DSGVO Checkliste Website: 15 Pflichtpunkte
DSGVO Checkliste Website: Die 15 Pflichtpunkte für eine konforme Website
Ist Ihre Website DSGVO konform? Die Antwort auf diese Frage erfordert mehr als eine oberflächliche Einschätzung. Zwischen Cookie-Bannern, Drittanbieter-Skripten, Formularen, Rechtstexten und Sicherheits-Headern gibt es zahlreiche technische und rechtliche Prüfpunkte. Die deutschen Datenschutzaufsichtsbehörden haben 2025 insgesamt 249 Bußgelder mit einer Gesamthöhe von rund 46,9 Millionen Euro verhängt (Quelle: DSGVO-Portal). Europaweit summierten sich die Strafen auf über 1,1 Milliarden Euro.
Diese DSGVO Checkliste für Websites enthält die 15 konkreten Pflichtpunkte, die jedes Unternehmen prüfen muss. Jeder dieser Punkte wird automatisiert von Complio geprüft, dem DSGVO-Audit-Tool von DPLIANCE.
Cookie-Banner und Einwilligung (Punkte 1 bis 5)
Cookies und Tracking-Technologien sind der häufigste Grund für Bußgelder. Das TDDDG (Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz, seit Mai 2024 Nachfolger des TTDSG) und die DSGVO bilden den rechtlichen Rahmen. Die Einwilligungsverwaltungsverordnung (EinwV), die im April 2025 in Kraft getreten ist, ergänzt diese Regelungen um Anforderungen an Consent-Management-Dienste (Quelle: e-Recht24).
1. Vorhandensein eines Cookie-Banners (CMP)
Pflicht: Jede Website, die nicht-essenzielle Cookies oder ähnliche Tracking-Technologien einsetzt, muss die Einwilligung des Nutzers vor dem Setzen dieser Cookies einholen. Das erfordert einen Cookie-Banner, auch CMP (Consent Management Platform) genannt.
Was die Aufsichtsbehörde prüft: Wird beim ersten Seitenaufruf ein Cookie-Banner angezeigt, bevor der Nutzer navigiert? Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat bei großflächigen automatisierten Prüfungen gezielt nach diesem Punkt geschaut.
Was Complio macht: Das multimodale KI-Modell Pixtral (Mistral) analysiert visuell jede gecrawlte Seite und erkennt, ob ein Cookie-Banner angezeigt wird, genau wie ein Prüfer der Aufsichtsbehörde es sehen würde.
2. Gleichwertiger „Ablehnen”-Button
Pflicht: Der Nutzer muss Cookies genauso einfach ablehnen können wie akzeptieren. Ein grauer Textlink „Ablehnen” neben einem grünen Button „Alle akzeptieren” ist nicht rechtskonform. Die deutschen Aufsichtsbehörden und der Europäische Datenschutzausschuss (EDSA) betrachten dies als Dark Pattern.
Was die Aufsichtsbehörde prüft: Die visuelle und funktionale Gleichwertigkeit der Akzeptieren- und Ablehnen-Optionen. Ein Bußgeld von 30.000 Euro wurde verhängt, weil der Ablehnen-Button weniger auffällig war als der Akzeptieren-Button (Quelle: Ascon Datenschutz).
Was Complio macht: Die visuelle KI-Analyse durch Pixtral bewertet die Gleichwertigkeit der Buttons, einschließlich Farbe, Größe, Position und Auffälligkeit.
3. Keine nicht-essenziellen Cookies vor Einwilligung
Pflicht: Kein Cookie mit analytischem, werblichem oder Marketing-Zweck darf vor der aktiven Einwilligung des Nutzers gesetzt werden. Das ist der zentrale Grundsatz des § 25 TDDDG und der DSGVO. Vorab angekreuzte Kästchen gelten nach dem EuGH-Urteil „Planet49” nicht als gültige Einwilligung.
Was die Aufsichtsbehörde prüft: Die Aufsichtsbehörden laden Websites mit automatisierten Tools und zeichnen auf, welche Cookies vor jeder Nutzerinteraktion gesetzt werden. Werden nicht-essenzielle Cookies gefunden, ist der Verstoß dokumentiert.
Was Complio macht: Complio erfasst alle Cookies beim ersten Seitenaufruf, bevor mit dem Cookie-Banner interagiert wird. Nicht-essenzielle Cookies, die zu diesem Zeitpunkt bereits gesetzt sind, werden als Verstoß markiert.
4. Technische Umsetzung des Ablehnens
Pflicht: Wenn der Nutzer auf „Ablehnen” klickt oder den Banner ohne Interaktion schließt, dürfen keine nicht-essenziellen Cookies gesetzt werden. Die Einwilligung des Nutzers muss technisch umgesetzt werden, nicht nur visuell dargestellt.
Was die Aufsichtsbehörde prüft: Ob die Wahl des Nutzers tatsächlich respektiert wird. Websites, die trotz Ablehnung Tracking-Cookies setzen, verstoßen gegen das Grundprinzip der Einwilligung.
Was Complio macht: Complio vergleicht die Cookies vor und nach der Einwilligung. Werden nach dem ersten Laden der Seite (ohne Einwilligung) bereits Tracker gesetzt, ist das ein klarer Befund.
5. Klare Information über Cookie-Zwecke
Pflicht: Der Cookie-Banner muss klar und verständlich über die Zwecke der Datenverarbeitung informieren: Webanalyse, Werbung, Personalisierung, Social Media. Der Nutzer muss seine Einwilligung pro Zweck erteilen können (Granularität).
Was die Aufsichtsbehörde prüft: Sind die Zwecke verständlich benannt? Kann der Nutzer einzelne Zwecke an- oder abwählen? Oder gibt es nur „Alle akzeptieren” oder „Alle ablehnen”?
Was Complio macht: Die KI-Analyse des Banners prüft, ob Zweckinformationen vorhanden und verständlich sind.
Drittanbieter-Skripte und Datentransfers (Punkte 6 bis 8)
Jedes Drittanbieter-Skript auf Ihrer Website ist ein potenzieller Datentransfer. Seit dem Schrems-II-Urteil des EuGH und der darauf aufbauenden Spruchpraxis der Aufsichtsbehörden ist die Kontrolle dieser Transfers unverzichtbar.
6. Inventar aller Drittanbieter-Skripte
Pflicht: Der Verantwortliche muss wissen, welche Drittanbieter-Skripte auf seiner Website geladen werden und welche Daten sie verarbeiten (Artikel 28 DSGVO, Auftragsverarbeitung). Google Analytics, Facebook Pixel, Hotjar, Google Fonts, YouTube-Embeds, Chat-Widgets: Jedes dieser Tools ist ein Auftragsverarbeiter, der im Verarbeitungsverzeichnis dokumentiert werden muss.
Was die Aufsichtsbehörde prüft: Ob die tatsächlich geladenen Skripte mit den in der Datenschutzerklärung und im Verarbeitungsverzeichnis dokumentierten Diensten übereinstimmen.
Was Complio macht: Complio identifiziert jedes Drittanbieter-Skript, das auf den gecrawlten Seiten geladen wird, mit Domain, Anbieter und potenzieller Datenkategorie.
7. Keine Datentransfers in Drittländer ohne Rechtsgrundlage
Pflicht: Kapitel V DSGVO (Artikel 44-49) regelt Datenübermittlungen an Empfänger in Drittländern. Ohne Angemessenheitsbeschluss der EU-Kommission (z. B. EU-US Data Privacy Framework), Standardvertragsklauseln (SCC) oder eine andere Rechtsgrundlage ist der Transfer rechtswidrig.
Was die Aufsichtsbehörde prüft: Ob Daten an Server außerhalb der EU übermittelt werden und ob dafür eine gültige Rechtsgrundlage vorliegt. Die Hamburger Datenschutzbehörde hat sich besonders intensiv mit Datentransfers in die USA beschäftigt.
Was Complio macht: Für jedes identifizierte Drittanbieter-Skript ermittelt Complio den Serverstandort und markiert potenzielle Drittlandtransfers.
8. Cookie-Klassifizierung und Dokumentation
Pflicht: Jeder Cookie muss dokumentiert werden: Name, Anbieter, Zweck, Speicherdauer, First-Party oder Third-Party. Diese Information muss in der Cookie-Richtlinie und im Cookie-Banner zugänglich sein.
Was die Aufsichtsbehörde prüft: Ob die Cookie-Liste in der Cookie-Richtlinie mit den tatsächlich gesetzten Cookies übereinstimmt. Fehlende oder veraltete Cookie-Dokumentation ist ein häufiger Mangel.
Was Complio macht: Alle erkannten Cookies werden über die Open Cookie Database automatisch klassifiziert: Name, Anbieter, Zweck (essenziell, analytisch, Marketing, funktional), Speicherdauer. Unbekannte Cookies werden zur manuellen Prüfung markiert.
Formulare und Datenerhebung (Punkte 9 und 10)
9. Datenschutzhinweis bei jedem Formular
Pflicht: Artikel 13 DSGVO verlangt, dass der Betroffene zum Zeitpunkt der Erhebung seiner Daten informiert wird. Bei jedem Kontaktformular, Newsletter-Anmeldeformular, Registrierungsformular und Angebotsanfrage muss eine Datenschutzinformation vorhanden sein: Verantwortlicher, Zweck, Rechtsgrundlage, Speicherdauer, Empfänger, Betroffenenrechte.
Was die Aufsichtsbehörde prüft: Ob bei Formularen ein Hinweis zur Datenverarbeitung vorhanden ist, der die Pflichtangaben nach Artikel 13 DSGVO enthält, oder ob ein deutlich sichtbarer Link zur Datenschutzerklärung vorhanden ist.
Was Complio macht: Complio erkennt Formulare auf den gecrawlten Seiten, analysiert die erhobenen Datenfelder und prüft, ob eine konforme Datenschutzinformation in der Nähe des Formulars vorhanden ist.
10. Datenminimierung bei Formularen
Pflicht: Artikel 5 Abs. 1 lit. c DSGVO schreibt vor, dass nur die Daten erhoben werden dürfen, die für den jeweiligen Zweck erforderlich sind (Grundsatz der Datenminimierung). Ein Kontaktformular, das neben Name und E-Mail auch Geburtsdatum, Beruf und Familienstand abfragt, verstößt gegen diesen Grundsatz.
Was die Aufsichtsbehörde prüft: Ob die Anzahl und Art der erhobenen Daten im Verhältnis zum angegebenen Zweck stehen. Übermäßige Datenerhebung ist ein eigenständiger Verstoß.
Was Complio macht: Die KI analysiert die Formularfelder im Kontext des erkennbaren Zwecks (Kontaktaufnahme, Newsletter, Angebotsanfrage) und bewertet die Verhältnismäßigkeit der erhobenen Daten.
Rechtstexte (Punkte 11 bis 13)
11. Datenschutzerklärung mit allen Pflichtangaben
Pflicht: Die Datenschutzerklärung muss die neun Pflichtangaben nach Artikel 13 und 14 DSGVO enthalten:
- Identität und Kontaktdaten des Verantwortlichen
- Kontaktdaten des Datenschutzbeauftragten (falls bestellt)
- Zwecke und Rechtsgrundlagen der Verarbeitung
- Berechtigte Interessen (bei Rechtsgrundlage Art. 6 Abs. 1 lit. f)
- Empfänger oder Kategorien von Empfängern
- Übermittlungen an Drittländer und Garantien
- Speicherdauer oder Kriterien für deren Festlegung
- Betroffenenrechte (Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch)
- Beschwerderecht bei einer Aufsichtsbehörde
Die Datenschutzerklärung muss von jeder Seite der Website aus erreichbar sein, typischerweise über einen Footer-Link.
Was Complio macht: Complio prüft die Existenz und Erreichbarkeit der Datenschutzerklärung über die üblichen Footer-Links.
12. Impressum
Pflicht: § 5 Digitale-Dienste-Gesetz (DDG, Nachfolger des TMG) schreibt für jede geschäftsmäßige Website ein Impressum vor mit: vollständigem Namen/Firma, Anschrift, E-Mail-Adresse, Telefonnummer, Handelsregister und Registernummer, Umsatzsteuer-Identifikationsnummer. Verstöße können mit Bußgeldern bis zu 50.000 Euro geahndet werden und sind zudem abmahnfähig.
Was Complio macht: Complio prüft die Existenz und Erreichbarkeit der Impressumsseite.
13. Cookie-Richtlinie
Pflicht: Eine separate Cookie-Richtlinie (oder ein entsprechender Abschnitt in der Datenschutzerklärung) muss alle verwendeten Cookies dokumentieren: Name, Anbieter, Zweck, Speicherdauer, Kategorie. Der Cookie-Banner muss auf diese Richtlinie verlinken.
Was Complio macht: Complio prüft die Existenz der Cookie-Richtlinie und deren Erreichbarkeit über den Cookie-Banner und Footer-Links.
Technische Sicherheit (Punkte 14 und 15)
14. HTTPS-Verschlüsselung und HSTS
Pflicht: Artikel 32 DSGVO verlangt „geeignete technische Maßnahmen” zum Schutz personenbezogener Daten. HTTPS-Verschlüsselung ist der absolute Mindeststandard. HSTS (HTTP Strict Transport Security) verhindert, dass Verbindungen versehentlich über unverschlüsseltes HTTP aufgebaut werden.
Die deutschen Aufsichtsbehörden betrachten fehlende Verschlüsselung als Verstoß gegen Artikel 32 DSGVO. Das Bußgeld gegen Vodafone in Höhe von 30 Millionen Euro bezog sich unter anderem auf IT-Sicherheitsmängel (Quelle: Heuking).
Was Complio macht: Complio prüft HTTPS-Verschlüsselung, HSTS-Header und die korrekte Weiterleitung von HTTP auf HTTPS.
15. Sicherheits-Header und Cookie-Attribute
Pflicht: Über HTTPS hinaus empfehlen die Aufsichtsbehörden und das BSI (Bundesamt für Sicherheit in der Informationstechnik) weitere Sicherheits-Header:
- Content-Security-Policy (CSP): Schützt vor Cross-Site-Scripting (XSS)
- X-Frame-Options: Verhindert Clickjacking
- X-Content-Type-Options: Verhindert MIME-Type-Sniffing
- Referrer-Policy: Kontrolliert die Weitergabe von Referrer-Informationen
Zusätzlich sollten Cookies die Attribute HttpOnly (kein JavaScript-Zugriff), Secure (nur über HTTPS) und SameSite (Schutz vor Cross-Site-Request-Forgery) tragen.
Was Complio macht: Complio analysiert die HTTP-Response-Header und die Cookie-Attribute und meldet fehlende Sicherheitsmaßnahmen.
DSGVO Checkliste: Zusammenfassung
| Nr. | Prüfpunkt | Rechtsgrundlage | Von Complio geprüft |
|---|---|---|---|
| 1 | Cookie-Banner vorhanden | § 25 TDDDG, DSGVO | Ja (Pixtral Vision) |
| 2 | Gleichwertiger Ablehnen-Button | DSGVO, EDSA-Leitlinien | Ja (Pixtral Vision) |
| 3 | Keine Cookies vor Einwilligung | § 25 TDDDG, DSGVO | Ja (Cookie-Scan) |
| 4 | Technische Umsetzung Ablehnung | § 25 TDDDG, DSGVO | Ja (Cookie-Scan) |
| 5 | Klare Zweckinformation | Art. 13 DSGVO, TDDDG | Ja (KI-Analyse) |
| 6 | Drittanbieter-Skript-Inventar | Art. 28 DSGVO | Ja (Skript-Scan) |
| 7 | Kein Drittlandtransfer ohne Basis | Art. 44-49 DSGVO | Ja (Server-Analyse) |
| 8 | Cookie-Klassifizierung | DSGVO, TDDDG | Ja (Open Cookie DB) |
| 9 | Datenschutzhinweis bei Formularen | Art. 13 DSGVO | Ja (Formular-Scan) |
| 10 | Datenminimierung | Art. 5 Abs. 1 lit. c DSGVO | Ja (KI-Analyse) |
| 11 | Datenschutzerklärung | Art. 13, 14 DSGVO | Ja (Link-Prüfung) |
| 12 | Impressum | § 5 DDG | Ja (Link-Prüfung) |
| 13 | Cookie-Richtlinie | DSGVO, TDDDG | Ja (Link-Prüfung) |
| 14 | HTTPS und HSTS | Art. 32 DSGVO | Ja (Header-Analyse) |
| 15 | Sicherheits-Header | Art. 32 DSGVO, BSI | Ja (Header-Analyse) |
Wie Sie diese Checkliste automatisiert abarbeiten
Sie können jeden der 15 Punkte manuell prüfen. Das erfordert technisches Know-how (Browser-Entwicklertools, HTTP-Header-Analyse, Cookie-Inspektion) und juristisches Wissen (DSGVO-Anforderungen, TDDDG, Spruchpraxis der Aufsichtsbehörden). Alternativ können Sie eine Datenschutzberatung beauftragen, die diese Prüfung für 3.000 bis 15.000 Euro durchführt.
Oder Sie verwenden Complio. Für 89 Euro netto prüft das automatisierte DSGVO-Audit-Tool alle 15 Punkte dieser Checkliste in etwa 10 Minuten. Das Ergebnis: Ein PDF-Bericht mit Compliance-Score (0-100), detaillierten Ergebnissen pro Prüfbereich und konkreten Handlungsempfehlungen.
Der Ablauf mit Complio
- URL eingeben auf der Complio-Seite
- Zahlung (89 € netto, einmalig, über Mollie)
- Automatischer Audit (ca. 10 Minuten)
- PDF-Bericht per E-Mail mit Score und Empfehlungen
- Maßnahmen umsetzen anhand der priorisierten Empfehlungen
- Erneut prüfen nach der Umsetzung
Häufig gestellte Fragen zur DSGVO Checkliste Website
Gilt diese Checkliste nur für deutsche Websites?
Die DSGVO gilt für alle Unternehmen, die personenbezogene Daten von Personen in der EU verarbeiten, unabhängig vom Sitz des Unternehmens (Artikel 3 DSGVO, Marktortprinzip). Die Punkte 1-10 und 11, 13-15 gelten europaweit. Punkt 12 (Impressum nach § 5 DDG) ist eine spezifisch deutsche Anforderung, allerdings haben die meisten EU-Länder vergleichbare Impressumspflichten. Das TDDDG (Punkte 1-5, 8) ist deutsches Recht, basiert aber auf der ePrivacy-Richtlinie, die in allen EU-Staaten umgesetzt ist.
Muss ich alle 15 Punkte erfüllen, auch wenn meine Website nur ein einfaches Kontaktformular hat?
Ja, mit Abstufungen. Auch eine einfache Website mit einem Kontaktformular erhebt personenbezogene Daten und benötigt: Impressum, Datenschutzerklärung, HTTPS-Verschlüsselung und einen Datenschutzhinweis beim Formular. Wenn die Website keine nicht-essenziellen Cookies setzt (kein Analytics, keine Werbung), entfallen die Punkte zum Cookie-Banner (1-5, 8, 13). Aber Vorsicht: Viele „einfache” Websites laden über eingebettete YouTube-Videos, Google Maps oder Google Fonts unbemerkt Drittanbieter-Skripte und Cookies.
Was passiert, wenn meine Website bei mehreren Punkten durchfällt?
Jeder einzelne Verstoß kann Gegenstand einer Beschwerde oder einer Prüfung durch die Aufsichtsbehörde sein. In der Praxis ahnden die Behörden mehrere Verstöße kumulativ, was zu höheren Bußgeldern führt. Artikel 83 Abs. 2 DSGVO berücksichtigt „Art, Schwere und Dauer des Verstoßes” bei der Bußgeldbemessung. Mehrere gleichzeitige Verstöße deuten auf systematische Mängel hin und werden entsprechend strenger bewertet. Die BfDI-Strafe gegen Vodafone (45 Mio. Euro) umfasste mehrere Verstöße gleichzeitig.
Wie oft muss ich die DSGVO Checkliste für meine Website durchgehen?
Die DSGVO kennt keine feste Prüffrequenz. Artikel 24 DSGVO verlangt, dass der Verantwortliche „die Wirksamkeit der Maßnahmen regelmäßig überprüft und aktualisiert”. Die deutschen Aufsichtsbehörden empfehlen mindestens eine jährliche Überprüfung. Bei Complio empfehlen wir einen vierteljährlichen Check sowie einen anlassbezogenen Audit nach jeder wesentlichen Website-Änderung.
Was ist der Unterschied zwischen DSGVO und TDDDG in Bezug auf Cookies?
Die DSGVO regelt die Verarbeitung personenbezogener Daten allgemein. Das TDDDG (§ 25) regelt spezifisch den Zugriff auf Endeinrichtungen (Cookies, Fingerprinting, Local Storage). Die Einwilligungspflicht für nicht-essenzielle Cookies ergibt sich primär aus § 25 TDDDG, der die ePrivacy-Richtlinie umsetzt. Die DSGVO kommt zusätzlich zur Anwendung, wenn über Cookies personenbezogene Daten verarbeitet werden. Verstöße gegen § 25 TDDDG können mit Bußgeldern bis zu 300.000 Euro geahndet werden. Verstöße gegen die DSGVO mit bis zu 20 Millionen Euro oder 4 % des Jahresumsatzes.
Nächster Schritt: Ihre Website jetzt prüfen
Sie haben die 15 Pflichtpunkte. Jetzt brauchen Sie die Ergebnisse. Starten Sie Ihren automatisierten DSGVO-Audit mit Complio: 89 Euro, 10 Minuten, PDF-Bericht mit Compliance-Score und konkreten Handlungsempfehlungen. Alle 15 Punkte dieser Checkliste, automatisiert geprüft.