Die DSGVO stellt klare Anforderungen an jede Website die personenbezogene Daten verarbeitet – und das betrifft praktisch jede Website. Von SSL-Verschlüsselung über Cookie-Banner bis hin zu externen Schriften: viele Punkte lassen sich technisch schnell prüfen und beheben. Diese Checkliste fasst die wichtigsten Anforderungen zusammen und verlinkt auf unseren kostenlosen DSGVO Website-Check für die automatische Prüfung.
1. SSL-Verschlüsselung (HTTPS) aktivieren
Ihre Website sollte ausschließlich über HTTPS erreichbar sein. Ohne SSL-Zertifikat werden Formulardaten, Kontaktanfragen und Login-Daten unverschlüsselt über das Internet übertragen – sichtbar für jeden der den Datenverkehr mitlesen kann.
Die gute Nachricht: Die Umstellung ist einfach. Die meisten Hosting-Anbieter bieten kostenlose Let’s Encrypt Zertifikate an die sich mit wenigen Klicks aktivieren lassen. Nach der Aktivierung sollten Sie prüfen ob alle HTTP-Anfragen automatisch auf HTTPS weitergeleitet werden. Testen Sie das indem Sie Ihre URL bewusst mit http:// aufrufen – Sie sollten automatisch auf https:// weitergeleitet werden.
Über 95 % aller deutschen Websites nutzen mittlerweile HTTPS. Wenn Ihre Website noch ohne SSL läuft, ist das einer der dringendsten Punkte. Mehr dazu in unserem Artikel zum Thema SSL-Zertifikat einrichten.
2. Cookie-Consent-Tool einrichten
Wenn Ihre Website nicht-essenzielle Cookies oder Tracking-Dienste verwendet, ist ein Cookie-Consent-Tool empfehlenswert. Das Tool sollte vor dem Laden von Tracking-Scripts die Einwilligung einholen und dem Nutzer eine echte Wahlmöglichkeit bieten.
Worauf Sie achten sollten:
- Der Ablehnen-Button sollte genauso sichtbar sein wie der Akzeptieren-Button
- Tracking-Scripts dürfen erst nach aktiver Zustimmung geladen werden
- Die Auswahl des Nutzers muss gespeichert werden damit er nicht bei jedem Seitenaufruf erneut gefragt wird
- Das Tool sollte eine Möglichkeit bieten die Einwilligung nachträglich zu widerrufen
Beliebte Cookie-Consent-Tools für deutsche Websites sind Cookiebot, Borlabs Cookie (für WordPress), Usercentrics und Real Cookie Banner. Wie sich Cookie-Consent und Core Web Vitals vereinbaren lassen, zeigen wir in einem separaten Artikel.
Gut zu wissen: Wenn Ihre Website keine Tracking-Dienste und keine nicht-essenziellen Cookies verwendet, benötigen Sie möglicherweise kein Cookie-Banner. Unser DSGVO-Check erkennt das automatisch und bewertet Websites ohne Tracking positiv – auch ohne Cookie-Banner.
3. Google Fonts lokal hosten
Seit dem BGH-Urteil 2022 ist das Thema Google Fonts und DSGVO besonders relevant. Google Fonts über fonts.googleapis.com einzubinden bedeutet dass bei jedem Seitenaufruf die IP-Adresse des Besuchers an Google-Server übertragen wird – ohne dass der Nutzer davon weiß oder zugestimmt hat.
Die Lösung ist unkompliziert: Schriftdateien im WOFF2-Format herunterladen (z.B. über den Google Webfonts Helper) und lokal auf dem eigenen Server hosten. Das hat zusätzlich den Vorteil dass die Ladezeit Ihrer Website verbessert wird, weil keine externe Verbindung zu Google aufgebaut werden muss.
Prüfen Sie mit unserem Google Fonts Checker ob Ihre Website betroffen ist. Viele Website-Betreiber wissen nicht dass Google Fonts über Plugins, Themes oder eingebettete Widgets geladen werden können – auch wenn sie sie nicht bewusst eingebunden haben.
4. Analytics erst nach Einwilligung laden
Google Analytics, der Google Tag Manager, Facebook Pixel und andere Tracking-Dienste sollten erst nach aktiver Einwilligung des Nutzers geladen werden. Das bedeutet: der Tracking-Code darf nicht direkt im HTML stehen und beim Seitenaufruf ausgeführt werden, sondern muss vom Cookie-Consent-Tool gesteuert werden.
In der Praxis heißt das: Ihr Cookie-Banner muss technisch in der Lage sein Scripts zu blockieren bis der Nutzer auf „Akzeptieren” klickt. Viele selbstgebaute Cookie-Banner informieren zwar über Cookies, blockieren aber die Scripts nicht – das reicht nicht aus.
Datenschutzfreundliche Alternativen die in der Regel kein Cookie-Banner erfordern: Matomo (selbst gehostet), Plausible, Fathom oder Pirsch. Diese Tools speichern keine personenbezogenen Daten und sind darauf ausgelegt ohne Einwilligung betrieben werden zu können. Mehr zur Einrichtung von Analytics in unserem GA4 SEO-Reports Guide.
5. Impressum und Datenschutzerklärung verlinken
Impressum und Datenschutzerklärung müssen von jeder Seite Ihrer Website erreichbar sein – typischerweise über Links im Footer die auf jeder Unterseite sichtbar sind. Das ist keine Empfehlung, sondern eine gesetzliche Anforderung.
Das Impressum muss nach §5 TMG vollständige Angaben enthalten: Name und Anschrift des Websitebetreibers, eine Kontaktmöglichkeit (E-Mail und/oder Telefon), bei Unternehmen die Handelsregisternummer und ggf. die Umsatzsteuer-Identifikationsnummer.
Die Datenschutzerklärung sollte alle Datenverarbeitungen auf Ihrer Website beschreiben: welche Daten erhoben werden, zu welchem Zweck, auf welcher Rechtsgrundlage und wie lange sie gespeichert werden. Für jeden externen Dienst (Analytics, Fonts, Maps, Newsletter-Tool) sollte ein eigener Absatz vorhanden sein.
Praxis-Tipp: Nutzen Sie einen Datenschutzerklärungs-Generator wie den von eRecht24 oder der IT-Recht Kanzlei München. Diese Generatoren fragen alle relevanten Dienste ab und erstellen eine rechtssichere Erklärung. Denken Sie daran die Erklärung zu aktualisieren wenn Sie neue Dienste auf Ihrer Website einbinden.
6. YouTube im Datenschutz-Modus einbetten
Wenn Sie YouTube-Videos auf Ihrer Website einbetten, verwenden Sie youtube-nocookie.com statt youtube.com in der Embed-URL. Der Datenschutz-Modus verhindert dass YouTube Tracking-Cookies setzt bevor der Nutzer das Video tatsächlich abspielt.
Noch besser ist eine 2-Klick-Lösung: Statt das Video direkt einzubetten zeigen Sie zunächst ein Vorschaubild. Erst wenn der Nutzer darauf klickt und damit zustimmt, wird das Video von YouTube geladen. So werden überhaupt keine Daten an YouTube übertragen solange der Nutzer nicht aktiv interagiert.
Unser DSGVO Website-Check erkennt automatisch ob YouTube-Embeds im Datenschutz-Modus oder im Standard-Modus eingebunden sind. Mehr zum Thema Video und SEO in unserem Artikel über YouTube SEO.
7. Externe CDNs und Libraries lokal hosten
jQuery von code.jquery.com, Bootstrap von StackPath, Font Awesome von einem CDN – jede externe Ressource überträgt die IP-Adresse des Besuchers an einen Drittanbieter-Server. Bei den meisten dieser CDNs handelt es sich um US-amerikanische Unternehmen, was die Datenübertragung besonders relevant macht.
Laden Sie JavaScript-Libraries und CSS-Frameworks lokal von Ihrem eigenen Server. Der Aufwand ist gering: Datei herunterladen, auf Ihren Server legen, die URL im Code von der externen auf die lokale Adresse ändern. Das verbessert nicht nur den Datenschutz, sondern oft auch die Ladezeit Ihrer Website, weil keine zusätzliche DNS-Auflösung und Verbindung zu einem externen Server nötig ist.
Auf vielen Websites laden 5-10 externe JavaScript-Libraries von verschiedenen CDN-Servern – jede einzelne ist eine Datenübertragung an einen Dritten die in der Datenschutzerklärung dokumentiert werden sollte.
8. Google Maps und reCAPTCHA prüfen
Google Maps Embeds und Google reCAPTCHA übertragen umfangreiche Nutzerdaten an Google. Bei Maps wird die IP-Adresse bei jedem Seitenaufruf übermittelt. Bei reCAPTCHA werden zusätzlich Mausbewegungen, Scrollverhalten und Browser-Fingerprinting-Daten erfasst.
Alternativen für Google Maps: OpenStreetMap in Kombination mit Leaflet ist kostenlos, Open Source und überträgt keine Nutzerdaten an Google. Für eine einfache Anfahrtskarte reicht oft auch ein statisches Kartenbild mit Link zu Google Maps.
Alternativen für reCAPTCHA: hCaptcha ist eine datenschutzfreundlichere Alternative die ähnlich funktioniert. Friendly Captcha arbeitet ohne Nutzer-Tracking. Für einfache Kontaktformulare reicht oft ein Honeypot-Feld – ein unsichtbares Formularfeld das nur von Bots ausgefüllt wird.
9. Social Media Embeds mit 2-Klick-Lösung
Twitter/X Widgets, Instagram Embeds und Pinterest Buttons laden beim Seitenaufruf Tracking-Scripts der jeweiligen Plattform. Das bedeutet: Allein durch das Aufrufen Ihrer Website werden Daten an Facebook, Twitter oder Instagram übertragen – bevor der Besucher überhaupt mit dem Embed interagiert.
Eine 2-Klick-Lösung zeigt zunächst einen Platzhalter (z.B. ein Vorschaubild des Beitrags) und lädt den tatsächlichen Embed erst nach Zustimmung des Nutzers. Alternativ können Sie Screenshots der Social-Media-Beiträge verwenden und auf das Original verlinken – so werden keine externen Ressourcen geladen.
Für WordPress gibt es Plugins die 2-Klick-Lösungen automatisch für alle Embeds umsetzen. Für statische Websites lässt sich das mit wenigen Zeilen JavaScript umsetzen.
10. Auftragsverarbeitungsverträge abschließen
Für jeden Dienstleister der in Ihrem Auftrag personenbezogene Daten verarbeitet benötigen Sie einen Auftragsverarbeitungsvertrag (AVV). Das betrifft in der Praxis mehr Anbieter als viele denken:
- Hosting-Provider – speichert Server-Logs mit IP-Adressen
- E-Mail-Marketing – Mailchimp, Brevo, CleverReach etc.
- Analytics – Google Analytics, Matomo Cloud etc.
- CRM-Systeme – HubSpot, Salesforce etc.
- Cloud-Speicher – wenn Kundendaten dort liegen
Die meisten Anbieter stellen AVVs online zur Verfügung – oft als PDF-Download in den Datenschutz-Einstellungen des Dienstes. Prüfen Sie ob Sie für alle relevanten Dienstleister einen AVV abgeschlossen haben und bewahren Sie die Verträge auf.
Bis auf den letzten Punkt (AVV) kann unser kostenloser DSGVO Website-Check alle Punkte dieser Checkliste automatisch prüfen – in Sekunden und ohne Registrierung. Testen Sie Ihre Website jetzt und sehen Sie sofort wo Optimierungspotenzial besteht.
Bonus: Regelmäßig prüfen
Datenschutz ist kein einmaliges Projekt. Jedes Plugin-Update, jedes neue Widget und jeder neue Drittanbieter-Dienst kann die Situation verändern. Prüfen Sie Ihre Website mindestens einmal pro Quartal mit unserem DSGVO Website-Check und nach jeder größeren Änderung an der Website. So stellen Sie sicher dass keine neuen datenschutzrelevanten Einbindungen unbemerkt hinzugekommen sind.