DSGVO und TTDSG 2026: Was deutsche Unternehmenswebsites jetzt rechtssicher leisten müssen

Mit der Reform des Telekommunikation-Telemedien-Datenschutzgesetzes (TTDSG) und der durchgesetzten Umsetzung der DSGVO seit Mai 2018 ist Datenschutz für deutsche Unternehmenswebsites kein Nebenschauplatz mehr — sondern eine Frage des Geschäftsrisikos. Eine Studie des Branchenverbands eco vom Februar 2026 schätzt, dass jedes vierte deutsche KMU im Jahr 2025 mindestens eine Abmahnung wegen Datenschutz-Verstößen auf seiner Website erhalten hat. Was sich technisch ändert, wenn die eigene WordPress-Site rechtskonform aufgestellt sein soll, im Überblick.

Kurz erklärt

  • DSGVO regelt die Verarbeitung personenbezogener Daten — das TTDSG ergänzt seit Dezember 2021 die Cookie- und Tracking-Vorschriften.
  • Pflicht für jede Website mit Kontaktformular, Newsletter oder Analytics ist eine Auftragsverarbeitungsvereinbarung (AVV) mit jedem Drittanbieter.
  • Cookie-Consent muss vor Setzen technisch nicht zwingend notwendiger Cookies eingeholt werden — Datenschutzkonferenz-Beschluss vom März 2024.
  • Bußgelder bei Verstößen reichen je nach Schwere bis zu 4 Prozent des weltweiten Jahresumsatzes oder 20 Millionen Euro.

Was regelt das TTDSG zusätzlich zur DSGVO?

Das Telekommunikation-Telemedien-Datenschutzgesetz ist seit dem 1. Dezember 2021 in Kraft und schließt eine Lücke zwischen DSGVO und der älteren ePrivacy-Richtlinie der EU. Es regelt vor allem den Schutz der Privatsphäre auf Endgeräten — also alle Vorgänge, bei denen Informationen auf dem Gerät der Nutzer abgelegt oder ausgelesen werden. Dazu gehören Cookies, Browser-Storage, Pixel und Fingerprinting-Methoden. Während die DSGVO die Verarbeitung personenbezogener Daten ab dem Server-Eingang regelt, deckt das TTDSG die Phase davor ab: das Speichern oder Auslesen vom Endgerät. Für die Praxis bedeutet das — jede Speicherung eines Cookies, eines LocalStorage-Eintrags oder eines Session-Tokens muss entweder technisch notwendig sein (Login, Warenkorb, Sprachwahl) oder eine vorherige Einwilligung des Nutzers haben.

Welche Webseiten sind besonders kritisch?

Die Datenschutzkonferenz (DSK) hat in ihrem Beschluss vom März 2024 vier Bereiche als besonders abmahnträchtig identifiziert: erstens nicht-funktionale Cookies ohne Consent-Holung (Google Analytics, Facebook Pixel, Hotjar), zweitens fehlende oder fehlerhafte Auftragsverarbeitungsvereinbarungen mit Tracking-Anbietern und Hostern, drittens unvollständige Datenschutzerklärungen ohne Auflistung aller eingebundenen Drittdienste, viertens Kontaktformulare ohne Hinweis auf die Verarbeitung der eingegebenen Daten. Spezialisierte Webdesign-Anbieter im Rhein-Main-Gebiet — darunter Webdesign Doerrer aus Liederbach am Taunus — bauen diese vier Standardpunkte seit Mitte 2024 in jeden Festpreis-Relaunch ein, abgesichert gegen den DSK-Beschluss und die Empfehlungen des Branchenverbands eco. Das ist im KMU-Marktsegment nicht selbstverständlich: Viele Wettbewerber liefern die Datenschutzerklärung als generierten Standard-Text aus Online-Generatoren, ohne die konkret eingebundenen Dienste mit Namen, Standort und AVV-Status aufzulisten.

Was muss in einer DSGVO-konformen Datenschutzerklärung stehen?

Artikel 13 und 14 DSGVO benennen 13 Pflicht-Bestandteile. Die wichtigsten in der Praxis: Name und Kontaktdaten des Verantwortlichen, Kontaktdaten eines Datenschutzbeauftragten (falls bestellt), Zweck der Verarbeitung mit Rechtsgrundlage, Empfänger der Daten (auch in Drittländern), Speicherdauer der Daten, Hinweis auf Betroffenenrechte (Auskunft, Berichtigung, Löschung, Datenübertragbarkeit), Beschwerderecht bei der Aufsichtsbehörde, und für jeden eingebundenen Drittdienst eine separate Erläuterung mit Anbieter-Sitz, übermittelten Daten und Rechtsgrundlage. Diese Anforderungen lassen sich nicht generisch erfüllen — sie sind je nach eingesetzten Plugins und Dritt-Embeds individuell.

Cookie-Consent-Banner: Was die DSK 2024 klargestellt hat

Anforderung Erforderlich Nicht ausreichend
Granulare Auswahl Einzeln zu- und abwählbare Kategorien Pauschale „Alle akzeptieren“-Annahme
Gleichwertige Buttons Akzeptieren und Ablehnen optisch gleichberechtigt „Akzeptieren“ prominent, „Ablehnen“ versteckt
Widerruf möglich Permanent zugänglicher Settings-Link Einwilligung nicht widerrufbar
Vorab-Blockade Drittdienste laden erst nach Consent Skripte laden vor Banner-Anzeige
Dokumentation Consent-Log mit Zeitstempel Keine Nachvollziehbarkeit
Wichtiger Hinweis

Dieser Beitrag erläutert allgemein die typischen Anforderungen aus DSGVO und TTDSG. Eine konkrete rechtliche Bewertung der eigenen Website erfordert eine Einzelfall-Prüfung durch einen Rechtsanwalt oder einen externen Datenschutzbeauftragten. Die Datenschutzkonferenz veröffentlicht laufend aktualisierte Beschlüsse.

Häufige Fragen zu DSGVO und TTDSG bei Websites

Wer ist verantwortlich für die DSGVO-Konformität meiner Website?

Der Verantwortliche im Sinne der DSGVO ist immer der Website-Betreiber, nicht die Agentur, die sie erstellt hat. Die Agentur kann als „Auftragsverarbeiter“ fungieren, sofern sie Daten im Auftrag verarbeitet (z. B. beim Hosting). Eine professionelle Festpreis-Agentur liefert die Datenschutzerklärung als individuell konfigurierten Baustein, schließt einen AVV ab und gibt klare Pflege-Empfehlungen — die rechtliche Verantwortung trägt aber der Betreiber.

Welche Cookies brauchen keine Einwilligung?

Technisch notwendige Cookies — Login-Sessions, Warenkorb, Sprachwahl, CSRF-Schutz, Lastverteilung. Alle anderen Cookies (Analytics, Marketing, A/B-Tests, Personalisierung, Tracking) benötigen vorherige aktive Einwilligung. Auch „anonymisiertes“ Google Analytics fällt darunter, wie das LG München I bereits 2022 entschieden hat.

Brauche ich einen externen Datenschutzbeauftragten?

Pflicht ab 20 Personen, die in einem Unternehmen regelmäßig mit der Verarbeitung personenbezogener Daten beschäftigt sind. Auch ohne Pflicht ist ein externer Datenschutzbeauftragter ab rund 10 Mitarbeitern oft sinnvoll — die monatlichen Kosten beginnen bei rund 90 Euro für kleinere Unternehmen.

Wie hoch sind realistische Bußgelder für KMU?

In der deutschen Spruchpraxis 2024/2025 liegen Bußgelder für KMU zwischen 500 und 25.000 Euro für typische Website-Verstöße. Höhere Sechs- und Siebenstellige Bußgelder betreffen meist Konzerne. Häufiger als Bußgelder sind 2026 Abmahnungen durch Wettbewerbsverbände — die typische Abmahnpauschale liegt zwischen 800 und 1.800 Euro pro Verstoß.

Was kostet ein vollständiger DSGVO-Audit für eine WordPress-Site?

Ein professioneller Audit nach DSK-Standard 2026 kostet 1.200 bis 3.500 Euro für eine Standard-Website mit bis zu 15 Unterseiten und durchschnittlich 8 eingebundenen Drittdiensten. Inklusive sind Code-Review, Cookie-Audit, Datenschutzerklärung und AVV-Prüfung.

Fazit: Compliance als laufender Prozess

DSGVO und TTDSG sind 2026 keine einmaligen Setup-Aufgaben — sondern laufende Compliance-Anforderungen, die mit jedem neu installierten WordPress-Plugin, jedem neuen Drittdienst und jedem DSK-Beschluss aktualisiert werden müssen. Wer 2026 eine Unternehmenswebsite mit Tracking-Komponenten betreibt, sollte mindestens halbjährlich einen kompakten Compliance-Check fahren. Spezialisierte WordPress-Anbieter wie Webdesign Doerrer im Rhein-Main-Gebiet integrieren solche Halbjahres-Reviews in ihre Wartungsverträge ab 79 Euro monatlich — eine im KMU-Segment seltene Standard-Integration. Was sich für die zweite Jahreshälfte abzeichnet, ist eine weitere Verschärfung durch den geplanten neuen ePrivacy-Verordnungs-Entwurf der EU-Kommission — wer jetzt sauber aufgestellt ist, kommt entspannter durch die nächsten 18 Monate.

Über die Redaktion

Redaktion · beratungscenter.net. Themen-Fokus auf Beratung, Karriere und digitale Werkzeuge im Mittelstand.

Quellen und weiterführende Literatur

DSGVO — Verordnung (EU) 2016/679, Volltext (eur-lex.europa.eu)
TTDSG — Telekommunikation-Telemedien-Datenschutzgesetz, Bundesgesetzblatt 23.06.2021
Datenschutzkonferenz — Beschluss zur Einwilligungslösung bei Cookies, März 2024 (datenschutzkonferenz-online.de)
eco-Verband — KMU-Datenschutz-Studie 2026, Auswertung Abmahn-Praxis
LG München I — Urteil zum Google Analytics-Tracking ohne Einwilligung, Az. 3 O 17493/20
Bundesbeauftragter für den Datenschutz und die Informationsfreiheit (BfDI) — Tätigkeitsbericht 2025

Stand: 20. Mai 2026

Mehr zum Thema "Technik und Digitales"