Hosting 10. Februar 2026 6 Min. Lesezeit

DSGVO 2026: Was sich für deutsche Websites geändert hat

Cookie-Banner, Tracking, Server-Standort, Auftragsverarbeitung. Ein Update für alle, die ihre Website seit 2022 nicht mehr angefasst haben.

P
Pageartist
Editorial-Komposition: minimalistisches Schutzschild als architektonischer Blueprint, konzentrische Goldkonturen vor tintenblauem Hintergrund — Sinnbild für Datenschutz

Vier Jahre nach Inkrafttreten des TTDSG hat sich die Praxis bei deutschen KMU-Websites in mehreren Punkten verschoben. Die Aufsichtsbehörden sind ruhiger geworden, die Anforderungen aber präziser. Hier die wichtigsten Änderungen, die wir bei Audits in 2026 sehen — und was sie für eine bestehende Website konkret bedeuten.

Was hat sich seit 2022 wirklich verändert?

Drei Dinge: Erstens haben die Aufsichtsbehörden ihre Bescheide stärker auf konkretes Banner-Design und auf das tatsächliche Tracking-Verhalten fokussiert — Templates aus dem Plugin-Store reichen nicht mehr automatisch. Zweitens hat das EU-US Data Privacy Framework US-Dienste wieder rechtssicher gemacht, ohne die Empfehlung zur EU-Hostung aufzuheben. Drittens ist strukturierte Dokumentation (AVVs, TOMs, Verzeichnisse) wichtiger geworden als die einmalige Banner-Konfiguration.

Wer 2022 zuletzt aufgeräumt hat, hat in mindestens zwei dieser drei Punkte ein Update offen.

Cookie-Banner: Weniger ist mehr.

Die Aufsichtsbehörden haben in mehreren Bescheiden klargestellt: Dark Patterns in Cookie-Bannern sind unzulässig. Konkret: Wenn der “Akzeptieren”-Button grün und groß ist und “Ablehnen” grau und klein, ist das nicht mehr regelkonform. Genauso unzulässig ist das versteckte zweite Klick-Level, in dem “Ablehnen” erst nach einem zusätzlichen Aufklappen sichtbar wird.

Empfehlung: gleichwertige Buttons direkt auf der ersten Ebene, klare Sprache ohne Marketing-Schnörkel, kein “Berechtigtes Interesse” für Tracking ohne Consent. Die meisten kommerziellen Banner-Plugins (Borlabs, Real Cookie Banner) liefern das inzwischen als Default — wer aber ein altes Custom-Banner aus 2022 nutzt, sollte spätestens jetzt umstellen.

Server-Standort: Deutschland bleibt Argument.

Auch wenn US-Anbieter mit dem EU-US Data Privacy Framework wieder rechtssicher nutzbar sind: Aufsichtsbehörden empfehlen weiterhin, datenintensive Dienste in der EU zu hosten. Das gilt besonders für Praxen, Anwaltskanzleien und Behörden — und für jeden, der bei einer Anfrage nicht erklären möchte, was ein Standardvertragsklausel-Anhang ist.

Pageartist hostet alle Kunden-Sites auf deutschen Servern (Hetzner, Düsseldorf/Falkenstein) — nicht aus Marketing-Gründen, sondern weil es eine ganze Klasse von Compliance-Fragen einfach nicht entstehen lässt. Ein Nebeneffekt: kürzere Latenzen für deutsche Besucher und damit oft messbar bessere Core Web Vitals. Wer ohnehin bei einem deutschen Hoster ist, kann gleich die WordPress-Performance-Hebel mitnehmen, die meist im selben Audit auftauchen.

Auftragsverarbeitung: Alle drei Jahre prüfen.

Viele Auftragsverarbeitungsverträge (AVV) aus 2022 sind inhaltlich überholt. Die typischen Schwachstellen, die wir in 2026 sehen:

  • Kein Hinweis auf das EU-US Data Privacy Framework
  • Veraltete Sub-Auftragsverarbeiter-Listen (Anbieter, die der Hauptdienst inzwischen längst getauscht hat)
  • Fehlende TOMs (Technische und organisatorische Maßnahmen) bei neueren Diensten
  • Kein dokumentierter Prozess für Datenpannen-Meldungen

Faustregel: AVVs alle 3 Jahre prüfen, mindestens bei Hoster-Wechsel und bei jedem neuen externen Tool. Bei kritischen Dienstleistern (Zahlungsabwicklung, CRM, Newsletter) lohnt eine jährliche Prüfung.

Schriftarten: Lokal hosten ist immer noch sicherer.

Google Fonts via CDN ist nach dem Münchener Urteil 2022 ein Dauerbrenner. Auch wenn sich die meisten Aufsichtsbehörden inzwischen entspannter zeigen — lokal hosten ist die robusteste Lösung. Ein WordPress-Theme mit lokal eingebundenen Fonts ist nicht weniger schön und spart einen DNS-Lookup nach Mountain View. Das Plugin “OMGF” oder ein direkter Upload per FTP erledigen das in unter 15 Minuten.

Dasselbe gilt für eingebettete YouTube-Videos, Maps-Karten und Social-Embeds: jede dieser Einbindungen lädt im Default Drittanbieter-Skripte, bevor der Nutzer überhaupt zustimmen konnte. Lazy-Load-Wrapper oder Consent-gebundene Embeds lösen das sauber.

Was wir nicht mehr empfehlen.

  • Cookie-Banner mit “Berechtigtes Interesse”-Tracking ohne Consent
  • Google Fonts via CDN ohne explizite Einwilligung
  • US-basierte Newsletter-Tools ohne SCC + TIA + EU-US-Framework-Bezug
  • Pixel-Tracking (Meta, LinkedIn, TikTok) ohne granulare Consent-Steuerung
  • Pauschale “Wir verwenden Cookies”-Banner ohne echte Auswahlmöglichkeit

Was wir empfehlen.

  • Banner-Setup einmal sauber machen, dann jährlich gegen aktuelle Aufsichts-Bescheide gegenprüfen
  • Hosting in Deutschland oder mindestens EU — als Default, nicht als Premium-Feature
  • Privacy-by-Design beim Theme-Wechsel oder Relaunch ernst nehmen
  • AVVs zentral ablegen, nicht in 14 Posteingängen verteilt

Die DSGVO ist 2026 ruhiger geworden — aber sie ist nicht weg. Wer vor 2023 zuletzt aufgeräumt hat, sollte einmal durchgehen. Bei lokalen Anbietern in NRW lohnt es sich, das Update gleich mit der Local-SEO-Bestandsaufnahme für 2026 zu kombinieren — beide Themen treffen sich bei Schema-Markup, Server-Standort und Tracking-Konsens an genau denselben Stellen.

Lass uns über dein Projekt sprechen.

30 Minuten Erstgespräch, kostenlos und unverbindlich. Konkrete Antworten statt Sales-Pitch.

→ Kontakt aufnehmen

Weiterlesen

Abstrakte Visualisierung verteilter Server-Knoten als Konstellation mit goldenen Verbindungslinien auf dunkelblauem Hintergrund
Hosting
Edge Computing für KMU: Wann sich der Umstieg 2026 wirklich lohnt