DSGVO Checkliste: 15 Punkte fuer datenschutzkonforme Websites

Die Datenschutz-Grundverordnung (DSGVO) gilt seit Mai 2018 und betrifft jede Website die Daten von EU-Buergern verarbeitet. Verstoesse koennen teuer werden: Bussgelder bis zu 20 Millionen Euro oder 4% des Jahresumsatzes sind moeglich. Realistischer sind Abmahnungen von Wettbewerbern oder Datenschutzbehoerden im vierstelligen Bereich.

Wichtiger als die Bussgelder ist das Vertrauen Ihrer Kunden. Eine professionelle Datenschutz-Umsetzung zeigt, dass Sie die Daten Ihrer Besucher ernst nehmen. Nutzen Sie unseren DSGVO Check fuer eine automatische Pruefung Ihrer Website.

Pruefen Sie Ihre Website anhand dieser 15 Punkte:

Wenn Ihre Website Daten uebertraegt (Kontaktformulare, Login, Bestellungen), ist HTTPS Pflicht. Pruefen Sie: Zeigt Ihr Browser ein Schloss-Symbol in der Adressleiste? Wenn nicht, brauchen Sie ein SSL-Zertifikat. Die meisten Hoster bieten kostenlose Let's Encrypt Zertifikate an.

Ein simpler Hinweis "Diese Website verwendet Cookies" reicht nicht. Sie brauchen:

Die Datenschutzerklaerung muss enthalten: Wer verantwortlich ist (Kontaktdaten), welche Daten Sie erheben, warum Sie sie erheben (Rechtsgrundlage), wie lange Sie sie speichern, an wen Sie sie weitergeben, welche Rechte der Nutzer hat. Sie muss von jeder Seite aus erreichbar sein (im Footer verlinken).

Wenn Sie Google Fonts direkt von Google laden, wird bei jedem Seitenaufruf die IP-Adresse Ihrer Besucher an Google uebertragen. Das ist ohne Einwilligung nicht erlaubt. Loesung: Laden Sie die Fonts herunter und binden Sie sie lokal ein. Das ist auch besser fuer die Performance.

Google Maps laedt Daten von Google bevor der Nutzer zugestimmt hat. Loesungen: Karte erst nach Klick auf "Karte laden" anzeigen, oder Consent im Cookie-Banner abfragen bevor die Karte geladen wird. Eine statische Karte als Bild mit Link zu Google Maps ist die datenschutzfreundlichste Option.

Normale YouTube-Embeds setzen Tracking-Cookies. Alternativen: Verwenden Sie youtube-nocookie.com statt youtube.com. Oder zeigen Sie ein Vorschaubild und laden das Video erst nach Klick. Diese Loesung ist nutzerfreundlicher und datenschutzkonform.

Bei Kontaktformularen muessen Sie:

Google Analytics erfordert Einwilligung im Cookie-Banner. Zusaetzlich: IP-Anonymisierung aktivieren, AV-Vertrag mit Google abschliessen, Aufbewahrungsdauer begrenzen. Datenschutzfreundlichere Alternative: Matomo mit eigenem Hosting, kann unter bestimmten Bedingungen auch ohne Consent genutzt werden.

Fuer Newsletter-Anmeldungen brauchen Sie Double Opt-In: Nach der Anmeldung erhaelt der Nutzer eine E-Mail mit Bestaetigungslink. Erst nach Klick wird er in den Verteiler aufgenommen. Zusaetzlich: Dokumentieren Sie die Einwilligung (Zeitpunkt, IP-Adresse, Version des Formulars).

Sie brauchen AVVs mit: Ihrem Webhoster, E-Mail-Dienstleistern (Newsletter-Tools), Analyse-Tools, Zahlungsabwicklern, Cloud-Diensten. Die meisten grossen Anbieter stellen Standard-AVVs bereit. Pruefen Sie, ob Sie diese abgeschlossen haben.

Das Impressum ist Pflicht nach TMG, nicht DSGVO. Aber bei Pruefungen wird beides angeschaut. Erforderlich: Vollstaendiger Name/Firma, Adresse, E-Mail, Telefon, bei Firmen zusaetzlich Handelsregister und USt-IdNr. Das Impressum muss von jeder Seite mit 2 Klicks erreichbar sein.

Direkte Social-Media-Buttons von Facebook, Twitter etc. uebertragen Daten an diese Netzwerke. Loesungen: Verwenden Sie die Shariff-Loesung (Zwei-Klick-Buttons) oder einfache Links ohne Tracking. Oder verzichten Sie ganz auf Social Buttons, die Klickraten sind ohnehin gering.

Falls Sie eine Kommentarfunktion haben: Checkbox fuer Datenschutzerklaerung hinzufuegen. Bei Gravatar-Bildern werden Daten an Dritte uebertragen (Consent noetig). Ueberlegung: Brauchen Sie die Kommentarfunktion wirklich? Weniger Funktionen bedeuten weniger Datenschutz-Risiken.

Sie muessen Nutzern ermoeglichen: Auskunft ueber gespeicherte Daten zu erhalten, Daten berichtigen oder loeschen zu lassen, der Verarbeitung zu widersprechen, Daten zu exportieren (Datenportabilitaet). Definieren Sie einen Prozess, wie Sie auf solche Anfragen reagieren.

Unternehmen mit mehr als 250 Mitarbeitern oder bei besonders sensiblen Daten muessen ein Verarbeitungsverzeichnis fuehren. Auch fuer kleinere Unternehmen ist es sinnvoll: Dokumentieren Sie welche Daten Sie warum erheben, wie lange speichern, und an wen weitergeben.