Checklisten & Leitfäden
Checkliste: DSGVO-konforme Unternehmenswebsite
Checkliste für eine DSGVO-konforme Unternehmenswebsite: Technik, Hosting, Cookies, Formulare, Tracking, Impressum und Datenschutzerklärung im Überblick.
Quelle: www.digital-e.org/ressourcen/dsgvo-website-checkliste/
Gehen Sie Ihre Website Punkt für Punkt durch: 27 Prüfpunkte in 7 Bereichen, jeweils mit verständlicher Erklärung und konkretem Praxis-Tipp. Ihr Fortschritt kann auf Wunsch lokal in Ihrem Browser gespeichert werden, ohne Konto, ohne Übertragung an uns. Die Checkliste behandelt typische Standardfälle; sie ersetzt nicht die technische Prüfung Ihrer konkreten Website (z. B. mit den Entwicklertools Ihres Browsers) und keine rechtliche Prüfung im Einzelfall.
Alle Punkte abgehakt.
Die Fortschrittsanzeige zeigt nur, wie viele allgemeine Prüfpunkte Sie abgehakt haben. Sie stellt keine Aussage über die rechtliche Konformität Ihrer konkreten Website dar.
Wie funktioniert das?
Wenn Sie diese Funktion aktivieren, werden Ihre Abhak-Einträge lokal im Speicher Ihres Browsers (localStorage) gesichert. So bleibt Ihr Fortschritt auch beim nächsten Besuch auf dieser Website erhalten. Die gespeicherten Informationen werden nicht an uns oder Dritte übertragen und nicht zu Analyse- oder Trackingzwecken genutzt. Sie können die Speicherung jederzeit beenden, indem Sie die Funktion wieder deaktivieren oder den Website-Speicher Ihres Browsers löschen.
#Technik & Verschlüsselung
0 von 4 Punkten in diesem Abschnitt abgehakt
-
Erklärung & Praxis-Tipp
Die DSGVO verlangt in Art. 32, personenbezogene Daten nach dem Stand der Technik zu schützen. Dazu gehört eine verschlüsselte Übertragung per TLS. Bei Kontaktformularen wird dies von Aufsichtsbehörden in der Regel als erforderlich angesehen. TLS-Zertifikate sind heute kostenlos verfügbar (z. B. Let's Encrypt) und bei den meisten Hostern mit wenigen Klicks aktiviert.
Warum wichtig: Ein unverschlüsseltes Kontaktformular wird regelmäßig als Verstoß gegen Art. 32 DSGVO bewertet. Browser markieren HTTP-Seiten zudem sichtbar als „nicht sicher" und Suchmaschinen werten sie ab.
Praxis-Tipp: Rufen Sie Ihre Website testweise mit http:// auf. Landen Sie automatisch auf https://? Prüfen Sie die Zertifikatsqualität mit einem kostenlosen Test wie SSL Labs und aktivieren Sie HSTS.
-
Erklärung & Praxis-Tipp
Wird eine Schriftart oder ein Skript direkt von einem Drittserver geladen, übermittelt der Browser Ihrer Besucher automatisch deren IP-Adresse an diesen Anbieter, ohne Einwilligung. Das LG München I hat 2022 (Az. 3 O 17493/20) entschieden, dass die dynamische Einbindung von Google Fonts ohne Einwilligung das allgemeine Persönlichkeitsrecht verletzt; es folgte eine große Abmahnwelle. Ein ähnliches datenschutzrechtliches Problem kann sich auch bei Icon-Bibliotheken, JavaScript-CDNs und ähnlichen Einbindungen ergeben.
Warum wichtig: Extern geladene Ressourcen gehören zu den am einfachsten nachweisbaren Datenschutzverstößen. Jeder kann sie im Browser mit wenigen Klicks sehen.
Praxis-Tipp: Laden Sie Schriftarten herunter und hosten Sie sie selbst. Öffnen Sie die Entwicklertools Ihres Browsers (Netzwerk-Tab) und prüfen Sie, welche fremden Domains Ihre Website beim Aufruf kontaktiert. Jede davon sollte erklärbar und in der Datenschutzerklärung abgedeckt sein.
-
Erklärung & Praxis-Tipp
Veraltete Software mit bekannten Sicherheitslücken ist das häufigste Einfallstor für Angriffe auf Unternehmenswebsites. Art. 32 DSGVO verpflichtet Sie zu angemessenen technischen Maßnahmen. Dazu zählt ein funktionierendes Update-Management. Kommt es durch eine bekannte, ungepatchte Lücke zu einem Datenabfluss, drohen neben dem Schaden auch Bußgelder.
Warum wichtig: Eine Datenpanne mit Risiko für Betroffene müssen Sie innerhalb von 72 Stunden der Aufsichtsbehörde melden (Art. 33 DSGVO). Besser, es kommt gar nicht erst dazu.
Praxis-Tipp: Richten Sie automatische Updates ein, wo möglich, oder vereinbaren Sie einen Wartungsvertrag. Entfernen Sie ungenutzte Plugins ganz statt sie nur zu deaktivieren.
-
Erklärung & Praxis-Tipp
Webserver protokollieren standardmäßig jeden Zugriff samt IP-Adresse und IP-Adressen sind personenbezogene Daten. Eine kurzfristige Speicherung zur Betriebssicherheit und Fehleranalyse lässt sich auf das berechtigte Interesse (Art. 6 Abs. 1 lit. f DSGVO) stützen, muss aber zeitlich begrenzt sein und in der Datenschutzerklärung erwähnt werden.
Warum wichtig: Unbegrenzt aufbewahrte Logfiles verstoßen gegen den Grundsatz der Speicherbegrenzung (Art. 5 Abs. 1 lit. e DSGVO).
Praxis-Tipp: Fragen Sie Ihren Hoster nach der Log-Aufbewahrungsdauer (üblich sind z. B. 7-14 Tage) und ob eine IP-Anonymisierung möglich ist. Dokumentieren Sie die Frist.
#Hosting & Auftragsverarbeitung
0 von 3 Punkten in diesem Abschnitt abgehakt
-
Erklärung & Praxis-Tipp
Ihr Hoster verarbeitet in typischen Shared-Hosting-Szenarien die Daten Ihrer Website-Besucher in Ihrem Auftrag. Dafür schreibt Art. 28 Abs. 3 DSGVO einen schriftlichen (auch elektronischen) Vertrag vor. Seriöse Hoster bieten den AVV zum Online-Abschluss im Kundenbereich an, meist kostenlos.
Warum wichtig: Ein fehlender AVV ist ein eigenständiger Bußgeldtatbestand (Art. 83 Abs. 4 DSGVO), unabhängig davon, ob sonst alles korrekt läuft.
Praxis-Tipp: Suchen Sie im Kundenportal Ihres Hosters nach „AVV", „AV-Vertrag" oder „Data Processing Agreement", schließen Sie ihn ab und bewahren Sie eine Kopie auf. Dasselbe gilt für alle anderen Dienstleister, die für Sie Daten verarbeiten: Newsletter-Tool, Formulardienst, Cloud-Backup, externe IT-Betreuung.
-
Erklärung & Praxis-Tipp
Für Datenübermittlungen in Drittländer verlangt die DSGVO (Art. 44 ff.) eine besondere Grundlage. Für die USA existiert seit Juli 2023 das EU-US Data Privacy Framework (DPF): Übermittlungen an dort zertifizierte US-Unternehmen sind über den Angemessenheitsbeschluss zulässig. Für nicht zertifizierte Anbieter und andere Drittländer braucht es Standardvertragsklauseln (SCC), in der Regel ergänzt um eine Prüfung der Rechtslage im Empfängerland (Transfer Impact Assessment). Der EuGH hatte 2020 in der Schrems-II-Entscheidung (C-311/18) den Vorgänger „Privacy Shield" gekippt. Auch das DPF wird juristisch angegriffen, seine Zukunft ist nicht garantiert. Das Data Privacy Framework gilt nur für US-Unternehmen, die dort ausdrücklich zertifiziert sind; Übermittlungen an verbundene Unternehmen oder Unterauftragsverarbeiter außerhalb dieses Rahmens sind gesondert zu prüfen.
Warum wichtig: Drittlandtransfers ohne Grundlage gehören zu den Themen, die Aufsichtsbehörden am intensivsten prüfen.
Praxis-Tipp: Bevorzugen Sie Hosting in der EU. Wenn Sie US-Dienste nutzen: Prüfen Sie deren DPF-Zertifizierung in der offiziellen Liste (dataprivacyframework.gov) und benennen Sie den Transfer in Ihrer Datenschutzerklärung.
-
Erklärung & Praxis-Tipp
Neben dem Hoster verarbeiten oft viele weitere Dienste Besucherdaten: CDN, Formular-Backend, Newsletter-Anbieter, eingebettete Videos, Buchungstools, Chat-Widgets. Für jeden dieser Dienste brauchen Sie eine Rechtsgrundlage, meist einen AVV und einen Eintrag in der Datenschutzerklärung sowie im Verzeichnis von Verarbeitungstätigkeiten (Art. 30 DSGVO).
Warum wichtig: Vergessene Dienste sind die häufigste Ursache für eine unvollständige (und damit angreifbare) Datenschutzerklärung.
Praxis-Tipp: Erstellen Sie eine einfache Tabelle: Dienst, Anbieter, Zweck, Sitz des Anbieters, AVV ja/nein, in der Datenschutzerklärung erwähnt ja/nein. Aktualisieren Sie sie bei jeder Änderung an der Website.
#Cookies & Consent
0 von 4 Punkten in diesem Abschnitt abgehakt
Die rechtliche Bewertung konkreter Tools und Konfigurationen erfordert eine Einzelfallprüfung. Die folgenden Punkte beschreiben typische Standardkonstellationen.
-
Erklärung & Praxis-Tipp
Maßgeblich ist § 25 TDDDG (bis Mai 2024 hieß das Gesetz TTDSG): Jedes Speichern von Informationen auf dem Endgerät oder der Zugriff darauf braucht grundsätzlich eine Einwilligung, technologieneutral, also nicht nur für klassische Cookies. Ausgenommen ist nur, was für den vom Nutzer ausdrücklich gewünschten Dienst unbedingt erforderlich ist (§ 25 Abs. 2 Nr. 2 TDDDG).
Warum wichtig: Ohne vollständige Bestandsaufnahme können Sie weder entscheiden, ob Sie ein Consent-Banner brauchen, noch korrekt informieren.
Praxis-Tipp: Öffnen Sie die Entwicklertools Ihres Browsers (Anwendung/Storage-Tab) in einem privaten Fenster und notieren Sie je Eintrag: Name, Anbieter, Zweck, Laufzeit.
-
Erklärung & Praxis-Tipp
Technisch notwendige Cookies (z. B. Session-Cookie im Login-Bereich, Warenkorb, Speicherung der Consent-Entscheidung selbst) brauchen keine Einwilligung und dafür allein braucht es auch kein Banner. Eine informative Unternehmenswebsite ohne Tracking und ohne einwilligungspflichtige Drittdienste kann vollständig bannerfrei betrieben werden.
Warum wichtig: Jeder Dienst weniger bedeutet weniger Pflichten, weniger Risiko und eine bessere Nutzererfahrung. Ein überflüssiges Banner „zur Sicherheit" schafft keine Rechtssicherheit, sondern nur Verwirrung.
Praxis-Tipp: Reduzieren Sie zuerst: cookielose Statistik statt Google Analytics, selbst gehostete Fonts, Zwei-Klick-Lösung für Videos. Oft entfällt die Banner-Pflicht dann komplett.
-
Erklärung & Praxis-Tipp
Eine wirksame Einwilligung (Art. 4 Nr. 11, Art. 7 DSGVO) erfordert eine aktive, eindeutige Handlung. Der EuGH hat in der Planet49-Entscheidung (C-673/17) klargestellt, dass vorangekreuzte Kästchen unwirksam sind. Nach Auffassung der deutschen Aufsichtsbehörden muss Ablehnen so einfach sein wie Akzeptieren, also eine gleichwertige „Ablehnen"-Möglichkeit auf der ersten Banner-Ebene, ohne manipulative Gestaltung (Dark Patterns). Entscheidend: Einwilligungspflichtige Skripte dürfen technisch erst nach dem Klick auf „Akzeptieren" laden.
Warum wichtig: Fehlerhafte Banner sind ein Prüfschwerpunkt der Datenschutzbehörden und Gegenstand von Abmahnungen und Sammelbeschwerden (z. B. durch noyb).
Praxis-Tipp: Testen Sie mit den Entwicklertools: Vor jedem Klick im Banner dürfen keine Anfragen an Tracking-Dienste laufen. Nutzen Sie eine etablierte Consent-Management-Plattform statt Eigenbau.
-
Erklärung & Praxis-Tipp
Art. 7 Abs. 3 DSGVO gibt Betroffenen das Recht, eine Einwilligung jederzeit zu widerrufen und der Widerruf muss so einfach sein wie die Erteilung. Ein Banner, das nach dem ersten Klick nie wieder auftaucht und keine Einstellungsmöglichkeit bietet, erfüllt das nicht.
Warum wichtig: Fehlende Widerrufsmöglichkeit macht die gesamte Einwilligung angreifbar.
Praxis-Tipp: Platzieren Sie einen dauerhaften Link „Cookie-Einstellungen" im Footer, über den sich das Banner erneut öffnen lässt.
#Formulare
0 von 5 Punkten in diesem Abschnitt abgehakt
-
Erklärung & Praxis-Tipp
Der Grundsatz der Datenminimierung (Art. 5 Abs. 1 lit. c DSGVO) gilt besonders sichtbar bei Formularen. Für eine Kontaktanfrage genügen in der Regel E-Mail-Adresse und Nachricht; Name, Telefonnummer oder Adresse sollten freiwillig sein, wenn sie für die Antwort nicht zwingend gebraucht werden.
Warum wichtig: Überflüssige Pflichtfelder sind ein leicht erkennbarer Verstoß und senken nebenbei die Conversion-Rate.
Praxis-Tipp: Gehen Sie jedes Formularfeld durch und fragen Sie: „Könnten wir die Anfrage auch ohne dieses Feld beantworten?" Wenn ja: optional machen oder streichen.
-
Erklärung & Praxis-Tipp
Formulardaten müssen per TLS übertragen werden (Art. 32 DSGVO). Genauso wichtig ist der Weg danach: Landet die Anfrage in einem Sammelpostfach, auf das viele Personen Zugriff haben? Wird sie über einen Drittanbieter (Formulardienst) geleitet und gibt es mit diesem einen AVV?
Warum wichtig: Die Sicherheitspflicht endet nicht beim Absenden. Sie umfasst den gesamten Verarbeitungsweg.
Praxis-Tipp: Beschränken Sie den Postfach-Zugriff auf die Personen, die Anfragen tatsächlich bearbeiten und prüfen Sie bei externen Formulardiensten AVV und Serverstandort.
-
Erklärung & Praxis-Tipp
Nach Art. 13 DSGVO müssen Besucher bei der Datenerhebung informiert werden. Das leistet die Datenschutzerklärung, auf die am Formular verwiesen werden sollte. Eine erzwungene Checkbox „Ich stimme der Datenschutzerklärung zu" ist dagegen weder erforderlich noch sinnvoll: Die Verarbeitung einer Kontaktanfrage stützt sich regelmäßig auf Art. 6 Abs. 1 lit. b oder f DSGVO (Vertragsanbahnung bzw. berechtigtes Interesse), nicht auf eine Einwilligung und eine Datenschutzerklärung ist eine Information, kein Vertrag, dem man „zustimmt".
Warum wichtig: Eine falsch konstruierte Pseudo-Einwilligung suggeriert eine Rechtsgrundlage, die bei genauer Prüfung nicht trägt.
Praxis-Tipp: Kurzer Hinweis unter dem Formular genügt, z. B.: „Ihre Angaben verwenden wir ausschließlich zur Bearbeitung Ihrer Anfrage. Details in unserer Datenschutzerklärung." (verlinkt).
-
Erklärung & Praxis-Tipp
Google reCAPTCHA analysiert das Verhalten der Besucher und übermittelt Daten an Google in die USA. Deutsche Aufsichtsbehörden gehen überwiegend davon aus, dass der Einsatz eine Einwilligung erfordert. Datenschutzfreundlichere Alternativen: unsichtbare Honeypot-Felder, Zeitfallen, selbst gehostete Captchas oder europäische Dienste wie Friendly Captcha.
Warum wichtig: Ein Spam-Schutz, der selbst zum Datenschutzproblem wird, ist ein schlechter Tausch.
Praxis-Tipp: Für die meisten Unternehmenswebsites reicht ein Honeypot plus serverseitige Prüfung. Wenn Sie reCAPTCHA einsetzen: in der Datenschutzerklärung aufführen und die Einwilligungsfrage klären.
-
Erklärung & Praxis-Tipp
Der Grundsatz der Speicherbegrenzung (Art. 5 Abs. 1 lit. e DSGVO) verlangt, personenbezogene Daten zu löschen, sobald der Zweck erfüllt ist. Gleichzeitig können in bestimmten Fällen handels- und steuerrechtliche Aufbewahrungspflichten (HGB, AO) für geschäftliche Korrespondenz eine längere Aufbewahrung erforderlich machen, dann aber zweckgebunden.
Warum wichtig: „Wir löschen nie etwas" ist keine zulässige Antwort auf ein Auskunfts- oder Löschersuchen.
Praxis-Tipp: Definieren Sie eine einfache Frist (z. B. Löschung allgemeiner Anfragen nach Abschluss plus angemessener Nachlauf) und dokumentieren Sie sie in Ihrem Löschkonzept.
#Tracking & Analyse
0 von 3 Punkten in diesem Abschnitt abgehakt
Die rechtliche Bewertung konkreter Tools und Konfigurationen erfordert eine Einzelfallprüfung. Die folgenden Punkte beschreiben typische Standardkonstellationen.
-
Erklärung & Praxis-Tipp
Tracking-Dienste wie Google Analytics 4 speichern Kennungen auf dem Endgerät bzw. greifen darauf zu. Das erfordert nach § 25 Abs. 1 TDDDG eine Einwilligung. Zusätzlich braucht die anschließende Datenverarbeitung eine Rechtsgrundlage nach DSGVO und bei US-Anbietern kommt das Drittlandthema hinzu. Die Datenschutzkonferenz (DSK) hat mehrfach klargestellt, dass ein einwilligungsloser Einsatz solcher Tools in den üblichen Standard-Konfigurationen nicht zulässig ist.
Warum wichtig: Tracking ohne Einwilligung ist einer der häufigsten und am einfachsten feststellbaren Verstöße auf Unternehmenswebsites.
Praxis-Tipp: Prüfen Sie im Netzwerk-Tab: Vor der Einwilligung dürfen keine Anfragen an google-analytics.com, facebook.com & Co. abgehen, auch keine „harmlosen" Vorab-Verbindungen der Tracking-Skripte.
-
Erklärung & Praxis-Tipp
Tools wie Matomo (selbst gehostet, cookielos konfiguriert), Plausible oder Fathom kommen ohne Speicherzugriff auf dem Endgerät und ohne Drittlandtransfer aus. Eine so konfigurierte, aggregierte Reichweitenmessung löst § 25 TDDDG nicht aus und kann je nach Ausgestaltung auf das berechtigte Interesse (Art. 6 Abs. 1 lit. f DSGVO) gestützt werden. Ein Consent-Banner nur für die Statistik entfällt dann. Ob Sie sich auf ein berechtigtes Interesse stützen können, sollte im Einzelfall im Rahmen einer Interessenabwägung nach Art. 6 Abs. 1 lit. f DSGVO geprüft und dokumentiert werden.
Warum wichtig: Für die typische Unternehmenswebsite liefern einfache Besucherzahlen und Seitenaufrufe alle relevanten Erkenntnisse, ohne Banner, ohne Risiko.
Praxis-Tipp: Fragen Sie sich, welche Kennzahlen Sie im letzten Jahr tatsächlich angesehen haben. Meist reicht die datensparsame Variante.
-
Erklärung & Praxis-Tipp
Direkt eingebettete Drittinhalte übertragen schon beim Seitenaufruf Daten (mindestens die IP-Adresse) an den Anbieter, bevor der Besucher überhaupt reagieren kann. Der EuGH hat in der Fashion-ID-Entscheidung (C-40/17) klargestellt, dass Website-Betreiber für solche Einbindungen mitverantwortlich sind. Die Lösung ist die Zwei-Klick-Methode: Zuerst erscheint nur ein lokal gehostetes Vorschaubild, der eigentliche Inhalt lädt erst nach Klick.
Warum wichtig: Ein einziges direkt eingebettetes Video kann die sorgfältig aufgebaute Datensparsamkeit der ganzen Website aushebeln.
Praxis-Tipp: Nutzen Sie für YouTube zusätzlich die „youtube-nocookie.com"-Variante und für Karten statische Bilder mit Link oder eine Einwilligung vor dem Laden.
#Impressum
0 von 3 Punkten in diesem Abschnitt abgehakt
-
Erklärung & Praxis-Tipp
Seit Mai 2024 regelt das Digitale-Dienste-Gesetz (DDG) die Impressumspflicht. Es hat das Telemediengesetz (TMG) abgelöst, die Pflichten sind inhaltlich im Wesentlichen gleich geblieben. Erforderlich sind u. a.: Name bzw. Firma mit Rechtsform, vertretungsberechtigte Personen, ladungsfähige Anschrift (kein Postfach), E-Mail-Adresse plus ein weiterer Weg zur schnellen Kontaktaufnahme, Registergericht und Registernummer, Umsatzsteuer-Identifikationsnummer (falls vorhanden) sowie bei reglementierten Berufen Kammer und Aufsichtsbehörde.
Warum wichtig: Ein fehlendes oder unvollständiges Impressum ist wettbewerbsrechtlich abmahnbar und kann mit Bußgeld geahndet werden.
Praxis-Tipp: Gleichen Sie Ihr Impressum Punkt für Punkt mit § 5 DDG ab. Besonders oft fehlen die vertretungsberechtigte Person und die Registernummer.
-
Erklärung & Praxis-Tipp
§ 5 DDG verlangt, dass die Angaben „leicht erkennbar, unmittelbar erreichbar und ständig verfügbar" sind. Etabliert ist ein deutlich beschrifteter Link („Impressum") im Footer jeder Seite. Das gilt auch für Ihre geschäftlichen Social-Media-Profile: Auch dort muss ein Impressum erreichbar sein, z. B. per Link.
Warum wichtig: Versteckte oder nur über Umwege erreichbare Impressen gelten als nicht „unmittelbar erreichbar". Das ist genauso abmahnbar wie ein fehlendes Impressum.
Praxis-Tipp: Prüfen Sie von drei zufälligen Unterseiten aus, ob Sie das Impressum mit maximal zwei Klicks erreichen, auch auf dem Smartphone.
-
Erklärung & Praxis-Tipp
Die europäische Online-Streitbeilegungsplattform (OS-Plattform) wurde zum 20. Juli 2025 eingestellt; eine frühere Pflicht bestimmter Unternehmer, auf diese Plattform zu verlinken, ist entfallen. Ein weiterhin vorhandener Link führt ins Leere und sollte entfernt werden. Unverändert gilt für Unternehmen mit Verbraucherkontakt die Informationspflicht nach § 36 VSBG: Sie müssen angeben, ob Sie zur Teilnahme an einem Verbraucherschlichtungsverfahren bereit oder verpflichtet sind.
Warum wichtig: Veraltete Pflichtangaben wirken unprofessionell und können als irreführend beanstandet werden; die VSBG-Angabe ist weiterhin abmahnbar, wenn sie fehlt.
Praxis-Tipp: Suchen Sie in Impressum und AGB nach „ec.europa.eu/consumers/odr" und entfernen Sie den Verweis; prüfen Sie, ob Ihre VSBG-Erklärung vorhanden und korrekt ist.
#Datenschutzerklärung
0 von 5 Punkten in diesem Abschnitt abgehakt
-
Erklärung & Praxis-Tipp
Art. 13 DSGVO verlangt umfassende Informationen: Verantwortlicher mit Kontaktdaten, Zwecke und Rechtsgrundlagen jeder Verarbeitung, Empfänger bzw. Kategorien von Empfängern, Drittlandübermittlungen, Speicherdauer, Betroffenenrechte (Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch), das Beschwerderecht bei einer Aufsichtsbehörde und (falls benannt) die Kontaktdaten des Datenschutzbeauftragten. Ein generischer Mustertext, der Dienste nennt, die Sie gar nicht nutzen (oder Ihre tatsächlichen Dienste verschweigt), erfüllt das nicht.
Warum wichtig: Die Datenschutzerklärung ist das erste, was Aufsichtsbehörden und Abmahner prüfen. Sie ist öffentlich und in Minuten gegen die Realität Ihrer Website abgleichbar.
Praxis-Tipp: Nehmen Sie Ihre Dienstleister-Liste (Punkt 2.3) und haken Sie ab: Ist jeder Dienst in der Datenschutzerklärung beschrieben? Und umgekehrt: Steht etwas darin, das es gar nicht mehr gibt?
-
Erklärung & Praxis-Tipp
Die Datenschutzerklärung ist kein einmaliges Dokument, sondern muss den tatsächlichen Zustand der Website widerspiegeln. Ein neues Buchungstool, ein Chat-Widget oder ein Wechsel des Newsletter-Anbieters: jede dieser Änderungen gehört vor dem Livegang in die Datenschutzerklärung.
Warum wichtig: Eine veraltete Datenschutzerklärung ist im Zweifel schlechter als gar keine Änderung am Setup. Sie dokumentiert, dass Prozesse fehlen.
Praxis-Tipp: Machen Sie „Datenschutzerklärung angepasst?" zum festen Punkt in jedem Website-Change, so wie „Backup vorhanden?".
-
Erklärung & Praxis-Tipp
Die Informationen nach Art. 13 DSGVO müssen leicht zugänglich sein (Art. 12 Abs. 1 DSGVO). Etabliert ist der Footer-Link auf jeder Seite, getrennt vom Impressum.
Warum wichtig: Eine vorhandene, aber schwer auffindbare Datenschutzerklärung erfüllt die Transparenzpflicht nicht.
Praxis-Tipp: Footer-Link auf jeder Seite, auch auf Unterseiten, Landingpages und in Web-Apps.
-
Erklärung & Praxis-Tipp
Betroffene haben u. a. Rechte auf Auskunft (Art. 15), Löschung (Art. 17) und Widerspruch (Art. 21). Die Frist beträgt grundsätzlich einen Monat (Art. 12 Abs. 3 DSGVO). In komplexen Fällen kann die Frist um bis zu zwei Monate verlängert werden (Art. 12 Abs. 3 DSGVO), wenn Sie dies innerhalb eines Monats begründen. Das setzt voraus, dass Sie wissen, wo überall personenbezogene Daten liegen (Website, Postfächer, CRM, Backups) und wer im Unternehmen solche Anfragen bearbeitet.
Warum wichtig: Nicht oder verspätet beantwortete Betroffenenanfragen sind ein häufiger Auslöser für Beschwerden bei der Aufsichtsbehörde und damit für Prüfverfahren.
Praxis-Tipp: Legen Sie intern fest, wer Betroffenenanfragen bearbeitet und spielen Sie den Ablauf einmal testweise durch.
-
Erklärung & Praxis-Tipp
In Deutschland ist ein Datenschutzbeauftragter u. a. dann Pflicht, wenn in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind (§ 38 BDSG), oder unabhängig von der Personenzahl bei besonders risikoreichen Verarbeitungen (Art. 37 DSGVO, z. B. umfangreiche Verarbeitung sensibler Daten). Falls benannt, gehören seine Kontaktdaten in die Datenschutzerklärung und er ist der Aufsichtsbehörde zu melden.
Warum wichtig: Die Nichtbenennung trotz Pflicht ist bußgeldbewehrt und für Behörden leicht feststellbar.
Praxis-Tipp: Zählen Sie alle Personen, die regelmäßig mit E-Mail, CRM oder Kundendaten arbeiten, auch Teilzeitkräfte zählen mit.
Wie geht es weiter?
Viele Punkte dieser Checkliste hängen direkt mit der allgemeinen IT-Sicherheit zusammen. Machen Sie als Nächstes den Cybersecurity-Selbstcheck oder sehen Sie sich unsere Leistungen im Bereich Security & Datenschutz an.
Wir unterstützen Sie technisch bei der Umsetzung: selbst gehostete Fonts, Consent-Integration, sichere Formulare, EU-Hosting. Rechtsberatung leisten wir nicht; dafür verweisen wir auf Anwältinnen, Anwälte und Datenschutzbeauftragte.