DSGVO für die Website 2026: was rechtlich Pflicht ist, damit kein Bußgeld kommt

Stellen Sie sich vor, in Ihrem Postfach landet ein Schreiben der Datenschutzbehörde mit dem Betreff „Beschwerde eines Nutzers“. Nicht wegen eines Datenlecks, nicht wegen eines Hacks – bei Ihnen funktioniert schlicht der „Ablehnen“-Button im Cookie-Banner nicht. Der Nutzer hat ihn gedrückt, die Analyse lud trotzdem, er hat einen Screenshot gemacht und die Beschwerde abgeschickt. Jetzt haben Sie dreißig Tage, sich zu erklären. Das ist kein erfundenes Schreckensszenario – genau für solche Kleinigkeiten kommen in Europa derzeit die Aufforderungen, weil sie am leichtesten nachzuweisen sind: Seite öffnen, Knopf drücken, in den Entwicklertools prüfen, ob der Tracker lädt.

Die DSGVO für die Website verstehen fast alle falsch – und zwar in beide Richtungen. Die einen hängen ein Banner „Wir nutzen Cookies. OK“ auf und halten die Sache für erledigt, obwohl genau dieses Banner selbst ein Verstoß ist. Die anderen schalten in Panik die ganze Analyse ab und arbeiten blind, verlieren Daten, die sie erheben dürften. Die Wahrheit liegt dazwischen, und sie ist eine Frage der Technik, nicht der juristischen Angst: Eine sauber eingerichtete Website sammelt fast alles, was sie zum Wachsen braucht, und gibt der Behörde dabei keinen einzigen Anlass.

Dieser Artikel ist eine praktische Aufschlüsselung dessen, was eine Unternehmenswebsite in der EU 2026 wirklich braucht. Wir zerlegen die DSGVO für die Website in eine konkrete Checkliste: Cookie-Banner, Datenschutzerklärung, legale Analyse, Formulare und die echten Verstöße, für die abgemahnt wird. Ohne Geschwätz über die „Bedeutung des Datenschutzes“ – nur das, was auf der Seite stehen muss, damit Sie ruhig schlafen und trotzdem nicht in der Analyse erblinden.

DSGVO und RODO sind dasselbe Gesetz. Lassen Sie sich von zwei Namen nicht schrecken.

Räumen wir zuerst die Verwirrung aus dem Weg, die Menschen Geld für zwei vermeintlich „verschiedene“ Anwälte kostet. DSGVO (Datenschutz-Grundverordnung) und RODO (Rozporządzenie o Ochronie Danych Osobowych) sind buchstäblich ein und dieselbe EU-weite Verordnung, nur unter deutschem und polnischem Namen – im Englischen heißt sie GDPR. Sie gilt unmittelbar in allen Mitgliedsstaaten, deshalb sind die Grundanforderungen an eine deutsche, polnische, spanische und jede andere Website in der EU identisch. Verschieden sind nur kleine nationale Ergänzungen und der Name der Aufsichtsbehörde – in Deutschland sind das die Landesdatenschutzbeauftragten, in Polen die UODO, und so weiter.

Was das praktisch bedeutet: Bauen Sie eine Seite für einen deutschen Betrieb, erfüllen Sie die DSGVO, und das ist zugleich RODO. Fügen Sie morgen eine polnische oder französische Version hinzu, bleibt das Fundament dasselbe, es ändern sich nur die Textsprache und ein paar lokale Details. Das ist übrigens einer der Gründe, warum eine mehrsprachige Website für die EU-Märkte leichter konform zu halten ist, als man denkt: Der rechtliche Rahmen ist gemeinsam, doppeln müssen Sie den Inhalt, nicht die Einwilligungslogik.

Die Verordnung schützt personenbezogene Daten – alles, womit sich eine Person direkt oder indirekt identifizieren lässt. Und hier kommt für viele Inhaber die erste Überraschung: Personenbezogene Daten sind nicht nur Name und Telefonnummer aus dem Formular. Dazu gehören auch die IP-Adresse, die Cookie-Kennung und die Verhaltensdaten auf der Seite, die die Analyse erfasst. Genau deshalb beginnt die Geschichte mit dem langweiligsten und meistverletzten Element – dem Cookie-Banner.

Das Cookie-Banner, das nicht gegen das Gesetz verstößt (statt bloß „OK“)

Hier ballen sich der Großteil der Bußgelder und fast alle Beschwerden, weil der Verstoß mit bloßem Auge sichtbar ist. Gehen wir Punkt für Punkt durch, wodurch sich ein legales Einwilligungsbanner von dem Platzhalter unterscheidet, der auf den meisten Seiten steht.

Das Grundprinzip der DSGVO: Die Einwilligung muss aktiv, informiert und genauso leicht zu widerrufen wie zu erteilen sein. Daraus folgen konkrete Anforderungen, die sich leicht prüfen lassen:

• Kein Laden von Trackern vor der Einwilligung. Google Analytics, Meta Pixel, Chat, Karten, eingebettete Videos dürfen keine Cookies setzen und keine Daten senden, solange niemand auf „Akzeptieren“ geklickt hat. Das ist der häufigste und am leichtesten beweisbare Verstoß: Der Tracker ist in den Entwicklertools schon vor dem Klick sichtbar.
• Der „Ablehnen“-Button auf derselben Ebene wie „Akzeptieren“. Wenn „Akzeptieren“ ein großer grüner Knopf ist, ablehnen aber nur über drei Einstellungsbildschirme geht, ist das von Grund auf rechtswidrig. Das Ablehnen muss so einfach sein wie das Zustimmen.
• Keine vorab gesetzten Häkchen. Eine Einwilligung darf nicht voreingestellt unterstellt werden. Alle Kategorien außer den unbedingt erforderlichen müssen ausgeschaltet sein, bis der Mensch sie selbst aktiviert.
• Granularität nach Kategorien. Ein Nutzer darf der Analyse zustimmen, das Marketing aber ablehnen. Einen einzigen „Alles oder nichts“-Schalter halten die Behörden ebenfalls für problematisch.
• Die Möglichkeit, die Einwilligung später zu widerrufen. Irgendwo muss ein Link oder ein Icon „Cookie-Einstellungen“ liegen, damit der Mensch es einen Monat später genauso leicht anders entscheiden kann, wie er zugestimmt hat.

Unter all diese Anforderungen fällt eine wichtige Kategorie NICHT – die unbedingt erforderlichen Cookies. Der Warenkorb im Shop, die Login-Sitzung im Kundenkonto, das Merken der gewählten Sprache, der Schutz des Formulars vor Bots – dafür ist keine Einwilligung nötig, weil die Seite ohne sie physisch nicht funktioniert. Sie dürfen und sollen sofort laden. Das Problem liegt fast nie bei ihnen, sondern bei Analyse und Marketing-Pixeln, die man aus Gewohnheit einbindet und dann vergisst, hinter die Einwilligung zu legen.

Ein einfacher Test für Ihre aktuelle Seite: Öffnen Sie sie im Inkognito-Modus, ohne im Banner irgendetwas zu klicken, und schauen Sie in den Entwicklertools in den Reiter „Netzwerk“. Wenn vor dem Klick google-analytics, facebook, doubleclick oder Ähnliches lädt, verstoßen Sie bereits – und das sieht jeder, der sich beschweren will.

Datenschutzerklärung: kein Mustertext aus der Luft, sondern die Karte Ihrer Daten

Das zweite Pflichtelement ist die Datenschutzerklärung, und hier ist der typische Fehler das Gegenteil des Banners. Beim Banner liefert der Betrieb zu wenig, bei der Datenschutzerklärung dagegen kopiert er fremden Text und meint, die Sache sei erledigt. Die Behörde vergleicht nach einer Beschwerde, was in der Erklärung steht, mit dem, was die Seite tatsächlich tut – und genau die Abweichung greift sie zuerst auf.

Eine funktionierende Datenschutzerklärung beantwortet einfache Fragen zu Ihrer Seite, nicht zu einer abstrakten:

• Welche Daten Sie erheben (Name, E-Mail, Telefon aus Formularen; IP und Verhalten über die Analyse).
• Auf welcher Grundlage (Einwilligung, Vertragserfüllung, berechtigtes Interesse).
• Wozu genau – der Zweck jeder Erhebung.
• An wen Sie weitergeben – die Liste der Drittdienste: welche Analyse, welcher Newsletter, welches CRM, welcher Zahlungsanbieter, welcher Hoster.
• Wie lange Sie speichern und wie ein Mensch die Löschung seiner Daten oder eine Kopie davon verlangen kann.
• Der Kontakt des Datenschutzverantwortlichen.

Das Schlüsselwort hier sind Ihre Werkzeuge. Eine vom Nachbarn kopierte Erklärung nennt fast sicher andere Dienste als die, die bei Ihnen laufen, oder erwähnt jene nicht, die laufen. Sie haben Meta Pixel eingebunden, aber in der Erklärung fehlt es – Verstoß. Sie schreiben von Mailchimp, versenden aber über einen anderen Dienst – auch. Ein generierter Mustertext taugt als Gerüst, muss aber zwingend an die Realität der konkreten Seite herangeführt werden. Nach unserer Erfahrung ist genau das die häufigste Korrektur, wenn jemand mit einer fertigen Seite zu uns kommt, um sie „DSGVO-fest zu machen“.

Legale Analyse: wie Sie Zahlen sehen und nicht verstoßen

Jetzt das Praktischste – wie Sie Besucherdaten erheben, ohne die Seite zu einer rechtlichen Mine zu machen. Denn ein blinder Betrieb verliert: Ohne Analyse wissen Sie nicht, welche Seiten funktionieren, woher Kunden kommen und was zu reparieren ist. Die gute Nachricht – es gibt mehrere legale Wege.

Weg eins: Google Analytics hinter der Einwilligung. GA4 lässt sich in Europa nutzen. Die Bedingungen: Sie laden es erst nach dem Klick auf „Akzeptieren“, aktivieren den Consent Mode und die Anonymisierung, beschreiben die Datenweitergabe ehrlich in der Erklärung. Das ist die taugliche Variante, wenn Sie tiefe Analyse, Retargeting und die Verzahnung mit Werbung brauchen. Der Nachteil – die Komplexität der Einrichtung, dazu drückt ein Teil der Nutzer auf „Ablehnen“, und diese Besuche sehen Sie in GA überhaupt nicht.

Weg zwei, den wir öfter empfehlen: cookielose Analyse. Plausible, Umami, Matomo und ähnliche Werkzeuge zählen Besuche, ohne Cookies zu setzen und ohne personenbezogene Daten im üblichen Sinn zu erheben. Für die Basis-Kennzahlen – wie viele Besuche, woher, welche Seiten beliebt sind – brauchen sie in vielen Konfigurationen gar kein Einwilligungsbanner, weil es nichts zu erheben gibt. Das nimmt mit einem Schlag einen großen Teil des rechtlichen Risikos und beschleunigt zugleich die Seite, weil der Code solcher Analyse leichter ist. Wir haben diesen Ansatz im Beitrag über cookielose Analyse ausführlich behandelt – für die meisten Unternehmenswebsites, die Wachstumszahlen wollen und kein komplexes Retargeting, ist das die ruhige Standardwahl.

Vergleichen wir es schlicht, damit der Kompromiss sichtbar wird:

Kriterium	Google Analytics (GA4)	Cookielose Analyse
Einwilligungsbanner nötig	Ja, zwingend	Oft nein
Datentiefe	Hoch, bis auf Nutzerebene	Basis, nach Besuchen
Retargeting und Werbeverzahnung	Ja	Nein
Durch Ablehnung „verlorener“ Anteil	Spürbar	Null
Rechtliches Risiko	Höher, braucht saubere Einrichtung	Niedriger
Wirkung auf die Geschwindigkeit	Schwerer	Leichter

Die Wahl hängt davon ab, was Sie wirklich brauchen. Schalten Sie bezahlte Werbung und rechnen den Trichter bis zum Klick durch – dann ist GA mit Einwilligung gerechtfertigt. Wollen Sie einfach verstehen, ob Sie wachsen und was zu reparieren ist – das deckt cookielose Analyse mit weniger Risiko und weniger Mühe rund um die Einwilligung.

Formulare und Datenverarbeitung: wo Vertrauen versickert

Jedes Formular auf der Seite – Kontakt, Anfrage, Abo – ist eine Erhebung personenbezogener Daten, und dazu verhält sich die DSGVO streng. Es gibt ein paar Regeln, die leicht zu erfüllen sind und oft vergessen werden.

Unter jedem Formular, das einen Kontakt erhebt, muss ein klarer Hinweis stehen: kurz, worauf der Mensch sich einlässt, und ein Link zur Datenschutzerklärung. Für einen Marketing-Newsletter braucht es ein eigenes aktives Einwilligungshäkchen – nicht vorausgefüllt, kein „ich stimme allem auf einmal zu“. Eine Leistungsanfrage hinterlässt der Mensch auf Grundlage des berechtigten Interesses oder eines künftigen Vertrags, aber ihn ohne eigene Einwilligung in den Newsletter aufzunehmen ist nicht erlaubt.

Weiter zur Technik, die am häufigsten vergessen wird. Die Daten aus dem Formular müssen über eine geschützte Verbindung laufen (HTTPS ist längst keine Option mehr), dort gespeichert werden, wo Sie legalen Zugriff darauf haben, und nicht etwa in einer offenen Google-Tabelle herumliegen, auf die das halbe Büro Zugriff hat. Schickt das Formular Anfragen in einen Messenger oder ein CRM, muss auch dieser Dienst in der Erklärung als Empfänger der Daten genannt sein. Wir haben aufgeschlüsselt, wie Lead-Formulare aussehen, die tatsächlich konvertieren – und DSGVO-Konformität widerspricht dort nicht der Conversion, sondern hilft ihr: Ein verständliches Formular mit ehrlichem Mikrotext zu den Daten weckt mehr Vertrauen, nicht weniger, gerade bei einem europäischen Publikum, das daran gewöhnt ist.

Und noch ein Detail: der Spamschutz. Das reCAPTCHA von Google setzt ebenfalls Tracker und fällt formal unter die Einwilligung. Die Alternative ist ein Honeypot-Feld (eine unsichtbare Falle für Bots), das keine Daten erhebt und kein Banner verlangt. Auf unseren Projekten setzen wir standardmäßig genau diese Variante: Das Formular ist vor Bots geschützt und fügt der Liste „was eingewilligt werden muss“ keine Zeile hinzu.

Häufige Verstöße und Bußgelder: wofür es tatsächlich kracht

Reden wir ehrlich über Geld, denn rund um DSGVO-Bußgelder gibt es viel Panikmache. Die Obergrenze der Verordnung ist tatsächlich dramatisch – bis zu 20 Mio. Euro oder 4 Prozent des weltweiten Jahresumsatzes, je nachdem, was höher ist. Aber das ist das Dach für große, vorsätzliche, massenhafte Verstöße wie das Leck von Daten von Millionen Nutzern. Auf eine Visitenkarten-Seite oder einen kleinen Onlineshop wird das äußerst selten angewendet.

Die Realität kleiner Betriebe ist bescheidener und berechenbarer. Meist sieht das Szenario so aus: Ein Nutzer beschwert sich, die Behörde schickt eine Aufforderung, den Verstoß zu beheben, und wenn Sie beheben, endet die Sache damit. Bußgelder für „Kleinigkeiten“ bewegen sich üblicherweise im Bereich einiger tausend, seltener einiger zehntausend Euro, und die Schwere hängt stark davon ab, ob Sie das Problem nach der Beschwerde behoben haben und ob kein Vorsatz im Spiel war. Nach Beobachtungen aus der Branche ist ein typischer „kleiner“ Fall kein Ruin, sondern ein Ärgernis plus eine eilige Überarbeitung unter Aufsicht. Aber genau dieses Ärgernis lässt sich am günstigsten vermeiden.

Hier ist, wofür es kleine und mittlere Betriebe tatsächlich erwischt – nach Häufigkeit absteigend:

1. Tracker laden vor der Einwilligung. Am häufigsten und am leichtesten beweisbar. Seite öffnen, „Netzwerk“ ansehen – der Verstoß ist sofort sichtbar.
2. Kein „Ablehnen“-Button oder er ist versteckt. Ein „Nur OK“-Banner oder Ablehnen durch ein Einstellungslabyrinth.
3. Keine Datenschutzerklärung oder sie passt nicht zu dieser Seite. Ein kopierter Text, der von der Realität abweicht.
4. Marketing-Einwilligung vorausgefüllt oder ins Sammelhäkchen geschnürt. Abo ohne eigene aktive Einwilligung.
5. Empfangende Dienste nicht genannt. Pixel, Chat, Newsletter laufen, in der Erklärung fehlen sie.

Beachten Sie das Muster: Fast alles auf dieser Liste betrifft nicht „Datenschutz“ im hohen Sinn, sondern konkrete Oberflächenelemente und ein paar Zeilen Code. Genau das ist die gute Nachricht. DSGVO-Konformität für eine typische Unternehmenswebsite ist eine technische und endliche Aufgabe, kein bodenloses juristisches Loch.

DSGVO für die Website ohne blinde Analyse: die funktionierende Kombination

Die Hauptangst des Inhabers klingt so: „Wenn ich alles hinter die Einwilligung lege, drückt die Hälfte der Leute auf ‚Ablehnen‘, und ich erblinde.“ Das ist lösbar, und zwar ohne Verstoß.

Erstens nimmt cookielose Analyse die Basis-Kennzahlen aus der Einwilligung heraus – Sie sehen die Besucherzahlen über alle Besuche, nicht nur über die Zustimmenden. Für die meisten Seiten reicht das, um Wachstum zu verstehen und Engpässe zu reparieren. Zweitens erlaubt selbst bei GA eine saubere Einrichtung des Consent Mode, anonyme aggregierte Statistik über jene zu erheben, die abgelehnt haben – ohne personenbezogene Daten, aber mit einem Gefühl für das Volumen. Drittens lassen sich Conversions, die an die Handlungen selbst gebunden sind (Formular abgeschickt, Danke-Seite erreicht), oft ganz ohne clientseitige Tracker zählen.

Die Kombination, die wir auf Projekten standardmäßig einrichten und die sowohl Gesetz als auch Sichtbarkeit hält, sieht so aus:

1. Unbedingt erforderliche Cookies laden sofort – Sitzung, Sprache, Formularschutz. Die Seite funktioniert ab der ersten Sekunde.
2. Einwilligungsbanner mit ehrlichem „Ablehnen“-Button auf einer Ebene mit „Akzeptieren“ und Granularität nach Kategorien.
3. Cookielose Analyse als Basis – Besucherzahlen sind immer sichtbar, ein Banner ist dafür in vielen Fällen nicht nötig.
4. GA oder Pixel – nur wenn der Betrieb Retargeting wirklich braucht, und nur hinter der Einwilligung, mit Consent Mode.
5. Spamschutz ohne Tracker auf den Formularen, um keine überflüssigen Einwilligungen zu erzeugen.
6. Eine Datenschutzerklärung, geschrieben für den echten Stack der Seite, mit der Liste genau Ihrer Dienste.

Das ist keine Theorie – so bauen wir Seiten, damit der Kunde nicht zwischen „gesetzeskonform“ und „ich sehe Zahlen“ wählen muss. Übrigens beschleunigen viele dieser Entscheidungen zugleich die Seite: weniger schwere Drittskripte – bessere Core Web Vitals (LCP, INP, CLS), und damit auch bessere Positionen in der Suche. Konformität und Geschwindigkeit ziehen hier in dieselbe Richtung, nicht in verschiedene.

Und noch eines, das man vergisst, wenn man die DSGVO für ein eigenes Thema hält: Barrierefreiheit. Das Einwilligungsbanner muss per Tastatur bedienbar und vom Screenreader lesbar sein – sonst riskieren Sie, gleichzeitig die Einwilligungsregeln und die Anforderungen an Barrierefreiheit zu verletzen, die in der EU seit 2025 strenger geworden sind. Dieselbe Oberfläche, die Sie für die Datenschutzbehörde ehrlich machen, machen Sie vernünftigerweise gleich auch für den Nutzer mit Einschränkungen ehrlich.

Womit Sie diese Woche anfangen

Wenn Sie bereits eine Seite haben und nicht sicher sind, ob sie in Ordnung ist, müssen Sie nicht alles auf einmal umschreiben. Nach absteigendem Nutzen und Einfachheit:

1. Öffnen Sie Ihre Seite im Inkognito-Modus und prüfen Sie „Netzwerk“ vor dem Klick im Banner. Laden Tracker? Wenn ja, ist das das Erste, was zu reparieren ist.
2. Prüfen Sie den „Ablehnen“-Button. Gibt es ihn überhaupt, ist er auf einer Ebene mit „Akzeptieren“, blockiert er die Tracker wirklich? Drücken Sie ihn und schauen Sie erneut ins „Netzwerk“.
3. Öffnen Sie Ihre Datenschutzerklärung und gleichen Sie sie mit dem ab, was tatsächlich auf der Seite läuft. Sind alle Dienste genannt? Keine überflüssigen aus dem fremden Muster?
4. Schauen Sie sich die Formulare an. Gibt es einen Link zur Erklärung, eine eigene Einwilligung für den Newsletter, laufen die Daten über HTTPS?
5. Entscheiden Sie über die Analyse. Brauchen Sie Retargeting, oder reichen ehrliche Besucherzahlen ohne Cookies – von dieser Antwort hängt ab, wie komplex Ihr Banner wird.

Machen Sie diese fünf Prüfungen, und Sie schließen die überwältigende Mehrheit der echten Risiken, für die kleine Betriebe abgemahnt werden. Der Rest ist Feinjustierung, keine Löcher, in die man fällt.

Wer am Ende ruhig schläft

Kehren wir zum Behördenschreiben aus dem ersten Absatz zurück. Ein Betrieb, dessen Banner Tracker erst nach der Einwilligung lädt, dessen „Ablehnen“-Button funktioniert, dessen Erklärung den echten Stack beschreibt und dessen Formulare ehrlich gebaut sind – ein solcher Betrieb antwortet auf diese Beschwerde mit einem Absatz und einem Screenshot, und die Geschichte ist erledigt. Ein Betrieb, der „OK“ aufgehängt und vergessen hat, antwortet mit einer Überarbeitung unter Aufsicht und mit Nerven.

Der Unterschied zwischen beiden liegt nicht darin, wer mehr Angst vor dem Gesetz hat. Er liegt darin, wer die DSGVO als technische Aufgabe mit klarer Checkliste behandelt hat – und nicht als Papierzauber oder Anlass zur Panik. Eine sauber gebaute Seite sammelt fast alle Daten, die sie zum Wachsen braucht, gibt der Behörde keinen einzigen Angriffspunkt und lädt obendrein schneller. Eine falsch gebaute zahlt doppelt: einmal für die Überarbeitung nach der Beschwerde, einmal mit Blindheit in der Analyse, weil sie aus Schreck abgeschaltet hat, was erlaubt war zu erheben. Die DSGVO für die Website 2026 bedeutet nicht, weniger über die eigenen Kunden zu wissen. Sie bedeutet, genau so viel zu wissen, wie erlaubt ist – und ruhig zu schlafen.