Jetzt anfragen
Webdesign

DSGVO-Checkliste für Websites: 12 Punkte zum Abhaken

Die kompakte DSGVO-Website-Checkliste: 12 konkrete Punkte von Impressum über Cookie-Banner bis Tracking, die Sie der Reihe nach abhaken und kontrollieren können.

Von Felix Wilhelm · 26. Februar 2026
Ausgedruckte Checkliste mit abgehakten Punkten neben einem Laptop auf einem Schreibtisch

Datenschutz wirkt oft wie ein unübersichtliches Dickicht aus Paragrafen. In der Praxis lässt sich das Wesentliche aber auf eine überschaubare Liste eindampfen. Diese zwölf Punkte sind die Stellen, an denen bei Websites kleiner und mittlerer Betriebe am häufigsten etwas im Argen liegt. Gehen Sie sie der Reihe nach durch und haken Sie ab, was bei Ihnen sitzt. Was offen bleibt, ist Ihre Liste der nächsten Schritte. Ein Hinweis vorweg: Das ist praktische Orientierung, keine Rechtsberatung. Bei Unsicherheit gehört ein Anwalt oder Datenschutzbeauftragter dazu.

Warum eine Checkliste hilft

Eine Liste zwingt zur Systematik. Statt sich von einzelnen Schreckensmeldungen treiben zu lassen, arbeiten Sie strukturiert die Punkte ab, die in der Praxis wirklich zählen. Die meisten Beanstandungen drehen sich nicht um komplizierte Sonderfälle, sondern um Grundlegendes, das schlicht übersehen wurde. Genau dafür ist diese DSGVO-Checkliste gedacht. Wer tiefer einsteigen will, findet weitere Beiträge im DSGVO-Bereich unseres Blogs.

Der Vorteil einer Liste liegt auch darin, dass Sie den Fortschritt sehen. Jeder abgehakte Punkt ist eine erledigte Sorge weniger, jeder offene Punkt eine konkrete Aufgabe statt eines diffusen schlechten Gefühls. So wird aus dem unangenehmen Thema Datenschutz eine endliche To-do-Liste, die man der Reihe nach abarbeitet.

Die 12 Punkte zum Abhaken

Arbeiten Sie diese Liste in Ruhe durch. Zu jedem Punkt finden Sie weiter unten die wichtigsten Details.

  1. Impressum vorhanden, vollständig und von überall erreichbar
  2. Datenschutzerklärung passt zur tatsächlich genutzten Technik
  3. Verschlüsselung per SSL ist auf allen Seiten aktiv
  4. Cookie-Banner fragt vor dem Setzen nicht-notwendiger Cookies
  5. Ablehnen ist genauso einfach wie Zustimmen
  6. Tracking lädt erst nach erteilter Einwilligung
  7. Externe Schriftarten sind lokal eingebunden
  8. Karten, Videos und Feeds laden erst nach Zustimmung
  9. Formulare übertragen verschlüsselt und nur nötige Daten
  10. Newsletter nutzt ein nachweisbares Double-Opt-In
  11. Aufbewahrung und Löschung von Daten sind geregelt
  12. Mit Dienstleistern bestehen Auftragsverarbeitungsverträge

Pflichtangaben: Impressum und Datenschutzerklärung

Die Punkte eins und zwei sind die Basis. Das Impressum muss von jeder Unterseite mit einem Klick erreichbar und vollständig sein, denn die Impressumspflicht zählt zu den häufigsten Abmahngründen. Die Datenschutzerklärung muss zu Ihrer Seite passen: Eine Vorlage, die Dienste nennt, die Sie nicht nutzen, oder die laufendes Tracking verschweigt, schützt Sie nicht. Beide Dokumente gehören sichtbar in den Footer.

Punkt drei ist schnell geprüft: Steht “https” in der Adresszeile und erscheint ein Schloss-Symbol, ist das SSL-Zertifikat aktiv. Bei den Punkten vier bis sechs geht es um den Cookie-Banner. Testen Sie ihn in einem privaten Browserfenster. Ein sauberer Banner setzt nicht-notwendige Cookies erst nach aktiver Zustimmung, und die Ablehnung muss ebenso einfach möglich sein wie die Annahme. Klicken Sie auf “Ablehnen” und kontrollieren Sie, ob trotzdem Tracking-Cookies gesetzt werden. Optisch ordentliche Banner scheitern oft genau an diesem Punkt.

Drittinhalte: Schriften, Karten, Videos

Die Punkte sieben und acht betreffen Inhalte, die man selten als Datenübertragung wahrnimmt. Externe Schriftarten, eingebettete Karten, YouTube-Videos und Social-Media-Feeds stellen im Hintergrund eine Verbindung zu Drittanbietern her, oft schon beim Laden der Seite. Schriftarten lassen sich fast immer lokal einbinden, womit das Problem verschwindet. Karten und Videos sollten erst nach einer Einwilligung laden, etwa über eine vorgeschaltete Klickfläche.

Formulare, Newsletter und Aufbewahrung

Die Punkte neun bis elf drehen sich um die Daten, die Sie aktiv erheben. Formulare müssen verschlüsselt übertragen und sollten nur die Daten abfragen, die für den Zweck nötig sind. Beim Newsletter braucht es ein nachweisbares Double-Opt-In, bei dem die Anmeldung per E-Mail bestätigt wird. Und Sie sollten festlegen, wie lange Sie welche Daten aufbewahren und wann Sie sie löschen. Daten, die Sie nicht mehr brauchen, sind ein Risiko ohne Nutzen.

Verträge mit Dienstleistern

Punkt zwölf wird gern vergessen. Sobald ein Dienstleister in Ihrem Auftrag personenbezogene Daten verarbeitet, etwa Ihr Hosting-Anbieter, Ihr Newsletter-Tool oder Ihr Analyse-Werkzeug, brauchen Sie mit ihm einen Auftragsverarbeitungsvertrag. Seriöse Anbieter stellen diesen bereit, oft als Download im Kundenkonto. Sammeln Sie diese Verträge an einem Ort, damit Sie im Zweifel nachweisen können, dass alles geregelt ist.

Wenn ein Dienstleister Daten außerhalb der EU verarbeitet, etwa weil Server in den USA stehen, kommt eine zusätzliche Ebene hinzu. Solche Übermittlungen in Drittländer brauchen eine eigene Rechtsgrundlage und sind genau der Punkt, an dem die Selbstprüfung an ihre Grenzen stößt. Notieren Sie sich solche Fälle und holen Sie hier gezielt fachlichen Rat ein, statt zu raten.

Häufige Fehler

  • der Cookie-Banner setzt Tracking-Cookies bereits vor der Einwilligung
  • die Datenschutzerklärung stammt aus einer Vorlage und passt nicht zur Seite
  • externe Schriftarten oder Karten laden ohne jede Zustimmung
  • der Newsletter läuft ohne nachweisbares Double-Opt-In
  • mit Hosting- oder Tool-Anbietern fehlen die Auftragsverarbeitungsverträge

Wer diese fünf Klassiker abstellt, hat den Großteil der typischen Lücken bereits geschlossen.

Diese Punkte richtig priorisieren

Nicht jeder offene Punkt ist gleich dringend. Verschlüsselung, ein korrekt arbeitender Cookie-Banner und eine passende Datenschutzerklärung gehören zu den Stellen, die am ehesten auffallen und am leichtesten beanstandet werden, also nach oben auf die Liste. Eine fehlende Löschregel oder ein noch nicht abgelegter Auftragsverarbeitungsvertrag sind ebenfalls wichtig, lassen sich aber meist ohne Zeitdruck nacharbeiten. Wer mit den sichtbaren Punkten beginnt, schließt zuerst die Lücken, die das größte Risiko tragen.

So nutzen Sie die Liste

Drucken Sie die zwölf Punkte aus oder kopieren Sie sie in ein Dokument und vergeben Sie pro Punkt ein klares Ja, Nein oder Unklar. Die offenen Punkte ergeben Ihre Arbeitsliste. Vieles davon können Sie selbst erledigen, anderes braucht technische oder juristische Hilfe. Bei rechtlichen Fragen, etwa zu Drittländern oder zu Ihrer konkreten Rechtsgrundlage, ist ein Anwalt oder Datenschutzbeauftragter die richtige Adresse.

Technisch sorgen wir dafür, dass Datenschutz und ein sauberes Webdesign zusammengehen. Wenn Sie es gründlich angehen wollen, betrachtet ein Digital-Audit Datenschutz, Technik und Sichtbarkeit in einem Aufwasch.

Wenn Sie Ihre Liste gemeinsam durchgehen oder die offenen Punkte sauber abarbeiten lassen möchten, melden Sie sich über unser Kontaktformular. Wir sind in der Region Neckar-Alb und im Raum Stuttgart zu Hause und sagen Ihnen klar, welche Punkte wirklich drängen.

Weitere Artikel

Webdesign

Datenschutzerklärung für die Website: Das gehört rein

Datenschutzerklärung für die Website: Welche Angaben zu Verantwortlichem, Zwecken, Tools und Rechten gehören und wie Sie das Dokument aktuell halten.

 Webdesign

Cookie-Banner richtig einsetzen: Was Pflicht ist und was nicht

Cookie-Banner richtig einsetzen: Wann ein Banner Pflicht ist, der Unterschied zwischen Einwilligung und notwendigen Cookies und wie Sie Abmahnfallen vermeiden.

 Webdesign

DSGVO-Check für Ihre Website: So prüfen Sie selbst

DSGVO Website prüfen leicht gemacht: In sieben Schritten kontrollieren Sie selbst, ob Cookies, Formulare, Datenschutzerklärung und Tracking auf Ihrer Seite sauber sind.

Webseite, die mehr aus Ihrem Content macht?

Guter Content allein reicht nicht – er muss gefunden werden. Wir helfen dabei.

Kostenloses Erstgespräch
Anrufen WhatsApp Termin Termin buchen