DSGVO-Check für Websites: was man praktisch prüfen kann

Datenschutz auf Websites beginnt bei einem Überblick: Welche Daten fließen wohin, welche Dienste laufen und welche Prozesse gibt es?

Erst sichtbar machen, was passiert

Bei Datenschutz auf Websites geht es oft direkt um Texte, Banner und juristische Begriffe. Praktisch beginnt es aber früher: Welche Dienste laufen überhaupt? Welche Daten werden erfasst? Welche externen Server werden kontaktiert? Welche Formulare gibt es?

Ohne diesen Überblick bleibt jede Datenschutzerklärung eine Vermutung.

Technik und Prozesse gehören zusammen

Eine Website kann technisch datensparsam gebaut sein und trotzdem problematische Prozesse haben. Umgekehrt kann ein Prozess klar sein, während die Website unnötig viele externe Dienste lädt. Beides muss zusammen betrachtet werden.

Datenschutz ist also nicht nur ein Text im Footer, sondern Teil von Aufbau, Betrieb und Pflege.

Prüfpunkte für Websites

  • Externe Dienste, Fonts, Karten, Videos und CDNs
  • Analytics, Tracking und Kampagnenparameter
  • Formulare und E-Mail-Versand
  • Newsletter-Anmeldung und Einwilligungen
  • Hosting, Auftragsverarbeitung und Serverstandort
  • Cookiebanner, Datenschutzerklärung und Dokumentation

Einmal durchspielen hilft

Viele Probleme werden sichtbar, wenn man typische Wege durchspielt: Kontaktformular absenden, Newsletter abonnieren, Video laden, Karte öffnen, Shop bestellen, Termin buchen. Dabei zeigt sich, welche Daten anfallen und welche Informationen Nutzerinnen und Nutzer bekommen.

Dieser praktische Blick ist oft hilfreicher als abstrakte Diskussionen.

Datenflüsse müssen wiederholt geprüft werden

Ein DSGVO-Check ist keine einmalige Inventur für die Ewigkeit. Websites verändern sich: ein neues Formular, ein anderes Newsletter-Tool, ein Plugin-Update, ein eingebettetes Video, ein neuer Cookiebanner, ein externer Kalender oder eine geänderte Analytics-Lösung.

Jede dieser Änderungen kann neue Datenflüsse erzeugen. Deshalb sollte Datenschutz technisch dokumentiert und bei größeren Änderungen erneut geprüft werden. Nicht als Panikprozess, sondern als normale Qualitätssicherung.

Besonders hilfreich ist ein pragmatisches Protokoll: Welche Dienste laufen, warum werden sie gebraucht, welche Alternative wurde geprüft und wer ist für Pflege oder Entscheidung zuständig?

Was technisch gut überprüfbar ist

Gut prüfen lassen sich konkrete technische Dinge: Welche Domains werden kontaktiert, welche Cookies werden gesetzt, welche Skripte laden, welche Formulare senden wohin und welche Dienste sind im CMS oder Theme eingebunden.

Schwieriger ist die rechtliche Bewertung, ob eine konkrete Verarbeitung zulässig, vollständig beschrieben oder vertraglich sauber abgesichert ist. Dafür braucht es bei Bedarf juristische Expertise. Der technische Check liefert aber die Fakten, auf denen diese Bewertung aufbauen kann.

Dokumentation schützt vor Wiederholung

Wenn nach einem Check nur ein paar technische Punkte geändert werden, ist beim nächsten Relaunch vieles wieder unklar. Besser ist eine kurze Dokumentation: Welche Dienste sind bewusst eingebunden, welche wurden ersetzt, welche Formulare gibt es und welche Datenwege sind bekannt?

Diese Dokumentation muss kein großes Handbuch sein. Oft reicht eine saubere Liste, die bei Updates, neuen Plugins, Kampagnen oder Dienstleisterwechseln wieder geöffnet wird.

So wird Datenschutz nicht jedes Mal von vorne diskutiert, sondern nachvollziehbar weitergeführt.

Datensparsamkeit reduziert Aufwand

Je weniger unnötige Dienste eingebunden sind, desto einfacher wird Datenschutz. Lokale Fonts, datensparsame Analytics, bewusst geladene Embeds und klare Formulare sind einfache Hebel.

Das ersetzt keine rechtliche Prüfung, macht die technische Grundlage aber deutlich sauberer.

FAQ

Die häufigsten Fragen zum Thema.

Was kann man an einer Website datenschutztechnisch prüfen?

Externe Dienste, Tracking, Formulare, Cookies, Fonts, Videos, Karten, Newsletter und technische Datenflüsse.

Ist die Datenschutzerklärung allein ausreichend?

Nein. Sie sollte beschreiben, was tatsächlich passiert. Dafür muss die technische Umsetzung bekannt sein.

Wie erkennt man externe Dienste?

Über Quellcode, Netzwerkanalyse, Browser-Tools, Plugin-Prüfung und technische Audits.

Kann man viele Datenschutzprobleme technisch vermeiden?

Ja. Lokale Ressourcen, weniger Tracking und datensparsame Alternativen reduzieren viele Probleme.

Braucht man trotzdem juristische Prüfung?

Für verbindliche rechtliche Bewertung ja. Technik kann vorbereiten und Risiken reduzieren, aber keine Rechtsberatung ersetzen.

Wie oft sollte man eine Website prüfen?

Nach größeren technischen Änderungen, neuen Formularen, neuen Tracking-Tools, neuen Embeds oder regelmäßig im Rahmen der Website-Wartung. Ein kurzer Check ist oft besser als jahrelange Unklarheit.

Was gehört in eine technische Datenschutz-Dokumentation?

Dienste, Zweck, Anbieter, Datenfluss, Einbindung, Alternativen, Verantwortliche, Formulare, Newsletter, Tracking, Hosting und das Datum der letzten Prüfung.

Soll die Website datenschutztechnisch klarer werden?

Dann prüfen wir Dienste, Formulare, Tracking und Datenflüsse und bauen unnötige Abhängigkeiten zurück.

Website checken

Weiterlesen

Verwandte Themen.

Technik

WordPress ohne Ballast: was eine Seite wirklich braucht

WordPress wird selten durch WordPress selbst schwer. Meist wächst zu viel darum herum: Plugins, Theme-Funktionen und Entscheidungen, die irgendwann nicht mehr zur Website passen.

Automatisierung

Prozesse automatisieren, ohne neue Umwege zu bauen

Automatisierung hilft nur, wenn das Ziel klar ist. Wer einfach alles verbindet, baut schnell neue Abhängigkeiten statt bessere Abläufe.

KI

KI im Unternehmen sinnvoll einsetzen

KI kann ein großer Hebel sein. Sinnvoll wird sie aber erst, wenn Aufgabe, Daten, Grenzen und Verantwortung geklärt sind.

Daten

Datenmigration ist vor allem Vorbereitung

Wer Inhalte, Produktdaten oder alte Webseiten übernimmt, sollte vorher sortieren, was wirklich sauber mitziehen soll.