Die DSGVO ist seit 2018 in Kraft — und trotzdem stolpern Webseitenbetreiber, Freelancer und Auftraggeber immer wieder ueber dieselben Fallstricke. 2026 hat sich die Rechtslage weiter verschaerft: Neue Urteile, strengere Aufsichtsbehoerden und zusaetzliche EU-Regularien wie der Data Act und der AI Act erhoehen den Druck auf alle, die Websites betreiben oder erstellen.
Dieser Guide zeigt dir, welche DSGVO-Anforderungen deine Website 2026 erfuellen muss, wer bei Verstoessen haftet und wie du als Freelancer oder Auftraggeber auf der sicheren Seite bleibst.
Wichtiger Hinweis: Dieser Artikel stellt keine Rechtsberatung dar. Er dient ausschliesslich der allgemeinen Information. Bei konkreten rechtlichen Fragen wende dich bitte an einen spezialisierten Rechtsanwalt fuer Datenschutzrecht.
Was muss eine Website 2026 fuer DSGVO haben?
Die Grundpflichten sind seit 2018 im Wesentlichen gleich geblieben, aber die Anforderungen an die Umsetzung sind gestiegen. Hier die wichtigsten Bausteine:
Impressum
Jede geschaeftliche Website braucht ein vollstaendiges Impressum nach Paragraph 5 TMG bzw. dem neuen Digitale-Dienste-Gesetz (DDG). Dazu gehoeren: Name, Anschrift, Kontaktdaten, Handelsregisternummer (falls vorhanden) und bei bestimmten Berufen zusaetzliche Angaben. Das Impressum muss von jeder Unterseite aus mit maximal zwei Klicks erreichbar sein.
Datenschutzerklaerung
Die Datenschutzerklaerung ist das Herzstuck der DSGVO-Compliance. Sie muss vollstaendig, verstaendlich und aktuell sein. 2026 pruefen Aufsichtsbehoerden verstaerkt, ob Datenschutzerklaerungen tatsaechlich alle eingesetzten Dienste und Datenverarbeitungen abdecken. Typische Inhalte:
- Verantwortliche Stelle und Datenschutzbeauftragter
- Rechtsgrundlagen der Datenverarbeitung (Art. 6 DSGVO)
- Auflistung aller eingesetzten Drittanbieter-Dienste (Analytics, Fonts, Maps, etc.)
- Speicherdauer und Loeschfristen
- Betroffenenrechte (Auskunft, Loeschung, Widerspruch, Datenportabilitaet)
- Informationen zu Cookies und Tracking
- Hinweise zu Datenuebermittlung in Drittlaender
SSL-Verschluesselung
HTTPS ist seit Jahren Pflicht fuer jede Website, die personenbezogene Daten verarbeitet — und das tut praktisch jede Website mit einem Kontaktformular. Ohne SSL-Zertifikat riskierst du nicht nur ein Bussgeld, sondern auch einen Ranking-Verlust bei Google. Wenn du eine professionelle Website erstellen laesst, sollte SSL selbstverstaendlich zum Leistungsumfang gehoeren.
Auftragsverarbeitungsvertraege (AVV)
Fuer jeden Drittanbieter, der in deinem Auftrag personenbezogene Daten verarbeitet, brauchst du einen AVV. Das betrifft unter anderem:
- Hosting-Anbieter
- E-Mail-Marketing-Tools
- Analytics-Dienste
- Cloud-Speicher
- Content Delivery Networks (CDN)
Ohne AVV ist die Nutzung dieser Dienste ein DSGVO-Verstoss — egal wie datenschutzfreundlich der Anbieter selbst ist.
Google Fonts und Drittanbieter-Einbindungen
Seit dem LG-Muenchen-Urteil von 2022 ist klar: Google Fonts duerfen nicht direkt von Google-Servern geladen werden, da dabei IP-Adressen ohne Einwilligung uebermittelt werden. Die Loesung ist einfach — Google Fonts lokal laden. Dasselbe Prinzip gilt fuer alle externen Ressourcen: YouTube-Videos, Google Maps, Social-Media-Widgets und andere Drittanbieter-Skripte sollten nur nach aktiver Einwilligung geladen werden.
Brauche ich ein Cookie-Banner?
Die kurze Antwort: Ja, in den allermeisten Faellen. Die lange Antwort ist etwas differenzierter.
Wann ein Cookie-Banner Pflicht ist
Ein Cookie-Consent-Banner ist immer dann erforderlich, wenn deine Website Cookies oder aehnliche Tracking-Technologien einsetzt, die nicht technisch notwendig sind. Dazu zaehlen:
- Analytics-Tools wie Google Analytics, Matomo (mit Cookies) oder Plausible (mit Cookies)
- Marketing-Cookies fuer Retargeting und Werbung
- Social-Media-Plugins mit Tracking-Funktionalitaet
- Eingebettete Inhalte von YouTube, Vimeo oder aehnlichen Plattformen
- A/B-Testing-Tools und Heatmap-Dienste
Wann du kein Cookie-Banner brauchst
Rein technisch notwendige Cookies — etwa Session-Cookies fuer Warenkorbfunktionen oder Login-Status — benoetigen keine Einwilligung. Wenn deine Website ausschliesslich solche Cookies verwendet und auf externes Tracking verzichtet, kannst du theoretisch auf ein Banner verzichten.
Datenschutzfreundliche Analytics-Tools wie Plausible Analytics (cookieless) oder Matomo ohne Cookies bieten hier einen Ausweg. Sie erfassen Nutzungsdaten, ohne personenbezogene Daten zu verarbeiten, und fallen damit nicht unter die Cookie-Einwilligungspflicht.
Anforderungen an das Cookie-Banner 2026
Falls du ein Banner brauchst, muss es bestimmte Anforderungen erfuellen:
- Echte Wahlfreiheit: “Ablehnen” muss genauso einfach sein wie “Akzeptieren” — ein versteckter Ablehn-Button ist unzulaessig
- Kein Nudging: Dark Patterns wie farblich hervorgehobene “Akzeptieren”-Buttons sind zunehmend im Fokus der Aufsichtsbehoerden
- Granulare Auswahl: Nutzer muessen einzelne Cookie-Kategorien an- und abwaehlen koennen
- Keine vorausgewaehlten Checkboxen: Opt-in statt Opt-out ist Pflicht
- Widerrufbarkeit: Nutzer muessen ihre Einwilligung jederzeit zurueckziehen koennen
- Dokumentation: Die Einwilligung muss nachweisbar gespeichert werden
Die EDSA (Europaeischer Datenschutzausschuss) hat 2024 und 2025 mehrfach Leitlinien zu Cookie-Bannern veroeffentlicht, die 2026 von deutschen Aufsichtsbehoerden konsequent durchgesetzt werden.
Wer haftet bei DSGVO-Verstoessen — Freelancer oder Auftraggeber?
Diese Frage beschaeftigt beide Seiten — und die Antwort ist weniger eindeutig, als viele denken.
Grundsatz: Der Verantwortliche haftet
Nach der DSGVO haftet grundsaetzlich der “Verantwortliche” — also die Person oder Organisation, die ueber Zwecke und Mittel der Datenverarbeitung entscheidet. Bei einer Unternehmenswebsite ist das in der Regel der Auftraggeber, also das Unternehmen selbst.
Die Rolle des Freelancers
Webdesign-Freelancer handeln typischerweise als Auftragnehmer. Sie setzen die Website im Auftrag des Kunden um. Dennoch koennen Freelancer in die Haftung geraten:
- Beratungspflicht: Freelancer haben eine Hinweispflicht. Wer eine Website erstellt und den Kunden nicht auf DSGVO-Anforderungen hinweist, kann bei Maengeln in Regress genommen werden.
- Werkvertragliche Haftung: Ist die Website mangelhaft — etwa weil Google Fonts extern eingebunden sind oder ein Cookie-Banner fehlt — kann der Auftraggeber Nachbesserung verlangen oder den Preis mindern.
- Eigenstaendige Verantwortlichkeit: Wenn der Freelancer eigenstaendig Entscheidungen ueber den Einsatz von Tools und Diensten trifft, kann er als (Mit-)Verantwortlicher gelten.
Vertragliche Absicherung
Um Streitigkeiten zu vermeiden, sollten Freelancer und Auftraggeber die Verantwortlichkeiten klar im Vertrag regeln:
- Wer ist fuer die Datenschutzerklaerung zustaendig?
- Wer kuemmert sich um Cookie-Consent-Management?
- Wer schliesst die AVVs mit Drittanbietern ab?
- Wer traegt die Verantwortung fuer laufende DSGVO-Compliance nach Projektabschluss?
Wenn du einen professionellen Webdesigner suchst, achte darauf, dass DSGVO-Kompetenz Teil des Leistungsprofils ist. In unserem Freelancer-Verzeichnis findest du Webdesigner, die sich mit den aktuellen Datenschutzanforderungen auskennen.
DSGVO-Checkliste fuer Websites 2026
Hier eine praktische Checkliste, die du als Freelancer bei jedem Webprojekt durchgehen solltest:
Rechtliche Grundlagen:
- Vollstaendiges Impressum vorhanden und erreichbar
- Datenschutzerklaerung aktuell und vollstaendig
- Alle eingesetzten Dienste in der Datenschutzerklaerung aufgefuehrt
- AVVs mit allen Auftragsverarbeitern abgeschlossen
Technische Umsetzung:
- SSL/HTTPS aktiv auf allen Seiten
- Cookie-Banner DSGVO-konform implementiert (falls erforderlich)
- Google Fonts lokal eingebunden (nicht von Google-Servern)
- Externe Ressourcen erst nach Einwilligung geladen
- Kontaktformulare mit Datenschutzhinweis versehen
- Server-Logfiles und Speicherdauer dokumentiert
Analytics und Tracking:
- Analytics-Tool DSGVO-konform eingerichtet
- IP-Anonymisierung aktiviert (falls zutreffend)
- Opt-out-Moeglichkeit vorhanden
- Datenuebermittlung in Drittlaender abgesichert (Angemessenheitsbeschluss oder SCC)
Laufende Pflichten:
- Regelmaessige Pruefung der Datenschutzerklaerung
- Verzeichnis der Verarbeitungstaetigkeiten (VVT) gefuehrt
- Prozess fuer Betroffenenanfragen eingerichtet
- Datenschutz-Folgenabschaetzung bei risikoreichen Verarbeitungen
Neue Entwicklungen 2026: Data Act und AI Act
Neben der DSGVO gibt es 2026 weitere EU-Regularien, die Webseitenbetreiber betreffen koennen:
Data Act: Seit September 2025 voll anwendbar, regelt der Data Act den Zugang zu und die Nutzung von Daten vernetzter Geraete. Fuer Websites mit IoT-Anbindung oder datengetriebenen Diensten ergeben sich neue Pflichten.
AI Act: Wer KI-basierte Chatbots, Empfehlungssysteme oder automatisierte Entscheidungssysteme auf der Website einsetzt, muss Transparenzpflichten erfuellen. Nutzer muessen wissen, dass sie mit einer KI interagieren.
Diese Regularien ergaenzen die DSGVO und erhoehen die Anforderungen an eine rechtssichere Website. Ein regelmaessiger SEO- und Compliance-Check hilft dir, den Ueberblick zu behalten.
Fazit: DSGVO ist kein einmaliges Projekt
Datenschutz ist kein Haekchen, das du einmal setzt und dann vergisst. Die DSGVO verlangt laufende Compliance — und 2026 schauen Aufsichtsbehoerden genauer hin als je zuvor. Als Freelancer gehst du am besten so vor:
- DSGVO-Wissen als Standard: Mach Datenschutz zum festen Bestandteil jedes Webprojekts.
- Klare Vertraege: Regle die Verantwortlichkeiten schriftlich mit deinem Auftraggeber.
- Datenschutzfreundliche Technik: Setze auf lokale Fonts, cookielose Analytics und Consent-Management.
- Regelmaessige Updates: Pruefe Datenschutzerklaerungen und Cookie-Banner mindestens jaehrlich.
Du suchst einen Webdesign-Freelancer, der DSGVO-konforme Websites umsetzt? In unserem Freelancer-Verzeichnis findest du erfahrene Webdesigner aus ganz Deutschland.