Eine DSGVO-Website-Checkliste klingt nach trockener Pflichtübung — bis der erste Brief einer Abmahnkanzlei im Briefkasten liegt. Dann wird aus dem lästigen Thema schnell ein teures. Hier sind die 8 Punkte, die 2026 wirklich zählen, ohne Panikmache und ohne Juristendeutsch.

Die gute Nachricht zuerst: Eine datenschutzkonforme Website ist keine Raketenwissenschaft. Die meisten Probleme entstehen nicht aus bösem Willen, sondern aus Copy-und-Paste — ein Google-Font aus dem Netz geladen, ein Kontaktformular ohne Verschlüsselung, ein Cookie-Banner, das gar keine echte Wahl lässt. Genau diese Kleinigkeiten sind es, die Abmahner mit automatisierten Scans finden.

Warum diese DSGVO-Website-Checkliste 2026 wichtiger ist als je zuvor

Seit die ersten Wellen automatisierter Abmahnungen — etwa rund um extern geladene Google Fonts — durch das Netz gerollt sind, hat sich eine kleine Industrie darauf spezialisiert, Websites maschinell nach Verstößen zu durchsuchen. Für kleine Betriebe ist das bitter: Ein Handwerker, eine Praxis oder ein Restaurant hat selten eine Rechtsabteilung, die den Brief einordnet. Der Reflex ist Zahlen. Dabei lassen sich fast alle typischen Fallen mit einem halben Tag Arbeit schließen — wenn man weiß, wo man hinschauen muss.

Die 8 Punkte der Checkliste

  1. Vollständige Datenschutzerklärung. Erreichbar von jeder Unterseite, in verständlicher Sprache, und sie muss wirklich beschreiben, was passiert — welche Dienste Daten verarbeiten, wofür, auf welcher Rechtsgrundlage. Eine Vorlage von 2019, die Google Analytics erwähnt, das Sie längst entfernt haben, ist schlimmer als keine.
  2. Korrektes Impressum. Vollständige Anbieterkennzeichnung nach § 5 DDG, von jeder Seite mit einem Klick erreichbar. Fehlende oder unvollständige Impressen sind der Klassiker unter den Abmahngründen.
  3. Verschlüsselung per HTTPS. Ein gültiges SSL-Zertifikat ist Pflicht, sobald irgendein Formular Daten überträgt. Ohne das grüne Schloss verschicken Ihre Besucher Namen und E-Mail im Klartext — und der Browser warnt sie davor.
  4. Kontaktformular mit Datensparsamkeit. Fragen Sie nur ab, was Sie wirklich brauchen. Eine Checkbox mit Verweis auf die Datenschutzerklärung gehört darunter — aber kein doppeltes Opt-in-Theater für eine simple Anfrage.
  5. Cookie-Banner mit echter Wahl. Wenn Sie einwilligungspflichtige Dienste laden (Tracking, Karten, eingebettete Videos), braucht es ein Consent-Banner, das „Ablehnen“ genauso einfach macht wie „Akzeptieren“. Kein vorausgewähltes Häkchen, kein verstecktes Ablehnen.
  6. Keine extern geladenen Ressourcen ohne Einwilligung. Google Fonts, YouTube-Videos, Google Maps, Social-Media-Buttons — alles, was beim Seitenaufruf die IP an einen Dritt-Server schickt, ist ein Risiko. Lokal einbinden oder erst nach Zustimmung nachladen.
  7. Auftragsverarbeitung geregelt. Für Hosting, Newsletter-Tool oder Formular-Dienstleister brauchen Sie einen Vertrag zur Auftragsverarbeitung (AVV). Die meisten seriösen Anbieter stellen ihn bereit — man muss ihn nur abschließen und ablegen.
  8. Betroffenenrechte erfüllbar. Auskunft, Löschung, Widerspruch: Es muss einen klaren Kontaktweg geben, über den Menschen ihre Rechte ausüben können. Praktisch heißt das eine erreichbare E-Mail-Adresse und ein Prozess, der nicht ins Leere läuft.

Wenn Sie diese acht Punkte ehrlich durchgehen und bei jedem „ja, erledigt“ sagen können, ist Ihre Website in besserer Verfassung als die der meisten Wettbewerber. Das ist kein Freibrief — aber es schließt die Türen, durch die die automatisierten Scanner hereinkommen.

Die häufigsten Fehler, die teuer werden

  • Ein Cookie-Banner, das Tracking-Skripte schon vor der Zustimmung lädt — dann ist das Banner reine Deko und schützt vor gar nichts.
  • Google Fonts, Maps oder ein eingebettetes Video, das die Besucher-IP ungefragt an Server in den USA schickt.
  • Eine Datenschutzerklärung als PDF-Download statt als normale, indexierbare Unterseite.
  • Ein Kontaktformular ohne HTTPS oder ohne Hinweis, was mit den eingegebenen Daten geschieht.
  • Ein Impressum, das im Footer versteckt ist, aber auf Landingpages oder in mobilen Menüs fehlt.

Der teuerste Fehler ist meist der unsichtbarste: Man hält die Seite für sauber, weil sie „schon immer so lief“. Datenschutz ist aber kein Zustand, den man einmal herstellt, sondern einer, den jedes neue Plugin und jede eingebundene Karte wieder kippen kann.

// Pull-QuoteDatenschutz ist kein Häkchen, das man einmal setzt — es ist ein Zustand, den jedes neue Tool aufs Neue gefährdet.

Wie die Website Manufaktur das für Sie erledigt

Wir bauen Websites so, dass diese Punkte von Haus aus stimmen: Schriften lokal eingebunden statt aus fremden Netzen, Formulare verschlüsselt und datensparsam, Consent nur dort, wo wirklich einwilligungspflichtige Dienste laufen — und im Zweifel lieber ein Feature weniger, das Ihre Besucher-Daten irgendwohin schickt. Kein aufgeblähter Cookie-Zoo, sondern eine schlanke Seite, die schnell lädt und die Scanner ins Leere laufen lässt. Wie das Paket-Modell funktioniert und was drinsteckt, zeigt die Website-Manufaktur-Übersicht.

Ein ehrlicher Hinweis zum Schluss: Dieser Artikel ist eine praktische Orientierung, keine Rechtsberatung. Für die verbindliche Bewertung Ihres konkreten Falls — besonders bei sensiblen Daten — führt kein Weg an einer Fachanwältin oder einem Datenschutzbeauftragten vorbei. Was wir übernehmen, ist der technische Teil: eine Seite, die von Anfang an auf der sicheren Seite gebaut ist. Mehr Grundlagen dazu finden Sie im Journal.

// Ende des Artikels