DSGVO-Checkliste für Ihre Website: Sind Sie wirklich compliant?
DSGVO-Checkliste für Websites: 12 Punkte, die jede Unternehmenswebsite erfüllen muss. Vermeiden Sie Abmahnungen und Bußgelder.
Die DSGVO gilt seit 2018, aber noch immer sind die meisten Unternehmenswebsites nicht vollständig konform. Das ist riskant: Abmahnkosten beginnen bei 500 Euro pro Verstoß, Bußgelder der Datenschutzbehörden können in die Zehntausende gehen, und für wiederholte Verstöße sind bis zu 20 Millionen Euro oder 4 Prozent des Jahresumsatzes vorgesehen.
Diese Checkliste hilft Ihnen, die häufigsten DSGVO-Fallen auf Ihrer Website zu identifizieren und zu beheben. Sie ersetzt keine Rechtsberatung, gibt Ihnen aber eine solide Grundlage.
Warum ist DSGVO-Konformität so wichtig?
Neben den rechtlichen Risiken gibt es handfeste geschäftliche Gründe:
- Vertrauen: Kunden achten zunehmend auf Datenschutz. Eine transparente Datenschutzpraxis stärkt das Vertrauen
- Google-Ranking: Google bewertet Nutzererfahrung, und aufdringliche Cookie-Banner oder fehlende HTTPS-Verschlüsselung wirken sich negativ aus
- Abmahnrisiko: Spezielle Abmahnkanzleien suchen gezielt nach DSGVO-Verstößen auf Websites
- Bußgelder: Die Datenschutzbehörden verhängen zunehmend Bußgelder, auch gegen kleine Unternehmen
Die 12-Punkte-DSGVO-Checkliste
1. Datenschutzerklärung vorhanden und aktuell
Jede Website braucht eine Datenschutzerklärung. Diese muss:
- Von jeder Seite aus mit maximal einem Klick erreichbar sein (im Footer verlinken)
- Alle Datenverarbeitungen beschreiben, die auf der Website stattfinden
- Rechtsgrundlagen benennen (Art. 6 DSGVO)
- Kontaktdaten des Verantwortlichen enthalten
- Hinweis auf Betroffenenrechte (Auskunft, Löschung, Widerspruch)
- Regelmäßig aktualisiert werden (mindestens jährlich prüfen)
Häufiger Fehler: Generatoren wie der von e-recht24 oder dem Datenschutzgenerator sind ein guter Anfang, aber Sie müssen die Erklärung an Ihre tatsächliche Datenverarbeitung anpassen.
2. Impressum korrekt und vollständig
Zwar nicht direkt DSGVO, aber oft zusammen geprüft und abgemahnt:
- Vollständiger Name und Anschrift des Betreibers
- Kontaktmöglichkeit (E-Mail und Telefon)
- Handelsregister-Nummer (falls vorhanden)
- Umsatzsteuer-ID (falls vorhanden)
- Berufsrechtliche Angaben (bei Freiberuflern wie Ärzten, Anwälten)
- Von jeder Seite aus erreichbar
3. Cookie-Banner richtig umgesetzt
Der häufigste DSGVO-Verstoß auf Websites. Ein Cookie-Banner muss:
- Vor dem Setzen von nicht-essenziellen Cookies erscheinen
- Echte Wahlmöglichkeit bieten: “Akzeptieren” und “Ablehnen” gleich prominent
- Keine vorausgewählten Checkboxen für Marketing-Cookies
- Keine Manipulation: Der “Ablehnen”-Button darf nicht versteckt oder grau sein
- Granulare Einstellungen ermöglichen (nach Kategorien: notwendig, Statistik, Marketing)
- Einwilligung speichern und auf Widerruf reagieren
Was oft falsch läuft:
- Cookie-Banner, die nur “Akzeptieren” anbieten
- Technisch: Cookies werden gesetzt, bevor der Nutzer zustimmt (Google Analytics, Facebook Pixel)
- Der “Einstellungen”-Button ist in der zweiten Ebene versteckt
4. SSL-Verschlüsselung (HTTPS)
Jede Website, die Formulare enthält oder personenbezogene Daten verarbeitet, muss HTTPS verwenden. In der Praxis heißt das: Jede Unternehmenswebsite braucht ein SSL-Zertifikat.
- Prüfen Sie, ob Ihre Seite über https:// erreichbar ist
- Stellen Sie sicher, dass HTTP automatisch auf HTTPS umgeleitet wird
- Testen Sie alle Unterseiten, nicht nur die Startseite
5. Kontaktformulare absichern
Wenn Sie ein Kontaktformular auf Ihrer Website haben:
- Datenschutzhinweis direkt am Formular mit Link zur Datenschutzerklärung
- Checkbox für die Einwilligung zur Datenverarbeitung (keine vorausgefüllte Checkbox)
- Verschlüsselte Übertragung der Formulardaten (HTTPS)
- Datenminimierung: Nur die Felder abfragen, die Sie wirklich brauchen
- Speicherdauer definieren: Wie lange bewahren Sie Anfragen auf?
6. Google Analytics und Tracking-Tools
Tracking-Tools sind die häufigste Quelle für DSGVO-Verstöße:
- Einwilligung vor dem Tracking: Google Analytics darf erst nach Zustimmung im Cookie-Banner laden
- IP-Anonymisierung: Muss in Google Analytics 4 konfiguriert sein
- Auftragsverarbeitungsvertrag (AVV): Muss mit Google abgeschlossen werden
- Serverstandort: Datenübertragung in die USA ist seit dem EuGH-Urteil problematisch. Prüfen Sie Alternativen wie Matomo (selbst gehostet)
- Datenschutzerklärung: Jedes eingesetzte Tool muss beschrieben werden
7. Google Fonts lokal einbinden
Die Einbindung von Google Fonts über die Google-Server ist ein bekanntes Abmahnrisiko. Dabei wird bei jedem Seitenaufruf die IP-Adresse des Besuchers an Google in die USA übertragen, ohne Einwilligung.
Die Lösung:
- Google Fonts lokal auf dem eigenen Server hosten
- Alle Aufrufe zu fonts.googleapis.com aus dem Quellcode entfernen
- Prüfen Sie auch Themes und Plugins, die möglicherweise Google Fonts laden
8. Social-Media-Einbindungen
Eingebettete Social-Media-Inhalte (Facebook-Like-Button, Instagram-Feed, YouTube-Videos) übertragen Nutzerdaten an die jeweiligen Plattformen:
- 2-Klick-Lösung: Social-Media-Elemente erst nach Zustimmung laden
- YouTube: Erweiterten Datenschutzmodus nutzen (youtube-nocookie.com)
- Keine direkten Tracking-Pixel von Facebook oder LinkedIn ohne Einwilligung
- Shariff-Buttons statt originaler Social-Media-Sharing-Buttons verwenden
9. Newsletter-Anmeldung
Wenn Sie einen Newsletter anbieten:
- Double-Opt-In: Der Nutzer muss die Anmeldung per E-Mail bestätigen
- Klare Information: Was wird versendet, wie oft, durch wen?
- Widerrufsrecht: Jede E-Mail muss einen Abmeldelink enthalten
- AVV mit dem E-Mail-Dienstleister (Mailchimp, Brevo, CleverReach) abschließen
- Keine vorausgefüllte Checkbox: Die Newsletter-Anmeldung darf nicht automatisch aktiviert sein
10. Auftragsverarbeitungsverträge
Mit jedem Dienstleister, der Zugriff auf personenbezogene Daten hat, brauchen Sie einen Auftragsverarbeitungsvertrag (AVV):
- Hosting-Anbieter (z. B. Hetzner, IONOS, All-Inkl.)
- E-Mail-Marketing-Tools (Mailchimp, Brevo)
- Analyse-Tools (Google Analytics, Matomo Cloud)
- CRM-Systeme (HubSpot, Salesforce)
- Webdesign-Agentur (wenn sie Zugriff auf Kundendaten hat)
- Cloud-Dienste (Microsoft 365, Google Workspace)
Die meisten Anbieter stellen AVVs online bereit. Prüfen Sie, ob Sie alle abgeschlossen haben.
11. Recht auf Löschung umsetzen
Wenn ein Nutzer die Löschung seiner Daten verlangt, müssen Sie reagieren können:
- Definieren Sie einen Prozess: Wer bearbeitet Löschanfragen?
- Können Sie alle Daten eines Nutzers finden? (Kontaktformulare, Newsletter, Analytics)
- Können Sie die Daten tatsächlich löschen?
- Frist: 30 Tage nach Eingang der Anfrage
12. Verzeichnis der Verarbeitungstätigkeiten
Jedes Unternehmen, das personenbezogene Daten verarbeitet (und das tun Sie, wenn Sie eine Website haben), muss ein Verzeichnis der Verarbeitungstätigkeiten führen. Dieses Dokument beschreibt:
- Welche Daten Sie verarbeiten
- Zu welchem Zweck
- Auf welcher Rechtsgrundlage
- Wie lange Sie die Daten speichern
- An wen Sie die Daten weitergeben
Die häufigsten Abmahnfallen
Google Fonts von Google-Servern laden
Seit dem LG München-Urteil von 2022 werden Websites massenhaft abgemahnt, die Google Fonts extern laden. Streitwert: 100-500 Euro pro Verstoß.
Cookie-Banner ohne echte Wahlmöglichkeit
Wenn der “Ablehnen”-Button fehlt oder das Banner Cookies setzt, bevor der Nutzer reagiert.
Fehlender AVV mit dem Hosting-Anbieter
Wird bei Datenschutzprüfungen fast immer kontrolliert.
Google Analytics ohne Einwilligung
Viele Websites laden Analytics sofort beim Seitenaufruf, ohne auf die Cookie-Einwilligung zu warten.
DSGVO-konformes Webdesign von Anfang an
Die meisten DSGVO-Probleme entstehen, weil der Datenschutz nachträglich eingebaut wird. Besser ist es, die Website von Anfang an datenschutzkonform zu planen:
- Privacy by Design: Datenschutz als Architekturprinzip, nicht als Pflaster
- Datenminimierung: Nur erheben, was wirklich nötig ist
- Technische Maßnahmen: Verschlüsselung, lokale Schriftarten, Consent Management
- Dokumentation: Alle Maßnahmen von Anfang an dokumentieren
Ein professioneller Webdesign-Service berücksichtigt diese Anforderungen bereits in der Planungsphase und spart Ihnen nachträgliche Anpassungen und Abmahnkosten.
Kostenlose Tools zur DSGVO-Prüfung
- Cookiebot Scanner: Prüft, welche Cookies Ihre Website setzt
- Google PageSpeed Insights: Zeigt, ob externe Ressourcen geladen werden
- SIWECOS (BSI): Sicherheitscheck des Bundesamts für Sicherheit in der Informationstechnik
- Datenschutz-Generator: Erstellt eine Basis-Datenschutzerklärung (z. B. von Dr. Thomas Schwenke)
Fazit
DSGVO-Konformität ist keine Option, sondern Pflicht. Die gute Nachricht: Die meisten Maßnahmen sind nicht teuer und lassen sich innerhalb weniger Stunden umsetzen. Gehen Sie diese Checkliste Punkt für Punkt durch, und Sie sind besser aufgestellt als 90 Prozent aller Websites in Deutschland.
Sie wollen sichergehen, dass Ihre Website DSGVO-konform ist? webAION baut Websites, die von Anfang an datenschutzkonform sind: lokale Fonts, korrektes Consent Management, Privacy by Design.
🤖 Nutzen Sie bereits KI-Tools wie ChatGPT oder Claude im Unternehmen? Dann sollten Sie auch deren DSGVO-Konformität prüfen lassen. Unser KI-Audit (ab 490€ inkl. kostenlosem 15-Min Erstgespräch) analysiert Ihren gesamten KI-Tool-Stack und liefert eine DSGVO-Ampel pro Tool plus einen Handlungs-Report. Relevant auch im Hinblick auf den EU AI Act ab August 2026.
Bereit für den nächsten Schritt?
Berechnen Sie jetzt das Potenzial Ihres Projekts.
Was kostet Sie eine schlechte Website?
Schlechtes Design kostet Vertrauen – und damit Umsatz. Berechnen Sie Ihr Potenzial.
Typisch sind 1% - 3%.
Ihr ungenutztes Potenzial
pro Monat durch 30% UX-Optimierung
- Mehr Anfragen durch klare Call-to-Actions
- Höhere Sichtbarkeit durch Google-Optimierung