DSGVO-konforme Website 2026: Was wirklich nötig ist
Cookie-Banner, Datenschutzerklärung, Auftragsverarbeitungsvertrag – bei der DSGVO wissen die meisten Website-Betreiber nicht, was Pflicht ist und was übertrieben. Hier bekommst du eine klare Übersicht, was deine Website 2026 wirklich braucht.
Die DSGVO gilt seit 2018. Und trotzdem herrscht bei den meisten Website-Betreibern immer noch Unsicherheit. Brauche ich einen Cookie-Banner? Was muss in die Datenschutzerklärung? Darf ich Google Fonts verwenden? Was ist mit Analytics?
Die gute Nachricht: Für eine typische Unternehmenswebsite ist die DSGVO-Konformität kein Hexenwerk. Die schlechte Nachricht: Viele machen es sich unnötig kompliziert – oder machen gar nichts und hoffen, dass es gutgeht.
Wichtiger Hinweis: Ich bin kein Anwalt. Dieser Artikel gibt eine praxisorientierte Übersicht für kleine Unternehmen. Für rechtssichere Beratung im Einzelfall solltest du einen Fachanwalt für Datenschutzrecht konsultieren.
Was die DSGVO von deiner Website verlangt
Im Kern geht es um zwei Dinge: Transparenz und Kontrolle. Deine Besucher müssen wissen, welche Daten du sammelst. Und sie müssen die Möglichkeit haben, dem zu widersprechen.
1. Datenschutzerklärung (Pflicht)
Jede Website braucht eine Datenschutzerklärung. Ohne Ausnahme. Sie muss von jeder Seite aus erreichbar sein – typischerweise über einen Link im Footer.
Was drinstehen muss:
- Wer ist verantwortlich? (Name, Adresse, E-Mail)
- Welche Daten werden erfasst? (Server-Logs, Formulardaten, Cookies)
- Warum werden die Daten erfasst? (Rechtsgrundlage nach Art. 6 DSGVO)
- Wie lange werden die Daten gespeichert?
- Werden Daten an Dritte weitergegeben? (Hoster, Analytics, etc.)
- Welche Rechte hat der Besucher? (Auskunft, Löschung, Widerspruch)
Praxis-Tipp: Nutze einen Datenschutz-Generator wie den von Dr. Schwenke oder e-recht24. Die erstellen eine rechtskonforme Datenschutzerklärung basierend auf deinen Angaben. Kostenlos oder für kleines Geld.
2. Impressum (Pflicht – aus TMG, nicht DSGVO)
Streng genommen keine DSGVO-Anforderung, sondern Pflicht nach dem Telemediengesetz. Aber genauso wichtig. Jede geschäftliche Website in Deutschland braucht ein Impressum mit Name, Adresse, Kontakt und ggf. Handelsregister/USt-ID.
3. SSL-Zertifikat (Pflicht)
Wenn deine Website ein Kontaktformular hat oder irgendeine andere Art von Dateneingabe ermöglicht, ist eine verschlüsselte Verbindung (HTTPS) Pflicht. In der Praxis: Jede Website sollte SSL haben. Es gibt keinen Grund, 2026 noch ohne HTTPS online zu sein.
Die meisten Hoster bieten kostenlose SSL-Zertifikate über Let's Encrypt an. Kein Aufwand, keine Kosten.
4. Cookie-Banner – brauchst du einen?
Das hängt davon ab, welche Cookies deine Website setzt. Und hier wird es interessant:
Technisch notwendige Cookies (Session-Cookies, Warenkorb, Sprach-Einstellungen) darfst du ohne Einwilligung setzen. Dafür brauchst du keinen Banner – nur einen Hinweis in der Datenschutzerklärung.
Tracking-Cookies (Google Analytics, Facebook Pixel, Marketing-Tools) erfordern eine aktive Einwilligung vor dem Setzen des Cookies. Hier brauchst du einen Cookie-Banner mit Opt-in.
Die Frage ist also: Setzt deine Website Tracking-Cookies?
Wenn du Google Analytics oder den Facebook Pixel nutzt: Ja, du brauchst einen Cookie-Banner mit aktiver Einwilligung (Opt-in, nicht nur "Hinweis wegklicken").
Wenn du kein Tracking nutzt, keine externen Fonts lädst und keine Marketing-Tools einbindest: Du brauchst wahrscheinlich keinen Cookie-Banner. Deine Website setzt dann nur technisch notwendige Cookies (wenn überhaupt), und die sind von der Einwilligungspflicht ausgenommen.
Das ist übrigens einer der Vorteile einer statischen Website: Ohne WordPress, ohne Plugins, ohne externe Scripts setzt die Website in der Regel keine Tracking-Cookies. Kein Banner nötig. Weniger Friction für den Besucher.
5. Google Fonts – das Landgericht-München-Urteil
Seit dem vielbeachteten Urteil des LG München (2022) ist klar: Google Fonts direkt von Googles Servern zu laden, ist ohne Einwilligung problematisch. Weil dabei die IP-Adresse des Besuchers an Google in die USA übertragen wird.
Die Lösung ist einfach: Fonts selbst hosten. Du lädst die Schriftdateien herunter, legst sie auf deinen eigenen Server und bindest sie von dort ein. Kein Datentransfer an Google, kein Problem.
Das ist bei einer statischen Website Standard – und auch bei WordPress mit etwas Aufwand machbar.
6. Kontaktformulare
Wenn du ein Kontaktformular auf deiner Website hast, verarbeitest du personenbezogene Daten (Name, E-Mail, Nachricht). Das ist erlaubt – auf Basis von Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen) oder Art. 6 Abs. 1 lit. f (berechtigtes Interesse).
Was du beachten musst:
- Hinweis unter dem Formular, dass die Daten zur Bearbeitung der Anfrage verwendet werden
- Link zur Datenschutzerklärung
- Daten nicht länger speichern als nötig
- Verschlüsselte Übertragung (SSL)
Was du nicht brauchst: Eine Checkbox "Ich habe die Datenschutzerklärung gelesen und stimme zu". Die ist rechtlich umstritten und nach herrschender Meinung nicht notwendig, wenn du das Formular auf Basis von berechtigtem Interesse oder vorvertraglichen Maßnahmen betreibst. Ein Hinweis mit Link reicht.
7. Auftragsverarbeitungsvertrag (AVV)
Wenn ein externer Dienstleister Daten in deinem Auftrag verarbeitet – also z. B. dein Hoster, dein Newsletter-Anbieter oder dein Analytics-Tool – brauchst du mit diesem Dienstleister einen AVV.
Die meisten seriösen Anbieter (IONOS, Hetzner, Mailchimp, etc.) bieten den AVV zum Download oder zur Online-Unterzeichnung an. Das ist in 5 Minuten erledigt.
Die Checkliste für deine Website
Muss vorhanden sein:
- ☐ Impressum (von jeder Seite erreichbar)
- ☐ Datenschutzerklärung (von jeder Seite erreichbar)
- ☐ SSL-Zertifikat (HTTPS)
- ☐ AVV mit deinem Hoster
Je nach Website zusätzlich nötig:
- ☐ Cookie-Banner mit Opt-in (wenn du Tracking nutzt)
- ☐ Selbst gehostete Fonts (wenn du Webfonts nutzt)
- ☐ Hinweis beim Kontaktformular
- ☐ AVV mit Analytics-Anbieter, Newsletter-Tool etc.
Nicht nötig (aber viele machen es trotzdem):
- Cookie-Banner, obwohl keine Tracking-Cookies gesetzt werden
- Checkbox beim Kontaktformular "Ich stimme der Datenschutzerklärung zu"
- Aufwändige Cookie-Consent-Management-Plattformen für eine einfache Unternehmenswebsite
Der einfachste Weg zur DSGVO-Konformität
Je weniger externe Dienste deine Website nutzt, desto weniger DSGVO-Aufwand hast du. Das ist keine Theorie – das ist Praxis.
Eine statische Website, die auf deutschen Servern gehostet wird, selbst gehostete Fonts nutzt, kein Tracking einbaut und Formulardaten per E-Mail verschickt, hat minimalen DSGVO-Aufwand: Impressum, Datenschutzerklärung, SSL, AVV mit dem Hoster. Fertig.
Kein Cookie-Banner. Kein Consent-Management. Kein Datentransfer in die USA. Einfach eine saubere Website, die die Privatsphäre deiner Besucher respektiert.
Du bist unsicher, ob deine Website DSGVO-konform ist? Schick mir deine URL – ich schaue drüber.
Häufige Fragen
Nein. Einen Cookie-Banner brauchst du nur, wenn deine Website Tracking-Cookies setzt (z.B. Google Analytics, Facebook Pixel). Technisch notwendige Cookies benötigen keine Einwilligung. Eine statische Website ohne Tracking-Tools kommt oft ganz ohne Cookie-Banner aus.
Pflichtangaben: Name und Kontakt des Verantwortlichen, welche Daten erfasst werden, warum (Rechtsgrundlage nach Art. 6 DSGVO), wie lange sie gespeichert werden, ob Daten an Dritte weitergegeben werden und welche Rechte Besucher haben (Auskunft, Löschung, Widerspruch).
Das direkte Laden von Google Fonts über Google-Server ist ohne Einwilligung problematisch (LG München, 2022), weil die IP-Adresse des Besuchers an Google übertragen wird. Die Lösung: Schriftarten auf dem eigenen Server hosten. So gibt es keine Datenübermittlung an Dritte.