Datenschutz auf der Website: Die 7 Pflicht‑Bausteine für 2025

Warum Website-Datenschutz so wichtig ist

Datenschutz auf der Website schützt nicht nur Besucherinnen und Besucher, sondern auch Ihr Unternehmen: Er erhöht Vertrauen, reduziert rechtliche Risiken und verbessert die Datenqualität für Marketing und Produktentwicklung.

Die Datenschutz-Grundverordnung (DSGVO) bildet den Rahmen. Besonders relevant sind u. a. die Grundsätze aus

• Art. 5 DSGVO (z. B. Zweckbindung und Datenminimierung),
• die Rechtsgrundlagen aus Art. 6 DSGVO,
• die Informationspflichten aus Art. 13/14 DSGVO,
• „Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen“ aus Art. 25 DSGVO,
• die Dokumentationspflichten (u. a. Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 DSGVO),
• die Sicherheit der Verarbeitung (Art. 32 DSGVO),
• die Datenschutz-Folgenabschätzung bei hohen Risiken (Art. 35 DSGVO)
• sowie Regeln zu Drittlandübermittlungen (Kapitel V DSGVO).

Bei Verstößen drohen je nach Schwere Bußgelder von bis zu 20 Mio. € oder 4 % des weltweiten Jahresumsatzes – zusätzlich zu Reputationsschäden und Aufwänden durch Beschwerden oder Prüfungen.

Die 7 zentralen Aspekte – was Sie prüfen, worauf Sie achten und wie „Best Practice“ aussieht

1) Transparenz & Rechtsgrundlagen

Was müssen sich Unternehmen anschauen?

Prüfen Sie Ihre Datenschutzerklärung und Cookie-Hinweise darauf, ob alle eingesetzten Dienste (z. B. Analyse-Tool oder Chat-Widget) mit Zweck, Rechtsgrundlage, Empfängern, Speicherdauer und möglichen Drittlandübermittlungen aufgeführt sind. Nennen Sie den Verantwortlichen, eine Kontaktadresse und die oder den Datenschutzbeauftragten.

Worauf müssen Sie achten?

Achten Sie darauf, dass die Beschreibung in der Datenschutzerklärung technisch zutrifft; was dort steht (etwa IP-Anonymisierung), muss wirklich so konfiguriert sein. Schreiben Sie klar und verständlich, damit Nutzerinnen und Nutzer nachvollziehen können, was mit ihren Daten passiert.

Was ist Best Practice?

Führen Sie intern ein aktuelles Data Inventory (Liste aller Tools und Datenflüsse) und erzeugen Sie daraus Ihre Datenschutzerklärung mit „zuletzt aktualisiert“ und kurzem Änderungslog. Ergänzen Sie an sensiblen Stellen Mikro-Transparenz, z. B. direkt am Formular eine kurze Erklärung, warum ein Feld benötigt wird.

2) Einwilligungen (Consent) & Tracking

Was müssen sich Unternehmen anschauen?

Überprüfen Sie Ihr Einwilligungs-Banner (Consent Management Platform, kurz CMP), die Textbausteine, die Kategorien der Cookies (z. B. Statistik, Marketing) und ob nicht notwendige Skripte wirklich blockiert sind, bis eine Einwilligung vorliegt. Stellen Sie sicher, dass ein Consent-Protokoll (Nachweis der Zustimmung mit Zeitstempel) existiert.

Worauf müssen Sie achten?

Stellen Sie gleichwertige Auswahlmöglichkeiten bereit („Alle akzeptieren“ und „Alle ablehnen“) und ermöglichen Sie einen Widerruf der Einwilligung jederzeit über einen Footer-Link wie „Cookie-Einstellungen“. Laden Sie keine Analyse- oder Marketing-Tags, bevor die Einwilligung erteilt wurde (kein „Pre-Tracking“).

Was ist Best Practice?

Bieten Sie klare, granulare Kategorien mit kurzen Zweckbeschreibungen an und nutzen Sie Consent Mode (Messung mit stark reduzierten Daten) oder serverseitiges Tagging (Ausführung von Tags auf dem Server statt im Browser), um Datenminimierung zu erreichen. Testen Sie quartalsweise stichprobenartig Seiten und Pop-ups, damit die Blockade wirklich greift.

3) Formulare, Newsletter & Kommunikation

Was müssen sich Unternehmen anschauen?

Sehen Sie sich alle Kontakt-, Angebots- und Bewerbungsformulare sowie Chat- und Support-Widgets an und prüfen Sie bei Newsletter-Anmeldungen, ob Double-Opt-In (zweistufige Bestätigung per E-Mail) lückenlos funktioniert.

Worauf müssen Sie achten?

Reduzieren Sie Felder auf das Notwendige (Datenminimierung) und trennen Sie Zwecke sauber: Eine Kontaktanfrage ist nicht automatisch eine Werbeeinwilligung. Legen Sie Aufbewahrungsfristen fest und setzen Sie diese technisch um – etwa durch automatische Löschläufe.

Was ist Best Practice?

Formulieren Sie Checkbox-Texte eindeutig („Ich möchte den Newsletter erhalten“) und nutzen Sie Captchas (Prüfverfahren gegen Bots) oder serverseitige Prüfungen. Richten Sie automatisierte Löschläufe ein, die regelmäßig Formulareinträge, Uploads oder Chat-Protokolle entfernen.

4) Eingebettete Drittinhalte & Mess-Tools

Was müssen sich Unternehmen anschauen?

Listen Sie eingebettete Inhalte wie YouTube-Videos, Karten, Podcast-Player, Social-Plugins und Web-Schriftarten sowie Mess-Tools wie A/B-Testing, Heatmaps (Sitzungsaufzeichnungen) und Fehler-/Performance-Monitoring auf.

Worauf müssen Sie achten?

Blocken Sie jede Einbindung, die Personen verfolgt, solange keine Einwilligung vorliegt, und prüfen Sie bei Social-Plugins eine möglicherweise vorliegende gemeinsame Verantwortlichkeit (gemeinsame datenschutzrechtliche Verantwortung). Maskieren Sie sensible Felder bei Session-Recording und kürzen Sie IP-Adressen, damit keine Klardaten aufgezeichnet werden.

Was ist Best Practice?

Nutzen Sie Zwei-Klick-Lösungen (Inhalte werden erst nach Zustimmung geladen) oder datensparsame Einbindungsvarianten und binden Sie, wo möglich, Schriftarten und Skripte lokal ein. Reduzieren Sie die Erfassung auf erforderliche Mess-Events und aktivieren Sie Sicherheits-Header wie Content-Security-Policy, Referrer-Policy und X-Frame-Options zum Schutz vor unerwünschten Datenabflüssen und Einbettungen.

5) Betrieb & Infrastruktur

Was müssen sich Unternehmen anschauen?

Prüfen Sie Hosting, Content Delivery Network (CDN), DDoS-Schutz (Abwehr von Überlastungsangriffen), Server- und Proxy-Logs sowie das Content-Management-System (CMS), dessen Plugins und Ihre Backup- sowie Test-/Staging-Umgebungen.

Worauf müssen Sie achten?

Schließen Sie die erforderlichen Auftragsverarbeitungsverträge (AVV) mit allen Dienstleistern, dokumentieren Sie Standorte und Unterauftragnehmer und definieren Sie, welche Log-Daten (z. B. IP-Adresse, Zeitstempel) wie lange gespeichert werden. Verwenden Sie in Testsystemen keine Produktivdaten oder anonymisieren Sie diese konsequent.

Was ist Best Practice?

Erstellen Sie für jeden Anbieter ein kurzes Supplier-Fact-Sheet (Datenarten, Zweck, Speicherort, Rechtsgrundlage) und halten Sie Log-Daten nur kurz im Rohzustand vor, bevor Sie sie anonymisieren oder aggregieren. Nutzen Sie bei internationalen Datentransfers geeignete Absicherungen wie Standardvertragsklauseln (SCCs) und prüfen Sie mit einem Transfer Impact Assessment (TIA) (Risikoanalyse bei Drittstaaten) mögliche Risiken.

6) Sicherheit (technische und organisatorische Maßnahmen) & Privacy by Design/Default

Was müssen sich Unternehmen anschauen?

Überprüfen Sie Transportverschlüsselung wie TLS (Transport Layer Security; sichert Daten beim Übertragen) idealerweise mit HSTS (HTTP Strict Transport Security; erzwingt HTTPS), Passwortregeln, Mehr-Faktor-Anmeldung (MFA), Rollen- und Rechtekonzepte (RBAC, Role-Based Access Control) sowie den Umgang mit geheimen Daten wie API-Schlüsseln (Secret-Management).

Worauf müssen Sie achten?

Sichern Sie Administrator-Zugänge mit Mehr-Faktor-Anmeldung und gewähren Sie nur die unbedingt erforderlichen Rechte („Least Privilege“), vermeiden Sie Klartext sensibler Daten in Logs und halten Sie einen Incident-Response-Plan bereit (vordefinierte Schritte bei Sicherheitsvorfällen). Führen Sie Patch-Management, Schwachstellen-Scans und – je nach Risiko – Penetrationstests (geplante Angriffe zur Prüfung) durch.

Was ist Best Practice?

Hinterlegen Sie eine Security-Baseline als Code (z. B. Standard-CSP und Header-Vorlagen), führen Sie halbjährlich Übungen wie Phishing-Simulationen durch und dokumentieren Sie die Ergebnisse. Setzen Sie Privacy by Default konsequent um: Tracking ist standardmäßig deaktiviert, bis eine Einwilligung vorliegt; Export- und Löschfunktionen sind direkt für Nutzende zugänglich.

7) Governance, Nachweise & Betroffenenrechte

Was müssen sich Unternehmen anschauen?

Pflegen Sie Ihr Verzeichnis von Verarbeitungstätigkeiten (VVT), Ihre Auftragsverarbeitungsverträge (AVV) und – falls nötig – Vereinbarungen zur gemeinsamen Verantwortlichkeit. Prüfen Sie, ob eine Datenschutz-Folgenabschätzung (DSFA) (Bewertung hoher Risiken) erforderlich ist und stellen Sie einen leicht zugänglichen Kanal für Betroffenenrechte bereit (Auskunft, Löschung, Widerspruch).

Worauf müssen Sie achten?

Sorgen Sie für Nachweisfähigkeit mit Consent-Protokollen, versionierten Richtlinien und einem Audit-Trail (Nachverfolgung von Änderungen). Denken Sie bei Ihrem Löschkonzept auch an Backups und Wiederherstellungen und schulen Sie regelmäßig Web-, Marketing- und Support-Teams.

Was ist Best Practice?

Halten Sie eine zentrale Evidenz-Map bereit, die zeigt, wo welcher Nachweis liegt, und bieten Sie Self-Service-Funktionen an (Profil löschen/exportieren, Cookie-Einstellungen im Footer). Führen Sie quartalsweise ein kleines Audit mit Stichproben durch und dokumentieren Sie die Ergebnisse, damit Sie bei Prüfungen „records-ready“ sind.

FAQ (für schnelle Antworten)

Brauche ich immer ein Cookie-Banner? Nein, nur wenn Sie nicht notwendige Cookies/Tracker einsetzen; notwendige Cookies (z. B. für den Warenkorb) brauchen kein Banner, sollten aber dennoch in der Datenschutzerklärung aufgeführt werden.

Darf ich Web-Schriftarten über ein CDN laden? Möglich, aber prüfen Sie Datenflüsse und Einwilligungen; oft ist die lokale Einbindung datenschutzfreundlicher.

Wann ist eine Datenschutz-Folgenabschätzung nötig? Wenn die Verarbeitung voraussichtlich ein hohes Risiko für Rechte und Freiheiten mit sich bringt, z. B. bei umfangreichem Tracking/Profiling oder sensiblen Daten.

Wie lange darf ich Server-Logs speichern? So kurz wie möglich; definieren Sie eine Frist (z. B. einige Tage bis wenige Wochen), anonymisieren/aggregieren Sie danach und begründen Sie die Dauer im Rahmen von Sicherheit und Fehlersuche.