Datenschutz & Compliance

DSGVO-konforme Website: 10 Punkte die wirklich geprüft werden müssen

8 Min. Lesezeit
Kurze Antwort

Eine DSGVO-konforme Website braucht: korrekte Datenschutzerklärung, rechtssicheres Impressum, funktionierenden Cookie-Consent, lokal gehostete Fonts, einwilligungsbasiertes Analytics, vollständige Dienste-Dokumentation, AVVs mit Auftragsverarbeitern, Formulare mit Datenschutzhinweis, SSL-Verschlüsselung und ein aktuelles VVT.

Die meisten Websites haben 3 bis 5 DSGVO-Probleme — ein systematischer Check löst sie alle. Diese Checkliste zeigt die 10 Punkte, die wirklich zählen.

Eine Checkliste allein macht eine Website nicht DSGVO-konform. Sie braucht Kontext: Was für eine Website ist es? Welche Daten werden verarbeitet? Welche Tools sind eingebunden? Trotzdem ist eine Checkliste der beste Einstieg, weil sie die häufigsten Lücken strukturiert sichtbar macht — ohne dass man zuerst alles wissen muss.

Diese Checkliste deckt die 10 Punkte ab, die bei der überwiegenden Mehrheit der Unternehmenswebsites relevant sind. Für spezialisierte Szenarien — Online-Shops, Membership-Websites, Gesundheitsdaten — kommen weitere Punkte hinzu. Wer alle 10 Punkte sauber abgehakt hat, hat für eine Standard-Unternehmenswebsite eine solide Basis.

  1. Datenschutzerklärung vorhanden, aktuell und vollständig?

    Die Datenschutzerklärung muss alle Verarbeitungen beschreiben, die auf der Website tatsächlich stattfinden — jeden eingebundenen Dienst, jeden Cookie, jede Datenübertragung. Sie muss von jeder Seite erreichbar sein, in verständlicher Sprache und mit konkreten Angaben zu Rechtsgrundlagen, Speicherdauern und Betroffenenrechten. Letztes Update-Datum prüfen: Wenn in der Zwischenzeit Tools geändert wurden, ist die Erklärung veraltet.

  2. Impressum korrekt nach §5 DDG?

    Das Impressum muss seit Februar 2024 nach dem neuen Digitale-Dienste-Gesetz (DDG) gestaltet sein — Ablösung des alten TMG. Pflichtangaben: vollständiger Name oder Firma, Anschrift, E-Mail-Adresse, bei juristischen Personen Vertretungsberechtigte und Handelsregisternummer. Das Impressum muss leicht auffindbar sein — maximal zwei Klicks von jeder Seite.

  3. Cookie-Consent-Tool korrekt konfiguriert?

    Das Cookie-Consent-Tool muss technisch korrekt eingebunden sein: Alle nicht notwendigen Cookies und Skripte dürfen erst nach aktiver Einwilligung geladen werden. Ablehnen muss mit einem Klick möglich sein, gleich prominent wie Akzeptieren. Die Einwilligung muss protokolliert werden. Der Nutzer muss seine Einwilligung jederzeit widerrufen können. Regelmäßig prüfen ob neue Tools oder Plugins Cookies setzen, die im Consent nicht erfasst sind.

  4. Google Fonts lokal oder gar nicht?

    Wenn Google Fonts auf der Website eingesetzt werden, müssen sie lokal gehostet sein. Test: Im Browser-Netzwerk-Tab prüfen ob Anfragen an fonts.googleapis.com oder fonts.gstatic.com gehen — wenn ja, besteht Handlungsbedarf. Fonts auf Google Fonts herunterladen, in den eigenen Webspace hochladen und per @font-face einbinden. Alternativ: Systemschriften verwenden, die keinen externen Download benötigen.

  5. Analytics nur nach Einwilligung?

    Google Analytics, Matomo, Plausible oder andere Tracking-Tools dürfen nur geladen werden, nachdem der Nutzer aktiv eingewilligt hat. Das bedeutet technisch: Das Analytics-Skript darf nicht im HTML-Quellcode stehen, sondern muss über den Consent Manager conditionally geladen werden. Testen: Seite im Inkognito-Modus aufrufen, Cookie-Banner ablehnen, im Netzwerk-Tab prüfen ob Analytics-Anfragen trotzdem gesendet werden.

  6. Externe Tools und Dienste in der Datenschutzerklärung aufgeführt?

    Jeder externe Dienst, der auf der Website eingebunden ist, muss in der Datenschutzerklärung beschrieben sein: was verarbeitet wird, zu welchem Zweck, auf welcher Rechtsgrundlage, wie lange, an wen übertragen. Das betrifft auch: eingebettete YouTube-Videos, Social-Media-Buttons, Chatbots, externe Bildquellen, CDNs, Schriftarten. Im Netzwerk-Tab lässt sich vollständig sehen, welche externen Domains aufgerufen werden.

  7. AVV mit allen Auftragsverarbeitern?

    Wer als externer Dienstleister personenbezogene Daten im Auftrag verarbeitet, ist Auftragsverarbeiter. Mit jedem Auftragsverarbeiter muss ein Auftragsverarbeitungsvertrag (AVV) geschlossen sein. Das betrifft: Hosting-Anbieter, E-Mail-Marketing-Tools, Formular-Anbieter, CRM-Systeme, Analyse-Tools, Newsletter-Dienste. Viele Anbieter stellen AVVs in ihren Kundenportalen oder auf Anfrage bereit.

  8. Kontaktformular mit Datenschutzhinweis?

    Direkt am Kontaktformular muss ein Datenschutzhinweis stehen — nicht nur in der allgemeinen Datenschutzerklärung. Der Hinweis beschreibt kurz: welche Daten zu welchem Zweck erhoben werden, wie lange sie gespeichert werden und wo die vollständige Datenschutzerklärung zu finden ist. Eine kurze Zeile mit Link reicht: zum Beispiel 'Mit dem Absenden stimmen Sie der Verarbeitung Ihrer Daten gemäß unserer Datenschutzerklärung zu.'

  9. SSL-Verschlüsselung aktiv?

    Die gesamte Website muss über HTTPS ausgeliefert werden — kein HTTP. Das SSL-Zertifikat muss gültig und nicht abgelaufen sein. HTTP-zu-HTTPS-Weiterleitung muss auf alle Seiten angewendet sein. Test: Browser-Adressleiste prüfen (Schloss-Symbol), SSL-Checker wie ssllabs.com nutzen. Ein abgelaufenes Zertifikat ist sowohl ein Datenschutz- als auch ein Sicherheitsproblem und wirkt sich negativ auf das Google-Ranking aus.

  10. Verzeichnis von Verarbeitungstätigkeiten (VVT) vorhanden?

    Das VVT ist nach Art. 30 DSGVO für Unternehmen mit mehr als 250 Mitarbeitenden verpflichtend — für kleinere Unternehmen mit wenigen Ausnahmen optional, aber dringend empfohlen. Es dokumentiert alle Verarbeitungen personenbezogener Daten im Unternehmen, nicht nur auf der Website. Bei einer Behördenprüfung ist es eines der ersten Dokumente, die angefordert werden. Wer keines hat, signalisiert fehlende Compliance-Reife.

Diese Checkliste muss mindestens einmal jährlich wiederholt werden — und nach jedem Wechsel oder Hinzufügen von Tools, Plugins oder Diensten auf der Website. Ein DSGVO-Check, der einmal gemacht und dann nicht mehr aktualisiert wird, gibt false Security. Websites sind keine statischen Gebilde: Jedes Plugin-Update, jede neue Funktion, jeder neue Dienst kann neue Datenschutzfragen aufwerfen.
  • Cookiebot (cookiebot.com/de/cookie-scanner/) — scannt Cookies und gibt kategorisierte Auswertung
  • Privacy Badger (Browser-Plugin der EFF) — zeigt Tracker in Echtzeit beim Surfen
  • SSL Labs Server Test (ssllabs.com/ssltest/) — prüft SSL-Konfiguration im Detail
  • Google PageSpeed Insights — enthält Hinweise auf Drittanbieter-Ressourcen
  • Browser-Netzwerk-Tab (F12) — zeigt alle externen Anfragen beim Seitenaufruf
  • e-recht24.de Datenschutzgenerator — strukturierte Erstellung der Datenschutzerklärung
Technische Basis für einen schnellen und gründlichen Check: Screaming Frog (kostenlose Version bis 500 URLs) crawlt die Website und zeigt externe Ressourcen. Das Browser-Plugin dataskydd.net ergänzt mit Datenschutz-spezifischen Hinweisen direkt beim Surfen. Beide Tools zusammen in einer Stunde: vollständiger Überblick über externe Abhängigkeiten, Tracking-Ressourcen und potenzielle Datenschutzlücken — ohne technisches Vorwissen.

Nach dem Check kommt die Priorisierung. Nicht alles lässt sich gleichzeitig beheben. Empfohlene Reihenfolge: Zuerst technisch einfache, rechtlich kritische Punkte — Google Fonts lokal hosten, Cookie-Banner korrekt konfigurieren, SSL prüfen. Das dauert typischerweise einen halben Tag und eliminiert die häufigsten Abmahnrisiken.

Danach: Datenschutzerklärung aktualisieren, Formulare mit Datenschutzhinweis versehen, AVVs prüfen und abschließen. Das dauert länger, weil es Recherche und ggf. Kommunikation mit Dienstleistern erfordert. Abschließend das VVT erstellen oder aktualisieren — das ist der aufwendigste Teil, aber auch der, der langfristig den größten Mehrwert bei Behördenanfragen hat.

Wichtig: Alle umgesetzten Maßnahmen dokumentieren. Wann wurde was geändert? Was war vorher, was ist jetzt der Stand? Diese Dokumentation ist im Fall einer Abmahnung oder Behördenprüfung ein wichtiges Beweismittel für Compliance-Bereitschaft.

Wir führen den vollständigen DSGVO-Check Ihrer Website durch — technisch, rechtlich und dokumentarisch — und liefern einen priorisierten Maßnahmenplan.

Kompletten DSGVO-Check anfragen

Häufige Fragen

Wie lange dauert ein vollständiger DSGVO-Check einer Website?
Für eine Standard-Unternehmenswebsite ohne Shop oder komplexe Funktionen: 2 bis 4 Stunden für einen erfahrenen Prüfer. Die technischen Checks mit Browser-Tools und Scannern gehen schnell — das meiste Zeit kostet die inhaltliche Prüfung der Datenschutzerklärung gegen den tatsächlichen Tool-Einsatz.
Reicht eine DSGVO-Checkliste für die Absicherung?
Als Einstieg ja — als alleinige Maßnahme nein. Eine Checkliste zeigt strukturiert die häufigsten Lücken. Für rechtssichere Absicherung braucht es zusätzlich eine auf das Unternehmen zugeschnittene Datenschutzerklärung, abgeschlossene AVVs und ein aktuelles VVT. Empfehlung: Checkliste selbst durchgehen, dann einmalig anwaltliche Prüfung.
Was kostet DSGVO-Konformität eine Unternehmenswebsite?
Für eine Standard-Website ohne Shop oder komplexe Funktionen: 500 bis 2.000 Euro einmalig für technische Umsetzung und rechtliche Absicherung — abhängig davon, wie viel bereits vorhanden ist. Laufend: jährliche Aktualisierung der Datenschutzerklärung und regelmäßige Checks. Das ist deutlich günstiger als eine Abmahnung oder ein Behördenbußgeld.
Muss ich als Kleinunternehmer auch DSGVO-konform sein?
Ja. Die DSGVO gilt für alle Unternehmen, die personenbezogene Daten von EU-Bürgern verarbeiten — unabhängig von Größe und Umsatz. Auch eine Website mit Kontaktformular verarbeitet personenbezogene Daten. Kleinunternehmer sind lediglich von der Pflicht zum VVT unter bestimmten Bedingungen ausgenommen — nicht von der DSGVO selbst.

War dieser Artikel hilfreich?

Verwandte Artikel
Datenschutz & Compliance
5 haeufigste DSGVO-Fehler auf Unternehmenswebsites
6 Min. Lesezeit
Datenschutz & Compliance
5 häufigste DSGVO-Fehler auf Unternehmenswebsites
8 Min. Lesezeit
Datenschutz & Compliance
Cookie-Banner falsch konfiguriert: Die häufigsten Muster und Risiken
7 Min. Lesezeit

Haben Sie weitere Fragen?

Unser Team hilft Ihnen persönlich und direkt weiter.

← Zur Kategorie Kontakt aufnehmen