DSGVO

DSGVO Website — Datenschutzanforderungen für Website-Betreiber

Der tatsächliche technische Zustand einer Website ist für den Betreiber in der Regel nicht vollständig erkennbar.

Für externe Prüfungen ist dieser Zustand vollständig sichtbar.

Die DSGVO stellt für Website-Betreiber in Deutschland konkrete technische Anforderungen — nicht nur Dokumentationspflichten. Einwilligungen müssen vor dem Laden bestimmter Dienste eingeholt werden. Datenschutzerklärungen müssen alle aktiven Dienste vollständig benennen. Ob diese Anforderungen auf einer Website technisch korrekt umgesetzt sind, ist ohne Analyse des tatsächlichen Laufzeitverhaltens nicht feststellbar.

Die DSGVO als technische Anforderung — nicht nur als Dokumentationspflicht

Die Datenschutz-Grundverordnung gilt seit Mai 2018 für alle, die personenbezogene Daten von Personen in der EU verarbeiten. Für Website-Betreiber bedeutet das: Fast jede Website ist betroffen — durch Logfiles, Formulare, Cookies, eingebundene Dienste.

Die DSGVO ist keine reine Dokumentationspflicht. Sie stellt technische Anforderungen: Einwilligungen müssen vor dem Laden bestimmter Skripte eingeholt werden — nicht danach. Dienste müssen in Datenschutzerklärungen benannt sein — nicht pauschal. Betroffenenrechte müssen erfüllbar sein — nicht nur erwähnt.

In der Praxis entsteht in vielen Fällen eine Lücke zwischen dem dokumentierten und dem tatsächlichen Zustand: Datenschutzerklärungen bilden nicht alle aktiven Dienste ab. Consent-Flows sind konfiguriert, aber die technische Bindung der Tracking-Skripte an den Consent-Status ist nicht hergestellt. Externe Dienstleister übertragen Daten im Hintergrund, ohne dass dies dem Betreiber bekannt ist.

Anforderungen kennen ≠ Anforderungen tatsächlich erfüllen

Datenschutzerklärung vorhanden ≠ aktive Dienste vollständig erfasst

Cookie-Banner eingebunden ≠ Einwilligung technisch korrekt umgesetzt

Ob diese Konfiguration auf Ihrer Website tatsächlich so umgesetzt ist, lässt sich ohne technische Analyse nicht feststellen. Eine visuelle Prüfung der Website reicht dafür nicht aus.

Tatsächlich umgesetzte Datenverarbeitungen weichen in vielen Fällen von der Dokumentation ab — durch Dienste, die nach der Erstellung der Datenschutzerklärung hinzugekommen sind oder deren Konfiguration sich geändert hat.

Die Analyse bildet genau diese technische Prüfung ab — tatsächliche Erreichbarkeit, technische Einbindung und reale Lade- und Verarbeitungsprozesse.

Website prüfen

Die relevanten Bereiche für Websites

Datenschutzerklärung

Muss alle Datenverarbeitungsvorgänge mit Zweck, Rechtsgrundlage und Empfängern transparent machen — inklusive aller externen Dienste, die Daten empfangen. Veraltete Erklärungen, die den aktuellen Zustand der Website nicht abbilden, sind ein regelmäßiger Mangel — nicht die Ausnahme.

Cookie-Einwilligung

Nicht-notwendige Cookies dürfen erst nach aktiver, informierter, freiwilliger Einwilligung gesetzt werden. Das erfordert eine technische Steuerung der Skript-Ladereihenfolge — nicht nur das Einblenden eines Banners. Die korrekte Konfiguration setzt das Zusammenspiel von Consent-Tool, Tag Manager und Tracking-Tags voraus.

Externe Dienste

Jeder externe Dienst — Google Fonts, YouTube-Einbettungen, Kartendienste, Analytics, Chat-Widgets, Social-Media-Buttons — überträgt beim Seitenaufruf Nutzerdaten an externe Server. Welche Dienste tatsächlich aktiv sind, ist ohne Netzwerkanalyse nicht vollständig erkennbar. Jeder dieser Dienste muss in der Datenschutzerklärung aufgeführt sein.

Kontaktformulare und Eingabefelder

Formulare unterliegen besonderen Transparenzpflichten. Datenschutzhinweise am Formular, korrekte Rechtsgrundlagen und die Nennung externer Formular-Dienstleister in der Datenschutzerklärung sind in der Praxis in vielen Fällen unvollständig.

Auftragsverarbeitung

Dienstleister, die im Auftrag des Betreibers Nutzerdaten verarbeiten — Hosting, E-Mail, Newsletter, Analytics — erfordern Auftragsverarbeitungsverträge. Ob diese vollständig abgeschlossen und aktuell sind, ist ohne systematische Prüfung der Anbieter-Accounts nicht feststellbar.

Warum DSGVO-Anforderungen in der Praxis in vielen Fällen nicht vollständig umgesetzt sind

Websites werden nach dem initialen Launch kontinuierlich verändert — Plugins werden installiert, Themes aktualisiert, externe Dienste eingebunden. Jede dieser Änderungen kann neue datenschutzrechtliche Implikationen erzeugen. Die Datenschutzerklärung und der Consent-Flow werden dabei in der Praxis nicht synchron aktualisiert.

Das Ergebnis ist eine strukturelle Drift: ein technischer Zustand, der sich von der Datenschutzdokumentation entfernt hat — nicht durch bewusste Entscheidung, sondern durch die normale Weiterentwicklung einer Website. Diese Drift ist typisch für Websites, die länger als sechs Monate ohne explizite Datenschutzprüfung betrieben werden.

Warum sich externe Dienste und Consent-Fehler von außen erkennen lassen

Welche externen Dienste eine Website beim Seitenaufruf aktiviert, ist technisch messbar — ohne Zugang zum Quellcode. Jeder HTTP-Request, der an externe Domains gesendet wird, ist im Netzwerk-Traffic öffentlich nachvollziehbar. Automatisierte Analyse-Tools können systematisch feststellen, welche Drittanbieter Daten empfangen, ob Tracking-Skripte vor der Einwilligungsentscheidung feuern und ob die Datenschutzerklärung diese Dienste erwähnt.

Der Abgleich zwischen aktivem Netzwerk-Traffic und Datenschutzerklärung ist von außen reproduzierbar durchführbar. Abweichungen sind dokumentierbar.

Typische Fehlannahme

Annahme: „Meine Website hat eine Datenschutzerklärung und einen Cookie-Banner — damit sollte ich DSGVO-konform sein."

Tatsächlich: Vorhandensein und korrekte Funktion sind zwei verschiedene Zustände. Eine Datenschutzerklärung deckt nicht automatisch alle aktiven Dienste ab. Ein Cookie-Banner verhindert nicht automatisch, dass Skripte vorher laden. Die DSGVO-Konformität einer Website hängt von der korrekten Konfiguration mehrerer unabhängiger Systemkomponenten ab — und von der Aktualität dieser Konfiguration gegenüber dem tatsächlichen Stand der Website. Beides zusammen ist in der Praxis in vielen Fällen nicht gegeben.

Warum Vollständigkeit ohne technische Analyse nicht verlässlich einzuschätzen ist

Ein Dienst, der im Hintergrund Daten überträgt, ist ohne Netzwerkanalyse nicht erkennbar. Ob ein Cookie vor oder nach der Einwilligung gesetzt wird, ist ohne Entwicklerwerkzeuge nicht feststellbar. Ob die Datenschutzerklärung mit dem aktuellen technischen Zustand der Website übereinstimmt, erfordert einen systematischen Abgleich beider Zustände.

Keine dieser Prüfungen ist durch Lesen der Datenschutzerklärung oder Ansehen des Cookie-Banners durchführbar. Die subjektive Einschätzung „meine Website ist DSGVO-konform" ist deshalb in der Praxis in vielen Fällen nicht durch den tatsächlichen technischen Zustand gedeckt.

Der entscheidende Zustand ist nicht das, was auf der Website sichtbar ist, sondern das, was im Hintergrund technisch passiert. Dieser Zustand ist ohne Analyse nicht zugänglich.

Die Analyse bildet genau diese technische Prüfung ab — tatsächliche Erreichbarkeit, technische Einbindung und reale Lade- und Verarbeitungsprozesse.

Website prüfen

Spezialisierte Artikel zu diesem Thema

DSGVO-Anforderungen für Websites

Welche Bereiche müssen DSGVO-konform gestaltet sein — strukturierter Überblick.

Häufige DSGVO-Fehler auf Websites

Typische Abweichungen und wie sie entstehen — ohne dass der Betreiber es merkt.
Diese Inhalte stellen keine Rechtsberatung dar. Für verbindliche Einschätzungen wenden Sie sich an eine qualifizierte Fachperson.

Die Einschätzung, dass die eigene Website korrekt umgesetzt ist, basiert in vielen Fällen nicht auf einer technischen Prüfung, sondern auf Annahmen über den Zustand der Implementierung.

Diese Annahmen sind ohne externe Analyse nicht verifizierbar.

In vielen Fällen besteht bereits eine Abweichung zwischen dem angenommenen und dem tatsächlichen Zustand der Website.

Ob der technische Zustand Ihrer Website den DSGVO-Anforderungen entspricht, lässt sich ohne technische Prüfung nicht feststellen.

Die Analyse bildet genau diese Prüfung ab.

Website prüfen