Zum Inhalt springen
ISSA.digital Solution

DSGVO-konforme Website 2026: die Checkliste für den Mittelstand

DSGVORatgeber

Eine DSGVO-konforme Website braucht mehr als ein Impressum: EU-Hosting, Cookie-Consent, sichere Formulare und ein Löschkonzept. Diese Checkliste zeigt, worauf es 2026 ankommt.

Eine DSGVO-konforme Website ist kein einmaliges Häkchen, sondern die Summe vieler Entscheidungen — vom Hosting-Standort bis zum Cookie-Banner. Die gute Nachricht: Für einen normalen Unternehmensauftritt ist die Liste überschaubar. Diese neun Punkte decken ab, worauf es 2026 ankommt, damit Ihre Seite rechtssicher läuft und Sie Abmahnungen vermeiden. Wichtig vorab: Das ist eine praxisnahe Orientierung, keine Rechtsberatung.

1. Hosting in der EU

Personenbezogene Daten sollten in der EU verarbeitet werden. Wir hosten in Frankfurt (Region eu-central-1), auf Wunsch ausschließlich in Deutschland. Das vermeidet die heiklen Fragen rund um Datentransfers in Drittländer.

2. Verschlüsselung (HTTPS)

Jede Seite läuft über HTTPS mit gültigem Zertifikat. Ohne Verschlüsselung sind Formulardaten unterwegs lesbar — und Browser warnen Besucher sichtbar.

3. Cookie-Consent, richtig herum

Nicht-technische Cookies und Analyse-Werkzeuge dürfen erst nach aktiver Einwilligung laden. Kein vorab gesetztes Tracking, keine erzwungene Zustimmung. Ohne Einwilligung findet keine Analyse statt.

4. Datenschutzerklärung, die zur Seite passt

Die Erklärung muss die tatsächlich eingesetzten Dienste nennen — Hosting, Schriftarten, Formulare, Newsletter, Analyse — jeweils mit Rechtsgrundlage. Standardtexte, die nicht zur echten Technik passen, sind wertlos.

5. Vollständiges Impressum

Anbieterkennzeichnung nach dem Digitale-Dienste-Gesetz: Name, Anschrift, Kontakt, bei Gewerbe die passenden Angaben. Fehlt oder stimmt das Impressum nicht, ist das ein klassischer Abmahngrund.

6. Sichere Formulare mit Zweckbindung

Kontakt- und Anfrageformulare erheben nur, was nötig ist, und sagen, wofür. Eine Einwilligung mit Verweis auf die Datenschutzerklärung gehört dazu — ebenso Schutz vor Spam ohne invasive Dritt-Dienste.

7. Schriftarten und Medien lokal einbinden

Von externen Servern nachgeladene Schriftarten übertragen die IP-Adresse Ihrer Besucher an Dritte. Wir binden Schriften lokal ein, sodass beim Laden der Seite keine Verbindung zu einem fremden Anbieter entsteht.

8. Newsletter mit Double-Opt-In

Wer einen Newsletter anbietet, braucht das Double-Opt-In-Verfahren: Anmeldung, Bestätigungsmail, erst danach Aufnahme. Zeitpunkt und Bestätigung sollten nachweisbar protokolliert werden.

9. Löschkonzept und Betroffenenrechte

Legen Sie fest, wie lange welche Daten gespeichert werden, und stellen Sie sicher, dass Auskunft, Löschung und Widerspruch praktisch umsetzbar sind. Datenschutz endet nicht beim Banner, sondern im Alltag.

Barrierefreiheit kommt dazu

Seit Mitte 2025 greift das Barrierefreiheitsstärkungsgesetz (BFSG) für viele Angebote an Verbraucher. Eine nach WCAG 2.2 barrierefreie Website ist damit nicht nur gute Praxis, sondern für viele Betriebe Pflicht. Wir bauen Barrierefreiheit von Anfang an ein, statt sie nachzurüsten.

So setzt ISSA das um

Bei uns sind EU-Hosting, HTTPS, lokale Schriften, sauberes Consent und ein passender Datenschutz-Rahmen von Anfang an Teil jeder Website — nicht nachträglich aufgeklebt. Wenn Sie unsicher sind, ob Ihre bestehende Seite diese Punkte erfüllt, schauen wir im kostenlosen Erstgespräch gemeinsam drauf.

Lassen Sie uns Ihr Projekt besprechen.

Kostenloses Erstgespräch, ehrliche Einschätzung, klarer nächster Schritt. Keine Verkaufsmasche.