Die meisten DSGVO-Checklisten behandeln alles auf einmal: HR-Daten, Lieferantenvertr\u00e4ge, interne Prozesse. Das ist sinnvoll f\u00fcr Compliance-Beauftragte. F\u00fcr Webseitenbetreiber:innen ist es wenig hilfreich.<\/p>\n\n\n\n
Diese DSGVO-Checkliste f\u00fcr Websites ist anders. Sie konzentriert sich ausschlie\u00dflich auf das, was Ihre Website betrifft: Cookies, Tracking-Tools und Ihr Consent-Banner. Gehen Sie die f\u00fcnf Bereiche durch und Sie wissen in 20 Minuten genau, wo Sie stehen.<\/p>\n\n\n\n
Cookie-Banner und Tracking-Tools sind die sichtbarste Schnittstelle zwischen Ihrer Website und dem Datenschutzrecht. Und sie sind der h\u00e4ufigste Angriffspunkt f\u00fcr Aufsichtsbeh\u00f6rden, Verbraucherzentralen und Abmahner:innen.<\/p>\n\n\n\n
Der Grund ist einfach: W\u00e4hrend interne Datenverarbeitungen f\u00fcr Au\u00dfenstehende meist unsichtbar bleiben, l\u00e4sst sich ein fehlerhaftes Cookie-Banner mit einem einzigen Seitenaufruf identifizieren. Datenschutzbeh\u00f6rden wie die deutsche DSK und europ\u00e4ische Pendants wie die spanische AEPD oder die franz\u00f6sische CNIL haben in den vergangenen Jahren gezielt Cookie-Banner-Kampagnen durchgef\u00fchrt und systematisch Bu\u00dfgelder sowie Abmahnungen ausgesprochen.<\/p>\n\n\n\n
Zu den h\u00e4ufigsten festgestellten Verst\u00f6\u00dfen geh\u00f6ren: kein Ablehnen-Button auf erster Ebene, Cookies, die bereits vor der Einwilligung gesetzt werden, fehlende Granularit\u00e4t bei der Einwilligung und eine Datenschutzerkl\u00e4rung, die Drittanbieter-Tools nicht oder unvollst\u00e4ndig benennt.<\/p>\n\n\n\n
Die gute Nachricht: Mit der richtigen DSGVO-Checkliste f\u00fcr Ihre Website lassen sich die h\u00e4ufigsten Fehler schnell identifizieren und beheben.<\/p>\n\n\n\n
Der Cookie-Banner ist meist der erste Kontaktpunkt zwischen Besucher:innen und Ihrer Datenschutzstrategie. Fehler in diesem Bereich geh\u00f6ren zu den h\u00e4ufigsten DSGVO-Verst\u00f6\u00dfen bei Websites.<\/p>\n\n\n\n Neben dem Banner selbst m\u00fcssen Nutzer:innen auch transparent sehen k\u00f6nnen, welche Cookies und Tracking-Technologien eingesetzt werden.<\/p>\n\n\n\n Die Datenschutzerkl\u00e4rung ist das zentrale Dokument f\u00fcr Transparenz auf Ihrer Website. Sie muss alle relevanten Datenverarbeitungen verst\u00e4ndlich erkl\u00e4ren.<\/p>\n\n\n\n Viele DSGVO-Probleme entstehen nicht durch die Website selbst, sondern durch externe Dienste. Analyse-Tools, Marketing-Pixel oder eingebettete Inhalte k\u00f6nnen Daten \u00fcbertragen, bevor Besucher:innen ihre Einwilligung gegeben haben.<\/p>\n\n\n\n Neben der technischen Umsetzung verlangt die DSGVO auch eine nachvollziehbare Dokumentation der Einwilligungen.<\/p>\n\n\n\n Wenn Sie diese Checkliste durchgehen und feststellen, dass mehrere Punkte noch nicht erf\u00fcllt sind, besteht ein konkretes rechtliches Risiko. Nicht in einem abstrakten Sinne, sondern messbar: Verbraucherzentralen und Aufsichtsbeh\u00f6rden pr\u00fcfen Cookie-Banner aktiv und systematisch.<\/p>\n\n\n\n Cookiebot nimmt Ihnen die technisch aufw\u00e4ndigsten Punkte dieser Checkliste ab.<\/p>\n\n\n\n Cookies feuern vor der Einwilligung:<\/strong> Cookiebot blockiert alle nicht notwendigen Skripte automatisch beim Seitenaufruf. Kein Cookie wird gesetzt, bis Nutzer:innen aktiv eingewilligt haben.<\/p>\n\n\n\n Keine granulare Einwilligung:<\/strong> Cookiebot zeigt standardm\u00e4\u00dfig Cookie-Kategorien und erm\u00f6glicht Nutzer:innen eine differenzierte Auswahl.<\/p>\n\n\n\n Veraltete Cookie-Richtlinie:<\/strong> Cookiebot scannt Ihre Website regelm\u00e4\u00dfig und aktualisiert die Deklaration, wenn neue Tracker hinzukommen oder bestehende sich \u00e4ndern.<\/p>\n\n\n\n Keine Consent-Protokollierung:<\/strong> Cookiebot speichert jeden Einwilligungsvorgang mit Zeitstempel, gew\u00e4hlter Version und Auswahl der Nutzer:innen.<\/p>\n\n\n\n Kein automatischer Consent-Ablauf:<\/strong> Cookiebot erinnert Nutzer:innen nach 12 Monaten automatisch daran, ihre Einwilligung zu erneuern.<\/p>\n\n\n Der kostenlose Cookiebot Scanner erkennt automatisch Cookies und Tracking-Technologien auf Ihrer Website und zeigt Ihnen, wo DSGVO-Risiken bestehen.<\/p>\n <\/div>\n <\/div>\n Anforderung<\/strong><\/td> Was das bedeutet<\/strong><\/td><\/tr> Cookie-Banner erscheint, bevor nicht-essentielle Cookies feuern<\/td> Kein einziges Analytics-, Marketing- oder Funktions-Cookie darf geladen werden, bevor Nutzer:innen aktiv eingewilligt haben. Das gilt auch f\u00fcr Skripte, die im Hintergrund laufen.<\/td><\/tr> \u201eAblehnen\"-Button ist genauso prominent wie \u201eAkzeptieren\"<\/td> Gleichwertige visuelle Darstellung ist Pflicht. Ein kleiner grauer \u201eAblehnen\"-Link neben einem gro\u00dfen gr\u00fcnen \u201eAlles akzeptieren\"-Button ist ein Dark Pattern und DSGVO-widrig.<\/td><\/tr> Keine vorausgew\u00e4hlten Consent-Checkboxen<\/td> Pre-ticked Boxes sind nach DSGVO keine wirksame Einwilligung. Alle Kategorien m\u00fcssen standardm\u00e4\u00dfig deaktiviert sein.<\/td><\/tr> Granulare Einwilligung nach Kategorien m\u00f6glich<\/td> Nutzer:innen m\u00fcssen separat in funktionale, Analytics- und Marketing-Cookies einwilligen k\u00f6nnen, nicht nur \u201eAlles oder nichts\".<\/td><\/tr> Einwilligung ist jederzeit widerrufbar<\/td> Der Widerruf muss genauso einfach sein wie die Einwilligung selbst. Ein zug\u00e4nglicher Link im Footer ist eine bew\u00e4hrte L\u00f6sung.<\/td><\/tr> Einwilligungen werden mit Zeitstempel und Auswahl protokolliert<\/td> Ohne Nachweis keine Compliance. Jede Einwilligung muss dokumentiert sein: wer, wann, zu welchen Kategorien.<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n Bereich 2: Cookie-Richtlinie<\/h3>\n\n\n\n
Anforderung<\/strong><\/td> Was das bedeutet<\/strong><\/td><\/tr> Alle Cookies deklariert mit Name, Zweck, Laufzeit und Anbieter<\/td> Jedes Cookie auf Ihrer Website muss aufgelistet sein \u2013 inklusive Drittanbieter-Cookies. Pauschalformulierungen wie \u201ewir verwenden Cookies zu Analysezwecken\" reichen nicht aus.<\/td><\/tr> Die Cookie-Richtlinie ist direkt aus dem Banner verlinkt oder zug\u00e4nglich<\/td> Nutzer:innen m\u00fcssen vor der Einwilligung Zugang zur vollst\u00e4ndigen Cookie-Richtlinie haben. Ein direkter Link im Banner ist Pflicht.<\/td><\/tr> Cookie-Richtlinie aktualisiert sich automatisch bei neuen Trackern<\/td> Jedes Mal, wenn ein neues Tool integriert oder ein Skript ge\u00e4ndert wird, muss die Deklaration angepasst werden. Manuelle Pflege ist fehleranf\u00e4llig \u2013 automatisches Scannen ist der Standard.<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n Bereich 3: Datenschutzerkl\u00e4rung<\/h3>\n\n\n\n
Anforderung<\/strong><\/td> Was das bedeutet<\/strong><\/td><\/tr> Die Datenschutzerkl\u00e4rung beschreibt alle Datenverarbeitungen, inkl. Cookies und Tracking-Tools<\/td> Neben Cookies muss auch jede weitere Datenverarbeitung beschrieben sein.<\/td><\/tr> Alle Drittanbieter-Dienste sind namentlich aufgef\u00fchrt<\/td> Google Analytics, Facebook Pixel, YouTube \u2013 alle eingesetzten Tools m\u00fcssen mit Anbieter, Zweck und Rechtsgrundlage aufgef\u00fchrt sein.<\/td><\/tr> Daten\u00fcbermittlungen in Drittl\u00e4nder (insbesondere USA) sind benannt und rechtlich begr\u00fcndet<\/td> Bei US-Diensten (z. B. Google oder Meta) ist ein Hinweis auf den Datentransfer in Drittl\u00e4nder erforderlich.<\/td><\/tr> Alle Betroffenenrechte (Art. 15\u201322 DSGVO) aufgef\u00fchrt<\/td> Auskunft, Berichtigung, L\u00f6schung, Einschr\u00e4nkung, Daten\u00fcbertragbarkeit, Widerspruch \u2013 und jeweils, wie Nutzer:innen diese Rechte aus\u00fcben k\u00f6nnen.<\/td><\/tr> Kontaktdaten des Verantwortlichen und ggf. des Datenschutzbeauftragten (DSB) angegeben<\/td> Die Kontaktdaten des Verantwortlichen sind Pflicht. Falls ein Datenschutzbeauftragter (DSB) bestellt ist, sollen auch dessen Kontaktdaten erscheinen.<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n Bereich 4: Drittanbieter-Tools & Tracking<\/h3>\n\n\n\n
Anforderung<\/strong><\/td> Was das bedeutet<\/strong><\/td><\/tr> Alle Drittanbieter-Tools bis zur Einwilligung blockiert<\/td> Kein Skript von einem Drittanbieter darf vor der Einwilligung geladen werden. Dies muss technisch sichergestellt sein, nicht nur vertraglich.<\/td><\/tr> Google Analytics ist mit IP-Anonymisierung oder Google Consent Mode v2 konfiguriert<\/td> Ohne Consent Mode v2 oder aktive IP-Anonymisierung ist der Einsatz von Google Analytics in Deutschland rechtlich problematisch. Consent Mode v2 ist der aktuelle Standard.<\/td><\/tr> Facebook Pixel \/ Meta Pixel bis zur Einwilligung blockiert<\/td> Der Meta Pixel darf erst nach expliziter Einwilligung feuern.<\/td><\/tr> YouTube-Einbettungen und Google Maps erfordern eine Einwilligung, bevor sie geladen werden<\/td> Diese Inhalte d\u00fcrfen erst geladen werden, nachdem Besucher ihre Einwilligung gegeben haben. Vorher m\u00fcssen sie blockiert werden, damit keine Daten an Google \u00fcbertragen werden.<\/td><\/tr> Google reCAPTCHA ist blockiert oder an eine Einwilligung gekoppelt<\/td> reCAPTCHA darf erst aktiviert werden, nachdem Besucher:innen ihre Einwilligung gegeben haben. Vorher muss der Dienst blockiert werden, damit keine Daten an Google \u00fcbertragen werden.<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n Bereich 5: Einwilligungs-Protokolle & Dokumentation<\/h3>\n\n\n\n
Anforderung<\/strong><\/td> Was das bedeutet<\/strong><\/td><\/tr> Einwilligungsnachweise werden gespeichert<\/td> F\u00fcr jeden Consent-Vorgang muss protokolliert sein: Nutzer-ID, Zeitstempel und eingewilligte Kategorien<\/td><\/tr> Einwilligung l\u00e4uft nach 12 Monaten ab und wird neu angefordert<\/td> Einwilligungen sind nicht unbegrenzt g\u00fcltig. Nach sp\u00e4testens 12 Monaten m\u00fcssen Nutzer:innen erneut gefragt werden.<\/td><\/tr> Nachweise sind f\u00fcr eine m\u00f6gliche Pr\u00fcfung durch die Aufsichtsbeh\u00f6rde verf\u00fcgbar<\/td> Im Fall einer Pr\u00fcfung durch eine deutsche Datenschutzbeh\u00f6rde m\u00fcssen Sie Ihre Consent-Dokumentation unverz\u00fcglich vorlegen k\u00f6nnen.<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n Die h\u00e4ufigsten Fehler in der Checkliste und wie Cookiebot sie behebt<\/h2>\n\n\n\n
\n Pr\u00fcfen Sie Ihre Website mit der DSGVO-Checkliste <\/h2>\n