← PageScore
Website Datenschutz-Check
DSGVO-konform in 2026: Cookies, Consent-Management, Tracking-Scripts und Drittanbieter-Dienste richtig einsetzen. Der komplette Datenschutz-Leitfaden für Websites.
Warum ist Datenschutz für Websites so wichtig?
Seit der Einführung der DSGVO (Datenschutz-Grundverordnung) im Mai 2018 gelten strenge Regeln für die Verarbeitung personenbezogener Daten in Europa. Verstöße können Bußgelder von bis zu 20 Millionen Euro oder 4% des weltweiten Jahresumsatzes nach sich ziehen.
Doch Datenschutz ist nicht nur eine rechtliche Pflicht — er ist auch ein Vertrauenssignal für deine Nutzer und kann sich positiv auf die Conversion-Rate auswirken. Websites, die transparent mit Daten umgehen, genießen mehr Vertrauen.
Cookies und Consent-Management
Der wichtigste Grundsatz: Technisch nicht notwendige Cookies dürfen erst nach ausdrücklicher Einwilligung des Nutzers gesetzt werden. Das bedeutet:
- Cookie-Banner ist Pflicht: Jede Website, die nicht-essentielle Cookies verwendet, braucht einen Consent-Dialog.
- Opt-In, nicht Opt-Out: Checkboxen dürfen nicht vorausgewählt sein. Der Nutzer muss aktiv zustimmen.
- Ablehnen muss gleichberechtigt sein: Der „Ablehnen"-Button muss genauso einfach erreichbar sein wie „Akzeptieren". Kein Verstecken in Untermenüs oder kleinere Darstellung.
- Granulare Kontrolle: Nutzer müssen einzelne Cookie-Kategorien ablehnen können (z.B. Marketing, Statistik, Funktional).
- Einwilligung dokumentieren: Die Einwilligung muss nachweisbar gespeichert werden (Zeitpunkt, Umfang, Version der Datenschutzerklärung).
Empfohlene Consent-Management-Plattformen
Es gibt verschiedene CMP-Anbieter, die TCF 2.2-kompatibel sind und die Implementierung vereinfachen:
- Cookiebot: Weit verbreitet, automatischer Cookie-Scan, EU-Server.
- Usercentrics: Deutsches Unternehmen, sehr DSGVO-fokussiert.
- Klaro: Open-Source-Alternative, selbst gehostet, volle Kontrolle.
- Cookie Notice (WordPress): Einfache Lösung für WordPress-Websites.
Tracking-Scripts und Analytics
Google Analytics, Facebook Pixel, Hotjar und ähnliche Tracking-Tools setzen Cookies und übertragen personenbezogene Daten. Das erfordert besondere Aufmerksamkeit:
Google Analytics 4
- GA4 erfordert eine Einwilligung, bevor es geladen wird.
- IP-Anonymisierung ist in GA4 standardmäßig aktiv, aber die Datenübertragung in die USA bleibt ein Problem.
- Nutze den Google Consent Mode v2, um grundlegende Messungen ohne Cookies zu ermöglichen.
- Alternative: Matomo (selbst gehostet) oder Plausible — datenschutzfreundliche Analytics ohne Cookies.
Drittanbieter-Dienste prüfen
Viele Dienste, die Websites einbinden, übertragen Daten an Dritte. Prüfe kritisch:
- Google Fonts: Beim Laden von Google Fonts wird die IP-Adresse des Nutzers an Google übertragen. Lösung: Fonts lokal hosten.
- YouTube-Embeds: Setzen Cookies, auch ohne Abspielen. Nutze den erweiterten Datenschutzmodus:
youtube-nocookie.com.
- Google Maps: Überträgt Nutzerdaten an Google. Lösung: Erst nach Einwilligung laden oder statische Karte mit Link zu Google Maps verwenden.
- Social-Media-Buttons: Facebook Like-Button, Twitter Share usw. übertragen Daten an die jeweiligen Netzwerke. Nutze die Shariff-Lösung oder einfache Links.
- CDN-Dienste: Prüfe, ob dein CDN-Anbieter Daten in der EU verarbeitet.
Datenschutzerklärung
Jede Website braucht eine vollständige und aktuelle Datenschutzerklärung. Sie muss enthalten:
- Verantwortlicher: Name, Adresse und Kontaktdaten des Datenschutz-Verantwortlichen.
- Verarbeitete Daten: Welche Daten werden erhoben (IP-Adressen, Cookies, Formulardaten usw.)?
- Zweck der Verarbeitung: Warum werden die Daten erhoben?
- Rechtsgrundlage: Auf welcher Grundlage erfolgt die Verarbeitung (Einwilligung, berechtigtes Interesse, Vertragserfüllung)?
- Drittanbieter: Welche externen Dienste werden eingebunden und welche Daten werden übermittelt?
- Speicherdauer: Wie lange werden die Daten gespeichert?
- Betroffenenrechte: Recht auf Auskunft, Berichtigung, Löschung, Datenportabilität und Widerspruch.
Die Datenschutzerklärung muss von jeder Unterseite mit maximal zwei Klicks erreichbar sein — am besten über einen Link im Footer.
Technische Maßnahmen
SSL/HTTPS
Die Verschlüsselung der Datenübertragung ist nicht optional. Jede Website, die personenbezogene Daten verarbeitet (und das tut faktisch jede Website, die Logfiles speichert), muss HTTPS verwenden.
Setze Security Headers wie HSTS, CSP und Referrer-Policy, um die Sicherheit zu erhöhen und die Datenübertragung an Dritte zu kontrollieren. Besonders die Referrer-Policy kann verhindern, dass URLs mit sensiblen Parametern an externe Dienste weitergegeben werden.
Kontaktformulare und Eingaben
- Nutze HTTPS für alle Formularübertragungen.
- Speichere nur die Daten, die du wirklich benötigst (Datensparsamkeit).
- Informiere über die Verarbeitung direkt am Formular mit einem Link zur Datenschutzerklärung.
- Lösche Anfragen nach angemessener Zeit automatisch.
Regelmäßige Überprüfung
Datenschutz ist kein einmaliges Projekt. Prüfe regelmäßig:
- Welche Cookies setzt deine Website tatsächlich? (DevTools → Application → Cookies)
- Welche externen Anfragen stellt deine Website? (DevTools → Network)
- Ist die Datenschutzerklärung noch aktuell?
- Funktioniert das Consent-Management korrekt?
Prüfe den Datenschutz deiner Website jetzt mit PageScore — wir checken Cookies, Tracking und Drittanbieter-Dienste automatisch.