Die DSGVO (Datenschutz-Grundverordnung) gilt seit 2018 — und betrifft ausnahmslos jede Website. Trotzdem sind viele Websites auch 2026 noch nicht vollständig konform. Das kann teuer werden: Abmahnungen und Bußgelder sind keine Seltenheit.
In diesem Ratgeber zeige ich dir die 8 wichtigsten DSGVO-Pflichten, wie du ein Cookie-Banner richtig einrichtest und welche Fehler du unbedingt vermeiden solltest. Am Ende findest du eine interaktive Checkliste zum Abhaken.
Was ist die DSGVO und warum betrifft sie jede Website?
Die Datenschutz-Grundverordnung (DSGVO) ist eine EU-Verordnung, die den Umgang mit personenbezogenen Daten regelt. Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierbare Person beziehen — und dazu gehören bereits IP-Adressen.
Das bedeutet: Sobald deine Website einen Besucher hat, verarbeitest du personenbezogene Daten. Dein Webserver speichert die IP-Adresse in Log-Dateien. Wenn du zusätzlich Kontaktformulare, Analytics oder Social-Media-Plugins nutzt, kommen weitere Daten hinzu.
Die 8 DSGVO-Pflichten für Website-Betreiber
Diese 8 Punkte musst du auf deiner Website umsetzen, um DSGVO-konform zu sein:
1. Impressum
Keine DSGVO-Pflicht im engeren Sinne, aber nach TMG/DDG gesetzlich vorgeschrieben und eng mit dem Datenschutz verknüpft. Dein Impressum muss vollständige Angaben zu Name, Anschrift, Kontaktdaten und ggf. Handelsregister enthalten. Es muss von jeder Seite mit maximal 2 Klicks erreichbar sein.
2. Datenschutzerklärung
Die Datenschutzerklärung ist das Herzstück der DSGVO-Compliance. Sie muss vollständig, verständlich und aktuell sein. Beschreibe alle Datenverarbeitungen auf deiner Website: Server-Logs, Kontaktformulare, Cookies, Analytics, eingebundene Drittdienste. Nenne jeweils die Rechtsgrundlage (Art. 6 DSGVO), den Zweck und die Speicherdauer.
3. SSL-Verschlüsselung
Eine SSL-Verschlüsselung (HTTPS) ist Pflicht, sobald personenbezogene Daten übertragen werden — also bei jedem Kontaktformular, Login oder Bestellprozess. In der Praxis sollte jede Website SSL nutzen. Google bevorzugt HTTPS-Seiten zudem im Ranking.
4. Cookie-Banner mit Opt-in
Technisch nicht-notwendige Cookies dürfen erst nach aktiver Einwilligung des Besuchers gesetzt werden. Ein simpler „OK"-Button reicht nicht. Der Besucher muss die Möglichkeit haben, einzelne Cookie-Kategorien zu akzeptieren oder abzulehnen. Ablehnen muss genauso einfach sein wie Akzeptieren.
5. Kontaktformulare absichern
Bei Kontaktformularen musst du auf die Datenverarbeitung hinweisen und auf die Datenschutzerklärung verlinken. Erfasse nur Daten, die du wirklich brauchst (Datensparsamkeit). Speichere die Formulardaten nicht länger als nötig.
6. Analytics DSGVO-konform einbinden
Google Analytics, Matomo & Co. dürfen nur mit Einwilligung (Cookie-Banner) oder in einer datenschutzkonformen Konfiguration eingesetzt werden. Bei Google Analytics 4 ist eine Einwilligung in der Regel erforderlich, da Daten an Google-Server übertragen werden. Alternativen wie Matomo (selbst gehostet) können ohne Einwilligung betrieben werden.
7. Social-Media-Plugins
Klassische Social-Media-Buttons (Facebook Like, Twitter Share) übertragen beim Laden der Seite bereits Daten an die Plattformen — ohne dass der Besucher klickt. Nutze stattdessen die Shariff-Lösung oder einfache Links zu deinen Social-Media-Profilen.
8. Newsletter nur mit Double-Opt-in
Für den Newsletter-Versand brauchst du eine nachweisbare Einwilligung. Das Double-Opt-in-Verfahren (Anmeldung + Bestätigungsmail) ist der Standard. Jeder Newsletter muss einen Abmeldelink enthalten.