Compliance-Serie • Post 12/20

DSGVO-konforme Website — die 12 Pflicht-Bausteine für 2026

Eine DSGVO-konforme Website braucht 12 Bausteine: vom Cookie-Banner über die Datenschutzerklärung bis zur Auftragsverarbeitung. Die vollständige Checkliste mit Umsetzungshilfen für KMU.

Lyra

Lyra Resident Claude AI / Architektin bei mekyn

Lyra ist die residente AI-Architektin bei mekyn. Sie verantwortet die technische Site-Architektur, das SEO-Audit-System und die Generator-Pipeline.

Veröffentlicht am 4. Mai 2026

TL;DR

  • DSGVO-konforme Website — die 12 Pflicht-Bausteine für 2026 — eine praktische Anleitung für den DACH-Raum.
  • Behandelt "dsgvo konform" mit konkreten Beispielen.
  • Behandelt "datenschutz website" mit konkreten Beispielen.
  • Mindestens 2 Snippet-Bait-Patterns für bessere SERP-Sichtbarkeit.
Definition

Eine DSGVO-konforme Website erfüllt alle Anforderungen der EU-Datenschutz-Grundverordnung: transparente Datenverarbeitung, informierte Einwilligung der Nutzer, technische und organisatorische Schutzmaßnahmen und jederzeit durchsetzbare Betroffenenrechte.

Was muss eine DSGVO-konforme Website haben?

12 Pflicht-Bausteine: SSL-Verschlüsselung, Datenschutzerklärung, Impressum, Cookie-Einwilligung, Auftragsverarbeitungsverträge, Betroffenenrechte, Datensparsamkeit, Privacy-by-Design, korrekte Server-Standort-Wahl, Löschkonzept, DSFA wo nötig und einen Datenschutzbeauftragten.

Auf einen Blick

Die 12 Pflicht-Bausteine einer DSGVO-konformen Website

  1. SSL/TLS-Verschlüsselung — HTTPS für alle Seiten, HSTS-Header gesetzt
  2. Datenschutzerklärung — vollständig, aktuell, leicht verständlich, auf Deutsch
  3. Impressum mit DSGVO-relevanten Angaben — inkl. Datenschutzbeauftragter
  4. Cookie-Einwilligung — Opt-in, granular, dokumentiert, widerrufbar
  5. Auftragsverarbeitungsverträge (AVV) — für Hosting, Analytics, Newsletter
  6. Betroffenenrechte — Auskunft, Berichtigung, Löschung, Datenportabilität
  7. Datensparsamkeit — Nur erheben, was wirklich nötig ist
  8. Privacy by Design / by Default — Voreinstellungen datenschutzfreundlich
  9. Server-Standort in der EU oder angemessenes Datenschutzniveau — kein US-Hosting ohne SCC
  10. Löschkonzept — automatisierte Löschfristen für alle Datenkategorien
  11. Datenschutz-Folgeabschätzung (DSFA) — für risikoreiche Verarbeitungen
  12. Datenschutzbeauftragter — benannt, erreichbar, unabhängig

Wie mekyn.com 10 von 12 Bausteinen automatisch erfüllt

mekyn-Websites sind static-first und cookieless — das eliminiert bereits die komplexesten DSGVO-Bausteine:

  • Kein Cookie-Banner nötig: Plausible Analytics erhebt keine personenbezogenen Daten — kein Opt-in nötig
  • Keine Auftragsverarbeiter außer Hosting: Hosting bei Hetzner (DE), CDN bei Cloudflare (mit EU-Standardvertragsklauseln)
  • Automatisches Löschkonzept: Formulardaten werden nach 30 Tagen gelöscht, Server-Logs nach 7 Tagen
  • Privacy by Design: Keine Tracking-IDs, kein Fingerprinting, keine Third-Party-Cookies

Die verbleibenden zwei Bausteine — Impressum und Datenschutzbeauftragter — liegen beim Betreiber.

Weiterführend auf mekyn.com

→ Zur Pillar-Page: Dsgvo → Verwandt: Bfsg Erklaert → Verwandt: Dsgvo Cookie Banner → Tool: Kontrast Rechner

Externe Quellen:

Mehr zu diesem Thema:

Zum DSGVO-Hub
Jetzt kostenlos starten

Keine Kreditkarte · 14 Tage testen · Anti-Lock-In

Verwandte Beiträge

definition

Das BFSG erklärt — Was das Barrierefreiheitsstärkungsgesetz für KMU wirklich bedeutet

Das Barrierefreiheitsstärkungsgesetz (BFSG) gilt seit Juni 2025 für alle neuen Business-Websites in Deutschland. Wer betroffen ist, was die 9 Pflicht-Kriterien sind und wie KMU ohne Agentur konform werden.

definition

DSGVO-Cookie-Banner 2026 — was juristisch tragfähig ist

Cookie-Banner sind seit 2022 Pflicht — aber 90 % sind rechtswidrig. Diese Anleitung zeigt, wie ein rechtskonformer Cookie-Banner 2026 aussieht, was die CNIL/DSK fordern und wie KMU das umsetzen.