Websites & Software

Website-Datenschutz komplett: Was wirklich geprüft werden muss

7 Min. Lesezeit
Kurze Antwort

Eine datenschutzkonforme Website braucht: korrektes Impressum, vollständige Datenschutzerklärung, DSGVO-konformer Cookie-Banner, lokale Schriftarten, SSL und AVV mit dem Hoster.

Eine Website ohne vollständigen Datenschutz ist kein Kavaliersdelikt – Abmahnungen und Bußgelder sind real. Diese Checkliste deckt alle Pflichtpunkte ab.

Warum Website-Datenschutz so oft scheitert

Die komplette Datenschutz-Checkliste für Websites

  • Impressum vollständig nach §5 DDG (Pflichtangaben: Name, Adresse, E-Mail, ggf. Handelsregisternummer, USt-ID)
  • Datenschutzerklärung aktuell und vollständig (alle eingesetzten Tools und Dienste genannt)
  • Cookie-Banner DSGVO-konform (kein vorausgefülltes Zustimmen, Ablehnen muss gleich einfach erreichbar sein)
  • Google Fonts lokal gehostet (keine Verbindung zu Google-Servern beim Seitenaufruf)
  • Google Analytics nur nach Einwilligung (Consent Mode v2 oder vollständige Deaktivierung ohne Zustimmung)
  • YouTube-Videos nur mit nocookie-Domain (youtube-nocookie.com) oder hinter Click-to-Play
  • SSL-Zertifikat aktiv und gültig (HTTPS für alle Seiten, HTTP-Weiterleitung eingerichtet)
  • AVV mit Hosting-Anbieter abgeschlossen (schriftlich, nicht nur AGB-Häkchen)
  • Kontaktformular: Hinweis auf Verarbeitung, keine Weitergabe ohne Einwilligung
  • Externe Dienste (Maps, Chat, Buchung) in Datenschutzerklärung genannt und per Consent abgesichert

So setzen Sie die Datenschutzanforderungen um

  1. Schritt 1: Technischen Audit durchführen

    Scannen Sie Ihre Website mit Tools wie Cookiebot-Scanner, Google Lighthouse oder dem Browser-Entwicklertool (Network-Tab). Welche externen Server werden beim Seitenaufruf kontaktiert? Jede externe Verbindung ist ein potenzielles Datenschutzproblem.

  2. Schritt 2: Google Fonts lokal hosten

    Laden Sie die benötigten Schriftarten über google-webfonts-helper.herokuapp.com herunter, hosten Sie sie auf Ihrem Server und passen Sie den CSS-@font-face-Eintrag an. Entfernen Sie alle Links auf fonts.googleapis.com aus Ihrem HTML und CSS.

  3. Schritt 3: Cookie-Banner korrekt implementieren

    Nutzen Sie einen DSGVO-konformen Consent Manager wie Borlabs Cookie, Complianz oder Cookiebot. Stellen Sie sicher: Kein Tracking-Cookie wird vor der Einwilligung gesetzt. Die Ablehnen-Option ist genauso prominent wie Zustimmen. Einwilligung ist jederzeit widerrufbar.

  4. Schritt 4: Datenschutzerklärung aktualisieren

    Jeder eingesetzte externe Dienst muss in der Datenschutzerklärung genannt sein – mit Anbieter, Zweck, Rechtsgrundlage und Link zur Datenschutzrichtlinie des Anbieters. Nutzen Sie Generatoren wie Datenschutz-Generator.de als Basis, aber prüfen Sie manuell auf Vollständigkeit.

  5. Schritt 5: AVV mit Hoster abschließen

    Fragen Sie Ihren Hosting-Anbieter nach dem Auftragsverarbeitungsvertrag. Seriöse Anbieter (IONOS, Strato, Hetzner, All-Inkl.) stellen diesen im Kundenbereich bereit. Drucken Sie ihn aus und archivieren Sie ihn – er muss auf Anfrage vorgelegt werden können.

Achtung: Cookie-Banner-Falle

Viele Cookie-Banner entsprechen nicht der DSGVO, obwohl sie so aussehen: Wenn Alle-akzeptieren als großer bunter Button erscheint und Ablehnen versteckt oder mehrstufig ist, ist das nicht rechtskonform. Der EuGH und deutsche Gerichte haben das mehrfach bestätigt. Im Zweifel: Rechtsberatung einholen.

Praxistipp: Regelmäßige Überprüfung einplanen

Datenschutz ist kein einmaliges Projekt. Planen Sie mindestens einmal jährlich einen Datenschutz-Audit ein, insbesondere wenn neue Tools, Plugins oder externe Dienste hinzukommen. Viele Verstöße entstehen durch nachträglich eingebundene Drittdienste, die in der Datenschutzerklärung nie auftauchen.

Fazit: Datenschutz schützt auch Ihr Unternehmen

Unsicher, ob Ihre Website alle Datenschutzanforderungen erfüllt? Wir prüfen das für Sie und helfen bei der Umsetzung.

Jetzt beraten lassen

Häufige Fragen

Muss ich Google Fonts wirklich lokal hosten?
Ja. Der LG München hat 2022 klargestellt, dass die dynamische Einbindung von Google Fonts ohne Einwilligung die DSGVO verletzt, weil IP-Adressen an Google-Server übertragen werden. Lokales Hosting ist die sauberste Lösung.
Was passiert, wenn mein Cookie-Banner nicht DSGVO-konform ist?
Abmahnungen durch Mitbewerber oder Verbraucherschutzverbände, Bußgelder durch Datenschutzbehörden und Reputationsschäden. In der Praxis sind Abmahnwellen durch Dienstleister, die systematisch nach Verstößen suchen, ein reales Risiko.
Reicht ein Generator für die Datenschutzerklärung?
Als Basis ja, aber Sie müssen jeden eingesetzten externen Dienst manuell prüfen und eintragen. Generatoren kennen Ihre spezifische Website nicht. Eine rechtliche Prüfung durch einen Datenschutzbeauftragten oder Anwalt ist bei komplexeren Seiten empfehlenswert.
Brauche ich einen Datenschutzbeauftragten?
Unternehmen ab 20 Personen, die regelmäßig personenbezogene Daten verarbeiten, sind in Deutschland zur Benennung eines Datenschutzbeauftragten verpflichtet. Kleinere Unternehmen können einen externen DSB bestellen.

War dieser Artikel hilfreich?

Verwandte Artikel
Datenschutz & Compliance
5 haeufigste DSGVO-Fehler auf Unternehmenswebsites
6 Min. Lesezeit
Datenschutz & Compliance
5 häufigste DSGVO-Fehler auf Unternehmenswebsites
8 Min. Lesezeit
Websites & Software
BFSG ab 2025: Sind Sie betroffen - und was muessen Sie jetzt tun?
7 Min. Lesezeit

Haben Sie weitere Fragen?

Unser Team hilft Ihnen persönlich und direkt weiter.

← Zur Kategorie Kontakt aufnehmen