GDPR Checklist: 15 Points for Privacy-Compliant Websites

Die Datenschutz-Grundverordnung (DSGVO) gilt seit Mai 2018 und betrifft jede Website die Daten von EU-Buergern verarbeitet. Verstoesse können teuer werden: Bussgelder bis zu 20 Millionen Euro oder 4% des Jahresumsatzes sind möglich. Realistischer sind Abmahnungen von Wettbewerbern oder Datenschutzbehörden im vierstelligen Bereich.

Wichtiger als die Bussgelder ist das Vertrauen Ihrer Kunden. Eine professionelle Datenschutz-Umsetzung zeigt, dass Sie die Daten Ihrer Besucher ernst nehmen. Nutzen Sie unseren DSGVO Check für eine automatische prüfung Ihrer Website.

prüfen Sie Ihre Website anhand dieser 15 Punkte:

Wenn Ihre Website Daten überträgt (Kontaktformulare, Login, Bestellungen), ist HTTPS Pflicht. prüfen Sie: Zeigt Ihr Browser ein Schloss-Symbol in der Adressleiste? Wenn nicht, brauchen Sie ein SSL-Zertifikat. Die meisten Hoster bieten kostenlose Let's Encrypt Zertifikate an.

Ein simpler Hinweis "Diese Website verwendet Cookies" reicht nicht. Sie brauchen:

Die Datenschutzerklärung muss enthalten: Wer verantwortlich ist (Kontaktdaten), welche Daten Sie erheben, warum Sie sie erheben (Rechtsgrundlage), wie lange Sie sie speichern, an wen Sie sie weitergeben, welche Rechte der Nutzer hat. Sie muss von jeder Seite aus erreichbar sein (im Footer verlinken).

Wenn Sie Google Fonts direkt von Google laden, wird bei jedem Seitenaufruf die IP-Adresse Ihrer Besucher an Google übertragen. Das ist ohne Einwilligung nicht erlaubt. Lösung: Laden Sie die Fonts herunter und binden Sie sie lokal ein. Das ist auch besser für die Performance.

Google Maps laedt Daten von Google bevor der Nutzer zugestimmt hat. Lösungen: Karte erst nach Klick auf "Karte laden" anzeigen, oder Consent im Cookie-Banner abfragen bevor die Karte geladen wird. Eine statische Karte als Bild mit Link zu Google Maps ist die datenschutzfreundlichste Option.

Normale YouTube-Embeds setzen Tracking-Cookies. Alternativen: Verwenden Sie youtube-nocookie.com statt youtube.com. Oder zeigen Sie ein Vorschaubild und laden das Video erst nach Klick. Diese Lösung ist nutzerfreundlicher und datenschutzkonform.

Bei Kontaktformularen müssen Sie:

Google Analytics erfordert Einwilligung im Cookie-Banner. zusätzlich: IP-Anonymisierung aktivieren, AV-Vertrag mit Google abschließen, Aufbewahrungsdauer begrenzen. Datenschutzfreundlichere Alternative: Matomo mit eigenem Hosting, kann unter bestimmten Bedingungen auch ohne Consent genutzt werden.

für Newsletter-Anmeldungen brauchen Sie Double Opt-In: Nach der Anmeldung erhält der Nutzer eine E-Mail mit Bestätigungslink. Erst nach Klick wird er in den Verteiler aufgenommen. zusätzlich: Dokumentieren Sie die Einwilligung (Zeitpunkt, IP-Adresse, Version des Formulars).

Sie brauchen AVVs mit: Ihrem Webhoster, E-Mail-Dienstleistern (Newsletter-Tools), Analyse-Tools, Zahlungsabwicklern, Cloud-Diensten. Die meisten großen Anbieter stellen Standard-AVVs bereit. prüfen Sie, ob Sie diese abgeschlossen haben.

Das Impressum ist Pflicht nach TMG, nicht DSGVO. Aber bei prüfungen wird beides angeschaut. Erforderlich: Vollständiger Name/Firma, Adresse, E-Mail, Telefon, bei Firmen zusätzlich Handelsregister und USt-IdNr. Das Impressum muss von jeder Seite mit 2 Klicks erreichbar sein.

Direkte Social-Media-Buttons von Facebook, Twitter etc. übertragen Daten an diese Netzwerke. Lösungen: Verwenden Sie die Shariff-Lösung (Zwei-Klick-Buttons) oder einfache Links ohne Tracking. Oder verzichten Sie ganz auf Social Buttons, die Klickraten sind ohnehin gering.

Falls Sie eine Kommentarfunktion haben: Checkbox für Datenschutzerklärung hinzufuegen. Bei Gravatar-Bildern werden Daten an Dritte übertragen (Consent nötig). Überlegung: Brauchen Sie die Kommentarfunktion wirklich? Weniger Funktionen bedeuten weniger Datenschutz-Risiken.

Sie müssen Nutzern ermöglichen: Auskunft über gespeicherte Daten zu erhalten, Daten berichtigen oder loeschen zu lassen, der Verarbeitung zu widersprechen, Daten zu exportieren (Datenportabilitaet). Definieren Sie einen Prozess, wie Sie auf solche Anfragen reagieren.

Unternehmen mit mehr als 250 Mitarbeitern oder bei besonders sensiblen Daten müssen ein Verarbeitungsverzeichnis führen. Auch für kleinere Unternehmen ist es sinnvoll: Dokumentieren Sie welche Daten Sie warum erheben, wie lange speichern, und an wen weitergeben.