 gleichwertige Buttons: "Nur Notwendige", "Auswahl speichern", "Alle akzeptieren"
- Detail-Layer mit Cookie-Tabelle (Name, Anbieter, Zweck, Laufzeit)
- Google Consent Mode v2 (default denied, update auf granted)
- Consent in localStorage speichern (Zeitpunkt, Version, Auswahl)
- Footer-Link "Cookie-Einstellungen" für Widerruf
- Scripts erst NACH Consent laden (kein Tracking vor Klick)
- Tracking-IDs: GTM [GTM-ID], GA4 [GA4-ID]
- Design: [Dark/Light], passend zu [Farbschema]
- Mobile-responsive, accessible (role=dialog, aria-label)
Cookie-Audit einer Website
Führe einen Cookie-Audit für [URL] durch. Ich will wissen:
1. Welche Cookies werden gesetzt BEVOR ich auf "Akzeptieren" klicke? (→ Verstoss)
2. Welche Cookies nach Consent? (→ müssen in Datenschutzerklärung stehen)
3. Welche Drittanbieter-Requests gehen raus? (→ Drittlandtransfer?)
4. Ist der Cookie-Banner konform? (gleichwertige Buttons, granular, kein Dark Pattern)
5. Stimmt die Datenschutzerklärung mit den tatsächlichen Cookies überein?
Erstelle eine Tabelle: Cookie-Name | Anbieter | Kategorie | Vor/Nach Consent | In DSE dokumentiert?
Impressum prüfen
Prüfe dieses Impressum auf Vollständigkeit nach TMG/DDG:
[IMPRESSUM-TEXT HIER EINFUEGEN]
Check: Name/Firma, Adresse, E-Mail, Telefon, Handelsregister (falls Firma), USt-IdNr (falls vorhanden), Vertretungsberechtigte, Berufsrechtliche Angaben (falls regulierter Beruf). Was fehlt? Was ist falsch? Korrigierte Version ausgeben.
AVV-Check Dienstleister
Ich nutze folgende Dienste auf meiner Website: [Liste: z.B. Vercel Hosting, Google Analytics 4, Mailchimp Newsletter, Stripe Payment]. Für welche brauche ich einen Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO? Wo finde ich den AVV bei jedem Anbieter (direkter Link wenn möglich)? Welche sind Auftragsverarbeiter, welche eigenständige Verantwortliche?