Hosting 10. Februar 2026 6 Min. Lesezeit

DSGVO 2026: Was sich für deutsche Websites geändert hat

Cookie-Banner, Tracking, Server-Standort, Auftragsverarbeitung. Ein Update für alle, die ihre Website seit 2022 nicht mehr angefasst haben.

P
Pageartist
Editorial-Komposition: minimalistisches Schutzschild als architektonischer Blueprint, konzentrische Goldkonturen vor tintenblauem Hintergrund — Sinnbild für Datenschutz

Vier Jahre nach Inkrafttreten des TTDSG hat sich die Praxis bei Websites kleiner Betriebe in mehreren Punkten verschoben. Die Aufsichtsbehörden sind ruhiger geworden, die Anforderungen aber präziser. Hier die wichtigsten Änderungen, die wir bei Audits in 2026 sehen — und was sie für eine bestehende Website konkret bedeuten.

Was hat sich seit 2022 wirklich verändert?

Drei Dinge: Erstens haben die Aufsichtsbehörden ihre Bescheide stärker auf konkretes Banner-Design und auf das tatsächliche Tracking-Verhalten fokussiert — Templates aus dem Plugin-Store reichen nicht mehr automatisch. Zweitens hat das EU-US Data Privacy Framework US-Dienste wieder rechtssicher gemacht, ohne die Empfehlung zur EU-Hostung aufzuheben. Drittens ist strukturierte Dokumentation (AVVs, TOMs, Verzeichnisse) wichtiger geworden als die einmalige Banner-Konfiguration.

Wer 2022 zuletzt aufgeräumt hat, hat in mindestens zwei dieser drei Punkte ein Update offen.

Cookie-Banner: Weniger ist mehr.

Die Aufsichtsbehörden haben in mehreren Bescheiden klargestellt: Dark Patterns in Cookie-Bannern sind unzulässig. Konkret: Wenn der “Akzeptieren”-Button grün und groß ist und “Ablehnen” grau und klein, ist das nicht mehr regelkonform. Genauso unzulässig ist das versteckte zweite Klick-Level, in dem “Ablehnen” erst nach einem zusätzlichen Aufklappen sichtbar wird.

Empfehlung: gleichwertige Buttons direkt auf der ersten Ebene, klare Sprache ohne Marketing-Schnörkel, kein “Berechtigtes Interesse” für Tracking ohne Consent. Die meisten kommerziellen Banner-Plugins (Borlabs, Real Cookie Banner) liefern das inzwischen als Default — wer aber ein altes Custom-Banner aus 2022 nutzt, sollte spätestens jetzt umstellen.

Server-Standort: Deutschland bleibt Argument.

Auch wenn US-Anbieter mit dem EU-US Data Privacy Framework wieder rechtssicher nutzbar sind: Aufsichtsbehörden empfehlen weiterhin, datenintensive Dienste in der EU zu hosten. Das gilt besonders für Praxen, Anwaltskanzleien und Behörden — und für jeden, der bei einer Anfrage nicht erklären möchte, was ein Standardvertragsklausel-Anhang ist.

Pageartist hostet alle Kunden-Sites auf deutschen Servern (Hetzner, Düsseldorf/Falkenstein) — nicht aus Marketing-Gründen, sondern weil es eine ganze Klasse von Compliance-Fragen einfach nicht entstehen lässt. Ein Nebeneffekt: kürzere Latenzen für deutsche Besucher und damit oft messbar bessere Core Web Vitals. Wer ohnehin bei einem deutschen Hoster ist, kann gleich die WordPress-Performance-Hebel mitnehmen, die meist im selben Audit auftauchen.

Auftragsverarbeitung: Alle drei Jahre prüfen.

Viele Auftragsverarbeitungsverträge (AVV) aus 2022 sind inhaltlich überholt. Die typischen Schwachstellen, die wir in 2026 sehen:

  • Kein Hinweis auf das EU-US Data Privacy Framework
  • Veraltete Sub-Auftragsverarbeiter-Listen (Anbieter, die der Hauptdienst inzwischen längst getauscht hat)
  • Fehlende TOMs (Technische und organisatorische Maßnahmen) bei neueren Diensten
  • Kein dokumentierter Prozess für Datenpannen-Meldungen

Faustregel: AVVs alle 3 Jahre prüfen, mindestens bei Hoster-Wechsel und bei jedem neuen externen Tool. Bei kritischen Dienstleistern (Zahlungsabwicklung, CRM, Newsletter) lohnt eine jährliche Prüfung.

Schriftarten: Lokal hosten ist immer noch sicherer.

Google Fonts via CDN ist nach dem Münchener Urteil 2022 ein Dauerbrenner. Auch wenn sich die meisten Aufsichtsbehörden inzwischen entspannter zeigen — lokal hosten ist die robusteste Lösung. Ein WordPress-Theme mit lokal eingebundenen Fonts ist nicht weniger schön und spart einen DNS-Lookup nach Mountain View. Das Plugin “OMGF” oder ein direkter Upload per FTP erledigen das in unter 15 Minuten.

Dasselbe gilt für eingebettete YouTube-Videos, Maps-Karten und Social-Embeds: jede dieser Einbindungen lädt im Default Drittanbieter-Skripte, bevor der Nutzer überhaupt zustimmen konnte. Lazy-Load-Wrapper oder Consent-gebundene Embeds lösen das sauber.

Was wir nicht mehr empfehlen.

  • Cookie-Banner mit “Berechtigtes Interesse”-Tracking ohne Consent
  • Google Fonts via CDN ohne explizite Einwilligung
  • US-basierte Newsletter-Tools ohne SCC + TIA + EU-US-Framework-Bezug
  • Pixel-Tracking (Meta, LinkedIn, TikTok) ohne granulare Consent-Steuerung
  • Pauschale “Wir verwenden Cookies”-Banner ohne echte Auswahlmöglichkeit

Was wir empfehlen.

  • Banner-Setup einmal sauber machen, dann jährlich gegen aktuelle Aufsichts-Bescheide gegenprüfen
  • Hosting in Deutschland oder mindestens EU — als Default, nicht als Premium-Feature
  • Privacy-by-Design beim Theme-Wechsel oder Relaunch ernst nehmen
  • AVVs zentral ablegen, nicht in 14 Posteingängen verteilt

Die DSGVO ist 2026 ruhiger geworden — aber sie ist nicht weg. Wer vor 2023 zuletzt aufgeräumt hat, sollte einmal durchgehen. Bei lokalen Anbietern in NRW lohnt es sich, das Update gleich mit der Local-SEO-Bestandsaufnahme für 2026 zu kombinieren — beide Themen treffen sich bei Schema-Markup, Server-Standort und Tracking-Konsens an genau denselben Stellen.

Lass uns über dein Projekt sprechen.

30 Minuten Erstgespräch, kostenlos und unverbindlich. Konkrete Antworten statt Sales-Pitch.

→ Kontakt aufnehmen

Weiterlesen

Goldene Blaupause eines Server-Racks vor dunkler Europakarte, Deutschland hervorgehoben
Hosting
Serverstandort Deutschland: Worauf kleine Betriebe beim Hosting wirklich achten sollten
Abstrakte Visualisierung verteilter Server-Knoten als Konstellation mit goldenen Verbindungslinien auf dunkelblauem Hintergrund
Hosting
Edge Computing für kleine Websites: Wann sich der Umstieg 2026 wirklich lohnt