DSGVO-Checkliste für deutsche Onlineshops: 35 Punkte zur Selbstprüfung (2026)

Die Datenschutzbehörden in Deutschland haben ihre Kontrolltätigkeit gegenüber KMU in den Jahren 2024 und 2025 deutlich intensiviert. BayLDA in Bayern und LDI NRW sind besonders aktiv, und Beschwerden über fehlerhafte Cookie-Banner lösen zunehmend automatisierte Überprüfungsverfahren aus. Dazu kommt ein Effekt, den viele Unternehmer unterschätzen: Mitbewerber und Abmahnvereine nutzen offensichtliche DSGVO-Verstöße als wettbewerbsrechtliche Handhabe. Ein fehlender Ablehnen-Button im Cookie-Banner oder eine Datenschutzerklärung ohne Speicherfristen ist in Deutschland schnell ein Streitwert von 3.000 bis 8.000 Euro.

Was viele nicht wissen: Datenschutzverstöße können in Deutschland auch von Mitbewerbern und Verbänden nach dem Gesetz gegen unlauteren Wettbewerb (UWG) abgemahnt werden. Der BGH hat das in mehreren Entscheidungen bestätigt. Das bedeutet: Das Risiko kommt nicht nur von Datenschutzbehörden, sondern auch von Wettbewerbern, die gezielt nach Verstößen auf Ihrer Website suchen.

Diese Checkliste deckt 35 Prüfpunkte in zehn Bereichen ab. Für eine technische Ergänzung zu dieser Selbstprüfung: unser kostenloser DSGVO-Scanner prüft Cookie-Banner, Tracking-Skripte und Sicherheitsheader automatisch und zeigt Ihnen in zwei Minuten, was auf Ihrer Website angepasst werden muss.

1. Datenschutzerklärung (Art. 13/14 DSGVO)

Nach Art. 13 DSGVO sind Sie verpflichtet, Besucher Ihrer Website bei der Datenerhebung zu informieren. Das gilt ab dem Moment, wo Ihre Website irgendetwas erhebt, also auch Server-Logs mit IP-Adressen, eingebettete Drittinhalte oder ein einfaches Kontaktformular.

• Datenschutzerklärung ist vorhanden und im Footer auf jeder Seite verlinkt
• Linktext lautet "Datenschutz" oder "Datenschutzerklärung", nicht "Rechtliches"
• Name, Anschrift und E-Mail-Adresse des Verantwortlichen sind angegeben
• Für jede Verarbeitungsaktivität ist eine Rechtsgrundlage nach Art. 6 DSGVO genannt
• Alle eingebundenen Dienste sind aufgeführt: Analytics, Fonts, Zahlungsanbieter, CDN
• Speicherdauer ist für jede Datenkategorie konkret angegeben, nicht nur "solange gesetzlich nötig"
• Alle Betroffenenrechte nach Art. 15 bis 22 DSGVO sind beschrieben
• Kontakt zur zuständigen Landesdatenschutzbehörde ist angegeben

Die zuständige Behörde richtet sich nach dem Bundesland Ihres Unternehmenssitzes. Bayerische Unternehmen wenden sich an die BayLDA, Berliner an die BlnBDI und Hamburger an den HmbBfDI.

Ein häufiger Fehler bei Generator-Texten: Die Erklärung nennt Dienste, die gar nicht mehr genutzt werden, oder verschweigt neue Tools, die nach der Erstellung eingebunden wurden. Für eine vertiefende Prüfung: Was muss in eine Datenschutzerklärung.

2. Cookie-Einwilligung nach TDDDG §25

§ 25 TDDDG regelt den Zugriff auf Endgeräte-Informationen. Das bedeutet: Bevor Ihre Website nicht-notwendige Cookies setzt oder auf lokalen Speicher zugreift, braucht sie die ausdrückliche Einwilligung des Nutzers. Das gilt für Analytics-Cookies, Marketing-Pixel und Social-Media-Buttons, aber nicht für Cookies, die technisch zwingend notwendig sind, etwa Session-Cookies für den Warenkorb.

Die Datenschutzkonferenz (DSK) hat 2024 eine aktualisierte Orientierungshilfe zu Consent-Management-Plattformen veröffentlicht, die für alle deutschen Website-Betreiber als Maßstab gilt.

• Cookie-Banner erscheint beim ersten Besuch, bevor Tracking-Skripte laden
• "Ablehnen" ist auf der ersten Bannerebene direkt anklickbar
• Akzeptieren-Button und Ablehnen-Button sind optisch gleichwertig gestaltet
• Keine Tracking-Anfragen gehen an Drittanbieter, bevor der Nutzer eine Wahl getroffen hat
• Einwilligung ist über einen dauerhaften Footer-Link jederzeit widerrufbar
• Einwilligungsdatum und -umfang werden durch die CMP protokolliert

Die häufigste Beanstandung durch die Behörden: Tracking-Skripte laden im Hintergrund, während der Banner noch angezeigt wird. Das ist ein technischer Fehler, den Sie mit den Browser-Entwicklertools leicht selbst prüfen können. Öffnen Sie DevTools (F12), Reiter Netzwerk, laden Sie Ihre Seite neu und schauen Sie, ob Anfragen an google-analytics.com oder facebook.net gehen, noch bevor Sie den Banner weggeklickt haben.

Zur detaillierten Prüfung Ihres Banners: DSGVO-konformer Cookie-Banner.

3. Rechtsgrundlage für jede Verarbeitung (Art. 6 DSGVO)

Jede Verarbeitung personenbezogener Daten braucht eine Rechtsgrundlage. "Wir nutzen Ihre Daten zur Verbesserung unserer Angebote" ist keine Rechtsgrundlage, das ist eine Zweckbeschreibung. Beides muss in der Datenschutzerklärung vorhanden sein.

• Einwilligung (lit. a): für Newsletter, nicht-notwendige Cookies, Marketing-E-Mails
• Vertragserfüllung (lit. b): für Bestellabwicklung, Versand, Kundensupport
• Rechtliche Verpflichtung (lit. c): für Buchhaltungsunterlagen und steuerliche Aufbewahrung
• Berechtigtes Interesse (lit. f): Interessenabwägung ist dokumentiert und begründet
• Jede Rechtsgrundlage ist in der Datenschutzerklärung für die entsprechende Aktivität benannt

Das berechtigte Interesse wird in Deutschland restriktiver ausgelegt als in manchen anderen EU-Ländern. Für Tracking und personalisiertes Marketing trägt es in der Regel nicht. Für Direktwerbung per E-Mail an Bestandskunden (§ 7 Abs. 3 UWG) gibt es eine enge Ausnahme, aber auch dort muss ein Widerspruchsrecht aktiv angeboten werden.

4. Auftragsverarbeitung: AVV nach Art. 28 DSGVO

Wer externe Dienstleister nutzt, die in seinem Auftrag Daten verarbeiten, muss mit diesen einen Auftragsverarbeitungsvertrag (AVV) schließen. In Deutschland hat sich "AVV" als Begriff für diese Vereinbarungen nach Art. 28 DSGVO etabliert.

• AVV mit Hosting-Provider oder Managed-Server-Betreiber abgeschlossen
• AVV mit E-Mail-Marketing-Plattform (Mailchimp, Brevo, Klaviyo o.ä.)
• AVV mit Web-Analytics-Tool, auch bei datenschutzfreundlichen Alternativen
• AVV mit Zahlungsanbieter, sofern Kundendaten übertragen werden
• AVV mit Live-Chat- oder Helpdesk-System
• Nachweis der Unterzeichnung oder Portalakzeptanz ist archiviert

Viele SaaS-Anbieter stellen AVV-Vorlagen im Kundenportal bereit. Das Problem: viele Betreiber haben diese einmal akzeptiert, aber keinen Nachweis gespeichert. Für einen Schritt-für-Schritt-Audit aller AVV-Pflichten: DSGVO-Website-Audit.

5. Speicherdauer und Löschkonzept

Art. 5 Abs. 1 lit. e DSGVO verlangt das Speicherbegrenzungsprinzip: Daten nur so lange halten, wie es der Verarbeitungszweck erfordert. In Deutschland kommen gesetzliche Mindestaufbewahrungsfristen hinzu, die zum Teil längere Aufbewahrung verlangen.

• Buchführungsunterlagen und Belege: mindestens 10 Jahre (§ 257 HGB)
• Steuerrelevante Unterlagen: mindestens 10 Jahre (§ 147 AO)
• Allgemeine Geschäftsbriefe: mindestens 6 Jahre (§ 257 Abs. 1 Nr. 2 HGB)
• Kontaktformular-Eingaben ohne Kaufbezug: bis Anfrage bearbeitet, dann löschen
• Newsletter-Adressen: bis zur Abmeldung, danach umgehend löschen oder anonymisieren
• Server-Logs mit IP-Adressen: typisch 7 bis 14 Tage, maximal 90 Tage ohne weiteren Zweck

Ein Löschkonzept ist dann vollständig, wenn der Prozess technisch umgesetzt ist, nicht nur auf Papier festgehalten. Behörden fragen bei Prüfungen nach dem Nachweis der tatsächlichen Löschung.

6. Datenpannen-Meldung (Art. 33 DSGVO)

Jede Datenpanne, die ein Risiko für Betroffene darstellt, muss innerhalb von 72 Stunden bei der zuständigen Datenschutzbehörde gemeldet werden. Der BfDI ist für Bundesbehörden und Telekommunikationsunternehmen zuständig. Für die meisten Unternehmen gilt die jeweilige Landesdatenschutzbehörde.

• Verfahren für die Erstbeurteilung einer Datenpanne ist schriftlich festgehalten
• Zuständige Landesbehörde und Meldekontakt sind bekannt
• Entscheidungsbaum "meldepflichtig ja/nein" ist bekannt oder intern verfügbar
• Benachrichtigungspflicht gegenüber Betroffenen nach Art. 34 DSGVO ist bekannt

Manche Landesdatenschutzbehörden stellen eigene Online-Meldeformulare bereit. Für den Notfall: Die 72-Stunden-Frist beginnt ab dem Moment, wo Sie von der Panne wissen, nicht ab dem technischen Vorfall.

Auch wenn kein Risiko für Betroffene besteht und damit keine Meldepflicht auslöst, sollten Sie die Panne intern dokumentieren. Art. 33 Abs. 5 DSGVO verlangt diese interne Aufzeichnung unabhängig von der Meldepflicht. Im Falle einer späteren Behördenanfrage schützt sie Sie.

7. Technische Sicherheit (Art. 32 DSGVO)

Art. 32 DSGVO schreibt keine konkrete Maßnahmenliste vor, sondern "dem Risiko angemessene" Schutzmaßnahmen. Das BSI hat im IT-Grundschutz-Kompendium Basisanforderungen definiert, die als Orientierung für KMU dienen.

• HTTPS auf allen Seiten aktiv, HTTP-Anfragen werden weitergeleitet
• TLS-Zertifikat ist gültig und aktuell
• CMS, Themes und Plugins sind auf dem aktuellen Sicherheitsstand
• Sicherheitsheader HSTS, Content-Security-Policy und X-Content-Type-Options sind gesetzt
• Admin-Zugänge sind durch starke Passwörter und 2-Faktor-Authentifizierung gesichert

Der 1&1 Telecom-Fall aus 2019 zeigt, was unzureichende technische Maßnahmen kosten können: Der BfDI verhängte 9,55 Mio. Euro Bußgeld, weil das Unternehmen Kundendaten auf bloße Namensnennung hin herausgab, was einem Verstoß gegen Art. 32 DSGVO entsprach. Für KMU sind die Beträge kleiner, aber das Prinzip gilt.

8. Betroffenenrechte (Art. 15-22 DSGVO)

Betroffene können Auskunft über ihre Daten verlangen, Berichtigung, Löschung und in bestimmten Fällen Datenübertragbarkeit. Sie müssen als Verantwortlicher innerhalb von vier Wochen antworten können.

• Kontaktmöglichkeit für Datenschutzanfragen ist auf der Website angegeben
• Auskunftsanfragen nach Art. 15 können innerhalb von vier Wochen beantwortet werden
• Löschung nach Art. 17 kann technisch umgesetzt werden
• Widerspruchsrecht nach Art. 21 ist in der Datenschutzerklärung erklärt
• Datenübertragbarkeit nach Art. 20 ist für einwilligungsbasierte Verarbeitung möglich
• Fristverlängerung bei komplexen Anfragen ist intern bekannt (bis zu drei Monate bei Begründung)

Vier Wochen ist die gesetzliche Standardfrist. Bei besonders umfangreichen Anfragen dürfen Sie um weitere zwei Monate verlängern, müssen das aber dem Anfragenden innerhalb der ersten vier Wochen mitteilen.

9. Besondere Kategorien personenbezogener Daten (Art. 9 DSGVO)

Für die meisten E-Commerce-Websites kein Thema, aber prüfen Sie:

• Verarbeitet Ihre Website implizit besondere Kategorien? (z.B. Apotheke, Fitnessstudio, religiöse Organisation, politische Vereinigung)
• Wenn ja: ausdrückliche Einwilligung nach Art. 9 Abs. 2 lit. a ist eingeholt
• Verarbeitung ist auf das Notwendige beschränkt und dokumentiert

Eine Fitness-App, die Trainingsdaten erhebt, kann Gesundheitsdaten berühren. Ein Online-Shop für Nahrungsergänzungsmittel mit Kundenprofilen kann in die Nähe gesundheitsbezogener Daten kommen. Im Zweifel gilt Art. 9 bereits dann, wenn die Verarbeitung Rückschlüsse auf besondere Kategorien erlaubt.

Wenn Art. 9 gilt, sind die Anforderungen erheblich strenger: Die Einwilligung muss ausdrücklich und spezifisch sein, eine bloße Zustimmung zu den AGB reicht nicht. Behörden prüfen bei Unternehmen mit Gesundheitsbezug besonders genau.

10. Drittlandtransfer (Art. 44-46 DSGVO)

Wer US-amerikanische Dienste nutzt, überträgt Daten in ein Drittland. Seit Juli 2023 gilt das EU-US Data Privacy Framework als Angemessenheitsbeschluss der Europäischen Kommission, aber nur für zertifizierte Unternehmen.

• Alle US-Dienste identifiziert, die Daten empfangen (Google, Mailchimp, Stripe, AWS, Microsoft usw.)
• Für jeden Dienst geprüft, ob er unter dem Data Privacy Framework zertifiziert ist
• Drittlandtransfer und Rechtsgrundlage in der Datenschutzerklärung erwähnt
• Für nicht zertifizierte Dienste: Standardvertragsklauseln (SCC) vereinbart

Das Data Privacy Framework hat aktuell Bestand, aber noyb hat neue Klagen angekündigt. Die Situation ähnelt den Monaten vor dem Schrems-II-Urteil des EuGH (C-311/18). Wer US-Dienste zentral für seinen Betrieb nutzt, sollte europäische Alternativen zumindest kennen.

Konkret: Prüfen Sie für jeden US-Dienst, ob es eine europäisch gehostete Alternative gibt (z.B. Matomo statt Google Analytics, Brevo mit EU-Hosting statt Mailchimp, Hetzner statt AWS us-east). Das schützt nicht nur vor einem möglichen Schrems-III-Urteil, sondern macht Ihre Datenschutzerklärung auch einfacher.

Auswertung

Zählen Sie die abgehakten Punkte:

• 30 oder mehr: Ihre Website ist gut aufgestellt. Wiederholen Sie die Prüfung, wenn Sie neue Tools oder Dienstleister einbinden.
• 20 bis 29: Es gibt Lücken. Priorisieren Sie Cookie-Einwilligung und Datenschutzerklärung, die Behörden prüfen diese Bereiche am häufigsten.
• Unter 20: Mehrere grundlegende Pflichten sind nicht erfüllt. Beginnen Sie mit Datenschutzerklärung, Cookie-Banner und AVV-Verträgen.

Wiederholen Sie die Prüfung mindestens einmal jährlich, außerdem immer dann, wenn Sie ein neues Plugin, einen neuen Dienst oder ein neues Formular einbinden. Jede Änderung kann neue Verarbeitungen einführen, die in Datenschutzerklärung und Banner nachgezogen werden müssen.

Eine Checkliste zeigt, wo Lücken sind, aber nicht alles, was technisch auf Ihrer Website passiert. Unser kostenloser DSGVO-Scanner prüft Cookie-Banner, Tracking-Skripte, externe Verbindungen und Sicherheitsheader automatisch und zeigt Ihnen in zwei Minuten, was auf technischer Ebene angepasst werden muss.

Diese Checkliste ist die deutsche Fassung unserer paneuropäischen DSGVO-Compliance-Checkliste.

---

Dieser Artikel ist technische Analyse, kein Rechtsrat. Für Fragen zu Ihrer konkreten Situation wenden Sie sich an eine Datenschutzfachperson.