DSGVO-Checkliste für Websites: 12 Punkte, die Sie prüfen müssen

Seit 2018 gilt die DSGVO — und die Abmahnwelle reißt nicht ab. Besonders kleine Unternehmen werden abgemahnt, weil ihre Website Cookie-Banner, Datenschutzerklärungen oder Consent-Mechanismen fehlerhaft umsetzt.

Typische Bußgelder für KMU: 500 € bis 10.000 € pro Verstoß. Dazu kommen Anwaltskosten und der Aufwand für die Nachbesserung. Das lässt sich vermeiden.

1. SSL-Verschlüsselung (HTTPS): Pflicht seit 2018. Prüfen Sie, ob das Schloss-Symbol in der Adressleiste erscheint. Ohne SSL ist jedes Kontaktformular ein DSGVO-Verstoß.
2. Cookie-Consent-Banner: Muss vor dem Setzen von Cookies erscheinen. „Ablehnen" muss genauso einfach sein wie „Akzeptieren" — kein Dark Pattern.
3. Datenschutzerklärung: Muss von jeder Seite aus erreichbar sein (Footer-Link). Muss alle eingesetzten Tools und Cookies aufführen.
4. Impressum: Pflicht nach §5 TMG. Name, Anschrift, Kontakt, ggf. Handelsregister. Muss in maximal 2 Klicks erreichbar sein.
5. Google Analytics: Nur mit ausdrücklicher Einwilligung laden. IP-Anonymisierung aktivieren. AV-Vertrag mit Google abschließen.
6. Google Fonts: Nicht von Google-Servern laden — das überträgt IP-Adressen in die USA. Fonts lokal einbinden.
7. Google Maps: Nicht ohne Consent laden. Alternative: Statisches Bild mit Link zu Google Maps.
8. Kontaktformulare: Verschlüsselt übertragen (HTTPS). Hinweis auf Datenverarbeitung. Keine unnötigen Pflichtfelder.
9. Social-Media-Plugins: Share-Buttons dürfen keine Daten an Facebook, Twitter & Co. senden, bevor der Nutzer klickt. Nutzen Sie die 2-Klick-Lösung.
10. Newsletter-Anmeldung: Double-Opt-in ist Pflicht. Abmeldelink in jeder E-Mail. Einwilligung dokumentieren.
11. Auftragsverarbeitungs-Verträge (AVV): Mit jedem Dienstleister, der personenbezogene Daten verarbeitet: Hoster, E-Mail-Provider, Analytics-Tool.
12. Hosting in der EU: Idealerweise bei einem EU-Hoster. Bei US-Hostern (Vercel, AWS): Standardvertragsklauseln abschließen.

• Google Fonts von Google-Servern: Das LG München hat 2022 entschieden, dass das Laden von Google Fonts ohne Einwilligung 100 € Schadensersatz pro Seitenbesucher kosten kann.
• Cookie-Banner mit nur „Akzeptieren"-Button: Die Option „Ablehnen" muss gleichwertig sichtbar sein. Manipulative Designs (Dark Patterns) sind unzulässig.
• Fehlende oder veraltete Datenschutzerklärung: Jedes Tool, das Sie einsetzen, muss erwähnt werden. Google Analytics, Hotjar, HubSpot — alles muss rein.
• Kontaktformular ohne Verschlüsselung: Wenn Ihr Formular über HTTP (ohne S) läuft, ist das ein klarer Verstoß.

Bei Pixeldicht ist DSGVO-Konformität Standard — nicht optional:

• Technisch sauber: Google Fonts lokal, keine externen Ressourcen ohne Consent, SSL inklusive.
• Cookie-Consent: Rechtskonformer Banner mit echten Optionen — Akzeptieren, Ablehnen, individuelle Einstellungen.
• Datenschutzerklärung: Individuell für Ihre Website erstellt, alle Tools und Dienste aufgeführt.
• Analytics: Google Analytics 4 nur mit Einwilligung, IP-Anonymisierung aktiv.

Kostenlosen DSGVO-Check anfordern →

Erfahren Sie mehr über unsere Leistungen rund um Webdesign, SEO und DSGVO-Konformität.