DSDSGVOkit
DSGVOkit/DSGVO Checkliste

DSGVO Checkliste 2025

17 Punkte die Website-Betreiber prüfen müssen — von Datenschutzerklärung bis Auftragsverarbeitungsvertrag.

Aktualisiert April 2025 · Gilt für Deutschland, Österreich und die Schweiz (mit Anpassungen)

Grundlagen

1

Datenschutzerklärung vorhanden

Enthält Verantwortlichen, verarbeitete Daten, Rechtsgrundlagen, Speicherdauer und Nutzerrechte. Von jeder Seite erreichbar.

2

Impressum vorhanden

Nach §5 TMG: Name, Adresse, E-Mail, ggf. Handelsregister. Von jeder Seite max. 2 Klicks entfernt.

3

Datenschutzerklärung aktuell

Alle eingesetzten Tools korrekt aufgeführt. Keine veralteten Dienste (z. B. Google Analytics UA nach dem Abschalten).

Cookies & Tracking

4

Cookie-Banner vor Analytics-Laden

Google Analytics, Facebook Pixel und ähnliche Tools dürfen erst nach aktiver Einwilligung laden.

5

Kein Tracking ohne Einwilligung

Vorausgefüllte Checkboxen oder 'Durch Weiterbrowsen stimmen Sie zu' sind nicht ausreichend.

6

Notwendige Cookies erklärt

Session-Cookies und technisch notwendige Cookies im Datenschutz dokumentiert.

7

Opt-out Möglichkeit

Nutzer muss Einwilligung widerrufen können — genauso einfach wie die Einwilligung selbst.

Kontaktformulare & Newsletter

8

Datenschutz-Hinweis beim Kontaktformular

Neben dem Formular: Hinweis auf Datenschutzerklärung und Zweck der Datenerhebung.

9

Double-Opt-In für Newsletter

Nach der Anmeldung: Bestätigungs-E-Mail. Ohne Double-Opt-In ist die Einwilligung angreifbar.

10

Abmeldung einfach möglich

Jede Newsletter-E-Mail muss einen funktionierenden Abmeldelink enthalten.

Externe Dienste

11

Google Maps mit Einwilligung

Google Maps direkt eingebunden lädt Daten an Google — muss hinter einem Einwilligungs-Klick stehen.

12

YouTube im erweiterten Datenschutzmodus

youtube-nocookie.com verwenden — Videos übertragen erst beim Abspielen Daten.

13

Social-Media-Buttons korrekt eingebunden

Sharing-Buttons ohne Vorladung (z. B. Shariff-Lösung) oder nach Einwilligung.

14

Externe Fonts lokal hosten

Google Fonts dürfen nicht direkt von Google-Servern geladen werden — IP-Adresse wird dabei übertragen.

Auftragsverarbeitung & Verträge

15

AVV mit Hosting-Anbieter

Auftragsverarbeitungsvertrag mit dem Webhoster abgeschlossen. Die meisten großen Anbieter stellen diesen automatisch bereit.

16

AVV mit Newsletter-Anbieter

Mailchimp, Brevo, CleverReach etc. — AVV erforderlich.

17

Drittland-Transfers dokumentiert

Wenn Daten in die USA oder andere Drittländer übertragen werden: Rechtsgrundlage dokumentieren (EU-US Data Privacy Framework, Standardvertragsklauseln).

Was wenn ich bereits Verstöße habe?

Behebe die Verstöße so schnell wie möglich. Für die Vergangenheit gibt es keine Selbstanzeigepflicht. Wichtig: Handele bevor du eine Abmahnung erhältst — danach wird es teurer.

Priorität haben: Datenschutzerklärung, Impressum und Cookie-Einwilligung — das sind die häufigsten Abmahnungsgründe.

Direkt loslegen: Dokumente generieren

Datenschutzerklärung und Impressum in wenigen Minuten — kostenlos, kein Abo.

Datenschutzerklärung →Impressum →