DSGVO Website Check – Ist Ihre Website datenschutzkonform?

Ein DSGVO Website Check ist für jedes Unternehmen mit Online-Präsenz unverzichtbar. Datenschutzverstöße auf Websites gehören zu den häufigsten Abmahngründen — und die Bußgelder können empfindlich hoch ausfallen. Bereits das Laden einer einzelnen Google-Schriftart ohne Einwilligung kann einen DSGVO-Verstoß darstellen.

Die DATUREX GmbH führt als externer Datenschutzbeauftragter professionelle Website-Datenschutzprüfungen durch und begleitet Unternehmen bei der rechtskonformen Umsetzung.

DSGVO Website Check — Die komplette Checkliste

1. Cookie-Consent und Tracking

• Ist ein Cookie-Consent-Banner implementiert, der technisch Cookies blockiert, bis der Nutzer zustimmt?
• Werden Cookies korrekt in Kategorien eingeteilt (notwendig, Statistik, Marketing)?
• Kann der Nutzer seine Einwilligung jederzeit widerrufen?
• Werden Einwilligungen dokumentiert und nachweisbar gespeichert?
• Werden KEINE Cookies vor der Einwilligung gesetzt (auch nicht von Drittanbietern)?
• Ist Google Analytics, Facebook Pixel oder ähnliches erst nach Consent aktiv?

2. Datenschutzerklärung

• Ist die Datenschutzerklärung vollständig und aktuell?
• Sind alle Datenverarbeitungen auf der Website beschrieben?
• Werden Rechtsgrundlagen für jede Verarbeitung angegeben?
• Sind Betroffenenrechte klar dargestellt?
• Ist die Datenschutzerklärung von jeder Unterseite mit maximal einem Klick erreichbar?
• Wird der Verantwortliche mit vollständigen Kontaktdaten genannt?
• Ist der Datenschutzbeauftragte (falls vorhanden) genannt?

3. Kontaktformulare

• Werden nur die für den Zweck erforderlichen Daten abgefragt (Datenminimierung)?
• Erfolgt die Übertragung verschlüsselt (HTTPS)?
• Wird auf die Datenschutzerklärung verwiesen?
• Werden Formulardaten nicht an Drittanbieter weitergeleitet?

4. SSL/TLS-Verschlüsselung

• Ist die gesamte Website über HTTPS erreichbar?
• Erfolgt eine automatische Weiterleitung von HTTP auf HTTPS?
• Ist das SSL-Zertifikat gültig und aktuell?
• Werden alle eingebundenen Ressourcen über HTTPS geladen (keine Mixed Content Warnungen)?

5. Drittanbieter-Dienste

• Werden Google Fonts lokal eingebunden (nicht von Google-Servern)?
• Sind YouTube-Videos im erweiterten Datenschutzmodus oder als Vorschaubild eingebettet?
• Werden Google Maps, reCAPTCHA oder Social-Media-Plugins erst nach Consent geladen?
• Gibt es für alle US-Dienstleister gültige Standardvertragsklauseln oder DPF-Zertifizierung?

6. Impressum

• Ist ein vollständiges Impressum vorhanden (Name, Anschrift, Kontakt, Register)?
• Ist es von jeder Seite mit maximal zwei Klicks erreichbar?
• Stimmen die Angaben im Impressum mit dem Handelsregistereintrag überein?

DSGVO Website Check — Tools und Methoden

Ein professioneller DSGVO Website Check kombiniert automatisierte Tools mit manueller Prüfung:

Automatisierte Prüfung

• Cookie-Scanner – Erkennt alle Cookies und Tracking-Technologien auf der Website
• SSL-Check – Prüft Verschlüsselung, Zertifikat und Konfiguration
• Lighthouse – Google-Tool für Performance, Accessibility und Best Practices
• Header-Analyse – Prüfung von Security-Headern (CSP, HSTS, X-Frame-Options)

Manuelle Prüfung

• Datenschutzerklärung – Inhaltliche Vollständigkeit und Aktualität
• Consent-Management – Funktionsprüfung des Cookie-Banners (blockiert es wirklich alle Cookies?)
• Drittanbieter-Analyse – Welche externen Dienste werden eingebunden und unter welchen Bedingungen?
• Formular-Prüfung – Datenminimierung, Verschlüsselung, Datenweitergabe
• Rechtliche Bewertung – Konformität mit aktueller Rechtsprechung und Behördenpraxis

DATUREX GmbH — Professioneller DSGVO Website Check

Die DATUREX GmbH bietet vollständige Website-Datenschutzprüfungen:

• Automatisierter Scan – Cookie-Analyse, Drittanbieter-Erkennung, SSL-Prüfung
• Manuelle Expertenprüfung – Datenschutzerklärung, Consent-Management, Formulare
• Detaillierter Bericht – Priorisierte Maßnahmenliste mit konkreten Handlungsempfehlungen
• Umsetzungsbegleitung – Technische und rechtliche Unterstützung bei der Behebung
• Laufende Überwachung – Regelmäßige Re-Checks als Teil der Datenschutzberatung

DSGVO Website-Check: Die 10 wichtigsten Prüfpunkte

Eine DSGVO-konforme Website erfordert die Beachtung zahlreicher rechtlicher und technischer Anforderungen. Die folgenden zehn Prüfpunkte bilden das Fundament eines vollständigen Website-Checks und decken die häufigsten Problembereiche ab, die auch von Aufsichtsbehörden und Abmahnanwälten regelmäßig beanstandet werden.

1. Datenschutzerklärung

Die Datenschutzerklärung muss vollständig, aktuell und verständlich sein. Sie muss alle auf der Website eingesetzten Dienste und Verarbeitungstätigkeiten abbilden — von Kontaktformularen über Analytics-Tools bis hin zu eingebundenen Schriftarten. Gemäß Art. 13 und Art. 14 DSGVO müssen der Verantwortliche, Zweck und Rechtsgrundlage jeder Verarbeitung, Empfänger der Daten, Speicherdauer sowie die Betroffenenrechte benannt werden. Die Datenschutzerklärung muss von jeder Unterseite mit maximal einem Klick erreichbar sein.

2. Impressum

Das Impressum nach § 5 TMG bzw. künftig DDG muss vollständige Angaben zum Betreiber enthalten: Name, Anschrift, Kontaktdaten, Handelsregistereintrag, Umsatzsteuer-ID und ggf. Berufsbezeichnung. Fehlende oder unvollständige Impressumsangaben sind einer der häufigsten Abmahngründe. Das Impressum muss ebenfalls von jeder Seite leicht auffindbar sein — im Footer verlinkt reicht in der Regel aus.

3. Cookie-Consent-Banner

Seit dem Urteil des EuGH (Planet49) und dem TTDSG ist ein korrektes Cookie-Consent-Management Pflicht. Cookies und ähnliche Technologien dürfen erst nach aktiver Einwilligung gesetzt werden — mit Ausnahme technisch notwendiger Cookies. Der Banner muss eine echte Wahlmöglichkeit bieten: „Akzeptieren“ und „Ablehnen“ müssen gleichwertig gestaltet sein. Vorausgewählte Checkboxen oder Dark Patterns sind nicht zulässig. Die Einwilligung muss dokumentiert und jederzeit widerrufbar sein.

4. SSL/TLS-Verschlüsselung

Eine transportverschlüsselte Verbindung über HTTPS ist nach Art. 32 DSGVO bei der Verarbeitung personenbezogener Daten zwingend erforderlich. Das gilt nicht nur für Kontaktformulare, sondern für die gesamte Website, da bereits die IP-Adresse als personenbezogenes Datum gilt. Achten Sie auf ein gültiges SSL-Zertifikat, korrekte Weiterleitungen von HTTP auf HTTPS und eine sichere TLS-Konfiguration ohne veraltete Protokollversionen.

5. Kontaktformulare

Bei Kontaktformularen dürfen nur die für den jeweiligen Zweck tatsächlich erforderlichen Daten als Pflichtfelder abgefragt werden — Prinzip der Datensparsamkeit nach Art. 5 Abs. 1 lit. c DSGVO. Vor dem Absenden muss auf die Datenschutzerklärung hingewiesen werden. Die Daten müssen verschlüsselt übertragen und nach Zweckerfüllung gelöscht werden. Bestätigungsmails im Double-Opt-in-Verfahren sind bei Newsletter-Anmeldungen Pflicht.

6. Webanalyse und Tracking

Google Analytics, Matomo und andere Analyse-Tools verarbeiten personenbezogene Daten und bedürfen in der Regel einer Einwilligung. Bei Google Analytics ist zusätzlich ein Auftragsverarbeitungsvertrag erforderlich und die IP-Anonymisierung zu aktivieren. Seit dem Schrems-II-Urteil ist die Übermittlung an US-Dienste besonders kritisch zu bewerten — auch mit dem neuen EU-US Data Privacy Framework sollten Sie die Entwicklung der Rechtsprechung im Blick behalten. Serverseitige Analyse-Lösungen wie Matomo bieten datenschutzfreundlichere Alternativen.

7. Social-Media-Einbindungen

Direkte Einbindungen von Social-Media-Plugins (Facebook Like-Button, Twitter-Feed, Instagram-Widget) übertragen bereits beim Seitenaufruf Daten an die jeweiligen Plattformen — oft in die USA. Verwenden Sie stattdessen die Zwei-Klick-Lösung oder Shariff: Dabei werden Social-Media-Buttons erst nach aktiver Einwilligung des Nutzers aktiviert. Eingebettete YouTube-Videos sollten im erweiterten Datenschutzmodus eingebunden werden.

8. Newsletter-Versand

Für den Newsletter-Versand ist eine nachweisbare Einwilligung im Double-Opt-in-Verfahren erforderlich. Die Einwilligung muss freiwillig, informiert und für den bestimmten Fall erteilt werden. In jeder E-Mail muss ein Abmeldelink enthalten sein. Mit dem Newsletter-Dienstleister muss ein Auftragsverarbeitungsvertrag bestehen. Die Analyse des Öffnungs- und Klickverhaltens (Tracking-Pixel) bedarf ebenfalls einer Einwilligung. Bei Diensten mit Sitz außerhalb der EU sind die Anforderungen an Drittlandübermittlungen zu beachten.

9. Auftragsverarbeitung

Mit jedem Dienstleister, der personenbezogene Daten in Ihrem Auftrag verarbeitet, muss ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO geschlossen werden. Dies betrifft insbesondere Webhoster, E-Mail-Provider, Newsletter-Dienste, Cloud-Speicher, CRM-Systeme und externe Support-Dienstleister. Prüfen Sie regelmäßig, ob alle AVV aktuell sind und ob neue Dienstleister hinzugekommen sind, für die noch kein Vertrag besteht.

10. Hosting und Serverstandort

Der Serverstandort Ihrer Website ist datenschutzrechtlich relevant. Hosting innerhalb der EU bzw. des EWR ist grundsätzlich unproblematisch. Bei Hosting außerhalb der EU — etwa bei US-amerikanischen Cloud-Anbietern — müssen zusätzliche Garantien wie Standardvertragsklauseln (SCC) vorliegen. Achten Sie auch auf CDN-Dienste (Content Delivery Networks) wie Cloudflare, die Daten möglicherweise über Server außerhalb der EU leiten. Auch extern geladene Ressourcen wie Google Fonts, jQuery-Bibliotheken oder Font Awesome Icons können problematisch sein, wenn sie von Drittanbieter-Servern geladen werden.

Häufige DSGVO-Verstöße auf Websites

In unserer täglichen Beratungspraxis als externer Datenschutzbeauftragter stoßen wir regelmäßig auf wiederkehrende DSGVO-Verstöße auf Websites. Die Kenntnis dieser häufigen Fehler hilft Ihnen, sie von vornherein zu vermeiden.

Google Fonts über externe Server

Das Laden von Google Fonts über die Google-Server (fonts.googleapis.com) ohne Einwilligung ist seit dem Urteil des LG München I (Az. 3 O 17493/20) ein bekannter Verstoß, der bereits zu Schadenersatzforderungen und Massenabmahnungen geführt hat. Die Lösung: Google Fonts lokal auf dem eigenen Server hosten. Dies verbessert zudem die Ladegeschwindigkeit Ihrer Website erheblich.

Fehlende oder mangelhafte Cookie-Einwilligung

Viele Websites setzen technisch nicht notwendige Cookies bereits vor der Einwilligung des Nutzers — häufig durch falsch konfigurierte Consent-Management-Plattformen. Andere verwenden manipulative Designs (Dark Patterns), bei denen der „Akzeptieren“-Button farblich hervorgehoben ist, während die Ablehnung versteckt oder nur über „Einstellungen“ erreichbar ist. Die Datenschutzkonferenz hat hierzu klare Anforderungen formuliert.

Veraltete Datenschutzerklärungen

Eine Datenschutzerklärung, die nicht alle aktuell eingesetzten Dienste aufführt, verstößt gegen die Informationspflichten der DSGVO. Häufig werden neue Tools oder Plugins installiert, ohne die Datenschutzerklärung entsprechend zu aktualisieren. Besonders problematisch: Marketing-Abteilungen binden neue Tracking-Pixel oder Social-Media-Widgets ein, ohne den Datenschutzbeauftragten zu informieren.

Kontaktformulare ohne Datenschutzhinweis

Viele Kontaktformulare enthalten keinen Hinweis auf die Datenverarbeitung oder verlinken nicht auf die Datenschutzerklärung. Zudem werden häufig unnötige Pflichtfelder abgefragt, die gegen das Prinzip der Datenminimierung verstoßen. Eine Telefonnummer als Pflichtfeld in einem Kontaktformular ist in den meisten Fällen nicht erforderlich und somit nicht DSGVO-konform.

Eingebettete externe Inhalte ohne Einwilligung

YouTube-Videos, Google Maps, Vimeo-Player oder Social-Media-Feeds werden häufig direkt eingebettet und übertragen beim Laden der Seite automatisch Daten an die jeweiligen Drittanbieter. Verwenden Sie stattdessen Zwei-Klick-Lösungen oder Placeholder-Grafiken, die den externen Inhalt erst nach Einwilligung des Nutzers nachladen.

Häufig gestellte Fragen zum DSGVO Website-Check

Wie oft sollte ein DSGVO Website-Check durchgeführt werden?

Wir empfehlen mindestens eine vierteljährliche Überprüfung Ihrer Website auf DSGVO-Konformität. Zusätzlich sollte ein Check nach jeder wesentlichen Änderung der Website erfolgen — sei es ein Plugin-Update, die Einbindung neuer Dienste oder ein Redesign. Automatisierte Monitoring-Tools können dabei helfen, Änderungen und neue Datenschutz-Risiken frühzeitig zu erkennen.

Was kostet ein professioneller DSGVO Website-Check?

Die Kosten hängen vom Umfang der Website und der Anzahl eingesetzter Dienste ab. Für eine typische Unternehmenswebsite mit 10-50 Unterseiten rechnen Sie mit einem Aufwand von wenigen Beraterstunden. Die Investition lohnt sich: Abmahnkosten liegen typischerweise bei 1.000-5.000 Euro pro Fall, Bußgelder der Aufsichtsbehörden können deutlich höher ausfallen.

Reicht ein Cookie-Banner für die DSGVO-Konformität meiner Website?

Nein, ein Cookie-Banner allein reicht bei Weitem nicht aus. Der Cookie-Consent ist nur einer von vielen Bausteinen einer DSGVO-konformen Website. Zusätzlich benötigen Sie eine vollständige Datenschutzerklärung, korrekte Impressumsangaben, SSL-Verschlüsselung, Auftragsverarbeitungsverträge mit allen Dienstleistern und vieles mehr. Ein professioneller Website-Check deckt alle Bereiche systematisch ab.

Kann ich den DSGVO Website-Check selbst durchführen?

Eine erste Selbsteinschätzung ist möglich und sinnvoll — nutzen Sie dafür unsere Checkliste oben. Für eine rechtssichere Bewertung empfehlen wir jedoch die Unterstützung eines erfahrenen Datenschutzbeauftragten. Dieser kennt die aktuelle Rechtsprechung, die Anforderungen der Aufsichtsbehörden und kann technische Details wie das korrekte Laden von Drittanbieter-Ressourcen oder die Konfiguration des Consent-Managements professionell bewerten.