DSGVO-Checkliste für Websites — die Punkte, die deine Website wirklich betreffen | Scanthra

Scanthra · 7 Min Lesezeit · Aktualisiert Mai 2026

Für wen gilt die DSGVO?

Die Datenschutz-Grundverordnung (DSGVO, Verordnung (EU) 2016/679) gilt immer dann, wenn du personenbezogene Daten von Personen verarbeitest, die sich physisch in der EU/EWR befinden — auch wenn dein Unternehmen woanders registriert ist. Ein US-Shop, der an Deutsche verkauft; ein polnischer Freelancer mit französischen Kunden; eine Schweizer Beratungsfirma, die EU-Leads sammelt — alle sind betroffen.

„Personenbezogene Daten" ist breiter als die meisten denken: Name, E-Mail, IP-Adresse, Cookie-Kennungen, Geräte-Fingerprints. Damit verarbeitet fast jede Website solche Daten.

1. Datenschutzerklärung (Art. 13)

Du musst den Nutzern mitteilen, welche Daten du erhebst, warum, auf welcher Rechtsgrundlage, wie lange und welche Rechte sie haben. In einfacher Sprache, auf einer Seite, die von jeder anderen Seite verlinkt wird (die Fußzeile ist der übliche Ort).

Mindestinhalte:

• Identität und Kontaktdaten des Verantwortlichen.
• Zwecke der Verarbeitung und Rechtsgrundlage (Einwilligung / Vertrag / berechtigtes Interesse / gesetzliche Pflicht).
• Datenkategorien und Empfänger (Analytics-Anbieter, Mailer, Hosting).
• Speicherfristen.
• Rechte der Betroffenen (Auskunft, Berichtigung, Löschung, Portabilität, Widerspruch) und wie diese ausgeübt werden können.
• Ob Daten außerhalb der EU/EWR übermittelt werden und welche Schutzmaßnahmen gelten (Standardvertragsklauseln, Angemessenheitsbeschluss).
• Das Recht, eine Beschwerde bei einer Aufsichtsbehörde einzureichen.

2. Cookie-Banner (ePrivacy + DSGVO)

Nicht notwendige Cookies (Analytics, Werbung, Marketing-Pixel) erfordern eine vorherige, informierte und freiwillige Einwilligung. Die Durchsetzungswelle 2024–2025 in der EU hat klargestellt, was das in der Praxis bedeutet:

• „Alle ablehnen" muss genauso einfach sein wie „Alle akzeptieren" — gleicher Bildschirm, gleiche Sichtbarkeit. Keine Dark Patterns.
• Kein Tracking vor der Entscheidung des Nutzers. Google Analytics darf beim Seitenaufruf noch nicht feuern.
• Notwendige Cookies (Session, CSRF, Spracheinstellung) sind ohne Einwilligung in Ordnung — aber sei ehrlich darüber, was wirklich notwendig ist.
• Einwilligung nach 6–12 Monaten erneut einholen; sie gilt nicht für immer.

Die meisten Consent-Management-Plattformen (Cookiebot, Iubenda, kostenlose Alternativen wie Klaro) machen das von Haus aus richtig. Der häufigste Prüfbefund ist, dass GTM vor dem „Akzeptieren" des Banners geladen wird.

3. Kanal für Betroffenenanfragen

Nutzer müssen Zugang zu ihren Daten anfordern, diese korrigieren oder löschen lassen können. Du hast 30 Tage Zeit zu antworten (Art. 12(3)). Für die meisten kleinen Websites reicht ein einfaches Formular oder eine E-Mail-Adresse — wichtig ist, dass der Kanal existiert, leicht zu finden und überwacht wird.

Scanthra hat ein eigenes Formular für Datenlöschanfragen als öffentliches Beispiel.

4. HTTPS überall (Art. 32)

Artikel 32 verlangt „geeignete technische Maßnahmen" zum Schutz personenbezogener Daten. Ein Login-Formular, Kontaktformular oder Checkout über HTTP ist das einfachste Beispiel für eine fehlende „geeignete Maßnahme". Modernes TLS/SSL (Verschlüsselung) ist kostenlos (Let's Encrypt) und in den meisten Setups mit einem Befehl eingerichtet. Unser TLS-Leitfaden erklärt die Details.

5. Plan für die Meldepflicht bei Datenpannen (Art. 33–34)

Wenn ein Vorfall voraussichtlich ein Risiko für die Rechte und Freiheiten von Personen darstellt, musst du deine Aufsichtsbehörde innerhalb von 72 Stunden nach Bekanntwerden benachrichtigen. Bei hohem Risiko musst du auch die betroffenen Personen „ohne unangemessene Verzögerung" informieren.

Voraussetzungen auf Website-Ebene:

• Eine Seite oder ein Footer-Link, der erklärt, wie Nutzer ein Sicherheitsproblem melden können (siehe unseren security.txt-Leitfaden).
• Ein internes Runbook, das beschreibt, welche Art von Vorfall eine 72-Stunden-Meldepflicht auslöst — damit du die ersten 24 Stunden nicht mit Diskussionen darüber verschwendest.
• Zugang zum Portal deiner Aufsichtsbehörde (z. B. BfDI in Deutschland, UODO in Polen, CNIL in Frankreich, Garante in Italien, AEPD in Spanien) — registriert, bevor du ihn brauchst.

6. Verzeichnis von Verarbeitungstätigkeiten (Art. 30)

Nicht auf der Website sichtbar, aber durch die Website ausgelöst. Du musst eine schriftliche Aufzeichnung jeder Art führen, wie du personenbezogene Daten verarbeitest: das Kontaktformular, den Newsletter, das Buchungssystem, die Analytics, das Remarketing-Pixel, den Support-Chat. Jeder Eintrag nennt Zweck, Datenkategorien, Empfänger, Speicherfrist und Sicherheitsmaßnahmen.

Eine einfache Tabelle genügt. Der Punkt ist, eine zu haben — die veröffentlichten Bußgelder über 100.000 € verschiedener Aufsichtsbehörden der letzten zwei Jahre nennen „kein Artikel-30-Verzeichnis vorgelegt" häufig als erschwerenden Faktor.

7. Internationale Datentransfers (Kap. V)

Wenn dein Analytics-, Mailer- oder CRM-Dienst in den USA sitzt (Google Analytics, HubSpot, Mailchimp, Klaviyo), überträgst du personenbezogene Daten außerhalb der EU. Seit dem 10. Juli 2023 bietet der EU-US Data Privacy Framework einen Angemessenheitsbeschluss für teilnehmende US-Unternehmen. Andernfalls brauchst du mit dem Anbieter unterzeichnete Standardvertragsklauseln und idealerweise eine Transfer-Folgenabschätzung.

Die meisten großen SaaS-Anbieter haben einen „DSGVO-Auftragsverarbeitungsvertrag", den du mit einem Klick herunterladen kannst. Unterschreibe ihn und bewahre eine Kopie auf.

Das Website-Audit in 30 Minuten

1. Öffne deine Datenschutzerklärung über die Fußzeile. Deckt sie alle sieben Punkte nach Art. 13 ab?
2. Besuche deine Website im Inkognito-Fenster. Wird „Alle ablehnen" gleich prominent angezeigt?
3. Öffne den Netzwerk-Tab, bevor du auf das Banner klickst. Werden bereits Analytics- oder Marketing-Anfragen ausgelöst? Das sollte nicht passieren.
4. Finde den Kanal für Löschanfragen. Ist er innerhalb von zwei Klicks von der Startseite aus erreichbar?
5. Rufe deine Website über HTTP auf (z. B. http://deineshop.de) — leitet sie zu HTTPS weiter?
6. Öffne /.well-known/security.txt. Existiert die Datei?

Wie Scanthra hilft

Scanthrars Compliance-Übersicht im PDF-Bericht verknüpft jedes gefundene Problem mit dem DSGVO-Artikel, auf den es sich bezieht (am häufigsten Art. 32). Punkte, die die DSGVO direkt betreffen — fehlendes HTTPS, fehlende Sicherheits-Header, offengelegte Zugangsdaten, fehlende security.txt — werden sowohl mit ihrem technischen als auch mit ihrem Compliance-Aspekt markiert.

Dieser Artikel dient allgemeinen Informationszwecken und stellt keine Rechtsberatung dar. Für eine verbindliche DSGVO-Auslegung wende dich an eine qualifizierte Rechtsanwältin oder deinen nationalen Datenschutzbeauftragten.