DSGVO-Checkliste für die eigene Website

Seit 2018 gilt die DSGVO – und trotzdem haben viele Unternehmenswebsites noch immer offensichtliche Lücken. Fehlende Datenschutzerklärungen, nicht konforme Cookie-Banner oder falsch eingebundene Tools können im schlimmsten Fall abgemahnt werden. Diese Checkliste gibt einen praxisnahen Überblick, was auf einer Website aus datenschutzrechtlicher Sicht vorhanden sein muss.

Hinweis: Diese Liste ersetzt keine Rechtsberatung. Für verbindliche Einschätzungen empfiehlt sich die Rücksprache mit einem spezialisierten Anwalt oder Datenschutzbeauftragten.

1. Impressum

Ein vollständiges Impressum ist Pflicht – nicht nur laut DSGVO, sondern auch laut Telemediengesetz (TMG). Es muss leicht auffindbar sein, in der Regel direkt über die Fußzeile.

Was hineingehört:

• Vollständiger Name oder Firmenname
• Anschrift (kein Postfach)
• E-Mail-Adresse
• Telefonnummer
• Bei GmbH, UG oder AG: Handelsregisternummer, Registergericht, Geschäftsführer
• Bei Freiberuflern: zuständige Kammer und Berufsbezeichnung
• Umsatzsteuer-ID (falls vorhanden)

Häufiger Fehler: Das Impressum ist nur über drei Klicks erreichbar oder fehlt auf Unterseiten komplett. Beides ist nicht zulässig.

2. Datenschutzerklärung

Die Datenschutzerklärung informiert Besucher darüber, welche Daten erhoben werden, zu welchem Zweck und wie lange sie gespeichert werden. Sie muss jederzeit abrufbar sein – ebenfalls meist über die Fußzeile.

Folgende Punkte müssen darin enthalten sein:

• Name und Kontaktdaten des Verantwortlichen
• Welche Daten erhoben werden (z. B. IP-Adresse, Formulardaten, Cookies)
• Rechtsgrundlage der Verarbeitung (Art. 6 DSGVO)
• Speicherdauer
• Hinweis auf Betroffenenrechte (Auskunft, Löschung, Widerspruch)
• Hinweis auf das Beschwerderecht bei einer Aufsichtsbehörde
• Angaben zu eingesetzten Drittdiensten (Google Analytics, YouTube, Maps etc.)

Eine veraltete oder unvollständige Datenschutzerklärung ist eines der häufigsten Abmahnthemen rund um Websites.

3. Cookie-Consent

Wer Cookies einsetzt, die nicht zwingend für den Betrieb der Website notwendig sind – also z. B. Analyse- oder Marketing-Cookies – braucht eine aktive Einwilligung des Nutzers. Ein einfacher Hinweis-Banner ohne Opt-in reicht nicht aus.

Ein rechtskonformer Cookie-Banner muss:

• Vor dem Setzen nicht notwendiger Cookies erscheinen
• Eine echte Ablehnungsmöglichkeit bieten (kein verstecktes „Alle ablehnen")
• Einwilligungen dokumentieren und widerrufbar machen

Für Next.js-Websites empfehlen wir CookieYes – ein Tool, das sich sauber integrieren lässt und die Einwilligungen DSGVO-konform dokumentiert.

4. Kontaktformulare

Jedes Kontaktformular verarbeitet personenbezogene Daten. Damit das zulässig ist, braucht es:

• Einen Hinweis auf die Datenschutzerklärung direkt am Formular (z. B. „Mit dem Absenden stimmen Sie der Verarbeitung Ihrer Daten gemäß unserer [Datenschutzerklärung] zu.")
• Keine unnötigen Pflichtfelder – wer nur eine Anfrage stellen will, muss nicht sein Geburtsdatum angeben
• Eine sichere Übertragung per SSL/HTTPS

Wichtig: Auch Formulardaten, die per E-Mail weitergeleitet werden, müssen in der Datenschutzerklärung erwähnt sein.

5. SSL-Zertifikat (HTTPS)

Eine Website ohne HTTPS überträgt Daten unverschlüsselt. Das ist nicht nur ein Sicherheitsrisiko, sondern auch ein Datenschutzproblem – und wird von Google inzwischen aktiv abgestraft (schlechteres Ranking, Browser-Warnungen).

Ein SSL-Zertifikat ist heute Standard und bei den meisten Hostern kostenlos über Let's Encrypt verfügbar.

6. Eingebettete Drittdienste

Viele Websites binden externe Dienste ein, ohne sich bewusst zu sein, dass diese Daten an Dritte übertragen. Klassische Beispiele:

• Google Fonts – lädt Schriften von Google-Servern und überträgt dabei die IP-Adresse des Besuchers
• Google Maps – gleiches Problem
• YouTube-Videos – bereits beim Laden der Seite werden Daten übertragen
• Google Analytics / GA4 – benötigt zwingend Einwilligung und korrekte Konfiguration

Die Lösung: Entweder Dienste lokal einbinden (z. B. Schriften selbst hosten), oder mit einem Two-Click-Verfahren arbeiten, das externe Inhalte erst nach Einwilligung lädt.

7. Auftragsverarbeitungsvertrag (AVV)

Wer einen Hosting-Anbieter oder andere Dienstleister nutzt, die Zugriff auf personenbezogene Daten haben könnten, muss mit diesen einen Auftragsverarbeitungsvertrag (AVV) abschließen. Das betrifft unter anderem:

• Hosting-Anbieter (z. B. Netlify, IONOS, Hetzner)
• E-Mail-Dienstleister
• Analyse-Tools
• CRM- oder Newsletter-Software

Die meisten großen Anbieter stellen AVV-Dokumente automatisch bereit oder haben diese bereits in ihren Nutzungsbedingungen integriert.

Kurzübersicht: Was muss auf jeder Website vorhanden sein?

Pflicht	Relevant für
Impressum	Alle gewerblichen Websites
Datenschutzerklärung	Alle Websites, die Daten verarbeiten
Cookie-Consent	Websites mit nicht notwendigen Cookies
SSL-Zertifikat	Alle Websites
Formular-Hinweise	Alle Websites mit Kontaktformular
AVV mit Hoster	Alle Websites
Hinweise zu Drittdiensten	Alle Websites mit externen Einbindungen

Fazit

DSGVO-Konformität klingt komplizierter als sie ist. Wer die Grundlagen einmal sauber umsetzt – Impressum, Datenschutzerklärung, Cookie-Consent, HTTPS – hat den größten Teil bereits abgedeckt. Der häufigste Fehler ist nicht böser Wille, sondern eine veraltete oder von einem anderen Projekt kopierte Vorlage, die nie auf den aktuellen Stand gebracht wurde. Ein kurzer Check der eigenen Website lohnt sich – und spart im Zweifel eine teure Abmahnung.