Zum Inhalt springen
Recht & Datenschutz

DSGVO für Websites: Was 2026 wirklich zählt

Ich bin kein Anwalt, und dieser Artikel ersetzt keine Rechtsberatung. Aber ich baue seit über 10 Jahren Websites für Unternehmen und sehe dabei immer die gleichen DSGVO-Probleme. Hier sind die Punkte, die in der Praxis tatsächlich relevant sind.

Von Dennis Theis · · 7 Min. Lesezeit

Notizbuch mit Checkliste und Stift auf einem Holztisch

Google Fonts: Die teuerste Schriftart Deutschlands

Seit dem LG-München-Urteil von 2022 ist klar: Google Fonts über das Google CDN einzubinden ist ein DSGVO-Verstoß, weil die IP-Adresse des Besuchers an Google übertragen wird, ohne Einwilligung. Es gibt Anwälte und Abmahnvereine, die das systematisch abfragen. Ich kenne Unternehmer, die deswegen Post bekommen haben.

Die Lösung ist trivial: Fonts als WOFF2-Dateien herunterladen und lokal hosten. Dauert 15 Minuten, kostet nichts, und das Problem ist erledigt. Bei allen meinen Projekten ist das Standard, ob Astro oder WordPress.

Prüfen Sie Ihre Website: Öffnen Sie die Browser-Konsole (F12 → Network), laden Sie die Seite neu und suchen Sie nach Verbindungen zu fonts.googleapis.com oder fonts.gstatic.com. Falls vorhanden: sofort handeln.

Cookie-Banner: Opt-In, nicht Opt-Out

Ein Cookie-Banner, das beim Schließen alles akzeptiert, ist kein Cookie-Banner. Es ist eine Hübschmachung. Nach DSGVO und ePrivacy muss der Nutzer aktiv zustimmen, bevor nicht-essentielle Cookies gesetzt werden. Das bedeutet:

  • Analytics (Google Analytics, Matomo Cloud) darf erst nach Zustimmung laden
  • Marketing-Cookies (Facebook Pixel, Google Ads) ebenfalls
  • Der „Ablehnen“-Button muss genauso prominent sein wie „Akzeptieren“
  • Vorausgewählte Checkboxen für optionale Kategorien sind nicht erlaubt

Technisch umgesetzt wird das über Google Consent Mode v2: Im Default-Zustand ist alles auf denied. Erst nach explizitem Opt-In wird per consent update der Tracking-Code aktiviert. So machen wir es bei allen WordPress- und Astro-Projekten.

Kontaktformulare: Einfacher als gedacht

Jedes Kontaktformular verarbeitet personenbezogene Daten (Name, E-Mail, Nachricht). Was Sie brauchen:

  1. Einen Hinweis auf die Datenschutzerklärung neben dem Formular (Link reicht, keine Checkbox nötig, Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO, nicht Einwilligung)
  2. Verschlüsselte Übertragung (HTTPS/SSL, sollte 2026 selbstverständlich sein)
  3. Eine definierte Speicherdauer in der Datenschutzerklärung („Ihre Anfrage wird 6 Monate gespeichert und danach gelöscht“)

Was Sie nicht brauchen: Eine Checkbox „Ich stimme der Datenschutzerklärung zu“ beim Kontaktformular. Das ist ein weit verbreiteter Irrtum. Die Verarbeitung basiert auf berechtigtem Interesse (Sie beantworten eine Anfrage), nicht auf Einwilligung. Anders sieht es beim Newsletter aus. Dort ist Double-Opt-In Pflicht.

Impressum und Datenschutzerklärung

Klingt banal, ist aber die häufigste Abmahnquelle: Ein unvollständiges Impressum. Was rein muss, hängt von der Rechtsform ab:

  • Einzelunternehmer: Voller Name, Anschrift (kein Postfach), E-Mail, Telefon
  • GmbH/UG: Zusätzlich: Geschäftsführer, Registergericht, HRB-Nummer, USt-IdNr.
  • Freiberufler: Berufsbezeichnung, Kammer (wenn kammerpflichtig)

Beide Seiten, Impressum und Datenschutzerklärung, müssen von jeder Unterseite mit maximal 2 Klicks erreichbar sein. Standard: Footer-Links.

Für die Datenschutzerklärung empfehle ich einen Generator als Ausgangsbasis (z.B. von eRecht24 oder der Datenschutzkonferenz) und dann Prüfung durch einen Anwalt. Template-Texte aus dem Internet sind besser als nichts, aber kein Ersatz für eine individuelle Beratung.

Analytics: Brauchen Sie Google Analytics überhaupt?

Ehrliche Frage. Die meisten kleinen und mittleren Unternehmen, die ich betreue, schauen einmal im Quartal in Analytics, wenn überhaupt. Die Google Search Console (kostenlos, kein Cookie-Consent nötig) zeigt Ihnen, welche Suchbegriffe Traffic bringen und welche Seiten Probleme haben. Für viele reicht das völlig aus.

Wenn Sie Analytics nutzen, dann mit Google Consent Mode v2 und IP-Anonymisierung. Oder: Matomo selbst gehostet. Dann liegen die Daten auf Ihrem eigenen Server und das Consent-Thema ist deutlich entspannter (je nach Konfiguration sogar ohne Banner möglich).

Externe Dienste: Die übersehenen Datenlecks

Nicht nur Analytics und Fonts übertragen Daten an Dritte. Prüfen Sie Ihre Website auf:

  • YouTube/Vimeo-Embeds: Laden beim Seitenaufruf Daten von Google/Vimeo. Lösung: 2-Klick-Lösung oder Consent-Facade (Vorschaubild, erst nach Klick laden)
  • Google Maps: Überträgt IP an Google. Lösung: Statisches Kartenbild mit Link zu Maps, oder Consent-Facade
  • Social Media Buttons: Die originalen Facebook/Twitter-Buttons tracken sofort. Lösung: Shariff oder einfache Links ohne Tracking
  • CDNs: jQuery von cdnjs.cloudflare.com, Bootstrap von StackPath. Jedes externe CDN erhält die IP. Lösung: Lokal hosten

Eine schnelle Prüfung: Offnen Sie die Browser-Konsole (F12 → Network), laden Sie die Seite und schauen Sie, zu welchen Domains Verbindungen aufgebaut werden. Alles außer Ihrer eigenen Domain sollte entweder consent-gated oder lokal gehostet sein.

Was passiert wenn Ihre Website gehackt wird?

Ein oft übersehener DSGVO-Aspekt: Wenn personenbezogene Daten durch einen Hack betroffen sein könnten, besteht eine Meldepflicht innerhalb von 72 Stunden an die zuständige Datenschutzaufsichtsbehörde (Art. 33 DSGVO). Bei hohem Risiko müssen auch die betroffenen Personen informiert werden (Art. 34).

Das heißt konkret: Wenn Ihr WordPress-Kontaktformular gehackt und die Anfragen ausgelesen wurden, müssen Sie das melden. Mehr dazu in unserem Erste-Hilfe-Guide für gehackte Websites.

Meine Checkliste

  1. Google Fonts lokal gehostet? (→ Network Tab prüfen)
  2. Cookie-Banner mit echtem Opt-In? (nicht nur „OK“-Button)
  3. Google Consent Mode v2 konfiguriert?
  4. Impressum vollständig und von jeder Seite erreichbar?
  5. Datenschutzerklärung aktuell und alle Dienste aufgeführt?
  6. HTTPS aktiv, kein Mixed Content?
  7. Kontaktformular mit Datenschutz-Hinweis?
  8. Externe Embeds (YouTube, Maps) hinter Consent-Facade?
  9. Keine externen CDNs für JS/CSS/Fonts?
  10. Notfallplan für Datenpanne vorhanden?