Executive Summary
Eine DSGVO-konforme Website in Deutschland 2026 muss die Vorgaben der Datenschutz-Grundverordnung (DSGVO), des Telekommunikation-Digitale-Dienste-Datenschutzgesetzes (TDDDG) sowie des Digitale-Dienste-Gesetzes (DDG) einhalten und aktuelle Rechtsprechung zu Cookies, Tracking, Google Fonts und Telemedien berücksichtigen[1][2].
1. Rechtlicher Rahmen für Websites 2026
| Gesetz | Regelungsbereich | Seit |
|---|---|---|
| DSGVO | Verarbeitung personenbezogener Daten, Informationspflichten, Betroffenenrechte | Mai 2018 |
| TDDDG § 25 | Cookies, Tracking-Technologien, Einwilligungspflicht für Speicherung auf Endgeräten | Mai 2024 |
| DDG § 5 | Impressumspflicht, Anbieterkennzeichnung für digitale Dienste | Mai 2024 |
DSGVO als zentrale Grundlage
Die DSGVO gilt für jede Verarbeitung personenbezogener Daten, die im Rahmen der Tätigkeit einer Niederlassung in der EU erfolgt. Für Websites bedeutet das insbesondere die Einhaltung der Grundsätze in Art. 5 DSGVO (Rechtmäßigkeit, Transparenz, Zweckbindung, Datenminimierung) und eine Rechtsgrundlage gemäß Art. 6 DSGVO für jede Verarbeitung[1].
TDDDG (§ 25) zu Cookies und Tracking
Seit Mai 2024 gilt das Telekommunikation-Digitale-Dienste-Datenschutzgesetz (TDDDG), das das frühere TTDSG ersetzt. § 25 Abs. 1 TDDDG verlangt grundsätzlich eine vorherige, informierte Einwilligung des Endnutzers, bevor Informationen in seiner Endeinrichtung gespeichert oder ausgelesen werden[2].
Wichtig: Opt-in, nicht Opt-out!
Tracking- und Marketing-Cookies benötigen ein echtes Opt-in mit wirksamer Einwilligung. Vorausgewählte Checkboxen oder „Cookie-Walls" sind rechtswidrig!
DDG und Impressumspflicht (§ 5)
Das Digitale-Dienste-Gesetz (DDG) ist seit 14. Mai 2024 in Kraft und ersetzt das Telemediengesetz (TMG). Die Impressumspflicht ist nun in § 5 DDG geregelt[5].
⚠️ Abmahngefahr: Veraltete Gesetzesverweise!
Website-Betreiber sollten veraltete Verweise (TMG, TTDSG, RStV) im Impressum und in der Datenschutzerklärung auf DDG, TDDDG und MStV aktualisieren, um Abmahnrisiken zu vermeiden.
DSGVO-Compliance: Status deutscher KMU-Websites 2026
Anteil konformer vs. nicht-konformer Websites nach Kategorie
Quelle: Durchschnitt aus BayLDA-Prüfungen & IHK-Studien 2025
3. Datenschutzerklärung auf der Website
Gesetzliche Mindestinhalte nach Art. 13 DSGVO
Art. 13 DSGVO gibt vor, welche Informationen die betroffene Person beim Erheben ihrer Daten erhalten muss. Dazu gehören:
Wer ist für die Datenverarbeitung zuständig?
Warum werden Daten erhoben? (z.B. Vertragserfüllung, berechtigtes Interesse, Einwilligung)
Wer erhält die Daten? (z.B. Hosting-Provider, Newsletter-Dienst, Analytics)
Wie lange werden Daten aufbewahrt?
Auskunft, Löschung, Widerspruch, Datenübertragbarkeit
Daten außerhalb der EU? Garantien (SCC, EU-US DPF) angeben!
Link zur zuständigen Landesdatenschutzbehörde
Spezifische Inhalte für eine Website-Datenschutzerklärung
Für Websites fordern IHKs und Datenschutzkanzleien, dass die Datenschutzerklärung u.a. Angaben zu folgenden Punkten enthält:
- Hosting & Server-Logs: Wo liegen die Server? Welche Daten werden protokolliert?
- Analysetools: Google Analytics, Matomo, etc. – namentlich nennen!
- Eingebettete Drittinhalte: YouTube-Videos, Google Maps, Social Media Widgets
- Newsletter: Dienst (z.B. Mailchimp), Zweck, Double Opt-in, Widerruf
- Kontaktformulare: Zweck, Rechtsgrundlage, Speicherdauer
8. Häufigste Abmahnfallen bei Websites 2026
⚠️ Die 5 häufigsten Abmahnfallen
Fehlerhafte oder fehlende Cookie-Banner
Problem: Keine gleichwertige „Ablehnen"-Option auf erster Ebene, oder Cookies werden VOR Einwilligung geladen.
BayLDA-Prüfung 2025: 350 von 1.000 bayerischen Websites hatten rechtswidrige Banner!
Google Fonts dynamisch ohne Einwilligung eingebunden
Problem: IP-Adresse wird an Google übermittelt ohne Einwilligung.
LG München 2022: Schadensersatz + Unterlassung! → Lösung: Fonts lokal hosten.
Unvollständige Datenschutzerklärung / Impressum
Problem: Veraltete Gesetzesverweise (TMG, TTDSG), fehlende Angaben zu Analytics-Tools, Drittlandtransfers nicht erklärt.
Abmahngefahr: Wettbewerbswidrig + DSGVO-Verstoß!
Fehlende Auftragsverarbeitungsverträge (AV)
Problem: Hosting, Newsletter, Analytics – ohne AV-Vertrag rechtswidrig!
Art. 28 DSGVO: AV-Verträge sind Pflicht. Aufsichtsbehörden prüfen das regelmäßig.
Externe Inhalte (YouTube, Maps) ohne Zwei-Klick-Lösung
Problem: Videos/Maps laden automatisch, IP-Adresse wird an Google übermittelt.
Lösung: Zwei-Klick-Lösung oder Einwilligung VOR Laden des Drittinhalts.
10. Strafen und Bußgelder 2024–2026
Bußgeldrahmen nach Art. 83 DSGVO
Art. 83 DSGVO sieht für schwere Verstöße Geldbußen bis 20 Mio. Euro oder 4% des weltweiten Jahresumsatzes vor, je nachdem, welcher Betrag höher ist[4].
Die höchsten DSGVO-Bußgelder in der EU (2021-2023)
Bußgelder in Millionen Euro
Quelle: Enforcement Tracker / GDPR Hub 2026
Auch KMUs sind betroffen!
Seit 2018 haben sich die kumulierten DSGVO-Bußgelder in der EU auf mehrere Milliarden Euro summiert. Aufsichtsbehörden prüfen zunehmend auch kleine und mittelständische Unternehmen – Cookie-Banner, fehlende AV-Verträge und Google-Fonts-Verstöße sind häufige Anlässe.
Entwicklung der Bußgelder bis 2025
Leitlinien der europäischen Datenschutzgremien verlangen, dass Geldbußen wirksam, verhältnismäßig und abschreckend sein müssen. Bei systematischen oder vorsätzlichen Verstößen können auch mittlere Unternehmen empfindliche Strafen treffen.
9. Praxis-Checkliste für eine DSGVO-konforme Website
Rechtliche Grundlagen und Dokumentation
- Verzeichnis von Verarbeitungstätigkeiten führen (Hosting, Logs, Kontaktformulare, Newsletter, Tracking)
- Rechtsgrundlagen für jede Verarbeitung festlegen (Art. 6 DSGVO) und dokumentieren
- Auftragsverarbeitungsverträge mit allen Dienstleistern (Hosting, Newsletter, Analytics) nach Art. 28 DSGVO abschließen
Cookie-/Consent-Management
- Alle eingesetzten Cookies inventarisieren (inkl. Local Storage, Pixel, eingebettete Skripte)
- Prüfen, welche Cookies technisch unbedingt erforderlich sind und welche Einwilligung benötigen
- CMP einsetzen, das Skripte bis zur Einwilligung blockiert und „Ablehnen"-Button auf erster Ebene anbietet
Technische Sicherheit und Privacy by Design
- Durchgängige TLS-Verschlüsselung (HTTPS) implementieren und HSTS nutzen
- Logs datensparsam konfigurieren (gekürzte IP, definierte Speicherdauer)
- Externe Inhalte datensparsam einbinden (lokale Fonts, Zwei-Klick-Lösungen für Videos/Maps)
Website nicht DSGVO-konform? Wir machen Sie rechtssicher!
DSGVO, TDDDG, DDG – wir prüfen Ihre Website auf Compliance, erstellen rechtssichere Datenschutzerklärungen, implementieren Cookie-Banner und kümmern uns um AV-Verträge. Vermeiden Sie Abmahnungen und Bußgelder bis zu 20 Mio. €!
Quellen
- [1] DSGVO-konforme Website erstellen - Bundesministerium für Wirtschaft und Klimaschutz. BMWK. Abgerufen am 25. März 2026.
- [2] Orientierungshilfe Telemedien - Datenschutzkonferenz (DSK). DSK. Abgerufen am 25. März 2026.
- [3] BayLDA Massenprüfung Cookie-Banner - 350 von 1000 Websites rechtswidrig. Bayerisches Landesamt für Datenschutzaufsicht. Abgerufen am 25. März 2026.
- [4] DSGVO Art. 83 - Geldbußen und Sanktionen. dejure.org. Abgerufen am 25. März 2026.
- [5] Digitale-Dienste-Gesetz (DDG) - Impressumspflicht § 5. Bundesministerium der Justiz. Abgerufen am 25. März 2026.