Inhaltsverzeichnis
DSGVO-Compliance Checkliste für deutsche Websites
| ✅ Maßnahme | Priorität | Rechtliche Grundlage | Umsetzungshinweis |
|---|---|---|---|
| Datenschutzerklärung erstellen | 🔴 Hoch | Art. 13, 14 DSGVO | Verantwortlicher, Zwecke, Speicherdauer, Empfänger, Betroffenenrechte vollständig auflisten |
| Cookie-Banner mit Opt-in | 🔴 Hoch | Art. 6 Abs. 1 lit. a DSGVO, ePrivacy | Granulare Einwilligung für Marketing-Cookies, Essential immer aktiv, Third-Party blocken |
| Verzeichnis Verarbeitungstätigkeiten (VwV) | 🔴 Hoch | Art. 30 DSGVO | Alle Verarbeitungen dokumentieren: Kontaktformulare, Logs, Newsletter, Analytics |
| Impressum ergänzen | 🔴 Hoch | § 5 TMG, Art. 13 DSGVO | Verantwortlicher mit Kontaktdaten, ggf. Datenschutzbeauftragter benennen |
| SSL-Verschlüsselung aktivieren | 🔴 Hoch | Art. 32 DSGVO (TOM) | HTTPS für gesamte Website, Zertifikat aktuell halten |
| Auftragsverarbeitungsverträge (AVV) | 🟠 Mittel | Art. 28 DSGVO | Mit Hosting, Newsletter-Tool, Analytics-Anbietern abschließen |
| Consent-Management-System (CMS) | 🟠 Mittel | Art. 7 DSGVO | Einwilligungen protokollieren, widerrufbar gestalten, 14 Monate speichern |
| Betroffenenrechte umsetzen | 🟠 Mittel | Art. 15-22 DSGVO | Prozesse für Auskunft, Löschung, Berichtigung, Widerspruch etablieren |
| Löschkonzept implementieren | 🟠 Mittel | Art. 17 DSGVO | Automatische Löschfristen für Logs, Formulare, Newsletter-Daten festlegen |
| Datenschutz-Folgenabschätzung (DPIA) | 🟡 Niedrig | Art. 35 DSGVO | Nur bei Hochrisiko-Verarbeitung (z. B. umfangreiches Profiling, sensible Daten) |
| Mitarbeiter schulen | 🟡 Niedrig | Art. 32 DSGVO | Jährliche Trainings zu Datenschutz, sichere Passwörter, Phishing-Schutz |
| Backup-Strategie sichern | 🟡 Niedrig | Art. 32 DSGVO (Verfügbarkeit) | Verschlüsselte Backups, Wiederherstellungstest quartalsweise durchführen |
Bußgelder bis zu 4 % vom Jahresumsatz. Datenschutzbehörden wie die BayLDA prüfen aktiver denn je. Ich erlebe in meinen Schulungen regelmäßig, dass Website-Betreiber unsicher sind: Was muss ich konkret tun? Diese Checkliste gibt Ihnen die Antwort. Schritt für Schritt. Ohne teuren Berater.
Wer DSGVO nicht nur als Pflicht sieht, sondern als Vertrauenssignal nutzt, hat einen Vorteil. Kunden kaufen lieber bei Anbietern, denen sie vertrauen. Eine saubere Datenschutzumsetzung zahlt sich aus.
Die wichtigsten Erkenntnisse
- Datenschutzerklärung zuerst: Sie informiert Nutzer über die Datenverarbeitung. Fehlt sie, drohen Abmahnungen. Eine vollständige Erklärung reduziert das Abmahnrisiko massiv und stärkt Vertrauen.
- Cookie-Banner mit Opt-in: Tracking-Cookies dürfen erst nach Zustimmung laden. Ohne korrektes Banner riskieren Sie Bußgelder. Google hat 100 Mio. Euro bezahlt. Sie wollen nicht der Nächste sein.
- Verzeichnis der Verarbeitungstätigkeiten (VwV): Dokumentiert alle Prozesse. Schützt bei Kontrollen. Spart Beratungskosten, weil Sie den Überblick behalten.
- Team schulen: Die häufigsten Datenschutzverstöße passieren intern. Regelmäßige kurze Schulungen senken Fehlerquoten spürbar.
- Datenschutz-Folgenabschätzung (DPIA): Nur bei risikoreichen Verarbeitungen nötig, z. B. Profiling. Frühzeitige Risikobewertung vermeidet teure Nachbesserungen.
Warum dieser Ansatz funktioniert
Diese Checkliste setzt auf Prävention statt Reaktion. DSGVO-Compliance bringt messbare Vorteile: höheres Vertrauen, weniger Rechtsrisiko, bessere Conversion-Rates.
Rechtssicherheit und Bußgeldschutz
Mit dieser Checkliste decken Sie Art. 5–32 DSGVO ab. Inklusive eConsent-Richtlinie. Mittelständler sparen durch korrekte Cookie-Umsetzung jährlich tausende Euro an Abmahngebühren.
Wettbewerbsvorteil durch Vertrauen
Nutzer bevorzugen DSGVO-konforme Websites. Studien zeigen 30 % höhere Bindung. Ihre Website wird zum Vertrauenssignal.
Skalierbarkeit
Plugin-Lösungen allein reichen nicht. Dieser Ansatz wächst mit Ihrem Business. Auch bei internationaler Expansion.
Schritt-für-Schritt-Anleitung
Schritt 1: Datenschutzerklärung erstellen
Installieren Sie ein Datenschutz-Plugin wie Complianz oder GDPR Cookie Consent. Passen Sie die Pflichtangaben an: Verantwortlicher, Zwecke, Betroffenenrechte. Verlinken Sie die Erklärung im Footer.
- Art. 13/14 DSGVO vollständig abdecken.
- Prüfen Sie mit der BayLDA-Checkliste auf Vollständigkeit.
Schritt 2: Cookie-Banner einrichten
Richten Sie ein Banner mit granularem Opt-in ein. Essential-Cookies bleiben aktiv. Marketing-Cookies nur nach Zustimmung. Third-Party-Skripte werden bis zur Einwilligung geblockt.
- Complianz oder CookieYes installieren.
- Testen Sie mit cookiebot.de/scan.
Schritt 3: Verzeichnis der Verarbeitungstätigkeiten führen
Listen Sie alle Datenverarbeitungen auf. Kontaktformulare, Server-Logs, Newsletter, Analytics. Führen Sie das Register in Excel oder mit Tools wie DataGuard.
- Monatlich aktualisieren.
- Server-seitig speichern.
Schritt 4: Consent-Management optimieren
Einwilligungen müssen widerrufbar sein. Fügen Sie einen Widerrufslink im Footer ein (Art. 7 DSGVO). Protokollieren Sie Consents 14 Monate.
- Complianz-Wizard durchlaufen.
- Performance mit GTmetrix prüfen.
Schritt 5: Audit und Schulung
Prüfen Sie Ihre Website mit DSGVO-Check.de. Schulen Sie Ihr Team mit den kostenlosen Ressourcen der LfDI.
Häufig gestellte Fragen (FAQ)
1. Was passiert bei einem DSGVO-Verstoß?
Bußgelder bis 20 Mio. Euro oder 4 % Umsatz. H&M hat 746.000 Euro gezahlt. Regelmäßige Audits schützen.
2. Reicht ein Plugin für volle Compliance?
Nein. Plugins wie Complianz helfen, aber Sie brauchen eine individuelle Datenschutzerklärung und ein VwV. Beides muss auf Ihr Projekt zugeschnitten sein.
3. Wie oft muss ich die Datenschutzerklärung aktualisieren?
Bei Änderungen sofort. Neues Plugin installiert? Datenschutzerklärung anpassen. Mindestens einmal jährlich prüfen.
4. Brauche ich einen Datenschutzbeauftragten?
Bei sensiblen Daten oder mehr als 250 Mitarbeitern: ja (Art. 37 DSGVO). Für die meisten kleinen Websites: nein.
5. Wie scanne ich Cookies auf meiner Website?
Nutzen Sie cookie-script.com oder die Browser-DevTools. So sehen Sie, welche Tracker aktiv sind.
6. Was ist der Unterschied zur ePrivacy-Richtlinie?
DSGVO regelt Datenverarbeitung. ePrivacy regelt Cookies. Beides lösen Sie mit einem guten Opt-in-Banner.
Häufig gestellte Fragen
Welche DSGVO-Anforderungen gelten für deutsche Websites?
Impressum, Datenschutzerklärung, Cookie-Banner mit Opt-in, SSL-Verschlüsselung und Betroffenenrechte (Auskunft, Löschung). Das ist das Minimum.
Brauche ich einen Cookie-Banner für meine Website?
Ja, sobald Sie nicht-technische Cookies setzen. Google Analytics, Facebook Pixel – alles braucht vorherige Einwilligung. Seit dem EuGH-Urteil Pflicht.
Was passiert bei einem DSGVO-Verstoß?
Bußgelder bis 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes. Dazu Abmahnungen und Schadensersatz.