Datenschutz ist der Bereich, in dem viele Betriebe heimlich auf Zeit spielen – nach dem Motto "wird schon nichts passieren". Bis die erste Abmahnung kommt. 2026 hat sich die Rechtsprechung verschärft, und Cookie-Banner allein sind kein Schutz mehr. Hier die wichtigsten Punkte, kompakt und ohne Juristen-Deutsch.
Disclaimer vorab
Dieser Artikel ist eine Übersicht aus Sicht eines Webdesign-Studios – keine Rechtsberatung. Bei konkreten Fragen oder Abmahnungen sollten Sie eine Datenschutz-Anwältin oder einen Datenschutzbeauftragten konsultieren. Wir setzen die technischen Maßnahmen um – die rechtliche Beurteilung ist Aufgabe der Juristen.
Die 6 Punkte, die jede Website abdecken muss
1. Echtes Cookie-Consent (kein Pseudo-Banner)
Ein Banner mit nur einem "OK"-Button ist keine wirksame Einwilligung. Der Nutzer muss aktiv und differenziert zustimmen können: Welche Cookies will er, welche nicht. Notwendige Cookies (Session, Sicherheit) dürfen ohne Zustimmung gesetzt werden – alles andere (Analytics, Marketing, externe Inhalte) erst NACH dokumentierter Zustimmung.
Akzeptiert wird ein Banner mit drei sichtbaren Optionen: "Alle akzeptieren", "Nur notwendige", "Einstellungen".
2. Datenschutzerklärung muss aktuell sein
Sie muss alle eingesetzten Tools nennen: Google Fonts, YouTube-Embeds, Google Maps, Analytics, Newsletter-Tools, Buchungssysteme – jedes Tool, das personenbezogene Daten verarbeitet. Generische "ChatGPT-Datenschutzerklärungen" reichen nicht.
Praxis: Liste pflegen über alle externen Dienste auf der Website. Bei jedem neuen Tool: Datenschutzerklärung anpassen.
3. SSL-Verschlüsselung (HTTPS) ist Pflicht
Eine Website ohne SSL (das Schloss-Symbol im Browser) ist 2026 nicht mehr akzeptabel. Bei Kontaktformularen und Buchungen ist das HTTPS sogar zwingend vorgeschrieben. Gute Hoster liefern SSL kostenlos über Let's Encrypt.
4. Auftragsverarbeitungsverträge (AVV)
Sobald ein externer Dienst in Ihrem Auftrag personenbezogene Daten verarbeitet (Hoster, Newsletter-Tool, Analytics-Anbieter), brauchen Sie einen AVV mit diesem Anbieter. Die meisten Anbieter (Hetzner, Sendinblue, Brevo, Mailchimp) stellen den AVV als PDF bereit.
5. Google Fonts und externe Services lokal hosten
Das LG München hat 2022 entschieden: Wer Google Fonts direkt von Googles Servern lädt, übermittelt IP-Adressen ohne Einwilligung in die USA. Das ist abmahnfähig. Lösung: Google Fonts lokal auf den eigenen Server stellen.
Gleiches Prinzip gilt für YouTube-Embeds (YouTube-Nocookie-Domain nutzen oder per Klick aktivieren), Google Maps (Klick-zu-aktivieren statt Auto-Embed) und externe Schriften.
6. Kontaktformular-Daten sauber behandeln
Jedes Kontaktformular muss vor dem Absenden auf die Datenschutzerklärung verweisen. Idealerweise mit einer Checkbox: "Ich habe die Datenschutzerklärung gelesen und stimme zu." Pflichtfelder sollten auf das absolute Minimum reduziert werden – jede überflüssige Datenabfrage ist ein DSGVO-Risiko.
Die DSGVO bestraft nicht den, der einen kleinen Fehler macht. Sie bestraft den, der gar nicht erst nachweisen kann, dass er sich gekümmert hat.
Häufige Abmahnfallen
- Google Fonts extern eingebunden – immer noch der häufigste Abmahngrund.
- YouTube ohne Klick-Einwilligung – wer ein YouTube-Video direkt einbettet, übermittelt Tracking-Cookies vor Zustimmung.
- Cookie-Banner setzt Cookies vor Zustimmung – Klassiker bei billigen Plugins.
- Analytics-IP nicht anonymisiert – bei Google Analytics 4 (GA4) ist das mittlerweile Standard, bei älteren Setups oft nicht.
- Fehlende SSL-Verschlüsselung – einfach zu erkennen, einfach zu beheben, trotzdem oft vergessen.
Was eine moderne Website 2026 leisten muss
- SSL durchgängig (auch alte URLs auf HTTPS umleiten)
- Cookie-Banner mit echter Einwilligungs-Logik
- Lokale Schriftarten
- YouTube/Maps mit Klick-Aktivierung
- Aktuelle, vollständige Datenschutzerklärung
- Impressum mit allen Pflichtangaben
- Einwilligungs-Checkboxen bei allen Formularen
Fazit
DSGVO-Konformität ist 2026 kein "Nice to have", sondern ein klarer Wettbewerbsvorteil. Wer abgemahnt wird, zahlt schnell vierstellig – plus Anwaltskosten plus Nachbesserung. Wer es von Anfang an sauber baut, hat den Kopf frei für das eigentliche Geschäft.
Wenn Sie unsicher sind, wo Ihre Website steht: Schreiben Sie uns kurz, wir machen einen technischen DSGVO-Check (kein Rechts-Check) und sagen, wo es Handlungsbedarf gibt.