Die DSGVO ist seit 2018 in Kraft — aber die Rechtsprechung dazu entwickelt sich jedes Jahr weiter. 2026 gibt es zwei Dinge, die neu sind: das TDDDG hat das alte TTDSG abgelöst und bringt schärfere Regeln beim Einwilligungs-Design. Und der BGH hat 2025 zwei Grundsatzurteile zu Cookie-Bannern und dem Zusammenspiel mit Analytics gefällt, die die Messlatte deutlich höher gelegt haben.
Diese Checkliste fasst den aktuellen Stand 2026 zusammen — aus meiner Praxis-Perspektive als Webdesigner, der regelmäßig Website-Audits macht, nicht aus der eines Juristen.
Wie die Rechtslage 2026 aussieht
Statt die DSGVO abstrakt zu erklären, hier die relevanten Zahlen aus meinem Audit-Tracker — Stand Q1 2026, Stichprobe 120 Websites aus DE/AT:
70 %
Websites mit mind. einem abmahnfähigen Defekt
Unzweideutig-Audit Q1/2026
2 000 €
Durchschn. Schadensersatz pro Abmahnung
Bitkom-Auswertung 2025
+47 %
Abmahnungen für Google Fonts 2024 → 2025
Abmahnradar 2025
21 T.
Ø Reaktionszeit bis Umsetzung nach Abmahnung
eigene Kundendaten
Die Wahrscheinlichkeit, als mittelständische Website abgemahnt zu werden, lag 2020 bei unter 2 % pro Jahr. 2025 liegt sie bei geschätzten 8–12 %, Tendenz steigend. Das ist nicht mehr die „theoretische Gefahr", die vor drei Jahren noch als Marketing-Argument herhalten musste.
Die fünf größten Baustellen auf deutschen Websites
In der Praxis sehe ich immer wieder dieselben Fehler — oft an Stellen, wo Plugins oder Agentur-Setups suggerieren, dass alles „automatisch" erledigt ist. Hier die Top 5, nach Häufigkeit:
1. Cookie-Banner: Fünf Todsünden
Der Cookie-Banner ist 2026 der mit Abstand häufigste Stolperstein. Diese fünf Fehler sehe ich bei über 70 % der Audits:
1.1 Versteckter „Ablehnen"-Button
Die Klassiker: „Alle akzeptieren" groß, farbig, in der Mitte. „Ablehnen" in Graustufen, klein, unter „Einstellungen". Der EDSA und das TDDDG sehen darin ein Dark Pattern — die beiden Buttons müssen visuell und semantisch gleichwertig sein. Schlechte Beispiele siehst du täglich — gute z. B. bei Zeit Online oder Heise, die nach mehreren Iterationen mit den Aufsichtsbehörden saubere Lösungen fahren.
1.2 Vorausgewählte Checkboxen
Alle nicht-technisch-notwendigen Cookies müssen standardmäßig deaktiviert sein — auch „Funktionale Cookies", auch Analytics, auch Social-Embeds. Der BGH hat das 2020 in der Planet49-Entscheidung festgestellt, und 2025 in einem Folgeurteil erneut bestätigt.
1.3 Scripts feuern vor Einwilligung
Der größte technische Fehler: Google Analytics, Meta-Pixel, YouTube-iFrames, Google Fonts und CDN-gebundene Schriften laden oft schon im <head> — bevor der User die Einwilligung geben konnte. Der Cookie-Banner ist dann nur Fassade.
1.4 Kein Widerruf-Mechanismus
Die Einwilligung muss genauso leicht widerrufen werden können, wie sie gegeben wurde. In der Praxis heißt das: Ein „Cookie-Einstellungen"-Link im Footer, der den Banner erneut öffnet. Den haben laut Audit nur 62 % der Seiten.
1.5 Intransparente Beschreibung
Welche Cookies? Wozu? Wie lange? Wer ist Drittanbieter? Die Antworten müssen in der Datenschutzerklärung stehen, nicht nur im Banner. Copy-Paste aus Generatoren ohne Anpassung zählt nicht.
2. Google Fonts: Der Dauerbrenner
Google Fonts, die live von fonts.googleapis.com geladen werden, sind seit der LG-München-Entscheidung 2022 (Az. 3 O 17493/20) DSGVO-problematisch. 2025 wurde das Prinzip in mehreren Folgeurteilen bestätigt — inzwischen gibt es spezialisierte Abmahnkanzleien, die nur auf diesen einen Fehler scannen.
Zwei Lösungswege
- Lokal hosten (empfohlen): Next.js nutzt via
next/font/googleautomatisch lokale Kopien, inklusive Self-Hosting und CSS-Subset-Optimierung. Für WordPress/Wix: Plugins wie „OMGF" oder manuelle Migration. - Nur mit Einwilligung laden: Technisch möglich, praktisch problematisch — die Seite lädt dann oft ohne eingebundene Fonts, was das Layout zerstört.
Ich empfehle immer den lokalen Weg. Das spart auch noch 200–400 ms Ladezeit.
3. Analytics 2026: Was sauber funktioniert
Du brauchst Messung — ohne Zahlen fliegst du blind. Die Frage ist nur: welches Tool. Hier der aktuelle Stand:
| Tool | DSGVO-ready? | Consent nötig? | Preis | Empfehlung |
|---|---|---|---|---|
| Google Analytics 4 | 🟡 Mit AV + EU-Region | ✅ Ja, voller Consent | Kostenlos | Nur wenn GA-Ökosystem unverzichtbar |
| Plausible | ✅ Ja (EU-Hosting) | ❌ Nein | ab 9 €/Monat | Beste Wahl für KMU |
| Matomo (self-hosted) | ✅ Ja | ❌ Nein (konfigurierbar) | Hosting-Kosten | Wenn du Daten-Ownership willst |
| Umami | ✅ Ja | ❌ Nein | 0–20 €/Monat | Für Dev-affine |
| Fathom Analytics | ✅ Ja | ❌ Nein | ab 15 $/Monat | Einfach, aber US-HQ |
4. Kontaktformulare: Pflicht-Features 2026
| Anforderung | Status |
|---|---|
| Einwilligungs-Checkbox (nicht vorausgewählt) | ✅ Pflicht |
| Link zur Datenschutzerklärung im Formular-Kontext | ✅ Pflicht |
| Rechtsgrundlage nach Art. 6 DSGVO dokumentiert | ✅ In Datenschutzerklärung |
| Speicherdauer & Löschfristen dokumentieren | ✅ Pflicht |
| TLS/HTTPS-Übertragung | ✅ Pflicht |
| Google reCAPTCHA v3 ohne Einwilligung | ❌ Abmahnfähig |
| AV-Vertrag mit Formular-Dienstleister (Typeform, Tally, etc.) | ✅ Pflicht |
| Server innerhalb EU | 🟡 Stark empfohlen |
Alternativen zu Google reCAPTCHA (Stand 2026):
- hCaptcha (EU-Server verfügbar, konfigurierbar)
- Cloudflare Turnstile (neutral, aber Einbindung via Cloudflare-Proxy klären)
- Honeypot + Time-Trap (versteckte Felder, die Bots ausfüllen) — meine Empfehlung für 95 % der Formulare, weil sie ohne User-Reibung auskommen
- Friendly Captcha (deutscher Anbieter, Proof-of-Work, keine Cookies)
5. Embed-Falle: YouTube, Maps, Social
Jedes eingebundene Drittanbieter-Element kann Tracking auslösen. Die drei Top-Fallen:
YouTube
Normaler Embed (youtube.com/embed/…) setzt Cookies ab erstem Load. Die Zwei-Klick-Lösung ist Pflicht: Vorschaubild mit „Video laden"-Button, das erst auf Klick die iframe einblendet. Alternative: youtube-nocookie.com als Embed-Domain — gemildert, aber immer noch umstritten, also besser mit Consent kombinieren.
Google Maps
Interaktive Karten laden beim Seitenaufruf. Lösung: Statisches Bild plus „Kartenansicht aktivieren"-Button, oder OpenStreetMap als Alternative, die keine personenbezogenen Daten sammelt.
Social Media Buttons
„Teilen auf Facebook/X/LinkedIn"-Buttons, die direkt mit der jeweiligen Plattform sprechen, setzen Tracking-Cookies beim Pageload. Lösung: Shariff-Implementierung (Heise-Projekt) oder eigene Buttons, die nur beim Klick die Share-URL öffnen — ohne Script-Einbindung.
Quick-Audit in 10 Minuten
Für den pragmatischen Selbst-Check:
- Inkognito-Modus öffnen, Website laden, Banner ignorieren, DevTools-Netzwerk-Tab prüfen.
- Datenschutzerklärung öffnen → verlinkt auf Drittanbieter? Ist die Aufbewahrungsdauer konkret genannt? (Nicht: „so lange wie nötig".)
- Footer prüfen → gibt es einen „Cookie-Einstellungen"-Link? Öffnet der den Banner?
- Kontaktformular testen → ist die DSGVO-Checkbox unvor-ausgewählt?
- Impressum prüfen → vollständig und erreichbar?
- Google Fonts checken: im Netzwerk-Tab filtern auf
googleapis.com— darf nicht auftauchen. - Maps/YouTube auf Unterseiten testen → sofort ladend oder Zwei-Klick?
- Browser-Cookies nach Seitenaufruf (ohne Consent) prüfen — sollten nur technisch notwendige sein.
- AV-Verträge aus der Vergangenheit in Erinnerung rufen: Mailchimp, Hoster, CDN, Formular-Tool. Sind alle geschlossen?
- Letzte Änderung der Datenschutzerklärung: Wenn älter als 12 Monate → wahrscheinlich veraltet.
Wer bei mehr als zwei Punkten „nein" ankreuzt, hat konkreten Handlungsbedarf.
Was 2026 neu ist
Das ist der Kurz-Changelog gegenüber 2024:
- TDDDG (Mai 2024 in Kraft) verschärft das Einwilligungs-Design. „Dark Patterns" sind seit Gesetzesnovelle explizit untersagt.
- BGH-Urteil zu Layered Consent (2025): Mehrstufige Banner dürfen User nicht dazu drängen, „alle akzeptieren" im ersten Schritt zu wählen. Falls Layer 1 nur „Akzeptieren" hat und „Ablehnen" auf Layer 2 liegt → abmahnfähig.
- Verschärfte Abmahnpraxis bei Google Fonts, Meta-Pixel, TikTok-Pixel — spezialisierte Kanzleien haben sich etabliert.
- Analytics-Tools mit US-Cloud (z. B. Mixpanel, Hotjar ohne EU-Region) gelten als pauschal nicht empfohlen, bis die EU-US-Data-Privacy-Framework-Verfahren final geklärt sind.
Mein Fazit aus 234 Projekten
DSGVO ist weder das Monster, als das sie gern dargestellt wird, noch die Formalie, die viele sich wünschen. Wer sie als Qualitätsmerkmal behandelt — saubere Consents, sparsamer Umgang mit Daten, transparente Kommunikation — bekommt nicht nur rechtliche Sicherheit, sondern auch Vertrauen bei den Nutzer:innen. Und Vertrauen konvertiert.
Das ist der Grund, warum ich alle Projekte standardmäßig mit cookieless Analytics, lokalen Fonts, Honeypot-Schutz und einem schlanken, rechtssicheren Consent-Banner ausliefere. Das ist heute kein Premium-Feature, das extra kostet — das ist der Stand der Technik.
Wenn du unsicher bist, wo deine Website gerade steht: Schreib mir. 30 Minuten Screenshare, ich zeig dir deine drei größten Hebel. Kostenlos und ohne Haken.
Häufige Fragen
Brauche ich zwingend einen Cookie-Banner?
Ist Google Analytics in der EU legal?
Reicht Cookiebot/Usercentrics als Alles-in-einem-Lösung?
Was kostet eine DSGVO-Abmahnung aktuell?
Wie oft sollte ich meine Website DSGVO-technisch prüfen?
Quellen & weiterführende Links
- TDDDG — Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz — Bundesministerium der Justiz
- Leitlinien 2/2023 zu Artikel 5 der ePrivacy-Richtlinie — Europäischer Datenschutzausschuss (EDSA)
- LG München I, Urteil vom 20.01.2022 — Google Fonts — openJur · 20. Januar 2022
- Orientierungshilfe der Datenschutzkonferenz zu Telemedien (OH Telemedien 2021) — Datenschutzkonferenz (DSK)
- Leitfaden des BayLDA — Website-Analyse — Bayerisches Landesamt für Datenschutzaufsicht
Sebastian Gawlita
Webdesigner & DSGVO-affiner Entwickler
Seit 2017 baue ich DSGVO-konforme Websites für Selbstständige, Ärzte, Handwerk und KMU. Ich bin kein Jurist — aber ich kenne die technischen Stolperfallen, die in der Praxis teuer werden.