Ein Plugin-Update. Ein neuer Tracking-Pixel. Ein Website-Relaunch. Jedes davon kann eine bereits behobene Compliance-Lücke unbemerkt wieder öffnen — oft bleibt das lange unentdeckt. Die Unternehmen, die heute Bußgelder erhalten, sind nicht die, die Compliance ignoriert haben; es sind die, die einmal compliant waren und dann aufgehört haben zu prüfen.
Dieser Leitfaden beantwortet die Frage, die zählt, nachdem Sie die offensichtlichen Probleme behoben haben: Wie erhalten Sie die DSGVO-Compliance dauerhaft aufrecht?
Beginnen Sie mit einer Ausgangsbasis. Kostenlosen CNIL-Compliance-Scan durchführen → — bevor Sie Abweichungen überwachen können, müssen Sie Ihren aktuellen Stand kennen.
⚠️ Haftungsausschluss: Dieser Artikel dient ausschließlich zu Informationszwecken und stellt keine Rechtsberatung dar. Die Durchsetzungspraxis variiert je nach Rechtsraum. Wenden Sie sich für eine auf Ihre Situation zugeschnittene Beratung an einen qualifizierten Anwalt.
Vier Kräfte untergraben die Compliance einer Website kontinuierlich — selbst wenn niemand absichtlich Abstriche macht.
Jede Änderung an Ihrer Website ist ein potenzielles Compliance-Ereignis:
→ Führen Sie vor und nach jeder größeren Website-Änderung einen Baseline-Scan durch. Website kostenlos scannen →
Ihre Website bindet wahrscheinlich Analyseplattformen, Werbenetzwerke, Social-Media-Widgets, Zahlungsdienstleister und CDNs ein. Diese Tools werden von ihren Anbietern regelmäßig aktualisiert — manchmal ohne jede Ankündigung.
Ihre Haftung für diese Tools ist real. Wenn ein eingebettetes Tool Cookies ohne Einwilligung setzt, tragen Sie — als Website-Betreiber — die primäre Verantwortung gegenüber Ihrer zuständigen Datenschutzbehörde.
→ Prüfen Sie vierteljährlich, welche Skripte auf Ihrer Website tatsächlich ausgelöst werden. Sitetals zeigt bei jedem Seiten-Scan jeden erkannten Drittanbieter-Tracker an. Kostenlos starten →
Das EU-Datenschutzrecht ist nicht statisch. Datenschutzbehörden veröffentlichen neue Leitlinien. Gerichte fällen Urteile, die das zuvor Zulässige neu definieren.
Reale Beispiele, die die Compliance-Anforderungen verändert haben:
Viele Verstöße sind bei normaler Website-Nutzung nicht erkennbar. Durch bloßes Betrachten Ihrer Website können Sie nicht feststellen:
Sie können nicht beheben, was Sie nicht sehen können.
| Art der Änderung | Typische Auswirkung auf die Compliance |
|---|---|
| Plugin- oder CMP-Update | Neue Cookies eingeführt; Geltungsbereich des Banners stimmt nicht überein |
| Hinzufügen eines Marketing-Tools | Drittanbieter-Skripte werden vor der Einwilligung ausgelöst |
| Neue Seite oder Landingpage | Fehlendes Impressum; fehlende Cookie-Behandlung |
| Website-Relaunch | Impressum nicht migriert; „Alle ablehnen“-Pfad defekt |
| Update des Analyse-Anbieters | Bedingungen zur Datenübermittlung überarbeitet; Speicherdauer geändert |
| Eingebettetes Drittanbieter-Video (YouTube, Vimeo) | Externe Cookies werden beim Seitenaufbau geladen |
| Live-Chat-Widget hinzugefügt | Cookies werden vor der Interaktion gesetzt |
| A/B-Testing-Tool aktiviert | Testvariante führt Tracking ohne Einwilligung ein |
Die Abweichung des Cookie-Banners ist am häufigsten. Ein Banner, das letztes Jahr korrekt für Ihren damaligen Tool-Stack konfiguriert wurde, deckt möglicherweise nicht ab, was heute tatsächlich auf Ihrer Website ist.
Sie können Abweichungen nicht überwachen, ohne Ihren Ausgangszustand zu kennen. Ein Baseline-Scan zeigt Ihnen:
Kostenlosen Baseline-Scan mit Sitetals durchführen →
Jeder der folgenden Punkte sollte vorher oder unmittelbar danach einen Compliance-Scan auslösen:
Änderungsauslöser erfassen punktuelle Ereignisse. Wiederkehrende Scans erfassen die langsame Abweichung, die niemand bemerkt:
Wenn Sie ein Problem beheben, dokumentieren Sie es:
Diese Aufzeichnung ist wichtig, falls Sie jemals mit einer behördlichen Anfrage konfrontiert werden. Nachzuweisen, dass Sie Probleme zeitnah und systematisch erkannt und behoben haben, ist ein Beleg für Compliance nach Treu und Glauben.
„Compliance“ ohne verantwortliche Person ist niemandes Aufgabe. Benennen Sie jemanden. Für KMU erfordert dies keine Vollzeitstelle — es erfordert eine Person, die Scan-Benachrichtigungen erhält, die Checkliste der Änderungsauslöser überprüft und bei auslegungsbedürftigen regulatorischen Aktualisierungen die Rechtsabteilung einschaltet.
Für die meisten kleinen Unternehmen läuft kontinuierliche Compliance-Überwachung auf drei praktische Dinge hinaus:
1. Nutzen Sie automatisierte Scans, keine manuellen Prüfungen.
Manuelle Prüfungen finden einmal statt. Automatisierte Scans finden planmäßig statt. Das Tool übernimmt das Erinnern.
2. Verankern Sie Compliance in Ihrem Änderungsprozess.
Die wirksamsten Compliance-Programme fangen Änderungen ab, bevor sie live gehen. Ein einzeiliger Checklistenpunkt vor jedem Plugin-Update kostet so gut wie nichts. Die Reaktion auf eine Abmahnung verursacht dagegen schnell erhebliche Kosten.
3. Wissen Sie, wann Sie eskalieren müssen.
Automatisierte Scans erfassen technische Compliance-Probleme. Die rechtliche Auslegung — ob Ihre Grundlage des berechtigten Interesses trägt, ob ein Auftragsverarbeitungsvertrag (AVV) erforderlich wird — erfordert einen Anwalt.
Das Plugin-Update-Szenario: Ein WooCommerce-Shop besteht ein sauberes Compliance-Audit. Drei Monate später führt ein Entwickler routinemäßige Plugin-Updates durch. Ein Update führt eine neue Analyse-Komponente ein. Das Banner deckt diesen Tracker nicht ab. Der Anwalt eines Wettbewerbers bemerkt dies bei einem automatisierten Scan und verschickt eine Abmahnung. Das Unternehmen hat 10 Tage Zeit zu reagieren. Kosten: erhebliche Anwaltskosten. Auslöser: Routinewartung, die niemand überprüft hat.
Das Analytics-Änderungs-Szenario: Ein Unternehmen konfiguriert die Einwilligung für sein Analyse-Tool korrekt. Der Analyse-Anbieter aktualisiert stillschweigend seine Datenverarbeitungsbedingungen. Das Unternehmen bemerkt es nicht. Auslöser: kein Prozess zur Verfolgung von Änderungen bei Drittanbietern.
Das Relaunch-Szenario: Ein Website-Relaunch wird an eine Designagentur übergeben. Im Briefing wurde Compliance nicht erwähnt. Der Relaunch macht den „Alle ablehnen“-Pfad kaputt, versteckt das Impressum und entfernt die Erklärung zur Barrierefreiheit. Die Website geht live und wird stark beworben — was die Sichtbarkeit genau in dem Moment maximiert, in dem ihre Compliance-Lage am schwächsten ist.
| Aufgabe | Automatisieren | Manuell |
|---|---|---|
| Cookie- und Tracker-Inventar | ✓ | |
| Prüfung auf Skript-Auslösung vor Einwilligung | ✓ | |
| Abgleich Banner-Geltungsbereich vs. tatsächliche Cookies | ✓ | |
| Vorhandensein von Pflichtangaben (Impressum, Datenschutzerklärung) | ✓ | |
| Korrektheit der Datenschutzerklärung (neue Anbieter berücksichtigt) | ✓ | |
| Angemessenheit der Rechtsgrundlage | ✓ (Anwalt) | |
| Überprüfung regulatorischer Aktualisierungen | ✓ | |
| Überprüfung der AVV mit Auftragsverarbeitern | ✓ |
| Aufgabe | Tool | Hinweise |
|---|---|---|
| Cookie- und Tracker-Inventar | Sitetals-Scan | Erfasst, was vor der Einwilligung ausgelöst wird; vergleicht mit dem deklarierten Geltungsbereich Ihres Banners |
| Skript-Prüfung vor Einwilligung | Browser-DevTools (Netzwerk-Tab, Inkognito) | Manuell — dauert 5 Minuten; nach jeder bedeutenden Website-Änderung durchführen |
| Überprüfung der CMP-Konfiguration | Ihr CMP-Administrationsbereich (Complianz / Cookiebot / CookieYes) | Bestätigen, dass die automatische Blockierung aktiv ist |
| Vollständigkeit der Pflichtangaben | Sitetals-Scan + manuelle Überprüfung | Struktur von Impressum/Mentions légales; Vollständigkeit der Speicherfristen |
| Überwachung regulatorischer Aktualisierungen | CNIL-Newsletter + BfDI-Pressemitteilungen | Kostenlos; einmal abonnieren |
| Überprüfung der Rechtsgrundlage und der AVV | Interne Rechtsabteilung oder DSGVO-Anwalt | Vierteljährlich oder wenn ein Auftragsverarbeiter seine Bedingungen aktualisiert |
Jedes Compliance-Überwachungsprogramm beginnt gleich — mit einer Ausgangsbasis. Erst wenn Sie wissen, wo Sie stehen, können Sie Abweichungen messen.
Ein Sitetals-Scan liefert Ihnen:
Führen Sie ihn kostenlos durch. Beheben Sie, was er findet. Legen Sie dann einen Zeitplan fest, um diesen sauberen Zustand zu schützen.
Wie oft sollte ich meine Website auf DSGVO-Compliance prüfen?
Mindestens vierteljährlich — sowie unmittelbar vor und nach jeder bedeutenden Website-Änderung (neue Plugins, neue Tracking-Tools, Relaunches, neue Formulare).
Was ist die häufigste Ursache für DSGVO-Compliance-Abweichungen?
Plugin- und CMP-Updates, die neue Cookies einführen, ohne den Website-Betreiber zu benachrichtigen; Marketing-Mitarbeiter, die Tracking-Tools ohne IT- oder Rechtsprüfung hinzufügen; und Website-Relaunches, bei denen Compliance-Elemente nicht in der Übergabe-Checkliste enthalten sind.
Kann ich mein Cookie-Banner einmal konfigurieren und dann nicht mehr prüfen?
Nein. Die Abweichung des Cookie-Banners ist eines der häufigsten Compliance-Versäumnisse. Ein Banner, das für den letztjährigen Tool-Stack korrekt konfiguriert wurde, stimmt möglicherweise nicht mit dem überein, was heute tatsächlich auf Ihrer Website ist.
Was ist der Unterschied zwischen kontinuierlicher Überwachung und einem rechtlichen Audit?
Die automatisierte Überwachung prüft, was programmatisch verifiziert werden kann. Ein rechtliches Audit umfasst einen Anwalt, der beurteilt, ob Ihre Rechtsgrundlagen angemessen sind und ob Ihre Richtlinien der aktuellen regulatorischen Auslegung entsprechen. Die meisten KMU benötigen beides.
Ist DSGVO-Compliance-Überwachung nur etwas für große Unternehmen?
Im Gegenteil. Große Unternehmen haben Rechtsteams, die regulatorische Aktualisierungen überwachen. Kleine Unternehmen in der Regel nicht — was bedeutet, dass automatisierte Überwachung der praktische Ersatz ist.
Weiterführende Lektüre:
Quellen: DSGVO (Verordnung EU 2016/679), ePrivacy-Richtlinie, CNIL-Durchsetzungsentscheidungen und Leitlinien-Aktualisierungen 2022–2026, BfDI-Jahresberichte, Urteil des LG München zu Google Fonts (2022), BGH-Urteil Planet49, CNIL-Leitlinien-Aktualisierung zu Analytics (2023)
🩸 — Sitetals Redaktion