DSGVO-Compliance-Checkliste für Website-Betreiber: alles, was du wirklich nachweisen können musst

Die Datenschutz-Grundverordnung (DSGVO) gehört weiterhin zu den umfassendsten Datenschutzgesetzen weltweit. Sobald du personenbezogene Daten von Personen in der EU verarbeitest – egal ob du ein kleines Blog betreibst oder ein SaaS skalierst – ist DSGVO-Compliance Pflicht. Bei Verstößen drohen Bußgelder bis zu 20 Mio. € oder 4 % des weltweiten Jahresumsatzes (je nachdem, was höher ist).

Wichtig für die Praxis: DSGVO-Compliance ist nicht nur „eine Datenschutzerklärung“. Du brauchst technische und organisatorische Maßnahmen, klare Prozesse für Betroffenenanfragen und vor allem die Fähigkeit, die Einhaltung nachzuweisen (Accountability). Genau dafür ist die folgende Checkliste gedacht.

Was ist die DSGVO (GDPR) – und wann betrifft sie dich?

Die DSGVO (engl. GDPR – General Data Protection Regulation) ist seit dem 25. Mai 2018 in der EU in Kraft und regelt, wie Organisationen personenbezogene Daten erheben, nutzen, speichern und weitergeben. Sie gilt nicht nur für Unternehmen innerhalb der EU, sondern auch außerhalb, sobald personenbezogene Daten von EU-Bewohnern verarbeitet werden.

Rollen verstehen: Controller, Processor, Data Subject

Bevor du Checklisten abhaken kannst, musst du deine Rolle(n) sauber einordnen – denn daraus ergeben sich Pflichten. Wenn du Zweck und Mittel der Verarbeitung festlegst, bist du Data Controller (Verantwortlicher). Wenn du Daten im Auftrag eines anderen verarbeitest, bist du Data Processor (Auftragsverarbeiter). In der Praxis kann ein Unternehmen beides zugleich sein (z. B. als Betreiber einer Plattform und gleichzeitig als Dienstleister für Kunden).

• Data Controllers: Legen fest, warum und wie personenbezogene Daten verarbeitet werden. Sie tragen die primäre Verantwortung für DSGVO-Compliance.
• Data Processors: Dritte, die personenbezogene Daten im Auftrag eines Controllers verarbeiten. Sie müssen geeignete technische und organisatorische Maßnahmen umsetzen.
• Data Subjects: Betroffene Personen, deren personenbezogene Daten erhoben und verarbeitet werden. Die DSGVO schützt ihre Rechte.

Die 7 Grundprinzipien der DSGVO (als Leitplanken für jede Entscheidung)

Die folgenden Prinzipien sind der rote Faden durch alle Pflichten – auch, wenn du später in Details wie Cookie-Consent, Löschfristen oder Auskunftsersuchen gehst:

1. Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz: Daten nur legal verarbeiten und Personen verständlich informieren.
2. Zweckbindung: Daten nur für konkrete, legitime Zwecke erheben.
3. Datenminimierung: Nur so viele Daten erheben, wie wirklich nötig.
4. Richtigkeit: Daten korrekt halten und bei Bedarf aktualisieren.
5. Speicherbegrenzung: Nicht länger speichern als erforderlich.
6. Integrität und Vertraulichkeit: Vor unbefugtem Zugriff schützen – mit passenden Sicherheitsmaßnahmen.
7. Rechenschaftspflicht (Accountability): Compliance nicht nur einhalten, sondern auch belegen können.

Vollständige DSGVO-Compliance-Checkliste

Die Checkliste ist nach Themen gruppiert. Zu jedem Punkt findest du (1) für wen er gilt (Controller/Processor) und (2) die konkrete DSGVO-Referenz (Artikel), die typischerweise als Nachweis- und Argumentationsbasis dient.

1) Daten (Inventory, Flows, Dokumentation)

1.1 Verzeichnis: Welche personenbezogenen Daten du hast, woher sie kommen, wohin sie gehen, wofür du sie nutzt und wie lange du sie behältst

Gilt für: Data Controller, Data Processor

Du brauchst eine Liste der tatsächlich gespeicherten Datentypen (praktisch: „Spalten“), z. B. Name, Adresse, Sozialversicherungsnummer. Für jeden Datentyp dokumentierst du: Quelle der Daten, mit wem du sie teilst, Zweck der Verarbeitung und Aufbewahrungsdauer.

Referenz: GDPR Article 30 – Records of processing activities

1.2 Liste der Speicherorte und Datenflüsse

Gilt für: Data Controller, Data Processor

Dokumentiere, wo personenbezogene Daten liegen und wie sie zwischen Systemen fließen. Das umfasst nicht nur Datenbanken (z. B. MySQL), sondern auch Offline-Ablagen wie Papierakten.

Referenz: GDPR Article 30 – Records of processing activities

1.3 Öffentlich zugängliche Datenschutzerklärung, die alle Prozesse rund um personenbezogene Daten abdeckt

Gilt für: Data Controller, Data Processor

Deine Privacy Policy (Datenschutzerklärung) sollte alle Prozesse zur Verarbeitung personenbezogener Daten beschreiben. Sie sollte die Datentypen enthalten (oder darauf verlinken) und erklären, wo diese Daten gespeichert werden.

Referenz: GDPR Article 30 – Records of processing activities

1.4 Rechtsgrundlage in der Datenschutzerklärung: Warum du überhaupt verarbeiten darfst

Gilt für: Data Controller

In der Datenschutzerklärung muss klar sein, auf welcher Rechtsgrundlage du personenbezogene Daten verarbeitest – z. B. zur Vertragserfüllung.

Referenz: GDPR Article 6 – Lawfulness of processing

2) Accountability & Management (Organisation, Verträge, Breach-Prozess)

2.1 Datenschutzbeauftragten (DPO) benennen – wenn erforderlich

Gilt für: Data Controller, Data Processor

Ein Data Protection Officer (DPO) ist nur in drei Szenarien verpflichtend:

1. Die Verarbeitung erfolgt durch eine Behörde oder öffentliche Stelle (außer Gerichte in richterlicher Tätigkeit).
2. Die Kerntätigkeit besteht aus Verarbeitungsvorgängen, die aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine regelmäßige und systematische Überwachung von Betroffenen in großem Umfang erfordern.
3. Die Kerntätigkeit besteht aus einer großangelegten Verarbeitung besonderer Kategorien personenbezogener Daten (sensitive Daten) nach Article 9 sowie personenbezogener Daten zu strafrechtlichen Verurteilungen oder Straftaten nach Article 10.

Wenn ein DPO erforderlich ist, sollte diese Person DSGVO-Kenntnisse und ein gutes Verständnis der internen Prozesse haben, in denen personenbezogene Daten vorkommen.

Referenz: GDPR Article 37 – Designation of the data protection officer

2.2 Entscheider sensibilisieren: DSGVO-Wissen aktuell halten

Gilt für: Data Controller, Data Processor

Stelle sicher, dass Schlüsselpersonen und Entscheider die Leitlinien der Datenschutzgesetzgebung kennen und auf aktuellem Stand bleiben.

Referenz: GDPR Article 25 – Data protection by design and by default

2.3 Technische Sicherheit auf aktuellem Stand halten

Gilt für: Data Controller, Data Processor

Gerade bei SaaS-Produkten lohnt es sich, Security-Checklisten als Startpunkt zu verwenden, um sicherzustellen, dass die passenden technischen Maßnahmen umgesetzt sind.

Referenz: GDPR Article 25 – Data protection by design and by default

2.4 Mitarbeitende schulen: Awareness als Sicherheitsmaßnahme

Gilt für: Data Processor

Viele Sicherheitsprobleme entstehen dadurch, dass eine ahnungslose Person mit Systemzugang „mitspielt“ (z. B. Phishing). Mitarbeitende müssen diese Risiken kennen.

Referenz: GDPR Article 25 – Data protection by design and by default

2.5 Sub-Processor-Liste führen und in der Privacy Policy offenlegen

Gilt für: Data Processor

Wenn du Sub-Processor (Unterauftragsverarbeiter) nutzt, musst du Kunden darüber informieren. Die Zustimmung erfolgt typischerweise über die Annahme deiner Datenschutzerklärung.

Referenz: GDPR Article 28 – Processor

2.6 Unternehmen außerhalb der EU: EU-Vertreter benennen

Gilt für: Data Controller, Data Processor

Wenn dein Unternehmen außerhalb der EU sitzt, aber Daten von EU-Bürgern verarbeitet, solltest du einen Vertreter in einem Mitgliedsstaat benennen. Diese Person behandelt Themen rund um die Verarbeitung – und muss insbesondere für lokale Behörden erreichbar sein.

Referenz: GDPR Article 27 – Representatives of controllers or processors not established in the Union

2.7 Data Breaches melden: an Behörde und ggf. Betroffene

Gilt für: Data Controller, Data Processor

Verletzungen des Schutzes personenbezogener Daten müssen binnen 72 Stunden an die lokale Aufsichtsbehörde gemeldet werden. Du berichtest, welche Daten betroffen sind, welche Folgen zu erwarten sind und welche Gegenmaßnahmen du ergriffen hast. Außer die geleakten Daten waren verschlüsselt, musst du den Vorfall auch den betroffenen Personen melden.

Referenzen: GDPR Article 33 – Notification of a personal data breach to the supervisory authority; GDPR Article 34 – Communication of a personal data breach to the data subject

2.8 Verträge mit Processors: klare Weisungen und Mindestinhalte

Gilt für: Data Controller

Sobald du Daten an einen Processor gibst (z. B. Hosting-Provider), brauchst du einen Vertrag, der die Verarbeitung ausdrücklich regelt. Der Vertrag sollte u. a. enthalten: Gegenstand und Dauer der Verarbeitung, Art und Zweck der Verarbeitung, Typen personenbezogener Daten und Kategorien betroffener Personen sowie Pflichten und Rechte des Controllers.

Die gleichen Vertragsanforderungen gelten, wenn ein Processor wiederum einen Sub-Processor einsetzt, um Verarbeitungstätigkeiten im Auftrag des Controllers zu erfüllen.

Referenzen: GDPR Article 28 – Processor; GDPR Article 29 – Processing under the authority of the controller or processor

3) Neue Rechte & Prozesse (Self-Service, Löschung, Portabilität)

3.1 Auskunftsanfragen müssen einfach möglich sein

Gilt für: Data Controller, Data Processor

Du brauchst einen klar definierten Prozess, wie Betroffene Zugriff auf ihre personenbezogenen Daten anfordern können.

Referenz: GDPR Article 15 – Right of access by the data subject

3.2 Nutzende müssen ihre Daten einfach korrigieren können (Richtigkeit sicherstellen)

Gilt für: Data Controller, Data Processor

Stelle einen Mechanismus bereit, mit dem Nutzer falsche Daten berichtigen können.

Referenz: GDPR Article 16 – Right to rectification

3.3 Daten automatisiert löschen, wenn du sie nicht mehr brauchst

Gilt für: Data Controller, Data Processor

Löschprozesse sollten möglichst automatisiert sein. Beispiel: Daten von Kunden automatisch entfernen, deren Vertrag nicht verlängert wurde.

Referenz: GDPR Article 5 – Principles relating to processing of personal data

3.4 Löschanfragen (Right to be forgotten) umsetzbar machen

Gilt für: Data Controller, Data Processor

Implementiere einen Prozess, um Löschanfragen sauber zu bearbeiten (Recht auf Vergessenwerden).

Referenz: GDPR Article 17 – Right to erasure (‘right to be forgotten’)

3.5 Einschränkung der Verarbeitung auf Anfrage ermöglichen

Gilt für: Data Controller, Data Processor

Nutzer haben das Recht, die Verarbeitung ihrer Daten einschränken zu lassen. Das erfordert einen operativen Prozess (und in vielen Systemen einen technischen „Status“ oder ein Flag).

Referenz: GDPR Article 18 – Right to restriction of processing

3.6 Datenportabilität: Export in strukturiertem, maschinenlesbarem Format

Gilt für: Data Controller, Data Processor

Du musst ermöglichen, dass Betroffene ihre Daten in einem strukturierten, gängigen und maschinenlesbaren Format erhalten – und sie sich selbst oder einem Dritten zustellen lassen können.

Referenz: GDPR Article 20 – Right to data portability

3.7 Widerspruch gegen Profiling/automatisierte Entscheidungen

Gilt für: Data Controller

Relevant nur, wenn du Profiling oder andere automatisierte Entscheidungsfindung einsetzt, die Betroffene beeinflussen kann. Dann brauchst du einen Prozess, wie Betroffene dem widersprechen können.

Referenz: GDPR Article 22 – Automated individual decision-making, including profiling

4) Einwilligung (Consent) – wenn du darauf basiert verarbeitest

4.1 Einwilligung muss freiwillig, spezifisch, informiert und widerrufbar sein

Gilt für: Data Controller

Wenn deine Verarbeitung auf Consent basiert, muss die Einwilligung freiwillig, konkret, informiert und widerrufbar sein. Bei Websites heißt das praktisch: gut sichtbarer Link zur Datenschutzerklärung, klare Bestätigung (Terms/Privacy). Einwilligung braucht eine aktive Handlung – vorangekreuzte Checkboxen sind nicht erlaubt.

Referenz: GDPR Article 7 – Conditions for consent

4.2 Datenschutzerklärung in klarer, verständlicher Sprache

Gilt für: Data Controller

Die Datenschutzerklärung muss klar und einfach formuliert sein und darf ihre Absicht nicht verschleiern – sonst kann das die Vereinbarung insgesamt entwerten. Wenn du Dienste für Kinder anbietest, muss die Erklärung so verständlich sein, dass Kinder sie nachvollziehen können.

Referenz: GDPR Article 7.2 – Conditions for consent

4.3 Widerruf muss so einfach sein wie das Erteilen

Gilt für: Data Controller

Der Widerruf einer Einwilligung darf nicht komplizierter sein als das Erteilen.

Referenz: GDPR Article 7.3 – Conditions for consent

4.4 Daten von Kindern: Alter prüfen und Zustimmung der Erziehungsberechtigten einholen

Gilt für: Data Controller

Wenn du personenbezogene Daten von Kindern verarbeitest, brauchst du bei Kindern unter 16 Jahren die Einwilligung der Erziehungsberechtigten. Erfolgt die Einwilligung über die Website, solltest du versuchen sicherzustellen, dass die Zustimmung tatsächlich von der erziehungsberechtigten Person stammt (und nicht vom Kind selbst).

Referenz: GDPR Article 8 – Conditions applicable to child’s consent in relation to information society services

4.5 Bei Updates der Datenschutzerklärung Bestandskunden informieren

Gilt für: Data Controller

Wenn du deine Privacy Policy aktualisierst, musst du bestehende Kunden informieren – zum Beispiel per E-Mail über anstehende Änderungen. Die Kommunikation sollte einfach erklären, was sich geändert hat.

Referenz: GDPR Article 7 – Conditions for consent

5) Follow-up (laufende Pflege statt einmaliges Projekt)

5.1 Regelmäßige Reviews: Policies, Wirksamkeit, Datenhandling, Drittland-Änderungen

Gilt für: Data Controller

Du solltest regelmäßig prüfen, ob deine Richtlinien noch passen: Änderungen in Prozessen, Wirksamkeit von Maßnahmen, Veränderungen an Datenflüssen – und auch Änderungen der „State of Affairs“ in Ländern, in die Daten übertragen werden.

Referenz: GDPR Article 25 – Data protection by design and by default

6) Sonderfälle

6.1 DPIA verstehen und durchführen, wenn Hochrisiko-Verarbeitung vorliegt

Gilt für: Data Controller

Relevant für Unternehmen, die großflächige Datenverarbeitung, Profiling oder andere Verarbeitung mit hohem Risiko für Rechte und Freiheiten durchführen. In solchen Fällen ist eine Data Protection Impact Assessment (DPIA) erforderlich.

Referenz: GDPR Article 35 – Data protection impact assessment

6.2 Datenexporte außerhalb der EU nur mit angemessenem Schutzniveau

Gilt für: Data Controller, Data Processor

Übermittle Daten außerhalb der EU nur in Länder mit angemessenem Datenschutzniveau. Diese grenzüberschreitenden Datenflüsse solltest du in deiner Datenschutzerklärung offenlegen. Bei Transfers in Länder ohne Angemessenheitsbeschluss kommen Standard Contractual Clauses (SCCs) oder Binding Corporate Rules (BCRs) zum Einsatz.

Referenz: GDPR Article 45 – Transfers on the basis of an adequacy decision

Betroffenenrechte (User Rights / Data Subject Rights) – was du als Website-Betreiber abbilden musst

Unabhängig davon, ob du Controller oder Processor bist: Die DSGVO definiert konkrete Rechte für Data Subjects. Praktisch heißt das: Du brauchst Prozesse (und oft UI/Export/Löschmechanismen), um diese Rechte zu bedienen.

Recht auf transparente Information

Der Controller muss geeignete Maßnahmen treffen, um Informationen zur Verarbeitung präzise, transparent, verständlich und leicht zugänglich bereitzustellen – in klarer, einfacher Sprache, insbesondere wenn Informationen gezielt an ein Kind gerichtet sind. Die Information ist schriftlich oder in anderer Form bereitzustellen, einschließlich (wo passend) elektronischer Mittel.

Referenz: GDPR Article 12

Informationspflicht bei direkter Erhebung

Wenn personenbezogene Daten direkt bei der betroffenen Person erhoben werden, umfasst die Information mindestens:

1. Identität und Kontaktdaten des Controllers
2. Kontaktdaten des Datenschutzbeauftragten (falls anwendbar)
3. Zwecke der Verarbeitung und Rechtsgrundlage
4. Berechtigte Interessen des Controllers (falls anwendbar)
5. Empfänger oder Kategorien von Empfängern der personenbezogenen Daten
6. Informationen über Übermittlungen in Drittländer

Referenz: GDPR Article 13

Informationspflicht bei indirekter Erhebung

Wenn Daten nicht direkt bei der betroffenen Person erhoben werden, müssen ähnliche Informationen bereitgestellt werden – zusätzlich inkl. Kategorien der betroffenen Daten und der Quelle, aus der die Daten stammen.

Referenz: GDPR Article 14

Auskunftsrecht (Right of access)

Betroffene können eine Bestätigung verlangen, ob ihre Daten verarbeitet werden, sowie Zugriff auf u. a.:

• Zwecke der Verarbeitung
• Kategorien personenbezogener Daten
• Empfänger, an die Daten offengelegt wurden oder werden
• Geplante Speicherdauer
• Bestehen von Rechten auf Berichtigung, Löschung, Einschränkung und Widerspruch
• Beschwerderecht bei einer Aufsichtsbehörde
• Informationen zur Datenquelle (wenn nicht direkt erhoben)
• Bestehen automatisierter Entscheidungen inkl. Profiling

Referenz: GDPR Article 15

Recht auf Berichtigung (Right to rectification)

Betroffene haben das Recht, unverzüglich die Berichtigung unrichtiger personenbezogener Daten zu verlangen sowie unvollständige Daten vervollständigen zu lassen.

Referenz: GDPR Article 16

Recht auf Löschung („Right to be forgotten“)

Betroffene haben ein Recht auf Löschung ihrer Daten, wenn:

1. die Daten für den ursprünglichen Zweck nicht mehr notwendig sind
2. die Einwilligung widerrufen wurde und keine andere Rechtsgrundlage besteht
3. Widerspruch gegen die Verarbeitung eingelegt wurde und keine überwiegenden berechtigten Gründe vorliegen
4. die Daten unrechtmäßig verarbeitet wurden
5. die Löschung zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist
6. die Daten im Zusammenhang mit Diensten der Informationsgesellschaft erhoben wurden, die einem Kind angeboten wurden

Referenz: GDPR Article 17

Recht auf Einschränkung der Verarbeitung

Betroffene haben das Recht auf Einschränkung der Verarbeitung, wenn:

1. die Richtigkeit der Daten bestritten wird (für die Dauer der Überprüfung)
2. die Verarbeitung unrechtmäßig ist und statt Löschung die Einschränkung verlangt wird
3. der Controller die Daten nicht mehr benötigt, die betroffene Person sie aber für Rechtsansprüche benötigt
4. Widerspruch eingelegt wurde, bis die Prüfung der berechtigten Gründe abgeschlossen ist

Referenz: GDPR Article 18

Mitteilungspflicht bei Berichtigung, Löschung oder Einschränkung

Der Controller muss jede Berichtigung, Löschung oder Einschränkung der Verarbeitung allen Empfängern mitteilen, an die personenbezogene Daten offengelegt wurden – außer das ist unmöglich oder mit unverhältnismäßigem Aufwand verbunden.

Referenz: GDPR Article 19

Recht auf Datenübertragbarkeit

Betroffene haben das Recht, ihre personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten und diese ohne Behinderung an einen anderen Controller zu übertragen.

Referenz: GDPR Article 20

Widerspruchsrecht

Betroffene können aus Gründen ihrer besonderen Situation jederzeit Widerspruch einlegen gegen Verarbeitungen, die auf berechtigten Interessen oder öffentlichem Interesse beruhen – inklusive Profiling.

Referenz: GDPR Article 21

Recht, nicht ausschließlich automatisierten Entscheidungen unterworfen zu sein

Betroffene haben das Recht, keiner Entscheidung unterworfen zu sein, die ausschließlich auf automatisierter Verarbeitung (inkl. Profiling) beruht und rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt.

Referenz: GDPR Article 22

Praktische Umsetzung auf Websites: konkrete Schritte

1) Website absichern (Security als Datenschutzmaßnahme)

Viele DSGVO-Pflichten werden erst im Incident-Fall richtig teuer. Deshalb ist Basissicherheit nicht „nice to have“, sondern Teil der Integrität und Vertraulichkeit.

• SSL-Zertifikat installieren (HTTPS), um Daten zwischen Website und Server zu verschlüsseln
• Starke Passwörter für alle Admin-Accounts verwenden
• Zusätzlichen Schutz für die Verarbeitung von Zahlungsinformationen einbauen
• CDN-Anbieter nutzen, der gegen DDoS-Angriffe schützt
• Anti-Virus-Software einsetzen, um unautorisierten Zugriff zu verhindern
• Datenerhebung minimieren – nur erheben, was notwendig ist
• Personenbezogene Daten vor dem Speichern pseudonymisieren oder anonymisieren
• Backups an mehreren sicheren Orten erstellen
• Daten löschen, wenn sie nicht mehr benötigt werden

2) Cookie-Consent-Banner korrekt umsetzen

Wenn du nicht-essenzielle Cookies nutzt, brauchst du vor deren Aktivierung eine explizite Einwilligung. Entscheidend ist, dass Tracking & Co. bis zum Opt-in technisch blockiert sind.

Dein Cookie-Banner muss:

• Cookies bis zur Einwilligung blockieren: Nur notwendige Cookies laden, bis Nutzer aktiv zustimmen
• Einfache, klare Sprache verwenden: erklären, welche Cookies warum eingesetzt werden
• Gleichwertige Annehmen/Ablehnen-Buttons anzeigen: Ablehnen nicht verstecken
• Granulare Optionen anbieten: Auswahl nach Cookie-Kategorien ermöglichen
• Widerruf ermöglichen: Preferences später leicht änderbar machen
• Einwilligung protokollieren: Auswahl inkl. Zeitstempel speichern, um Compliance nachzuweisen

3) Website-Formulare prüfen (Kontakt, Checkout, Newsletter, Bewerbungen)

Jedes Formular, das personenbezogene Daten abfragt, muss DSGVO-konform gestaltet sein – nicht nur „irgendwo“ über einen Footer-Link.

• Eine Privacy-Information am Formular: warum du die Daten brauchst
• Eine nicht angehakte Checkbox für Einwilligung (wenn Consent die Rechtsgrundlage ist)
• Ein separates Opt-in für Marketing-Kommunikation
• Link zur Datenschutzerklärung
• Klare, einfache Sprache

4) Einwilligung für Marketing-E-Mails sauber einholen

• Nur klares Opt-in: nicht angehakte Checkbox speziell für E-Mail-Consent
• Double Opt-in implementieren: Anmeldung per E-Mail bestätigen lassen
• Consent-Records pflegen: Datum, Uhrzeit, Methode und Zweck protokollieren
• Abmeldelink sichtbar: One-Click-Unsubscribe in jeder E-Mail
• Abmeldungen schnell verarbeiten: idealerweise innerhalb von 24 Stunden

5) Auf Data Breaches vorbereitet sein

• Aufsichtsbehörde binnen 72 Stunden informieren
• Betroffene informieren, wenn ein hohes Risiko für ihre Rechte besteht
• Alles dokumentieren (Accountability, Nachweisfähigkeit)
• Policies und Maßnahmen aktualisieren, um Wiederholungen zu vermeiden

WordPress-spezifisch: typische Baustellen im WP-Ökosystem

WordPress bringt eigene Datenschutz-Features mit, aber in der Praxis hängt Compliance stark am Plugin-Stack und an Drittanbietern (Analytics, Formulare, Zahlungsanbieter). Für Website-Betreiber sind das die wichtigsten Punkte:

• WordPress-Core, Themes und Plugins konsequent aktuell halten
• DSGVO-konforme Kontaktform-Plugins nutzen (inkl. Consent-Checkboxen)
• Eine saubere Cookie-Consent-Lösung installieren
• Eine DSGVO-konforme Analytics-Lösung verwenden
• Datenpraktiken von Plugins prüfen (was wird erhoben, wohin gesendet?)
• Funktionen für Datenexport und Datenlöschung für Nutzer umsetzen

Bußgelder & behördliche Maßnahmen: warum Nachweise so wichtig sind

Die DSGVO unterscheidet grob zwei Sanktionsstufen:

• Lower tier violations: bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes
• Upper tier violations: bis zu 20 Mio. € oder 4 % des weltweiten Jahresumsatzes

Zusätzlich zu Bußgeldern können Behörden weitere Maßnahmen ergreifen, z. B.: Warnungen aussprechen, Verarbeitung vorübergehend oder dauerhaft untersagen, Datenlöschung anordnen oder Datentransfers einschränken.

FAQ zur DSGVO-Compliance (kurz und praxisnah)

Was ist eine DSGVO-Compliance-Checkliste?

Eine DSGVO-Compliance-Checkliste ist eine Liste von Maßnahmen, die du umsetzen solltest, um die Anforderungen der Datenschutz-Grundverordnung zu erfüllen. Sie hilft, Schwachstellen im Datenschutz zu identifizieren und systematisch zu verbessern.

Wer ist für DSGVO-Compliance verantwortlich?

Primär verantwortlich ist der Data Controller (typischerweise der Website- bzw. Business-Owner). Data Processors haben ebenfalls eigene Compliance-Pflichten.

Gilt die DSGVO auch für US-Unternehmen?

Ja – sobald personenbezogene Daten von EU-Bewohnern verarbeitet werden, unabhängig vom Unternehmensstandort.

Was ist die maximale Strafe bei Non-Compliance?

Bis zu 20 Mio. € oder 4 % des weltweiten Jahresumsatzes – je nachdem, was höher ist.

Brauche ich ein Cookie-Banner?

Ja, wenn deine Website nicht-essenzielle Cookies nutzt und du Besucher aus der EU hast.

Brauche ich einen Datenschutzbeauftragten (DPO)?

Nur wenn (1) du eine öffentliche Stelle bist, (2) deine Kerntätigkeit eine großangelegte, systematische Überwachung von Personen erfordert oder (3) du sensible Daten in großem Umfang verarbeitest.

Hinweis

Diese Checkliste ist als allgemeiner Leitfaden gedacht und stellt keine Rechtsberatung dar. Für eine Bewertung deiner konkreten Situation solltest du qualifizierten rechtlichen Rat einholen.