DSGVO

DSGVO-Anforderungen Website — Was muss technisch umgesetzt sein?

DSGVO-Konformität bei Websites ist kein Dokumentationsthema — es ist ein technischer Zustand. Welche Bereiche betroffen sind, ist überschaubar. Ob sie im Einzelfall korrekt umgesetzt sind, lässt sich für den Betreiber ohne technische Prüfung nicht verlässlich feststellen.

Die fünf zentralen Anforderungsbereiche

Die DSGVO stellt für Websites Anforderungen in fünf Hauptbereichen. Jeder Bereich hat eigene technische und inhaltliche Voraussetzungen — und eigene typische Fehlerquellen. In vielen Fällen besteht bereits eine Abweichung.

Alle fünf Bereiche bekannt ≠ alle fünf Bereiche korrekt umgesetzt

Zum Launch korrekt ≠ nach Änderungen weiterhin konform

Keine Beschwerden ≠ kein tatsächlicher Verstoß

Ob diese Konfiguration auf Ihrer Website tatsächlich so umgesetzt ist, lässt sich ohne technische Analyse nicht feststellen. Eine visuelle Prüfung der Website reicht dafür nicht aus.

Tatsächlich umgesetzte Datenverarbeitungen weichen in vielen Fällen von der Dokumentation ab — durch Dienste, die nach der Erstellung der Datenschutzerklärung hinzugekommen sind oder deren Konfiguration sich geändert hat.

Die Analyse bildet genau diese technische Prüfung ab — tatsächliche Erreichbarkeit, technische Einbindung und reale Lade- und Verarbeitungsprozesse.

Website prüfen

1. Datenschutzerklärung

Muss alle Datenverarbeitungsvorgänge transparent machen — mit Zweck, Rechtsgrundlage, Empfänger und Speicherdauer für jeden Vorgang. Einschließlich aller externen Dienste, die Nutzerdaten empfangen. Die häufigste Lücke: Dienste, die nach der letzten Aktualisierung der Erklärung eingebunden wurden, sind nicht erfasst. Generator-Erklärungen decken generische Vorgänge ab, aber nicht die spezifischen Dienste einer konkreten Website.

2. Cookie-Einwilligung

Nicht-notwendige Cookies dürfen erst nach aktiver, freiwilliger und informierter Einwilligung gesetzt werden. Das ist keine Frage des Cookie-Banner-Designs — es ist eine Frage der Skript-Ladereihenfolge. Das Tracking-Skript darf erst geladen werden, nachdem der Nutzer aktiv eingewilligt hat. Viele Websites haben einen Banner, aber kein technisch wirksames Consent-Gate vor den Tracking-Skripten.

3. Externe Dienste

Jeder externe Dienst — Google Fonts via CDN, YouTube-Einbettungen, Kartendienste, Analytics, Chat-Widgets, Social-Media-Buttons — kann beim Seitenaufruf IP-Adressen und andere Nutzerdaten an externe Server übertragen. Jeder dieser Dienste muss in der Datenschutzerklärung aufgeführt sein. Bei Diensten, die Daten in die USA übertragen, muss die Drittlandübertragung transparent gemacht werden. Welche Dienste tatsächlich Daten übertragen, ist ohne Netzwerkanalyse nicht vollständig erkennbar.

4. Kontaktformulare und Eingabefelder

Formulare, die personenbezogene Daten erheben — Name, E-Mail, Nachricht — unterliegen der Informationspflicht nach Art. 13 DSGVO. Ein Datenschutzhinweis am Formular ist erforderlich — nicht nur ein Link auf die allgemeine Datenschutzerklärung. Werden externe Formulardienste eingesetzt (Typeform, HubSpot, Formspree), müssen diese in der Datenschutzerklärung genannt und als Auftragsverarbeiter eingebunden sein.

5. Auftragsverarbeitungsverträge

Dienstleister, die im Auftrag des Betreibers Nutzerdaten verarbeiten — Hosting, E-Mail-Versand, Newsletter, Analytics, CRM — erfordern Auftragsverarbeitungsverträge nach Art. 28 DSGVO. Diese müssen schriftlich oder in elektronischer Form vorliegen. Ob sie für alle eingesetzten Dienste abgeschlossen sind, ist ohne systematische Prüfung der Anbieter-Accounts nicht feststellbar.

Diese Checkliste bildet die Anforderungen ab — nicht deren tatsächliche Umsetzung.

Warum DSGVO-Anforderungen in der Praxis in vielen Fällen nicht vollständig umgesetzt sind

Websites werden nach dem Launch kontinuierlich verändert — Plugins installiert, Dienste hinzugefügt, Templates angepasst. Jede dieser Änderungen kann neue datenschutzrechtliche Anforderungen erzeugen, die nicht automatisch in die Dokumentation einfließen. Für alle fünf Bereiche gilt dasselbe Muster: zum Launch korrekt, nach Änderungen nicht mehr zwingend konform — ohne dass der Betreiber es bemerkt.

Warum sich DSGVO-Mängel von außen erkennen lassen

Die meisten DSGVO-Mängel sind von außen technisch messbar. Welche externen Dienste eine Website aktiviert, ist durch HTTP-Traffic-Analyse feststellbar. Ob Tracking-Skripte vor der Einwilligung feuern, lässt sich beim Seitenaufruf beobachten. Ob die Datenschutzerklärung aktive Dienste nennt, lässt sich durch Textabgleich prüfen. Ob ein Impressum von jeder Unterseite erreichbar ist, lässt sich durch systematischen Crawl testen.

Alle diese Prüfungen sind automatisierbar, reproduzierbar und von außen ohne Kenntnis des Betreibers durchführbar. Sie werden von Datenschutzbehörden, Verbraucherschutzorganisationen und Abmahnkanzleien systematisch eingesetzt.

Typische Fehlannahme

Annahme: „Meine Website hat eine Datenschutzerklärung, einen Cookie-Banner und ich nutze bekannte Dienste — das sollte ausreichen."

Tatsächlich: Das Vorhandensein dieser Elemente bedeutet nicht, dass sie korrekt umgesetzt sind. Eine Datenschutzerklärung deckt nicht automatisch alle aktiven Dienste ab. Ein Cookie-Banner verhindert nicht automatisch das Laden von Tracking-Skripten. Bekannte Dienste haben datenschutzrechtliche Anforderungen, die von der konkreten Konfiguration abhängen — nicht vom Ruf des Anbieters. DSGVO-Konformität entsteht nicht durch die Anzahl vorhandener Elemente, sondern durch deren technisch korrekte Umsetzung — und durch die Aktualität dieser Konfiguration gegenüber dem tatsächlichen Stand der Website. Beides zusammen ist in der Praxis in vielen Fällen nicht gegeben.

Warum Vollständigkeit ohne Prüfung nicht einschätzbar ist

Das Problem bei der Selbsteinschätzung liegt in der Unsichtbarkeit vieler Mängel. Ein Dienst, der Daten überträgt, ist ohne Netzwerkanalyse nicht erkennbar. Ob ein Cookie vor oder nach der Einwilligung gesetzt wird, zeigt sich erst mit Browser-Entwicklerwerkzeugen. Ob die Datenschutzerklärung mit dem aktuellen Stand der Website übereinstimmt, erfordert einen systematischen Abgleich beider Zustände.

Wer diese Prüfungen nicht vorgenommen hat, kann die Frage „Ist meine Website DSGVO-konform?" nicht verlässlich beantworten — auch nicht wenn keine Beschwerden eingegangen sind und auch nicht durch Lesen der vorhandenen Dokumentation.

Der entscheidende Zustand ist nicht das, was auf der Website sichtbar ist, sondern das, was im Hintergrund technisch passiert. Dieser Zustand ist ohne Analyse nicht zugänglich.

Die Analyse bildet genau diese technische Prüfung ab — tatsächliche Erreichbarkeit, technische Einbindung und reale Lade- und Verarbeitungsprozesse.

Website prüfen
Diese Inhalte stellen keine Rechtsberatung dar. Für verbindliche Einschätzungen wenden Sie sich an eine qualifizierte Fachperson.

Die Einschätzung, dass die eigene Website korrekt umgesetzt ist, basiert in vielen Fällen nicht auf einer technischen Prüfung, sondern auf Annahmen über den Zustand der Implementierung.

Diese Annahmen sind ohne externe Analyse nicht verifizierbar.

In vielen Fällen besteht bereits eine Abweichung zwischen dem angenommenen und dem tatsächlichen Zustand der Website.

Ob auf Ihrer Website DSGVO-Abweichungen bestehen, lässt sich ohne technische Prüfung nicht feststellen.

Die Analyse bildet genau diese Prüfung ab.

Website prüfen