Datenschutz Checkliste für deine Webseite

DSGVO & DSG Website Checkliste – Stand 12/2025

Nutze unsere Datenschutz-Checkliste zur Orientierung und als Hilfestellung, um die Anforderungen der Datenschutz-Grundverordnung (DSGVO) und des nationalen Datenschutzrechts optimal umzusetzen. Betroffen sind alle Website-Betreiber*innen, die personenbezogene Daten verarbeiten (z. B. Newsletter-Versand, Kontaktformulare, Online-Shop oder Analytics).

Bei Fragen helfen wir dir gerne weiter und unterstützen dich bei der technischen und organisatorischen Umsetzung.

Wichtiger Hinweis: Dieses Dokument stellt keine Rechtsberatung dar und kann keine juristische Beratung ersetzen. Alle Informationen ohne Gewähr auf Richtigkeit und Vollständigkeit.
SIWA Mitarbeiterinnen mit Checkliste

Erstens

Notwendigkeit über Datensammlung

  • Welche Grundsätze werden eingehalten? (Rechtmäßigkeit, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung, Integrität/Vertraulichkeit, Rechenschaftspflicht)
  • Welche personenbezogenen Daten werden verarbeitet? (Auch Geräte-/Online-IDs beachten)
  • Wofür konkret werden die Daten benötigt (Zweck)?
  • Gibt es für jede Verarbeitung eine Rechtsgrundlage (Art. 6 DSGVO)?
  • Sind Speicherfristen definiert und dokumentiert (Löschkonzept)?
Benjamin
Quote

"Oft werden mehr Daten als nötig gespeichert. Machen Sie sich im ersten Schritt Gedanken darüber, ob eine Speicherung von personenbezogene Daten sinnvoll und notwendig ist. Und wenn ja, in welchem Umfang?"

Benjamin

Datenschutzbeauftragter SIWA Online GmbH

Zweitens

Rechtskonforme Einwilligung  & Rechtsgrundlagen

Hinweis: Für jede Datenverarbeitung benötigst du eine Rechtsgrundlage nach Art. 6 DSGVO (z. B. Einwilligung, Vertragserfüllung, rechtliche Pflicht, berechtigtes Interesse).

  • Einwilligungen: Widerruf leicht möglich und jederzeit zugänglich (z. B. im Footer oder Consent-Widget)?
  • Zweck der Datenerhebung klar und verständlich genannt?
  • Nachweisbarkeit sichergestellt (Protokollierung, Double-Opt-In für E-Mail-Marketing)?
  • Freiwillige Einwilligung, nicht an andere Leistungen gekoppelt (kein „Zwangs-Consent“)?
  • Aktive Handlung erforderlich (keine vorangekreuzten Checkboxen, keine Dark Patterns/Nudging)?
  • Bei berechtigtem Interesse: Interessenabwägung dokumentiert?

 

Drittens

Datenschutzerklärung

  • Vorhanden, vollständig und von jeder Seite erreichbar (z. B. Footer)?
  • Auf aktuellem Stand (2025) und verständlich?
  • Enthält alle Informationen nach Art. 13/14 DSGVO (inkl. Empfänger, Drittlandtransfers, Speicherfristen, Rechte, Kontakt DSB falls vorhanden)?
    Achtung: Keine Blindkopien! Texte immer an deine Prozesse, Tools und Dienste anpassen. Generatoren nur als Ausgangsbasis nutzen.

 

Viertens

Informationspflichten (Art. 13/14 DSGVO)

  • Name und Kontaktdaten des Verantwortlichen
  • Zwecke und Rechtsgrundlagen
  • Berechtigte Interessen (falls genutzt)
  • Empfänger/Kategorien von Empfängern
  • Drittlandübermittlungen und Garantien (z. B. DPF, SCCs)
  • Speicherfristen bzw. Kriterien für die Festlegung
  • Betroffenenrechte und Beschwerderecht bei der Aufsichtsbehörde
  • Pflicht zur Bereitstellung der Daten bzw. Folgen der Nichtbereitstellung (falls relevant)
  • Herkunft der Daten (bei Art. 14)

Muster der WKO

 

Fünftens

Impressum

  • Vollständig, leicht auffindbar (max. 2 Klicks)
  • Österreich: Angaben nach § 5 ECG, § 25 MedienG (Offenlegung), UGB/GewO (je nach Unternehmen)
  • Bei internationalen Zielgruppen: zusätzliche lokale Impressumspflichten prüfen

Bis du dir nicht sicher, was in ein vollständiges Impressum gehört? Detaillierte Informationen findest du hier.

 

Sechstens

Verarbeitungsverzeichnis (Art. 30 DSGVO)

  • Existiert ein Verzeichnis aller Verarbeitungstätigkeiten (Prozesse, Zwecke, Datenkategorien, Empfänger, Fristen, TOMs)?
  • Aktuell und auf Anfrage der Aufsichtsbehörde vorlegbar?
    Hinweis: Die Ausnahme für Unternehmen unter 250 Mitarbeiter*innen greift nur bei „gelegentlicher“ Verarbeitung ohne besondere Risiken – das ist bei typischen Web-Verarbeitungen selten der Fall.

Die WKO bietet ein Muster über den benötigten Inhalt des Verarbeitungsverzeichnisses. 

Muster der WKO

Matthias
Quote

„Das Verarbeitungsverzeichnis ist Pflicht für alle Unternehmen (Ausnahme nur sehr eng). Es muss in schriftlicher oder elektronischer Form ausdruckbar sein.“

Matthias

Geschäftsführung


Siebtens

Betroffenenrechte - Löschung von Daten (Recht auf Vergessenwerden)

Wird von einer Person ein Antrag auf Löschung der Daten gestellt, muss dies innerhalb von einem Monat durchgeführt werden. Eine detaillierte Erklärung finden Sie auf der Seite der WKO.

  • Welche Daten dürfen/müssen gelöscht werden? Welche Aufbewahrungspflichten bestehen (z. B. steuerrechtlich 7 Jahre)?
  • Wie werden Daten in allen Systemen gefunden und gelöscht (auch Backups, Logs, Drittanbieter)?
  • Nutzung mehrerer Systeme (CMS, CRM, E-Mail-Tool, Analytics, Payment)? Prozess zur synchronen Löschung definiert?
    Frist: Bearbeitung i. d. R. innerhalb eines Monats (Verlängerung um bis zu 2 Monate bei komplexen Fällen).
    Weitere Rechte:
  • Auskunft (Art. 15), Berichtigung (Art. 16), Einschränkung (Art. 18), Datenübertragbarkeit (Art. 20), Widerspruch (Art. 21)
    Tipp: Erstelle einen dokumentierten Prozess inkl. Zuständigkeiten und Fristen.

Tipp
Erstelle einen Prozess, der die fristgerechte Löschung garantiert bzw. die betroffene Personen benachrichtigt, falls die Löschung der Daten nicht möglich ist. Bestimme, welche Personen Löschungen vornehmen dürfen und schule diese ein. 

 

Achtens

Cookies & Tracking-Technologien

  • Werden Cookies/ähnliche Technologien (z. B. Local Storage, SDKs, Fingerprinting, Consent-Mode-Pings) eingesetzt?
    Wenn ja:
  • Consent-Banner mit echten, gleichwertigen Wahlmöglichkeiten (Annehmen/Ablehnen auf erster Ebene), granular nach Kategorien?
  • Keine nicht-notwendigen Cookies/Technologien vor Einwilligung setzen (inkl. Marketing/Analytics/Profiling)?
  • Technisch notwendige Cookies klar getrennt und erklärt?
  • Einwilligung jederzeit widerrufbar (und technisch umsetzbar), Protokollierung der Einwilligungen vorhanden?
  • Cookie-Informationen in der Datenschutzerklärung (Zwecke, Anbieter, Laufzeiten, Rechtsgrundlage, Widerruf)?
  • Laufzeiten: Einwilligungen regelmäßig erneuern (empfohlen: nach 6–12 Monaten oder bei wesentlichen Änderungen).
    Wichtig 2025:
  • Planet49 und aktuelle DPA-/EDPB-Vorgaben: aktive, informierte, freiwillige Einwilligung; keine Voreinstellungen, kein Nudging.
  • Österreich: § 165 TKG 2021 (ePrivacy-Umsetzung) – Opt-in für nicht-technisch-notwendige Cookies/ähnliche Technologien.
  • „Pay-or-Okay“-Modelle (Cookie-Wall mit Bezahlalternative) bleiben heikel und sind nur unter strengen Voraussetzungen zulässig; stets Einzelfallprüfung.

Neuntens

Google Analytics & Analyse-Tools

Bei Google Analytics 4 (GA4):

Wenn ja:

  • Verträge/AVV mit Google akzeptiert und Rolle geklärt; Google LLC ist DPF-zertifiziert (Status regelmäßig prüfen).
  • GA4 speichert keine IP-Adressen; zusätzliche „IP-Anonymisierung“-Einstellung ist nicht mehr erforderlich.
  • Datenaufbewahrung/Retention in GA4 auf das notwendige Maß beschränken (z. B. 2/14 Monate), keine unnötige User-ID/Google Signals ohne Einwilligung.
  • Consent vor jeglichem nicht-notwendigem Tracking; Opt-out/Widerspruchsmöglichkeit anbieten.
  • Datenschutzerklärung angepasst (inkl. Übermittlung in Drittländer/DPF/SCCs, Zwecke, Speicherdauer).
  • Google Consent Mode v2: nur so konfigurieren, dass vor Einwilligung keine identifizierenden Cookies gesetzt werden; „Advanced“-Pings ohne Identifier prüfen; lokale DPA-Vorgaben beachten.
    Alternativen:
  • Datenschutzfreundliche Alternativen wie Matomo (self-hosted, ohne Cookies), Plausible, Simple Analytics – ggf. ohne Einwilligung nutzbar, wenn strikt anonymisiert und ohne Endgerätezugriffe, sonst Consent erforderlich.
    Hinweis zu US-Diensten:
  • EU‑US Data Privacy Framework (DPF, 2023) ist verfügbar; Transfers sind zulässig, wenn der Empfänger zertifiziert ist. Bei nicht zertifizierten US-Empfängern: Standardvertragsklauseln (SCCs) + Transfer Impact Assessment (TIA) und ggf. Zusatzmaßnahmen.

 

Zehntens

Formulare & Newsletter

  • Welche Formulare gibt es (Kontakt, Newsletter, Bestellungen, Bewerbungen, Events)?
  • Für Newsletter: Double-Opt-In empfohlen (Nachweisbarkeit!), klare Zwecke, leichtes Opt-out in jeder E-Mail.
  • Österreich: § 174 TKG 2021 – Einwilligung für Werbe-E-Mails erforderlich (Ausnahmen eng), Nachweis aufbewahren.
  • Nur notwendige Felder abfragen (Datenminimierung); Pflichtfelder begründen.
  • Einwilligungs-Checkboxen nicht vorangekreuzt; Datenschutzhinweise am Formular verlinken.
  • Kinder/Jugendliche: nationales Schutzalter für Einwilligungen in Diensten der Informationsgesellschaft beachten (Österreich: 14 Jahre).
  • Datenschutzerklärung entsprechend anpassen (Zwecke, Rechtsgrundlagen, Anbieter, Speicherdauer).

 

Elftens

Externe Dienste & Einbindungen

Häufige Dienste:

  • Videos (YouTube/Vimeo), Karten (Google Maps/OpenStreetMap), Social-Plugins, Google Fonts, CDNs/WAFs, Chat-Tools, Captchas (z. B. reCAPTCHA), Payment-Provider (PayPal, Stripe), Ticketing, A/B-Testing
    Für jeden Dienst prüfen:
  • Rolle und Rechtsgrundlage: Auftragsverarbeiter (AVV) oder eigenständige Verantwortliche? (Payment- und Versanddienstleister sind meist eigene Verantwortliche – AVV i. d. R. nicht passend.)
  • Einbindung datenschutzfreundlich (z. B. Zwei-Klick-Lösung, YouTube „erweiterter Datenschutzmodus“, lokale Einbindung von Fonts/Skripten, wenn möglich).
  • Cookie/Tracking-Implikationen und Consent-Erfordernisse?
  • Drittlandübermittlungen (DPF/SCCs/TIA) und Darstellung in der Datenschutzerklärung.
  • Google Fonts: lokales Hosting wird weiterhin empfohlen.
  • Sicherheits-/Betriebs-Cookies (z. B. von CDN/WAF) als technisch notwendig kennzeichnen.

 

Zwölftens

Auftragsverarbeitungsverträge (AVV)

Typische Auftragsverarbeiter:

  • Hosting/Server, E-Mail-Dienste, Newsletter-Tools, CRM (sofern im Auftrag), Cloud-Dienstleister (im Auftrag), Support/Helpdesk, Wartungsdienstleister
    Für jeden Auftragsverarbeiter:
  • DSGVO-konformer AVV (Art. 28) abgeschlossen, inkl. TOMs, Subprozessoren, Löschung/Rückgabe nach Vertragsende
  • Drittlandtransfers sauber geregelt (DPF oder SCCs + TIA)
  • Regelmäßige Prüfungen/Audits verankert
Jochen
Quote

„Der Auftragsverarbeitungsvertrag ist keine Formsache! Du bleibst als Verantwortliche*r in der Haftung und musst sicherstellen, dass deine Dienstleister DSGVO-konform arbeiten.“

Jochen

Geschäftsführung

Dreizehntens

IT-Sicherheit & Technische Maßnahmen

  • HTTPS/TLS, HSTS aktiv; aktuelle Softwarestände (CMS, Plugins), schnelles Patchen
  • Starke Passwörter, MFA/2FA für Admin-Zugänge, rollenbasierte Zugriffe, Need-to-know-Prinzip
  • Backup- und Wiederherstellungskonzept (regelmäßig testen), verschlüsselte Backups
  • Sicherheits-Header (z. B. CSP, Referrer-Policy, X-Content-Type-Options), WAF/CDN nach Bedarf
  • Protokollierung/Monitoring, Schutz vor Brute-Force/DDoS
  • Wichtig: Konzept für Datenpannen (Art. 33/34 DSGVO): Meldefrist 72 Stunden an die Behörde; Information der Betroffenen bei hohem Risiko „unverzüglich“

 

Vierzehntens

Spezielle Websites

Online-Shop

  • Daten zur Vertragserfüllung klar definiert (Art. 6 Abs. 1 lit. b)
  • Sichere Speicherung, Zahlungsdaten nur über zertifizierte Payment-Provider; diese sind meist eigene Verantwortliche
  • Aufbewahrungsfristen (z. B. steuerlich 7 Jahre) technisch umgesetzt
  • Versanddienstleister: Weitergabe zur Vertragserfüllung (eigene Verantwortliche); Information in Datenschutzerklärung
     

Blog mit Kommentarfunktion:

  • Rechtsgrundlage für Kommentarfunktion; IP-Speicherung (Missbrauchs-/Spamprävention) begrenzen und dokumentieren
  • Möglichkeit zur Löschung von Kommentaren auf Anfrage
     

Mitglieder-/Login-Bereich:

  • Passwort-Hashing (z. B. bcrypt/argon2), sichere Reset-Prozesse
  • Session-Management, Inaktivitäts-Timeouts, MFA optional anbieten

 

Fünfzehntens

Mitarbeiter*innendaten & interne Prozesse

Online-Shop:

  • Regelmäßige Datenschutzschulungen, Vertraulichkeitsverpflichtungen
  • Interne Richtlinien (Zugriffsrechte, Clean-Desk, Remote Work, private Geräte)
  • Bewerbungsprozesse DSGVO-konform (Speicherdauer i. d. R. nur solange erforderlich; in Österreich typ. 6–7 Monate nach Besetzung wegen möglicher Ansprüche)
  • Transparenz gegenüber Mitarbeiter*innen (Informationspflichten, Rechte)

 

Sechzehntens

Datenschutz-Folgenabschätzung (DSFA)

  • Notwendig bei voraussichtlich hohem Risiko (Art. 35 DSGVO)
  • Kriterien: besondere Kategorien (Gesundheit, Biometrie), umfangreiches Profiling/Tracking, systematische Überwachung, große Datenmengen, Kinder
  • Falls erforderlich: DSFA dokumentiert, Risiken bewertet, Maßnahmen festgelegt; ggf. Konsultation der Aufsichtsbehörde
     

Siebzehntens

Datenschutzbeauftragte*r

  • Österreich: Kein starres Mitarbeiter*innen-Limit. Eine/Ein DSB ist zu bestellen, wenn die Kriterien des Art. 37 DSGVO erfüllt sind (z. B. umfangreiche, regelmäßige Überwachung oder umfangreiche Verarbeitung besonderer Kategorien) oder bei öffentlichen Stellen.
  • Deutschland: DSB-Pflicht u. a. bei mindestens 20 Personen, die ständig mit automatisierter Verarbeitung beschäftigt sind (zusätzlich zu den DSGVO-Kriterien).
  • Kontaktdaten des/der DSB in der Datenschutzerklärung und ggf. im Impressum angeben.
     

Achtzehntens

Internationale Aspekte

  • Drittlandübermittlungen identifizieren (USA, UK, CH, sonstige)
  • Angemessenheitsbeschluss vorhanden? (z. B. EU‑US Data Privacy Framework; UK, CH jeweils gesondert prüfen)
  • Wenn kein Angemessenheitsbeschluss: SCCs (neue Module) + TIA + ggf. ergänzende Maßnahmen
  • EU-Hosting allein schließt Drittlandzugriffe nicht zwingend aus (Remote-Zugriffe/Support beachten)

 

Neunzehntens

Dokumentation & Nachweispflicht

  • Verarbeitungsverzeichnis, Löschkonzepte, AVVs, TOMs, TIAs vollständig und aktuell
  • Einwilligungsnachweise (inkl. Zeitstempel, Scope), Versionshistorie der Datenschutzerklärung
  • Datenschutz-Vorfälle dokumentieren (inkl. Bewertungen/Meldungen)
  • Prüf- und Freigabeprozesse für neue Tools/Änderungen

 

Zwanzigstens

Regelmäßige Überprüfung

  • Geplante Audits/Reviews (empfohlen: quartalsweise Kernbereiche)
  • Datenschutz-Freigabeprozess vor Einführung neuer Tools/Dienste
  • Laufende Aktualisierung der Datenschutzerklärung und Cookie-Informationen
  • Fortbildungen/Updates zu Rechtsprechung und Behördenleitlinien
  • Technische Tests (z. B. Tag-Audits: keine vorzeitigen Cookies/Requests, keine ungewollten Drittland-Calls)
Jochen
Quote

„Diese Checkliste dient als umfassende Orientierung und Hilfestellung. Viele Anpassungen kannst du selbst durchführen. Für die rechtssichere Umsetzung empfehlen wir die Zusammenarbeit mit Datenschutz-Expertinnen und Rechtsberaterinnen. Die Rechtslage entwickelt sich ständig weiter – bleib am Ball!“

Jochen

Geschäftsführung

Wichtige Updates 2025

  • Cookie-/Consent-Banner: Strengere Durchsetzung gleichwertiger Auswahl (Annehmen/Ablehnen), keine Dark Patterns; § 165 TKG 2021 in Österreich weiterhin maßgeblich.
  • Google Analytics 4: Kein IP-Storage mehr; DPF nutzbar bei zertifizierten US-Empfängern; Consent für nicht-notwendiges Tracking bleibt Pflicht.
  • Google Consent Mode v2: Sorgfältige Konfiguration; vor Consent keine identifier-basierten Speicherungen. Lokale DPA-Vorgaben beachten.
  • Google Fonts: Lokales Hosting weiterhin empfohlen.
  • EU‑US Data Privacy Framework: Als Grundlage für US-Transfers nutzbar; Zertifizierungsstatus prüfen; für nicht zertifizierte Empfänger weiterhin SCCs + TIA erforderlich.
  • KI-/Chat-Tools: Keine sensiblen/personenbezogenen Daten ohne Rechtsgrundlage eingeben; Anbieter, Speicherorte und Zweckbindung prüfen; Transparenzhinweise aktualisieren. EU‑KI-Verordnung (AI Act) startet stufenweise – Pflichten je nach Risikoklasse beachten.
  • Plattform-/Digitalrecht: DSA/DMA gelten; für Betreiber mit Plattformfunktionen zusätzliche Pflichten (Transparenz, Meldekanäle, Kennzeichnung von Werbung).
Letzte Aktualisierung: Dezember 2025
Hinweis: Die Rechtslage im Datenschutz entwickelt sich dynamisch weiter. Diese Checkliste ersetzt keine individuelle Rechtsberatung. Konsultiere bei Unsicherheiten stets einen Datenschutz-Expertin oder Rechtsanwält*in mit Spezialisierung auf Datenschutzrecht.

Fragen?

Meld dich gern bei uns!

Du möchtest noch weiterführende Informationen zur DSGVO?
Das könnte dich auch interessieren:

Jetzt Kontakt aufnehmen! Datenschutzgrundverordnung Linksammlung

Ergänzend zu unserer Linksammlung findest du hier die für Österreich geltenden Gesetzestexte zur DSGVO.

Amtsblatt der Europäischen Union: https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:02016R0679-20160504
Bundesgesetzblatt für die Republik Österreich: https://www.ris.bka.gv.at/Dokumente/BgblAuth/BGBLA_2018_I_24/BGBLA_2018_I_24.pdf

Jochen beim Arbeiten

IT Security

SIWA Infrastruktur-, und Sicherheitsexperte

Digitale Services

SIWA Mitarbeiterin vorm Laptop

NIS2 Richtlinie - sicherer in die digitale Zukunft

Contact Image

NOCH FRAGEN? WIR UNTERSTÜTZEN DICH GERNE!

Melde dich bei Benjamin.

+43 660 9150917

Jetzt E-Mail senden
Wir machen
ALLES AUF EINEN BLICK
ISO Zertifizierung Gruppenbild
Wir sind nach ISO 27001 zertifiziert
Mitarbeiter mit Kuchen
20 Jahre Firmenjubiläum
Magdalena und Anita mit Ferngucker
Praktikant*innen-Talk
Anton Award Bild mit Daniel und Michael
Gold und Silber beim Anton Award 2020!
Mitarbeiter mit Zertifikat
Sieg beim WebAward 2020
Arrow Left
Arrow Right

CONTACT US

CONTACT US

CONTACT US

CONTACT US

CONTACT US

CONTACT US

CONTACT US

CONTACT US

CONTACT US

CONTACT US

CONTACT US

CONTACT US

CONTACT US

CONTACT US

CONTACT US

CONTACT US

CONTACT US

CONTACT US

CONTACT US

CONTACT US

CONTACT US

CONTACT US

CONTACT US

CONTACT US

CONTACT US

CONTACT US

+43 7236 26 669
office@siwa.at
Softwarepark 37
4232 Hagenberg im Mühlkreis