Zur Fußzeile springen
Aktualisiert am

DSGVO Checkliste für Websites: So machen Sie Ihre Seite rechtssicher

Die komplette DSGVO Checkliste für Website-Betreiber: Cookie-Consent, Datenschutzerklärung, SSL und AV-Verträge. Mit praktischen Tipps zur Umsetzung.
Mit KI erkunden
ChatGPT Kernaussagen Prinzipien erklären Aktionsplan erstellen Zukunftsperspektiven
Claude Kernaussagen Prinzipien erklären Aktionsplan erstellen Zukunftsperspektiven
Perplexity Kernaussagen Prinzipien erklären Aktionsplan erstellen Zukunftsperspektiven
Grok Kernaussagen Prinzipien erklären Aktionsplan erstellen Zukunftsperspektiven
Mistral Kernaussagen Prinzipien erklären Aktionsplan erstellen Zukunftsperspektiven
Titelbild: DSGVO konforme Websites und rechtliche Aspekte

Die DSGVO stellt hohe Anforderungen an jede Website. Aktuelle Gerichtsurteile zeigen: Datenschutz bleibt ein Thema, bei dem Fehler teuer werden – Bußgelder bis 20 Millionen Euro oder 4 % des Jahresumsatzes sind möglich. Mit dieser DSGVO Checkliste prüfen Sie Ihre Website Punkt für Punkt auf Rechtssicherheit.

Hinweis: Dieser Artikel dient zu Informationszwecken und stellt keine rechtliche Beratung dar. Wir empfehlen in jedem Fall, eine anwaltliche Prüfung Ihrer Unternehmens-Website vornehmen zu lassen.

Inhalt

DSGVO Checkliste: Die 7 wichtigsten Punkte

Eine DSGVO-konforme Website muss folgende Anforderungen erfüllen:

  1. SSL-Verschlüsselung – Die gesamte Website läuft über HTTPS
  2. Cookie-Consent-Banner – Echtes Opt-in mit Ablehnungsmöglichkeit, nicht nur ein „OK”-Button
  3. Datenschutzerklärung – Vollständig, aktuell und von jeder Seite aus erreichbar
  4. Impressum – Mit allen gesetzlichen Pflichtangaben
  5. Google Fonts lokal eingebunden – Keine Einbindung über Google-Server (LG München, 2022)
  6. AV-Verträge – Mit allen Dienstleistern, die personenbezogene Daten verarbeiten
  7. Externe Tools erst nach Einwilligung – Analytics, Maps, Videos und Social-Media-Embeds nur nach Cookie-Consent laden

Die Checkliste im Detail

Im Folgenden gehen wir jeden Punkt der Checkliste einzeln durch – mit konkreten Hinweisen zur Umsetzung.

SSL-Verschlüsselung

Ihre gesamte Website muss über HTTPS laufen. SSL-Verschlüsselung schützt die Datenübertragung zwischen Server und Browser. Prüfen Sie: Zeigt die Adressleiste ein Schloss-Symbol? Werden HTTP-Aufrufe automatisch auf HTTPS umgeleitet? Die meisten Hosting-Anbieter bieten kostenlose SSL-Zertifikate (Let’s Encrypt) an.

Datenschutzerklärung

Die Datenschutzerklärung muss klar und verständlich formuliert sein. Pflichtangaben:

  • Name und Kontaktdaten des Verantwortlichen
  • Welche Daten erhoben werden und warum
  • Rechtsgrundlage der Verarbeitung (z.B. Art. 6 Abs. 1 DSGVO)
  • Speicherdauer der Daten
  • Empfänger der Daten (Hosting, Analytics, Newsletter-Anbieter)
  • Rechte der Betroffenen (Auskunft, Löschung, Widerspruch)
  • Hinweis auf Beschwerderecht bei der Aufsichtsbehörde

Ein Cookie-Banner ist Pflicht, sobald Sie Cookies setzen, die nicht technisch notwendig sind (z.B. Analytics, Marketing). Der Banner muss eine echte Wahlmöglichkeit bieten – ein reiner „OK”-Button reicht nicht. Nutzer müssen Cookies genauso einfach ablehnen wie akzeptieren können. Technisch notwendige Cookies (z.B. Warenkorb, Session) benötigen keine Einwilligung.

ToolVorteileNachteile
CCM19Made & hosted in Germany, CMS-unabhängig, kein US-Datentransfer, Cloud oder Self-Hosted, ab 7,90 €/Monat, 210.000+ Cookies erkanntKein kostenloses Paket für produktiven Einsatz
Real Cookie BannerWordPress-Plugin mit kostenloser Grundversion, automatischer Cookie-Scanner, 100+ Service-Templates, Google Consent Mode, ab 59 €/JahrNur für WordPress
CookiebotAutomatischer Scan, rechtskonform, CMS-unabhängigKostenpflichtig ab 500 Seiten
UsercentricsEnterprise-Lösung, umfangreich, IAB TCF 2.2Höhere Kosten, eher für größere Unternehmen

Rechte der Nutzer

Ihre Website muss es Nutzern ermöglichen, ihre DSGVO-Rechte wahrzunehmen:

  • Auskunftsrecht: Nutzer können erfahren, welche Daten gespeichert sind
  • Recht auf Löschung: Daten müssen auf Anfrage gelöscht werden können
  • Recht auf Berichtigung: Fehlerhafte Daten müssen korrigiert werden
  • Datenübertragbarkeit: Daten in maschinenlesbarem Format bereitstellen

In der Praxis reicht oft eine E-Mail-Adresse in der Datenschutzerklärung, an die sich Nutzer wenden können. Wichtig ist, dass Anfragen zeitnah bearbeitet werden (maximal einen Monat).

AV-Verträge mit Drittanbietern

Ein Auftragsverarbeitungsvertrag (AV-Vertrag) ist Pflicht für jeden Dienstleister, der Zugriff auf personenbezogene Daten Ihrer Nutzer hat:

  • Hosting-Anbieter
  • Analytics-Dienste (z.B. Google Analytics, Matomo Cloud)
  • Newsletter-Tools (z.B. Mailchimp, CleverReach)
  • Cloud-Speicher und Backup-Dienste
  • KI-Chatbot-Anbieter
  • CRM-Systeme

Die meisten Anbieter stellen AV-Verträge als Download bereit. Prüfen Sie regelmäßig, ob Sie für alle genutzten Dienste einen aktuellen Vertrag haben.

Google Fonts und externe Ressourcen

Seit dem LG-München-Urteil (2022) ist die Einbindung von Google Fonts über Google-Server ohne Einwilligung ein DSGVO-Verstoß – die IP-Adresse wird dabei an Google übertragen. Gleiches gilt für andere externe Ressourcen wie Google Maps, YouTube-Videos oder Social-Media-Widgets. Diese dürfen erst nach expliziter Einwilligung (Cookie-Consent) geladen werden.

DSGVO-Konformität langfristig sicherstellen

DSGVO-Compliance ist kein einmaliges Projekt – Ihre Website muss regelmäßig geprüft werden:

  • Jährlicher Check: Datenschutzerklärung, Cookie-Einstellungen, AV-Verträge und SSL-Zertifikat überprüfen
  • Nach jedem Website-Update: Neue Plugins oder Tools auf Datenschutz-Relevanz prüfen
  • Bei Gesetzesänderungen: Sofort reagieren – die DSGVO wird regelmäßig durch Urteile konkretisiert
  • Datenschutzbeauftragter: Ab 20 Mitarbeitern, die regelmäßig mit personenbezogenen Daten arbeiten, ist ein DSB Pflicht

Im Rahmen unserer Webdesign-Leistungen achten wir von Anfang an auf datenschutzkonforme Umsetzung. Kontaktieren Sie uns, wenn Sie Ihre Website auf DSGVO-Konformität prüfen lassen möchten.

Häufig gestellte Fragen

Bei DSGVO-Verstößen drohen Bußgelder von bis zu 20 Millionen Euro oder 4% des weltweiten Jahresumsatzes – je nachdem, welcher Betrag höher ist. Zusätzlich können Abmahnungen erfolgen. Häufige Verstöße: fehlende Cookie-Einwilligung, Google Fonts von externen Servern, unvollständige Datenschutzerklärung.

Ja, wenn Sie Cookies setzen, die nicht technisch notwendig sind (z.B. Analytics, Marketing). Der Banner muss eine echte Wahlmöglichkeit bieten – ein reiner 'OK'-Button reicht nicht. Nutzer müssen Cookies ablehnen können, ohne Nachteile. Technisch notwendige Cookies (z.B. Warenkorb) benötigen keine Einwilligung.

Ja, seit dem LG-München-Urteil (2022) ist die Einbindung von Google Fonts über Google-Server ohne Einwilligung ein DSGVO-Verstoß. Die IP-Adresse wird dabei an Google in die USA übertragen. Lösung: Fonts herunterladen und lokal auf dem eigenen Server hosten. Das verbessert auch die Ladezeit.

Pflichtangaben sind: Name und Kontakt des Verantwortlichen, welche Daten erhoben werden und warum, Rechtsgrundlage der Verarbeitung, Speicherdauer, Empfänger der Daten (z.B. Hosting-Anbieter), Rechte der Betroffenen (Auskunft, Löschung, Widerspruch) und Hinweis auf Beschwerderecht bei der Aufsichtsbehörde.

Ein Auftragsverarbeitungsvertrag (AV-Vertrag) regelt die Datenverarbeitung durch Dritte in Ihrem Auftrag. Sie benötigen ihn für: Hosting-Anbieter, E-Mail-Marketing-Tools, Analytics-Dienste, Cloud-Speicher, Newsletter-Anbieter und alle weiteren Dienstleister, die Zugriff auf personenbezogene Daten Ihrer Nutzer haben.

Empfohlen wird eine jährliche Überprüfung sowie nach jedem größeren Website-Update. Prüfen Sie besonders: Aktualität der Datenschutzerklärung, neue eingebundene Tools/Plugins, Cookie-Einstellungen, SSL-Zertifikat-Gültigkeit und ob alle AV-Verträge aktuell sind. Bei Gesetzesänderungen sofort handeln.