Die DSGVO ist für Website-Betreiber längst Alltag. Genau deshalb lohnt sich ein neuer Blick auf die eigenen Routinen: Viele Datenschutzprobleme entstehen nicht beim Launch einer Website, sondern Monate später durch neue Plugins, Tracking-Pixel, Formularfelder, Newsletter-Tools oder eingebettete Inhalte. Was ursprünglich sauber dokumentiert war, passt dann nicht mehr zu dem, was technisch wirklich passiert.
Zum zehnten Jubiläum der Datenschutz-Grundverordnung erinnert die EU-Kommission daran, dass Menschen in Europa wissen können sollen, welche Daten über sie erhoben werden, warum dies geschieht und mit wem diese Daten geteilt werden. Für Unternehmen, Selbstständige und Vereine in Deutschland bedeutet das vor allem: Die eigene Website sollte nicht nur eine Datenschutzerklärung haben, sondern eine überprüfbare Datenschutzpraxis. Dieser Beitrag ist keine individuelle Rechtsberatung, sondern ein praxisnaher DSGVO Website Check für typische Baustellen auf deutschen Unternehmenswebsites.
Warum ein DSGVO Website Check jetzt sinnvoll ist
Viele Websites wachsen organisch. Ein Kontaktformular kommt hinzu, später ein Buchungstool, dann ein Analysewerkzeug, ein Chatbot, ein YouTube-Embed oder ein neues WordPress-Plugin. Jedes dieser Elemente kann personenbezogene Daten betreffen: IP-Adressen, Gerätekennungen, Cookie-IDs, Formularinhalte, Newsletter-Anmeldungen, Bestell- oder Kommunikationsdaten.
Die DSGVO verlangt keine perfekte Bürokratie um ihrer selbst willen. Sie verlangt aber nachvollziehbare Zwecke, passende Rechtsgrundlagen, transparente Informationen, angemessene Sicherheit und Prozesse für Betroffenenrechte. Wer diese Punkte regelmäßig prüft, reduziert nicht nur rechtliche Risiken, sondern verbessert auch Vertrauen und Datenqualität. Gerade für KMU ist ein schlanker, wiederholbarer Check oft wirksamer als ein einmaliges Großprojekt.
1. Datenflüsse der Website wirklich erfassen
Der wichtigste Schritt ist eine ehrliche Bestandsaufnahme. Listen Sie alle Bereiche auf, in denen Daten entstehen oder an Dritte übertragen werden. Dazu gehören Hosting und Server-Logs, Kontaktformulare, Kommentarfunktionen, Newsletter, Zahlungsanbieter, Webanalyse, Consent-Management, eingebettete Karten, Videos, Schriftarten, Social-Media-Elemente, Bewerbungsformulare und Kundenportale.
Praktisch hilfreich ist eine einfache Tabelle mit vier Spalten: Dienst oder Funktion, verarbeitete Daten, Zweck, Empfänger oder Anbieter. Ergänzen Sie, ob der Dienst unbedingt erforderlich ist, auf Einwilligung basiert oder für berechtigte Interessen eingesetzt wird. Schon diese Übersicht zeigt oft, welche Datenschutzhinweise veraltet sind oder welche Tools ohne klare Entscheidung eingebunden wurden.
2. Datenschutzerklärung mit der Technik abgleichen
Eine Datenschutzerklärung ist nur dann belastbar, wenn sie zur tatsächlichen Website passt. Prüfen Sie daher nicht nur den Text, sondern die Website selbst. Welche Skripte werden geladen? Welche Cookies oder Local-Storage-Einträge entstehen vor und nach einer Einwilligung? Welche Drittanbieter erhalten Daten? Gibt es neue Tools, die im Text noch nicht genannt sind?
Für deutsche Website-Betreiber ist besonders wichtig, dass Datenschutzhinweise verständlich und leicht erreichbar sind. Nutzerinnen und Nutzer sollten ohne Umwege erkennen können, wer verantwortlich ist, zu welchen Zwecken Daten verarbeitet werden, welche Rechtsgrundlagen genutzt werden, wie lange Daten gespeichert bleiben und welche Rechte bestehen. Ein aktueller Datenschutz-Generator kann bei der Struktur helfen; die fachliche Verantwortung für die konkreten Angaben bleibt aber beim Betreiber.
3. Cookies, Consent und TDDDG sauber trennen
Viele Datenschutzfehler entstehen, weil DSGVO und TDDDG vermischt werden. § 25 TDDDG betrifft das Speichern von Informationen in Endeinrichtungen oder den Zugriff auf bereits gespeicherte Informationen, also etwa Cookies, Local Storage oder vergleichbare Technologien. Die DSGVO betrifft zusätzlich die Verarbeitung personenbezogener Daten. Beides kann gleichzeitig relevant sein, muss aber sauber begründet und transparent erklärt werden.
Die DSK-Orientierungshilfe zu digitalen Diensten betont genau diese Trennung: Wenn Vorgänge sowohl unter das TDDDG als auch unter die DSGVO fallen, sollten die Rechtsgrundlagen getrennt betrachtet und verständlich erläutert werden. Für die Praxis heißt das: Ein Cookie-Banner sollte nicht pauschal alles als “notwendig” einstufen, Ablehnen und Annehmen sollten fair erreichbar sein, und Einwilligungen müssen widerrufbar bleiben. Wer hier nachschärfen möchte, sollte den eingesetzten Consent Manager technisch und textlich prüfen.
4. Analytics und Marketing-Tools kritisch prüfen
Webanalyse ist für viele Unternehmen wichtig, aber sie ist kein Selbstläufer. Die BfDI weist bei Google Analytics darauf hin, dass Anbieter von Websites zwar grundsätzlich Nutzungsprofile erstellen können, die Einbindung dieses Dienstes in vielen Fällen aber rechtlich schwierig sein kann, insbesondere wegen Drittlandverarbeitung und weiterer Nutzung durch den Anbieter. Daraus folgt nicht, dass jede Analyse verboten wäre. Es folgt aber, dass Zweck, Datenumfang, Anbieter, Speicherdauer, Einwilligung und Alternativen bewusst entschieden werden sollten.
Ein guter DSGVO Website Check fragt daher: Welche Analyse ist wirklich nötig? Reicht eine datensparsame, selbst gehostete Statistik? Werden IP-Adressen gekürzt oder vermieden? Werden Marketing-Pixel erst nach wirksamer Einwilligung geladen? Sind Kampagnenparameter, Conversion-Tracking und Retargeting in der Datenschutzerklärung korrekt beschrieben? Wer Online-Marketing betreibt, sollte Datenschutz nicht als Bremse, sondern als Qualitätsfilter für saubere Messkonzepte verstehen.
5. Formulare, Newsletter und CRM-Verbindungen prüfen
Formulare sind oft unterschätzte Datenschutzpunkte. Ein Kontaktformular braucht nur die Daten, die für die Bearbeitung der Anfrage erforderlich sind. Pflichtfelder sollten begründet sein. Bei sensiblen Anliegen, Bewerbungen oder Supportfällen kann zusätzlich relevant werden, wie Daten übertragen, gespeichert, intern verteilt und gelöscht werden.
Beim Newsletter geht es zusätzlich um Einwilligung, Nachweisbarkeit und Widerruf. Double-Opt-In, klare Beschreibung der Inhalte, Protokollierung der Anmeldung und einfache Abmeldung sind in der Praxis zentrale Punkte. Wenn Formular- oder Newsletterdaten automatisch in ein CRM, eine Marketing-Automation oder ein Helpdesk wandern, muss auch dieser Datenfluss in die Prüfung. Häufig liegen die eigentlichen Lücken nicht im sichtbaren Formular, sondern in der nachgelagerten Verarbeitung.
6. Auftragsverarbeitung und Drittlandtransfers nicht vergessen
Fast jede professionelle Website nutzt Dienstleister: Hoster, Agenturen, Newsletter-Anbieter, Zahlungsdienste, Analyse-Tools, Buchungssysteme oder Cloud-Speicher. Prüfen Sie, ob für Auftragsverarbeiter passende Verträge zur Auftragsverarbeitung vorliegen und ob die beschriebenen Leistungen noch stimmen. Ein Vertrag von vor fünf Jahren kann veraltet sein, wenn inzwischen andere Tools oder Unterauftragnehmer genutzt werden.
Bei Dienstleistern außerhalb des Europäischen Wirtschaftsraums braucht es zusätzliche Aufmerksamkeit. Nicht jeder Drittlandbezug ist automatisch unzulässig, aber er sollte bewusst geprüft und dokumentiert sein. Dazu gehören Angemessenheitsbeschlüsse, Standardvertragsklauseln, Transfer Impact Assessments, Anbieterinformationen und technische Schutzmaßnahmen. Für KMU ist hier oft die einfachste Lösung die beste: weniger externe Dienste, klare Anbieterwahl, keine unnötigen Datenübertragungen.
7. Betroffenenrechte und interne Abläufe testen
Die BfDI beschreibt die Betroffenenrechte der DSGVO unter anderem mit Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung und Widerspruch. Für Website-Betreiber ist entscheidend, ob diese Rechte praktisch bearbeitet werden können. Wissen die zuständigen Personen, wo Formularanfragen, Newsletterdaten, Shopdaten oder Kommentare gespeichert sind? Gibt es eine Fristkontrolle? Ist klar, wann Daten gelöscht oder aufbewahrt werden müssen?
Ein einfacher Test hilft: Simulieren Sie eine Auskunftsanfrage. Können Sie innerhalb weniger Minuten erkennen, welche Systeme betroffen wären? Wenn nicht, fehlt wahrscheinlich kein juristischer Mustertext, sondern ein interner Prozess. Gerade kleine Unternehmen sollten mindestens eine Zuständigkeit, einen Ablauf für Anfragen und eine Löschroutine definieren.
8. WordPress, Plugins und technische Sicherheit einbeziehen
Datenschutz ist auch Technik. Eine Website, die personenbezogene Daten verarbeitet, braucht angemessene technische und organisatorische Maßnahmen. Für WordPress bedeutet das unter anderem: Updates für Core, Themes und Plugins, starke Admin-Zugänge, Zwei-Faktor-Authentifizierung, eingeschränkte Benutzerrollen, regelmäßige Backups, HTTPS, sichere Formulare und ein Blick auf nicht mehr benötigte Plugins.
Besonders kritisch sind Plugins, die externe Skripte laden, Tracking aktivieren, Formularinhalte weiterleiten oder eigene Datenbanken anlegen. Prüfen Sie bei jedem Plugin, ob es wirklich gebraucht wird, welche Daten es verarbeitet und ob es mit Ihrem Consent-Setup zusammenspielt. Weniger Plugins bedeuten oft weniger Angriffsfläche und weniger Datenschutzkomplexität.
9. Eine schlanke Prüfroutine festlegen
Der beste DSGVO Website Check ist der, der regelmäßig wiederholt wird. Für viele KMU reicht ein Quartals- oder Halbjahresrhythmus. Zusätzlich sollte geprüft werden, wenn neue Tools eingebaut, Tracking-Konzepte geändert, Formulare erweitert, Agenturen gewechselt oder neue Marketingkampagnen gestartet werden.
Eine einfache Routine kann so aussehen: Datenflüsse aktualisieren, Cookie- und Script-Scan durchführen, Datenschutzerklärung abgleichen, Consent-Banner testen, Auftragsverarbeiterliste prüfen, Löschfristen kontrollieren, WordPress-Updates und Benutzerrechte prüfen. Dokumentieren Sie kurz, was geprüft wurde und welche Entscheidungen getroffen wurden. Diese Dokumentation muss nicht schön sein, aber sie sollte nachvollziehbar sein.
Fazit: Datenschutz wird besser, wenn er wartbar bleibt
Die DSGVO hat den Datenschutz in Europa dauerhaft verändert. Für Website-Betreiber in Deutschland besteht die Aufgabe heute weniger darin, einmalig einen langen Rechtstext zu veröffentlichen. Entscheidend ist, dass Website, Tools, Einwilligungen, Datenschutzhinweise und interne Abläufe zusammenpassen.
Wer seine Website schlank hält, Datenflüsse kennt, Consent fair gestaltet und Prozesse für Anfragen und Löschung definiert, macht Datenschutz alltagstauglich. Starten Sie mit den größten Hebeln: Datenschutzerklärung aktualisieren, Tracking prüfen, Formulare aufräumen und WordPress technisch sauber halten. Für passende Texte und Website-Bausteine können der AdSimple Datenschutz-Generator, der AdSimple Consent Manager und der Impressum-Generator die operative Arbeit deutlich vereinfachen.
