|

Ein unterschätztes Risiko: Deine gewachsene Website ohne Datenschutz‑Check

VonStephan Wagner
Ein gestresster Mann sitzt an einem mit Haftnotizen übersäten Schreibtisch, während ein Kollege mit einer Tasse lächelnd hinter ihm steht - vielleicht ohne den automatisch gespeicherten Entwurf auf seinem Computerbildschirm zu bemerken.

1. Einstieg: Eine ganz normale Website, die „irgendwie mitgewachsen“ ist

Stell dir folgende Situation vor:

Deine Website gibt es seit Jahren.
Am Anfang war das Ding eine schlichte Visitenkarte: Startseite, Kontakt, vielleicht ein Teamfoto.

Dann kam nach und nach mehr dazu:

  • Blog oder News-Bereich
  • Newsletter-Formular
  • Online-Terminbuchung
  • Eingebettete Karten
  • Bewerbungsformular
  • vielleicht ein Kundenportal oder Downloadbereich

Verschiedene Agenturen und Freelancerinnen und Freelancer haben daran geschraubt.
Hier ein neues Plugin, dort ein Tracking-Tool, ein „schnelles“ Script, damit etwas hübscher aussieht, dann noch ein neues Cookie-Banner und irgendein Spam-Schutz.

Alle hatten das Beste im Sinn – aber niemand hat jemals die komplette Website systematisch unter dem Blickwinkel „Datenschutz und Sicherheit“ betrachtet.

Das Ergebnis:

  • Nach außen: alles ordentlich.
  • Unter der Haube: ein gewachsener Flickenteppich aus Diensten, Datenströmen und Einstellungen.

Und genau dort entstehen die Risiken.

In diesem Fachartikel geht es darum, dir als Geschäftsführung oder Inhaber eines KMU Orientierung zu geben:

  • Was ist wirklich kritisch?
  • Wo passieren typische Fehler?
  • Und wie kommst du pragmatisch zu einer Website, die fachlich und rechtlich sauber aufgestellt ist – ohne alles neu zu bauen?

2. Warum das Thema wichtig ist – ohne Panik und ohne Gesetzeszitate

Datenschutz auf der Website ist kein Selbstzweck und kein Hobbyprojekt für Juristen.
Es geht im Kern um drei Punkte.

2.1 Vertrauen nach außen

Menschen geben auf deiner Website Daten ein:

  • Kontaktformular
  • Bewerbung
  • Terminbuchung
  • Newsletter-Anmeldung
  • eventuell Upload von Unterlagen

Sie gehen stillschweigend davon aus, dass du sorgsam damit umgehst.

Eine Website, die sichtbar veraltet wirkt oder datenschutzrechtlich „wackelt“, kostet Vertrauen – gerade bei beratungsintensiven oder sensiblen Dienstleistungen.
„Wenn die beim Kontaktformular schon pfuschen – wie gehen die dann intern mit meinen Daten um?“

2.2 Vermeidung von Bußgeldern und Beschwerden

Aufsichtsbehörden und Verbraucherschutzverbände schauen sich Websites inzwischen recht regelmäßig an. Typische Auslöser:

  • übergriffiges oder falsches Tracking
  • Cookie-Banner, die mehr kaschieren als erklären
  • Einsatz von US-Diensten ohne ausreichende Absicherung
  • fehlende oder veraltete Datenschutzerklärungen

Oft startet es nicht mit der Behörde, sondern mit:

  • einer Beschwerde von Kundinnen oder Kunden,
  • einer hartnäckigen Nachfrage,
  • oder einem Mitbewerb, der genauer hinschaut.

2.3 Stabilität deiner Prozesse

Deine Website ist oft der erste Kontaktpunkt:

  • neue Aufträge
  • Anfragen
  • Bewerbungen
  • Supportanfragen

Wenn Datenschutz und Informationssicherheit dort nicht durchdacht sind, entstehen Brüche:

  • unsichere Datenübertragung
  • unklare Zuständigkeiten
  • verstreute Datenspeicherung (Postfächer, Tools, lokale Rechner)
  • dadurch Mehrarbeit, Rückfragen, Unsicherheit im Team

Es geht also nicht darum, „noch eine Pflicht“ zu erfüllen,
sondern darum, ein zentrales Geschäfts-Werkzeug – deine Website – sauber in dein Datenschutz- und IT-Sicherheitskonzept einzubetten.

3. Typische Praxisfehler bei gewachsenen Websites

3.1 „Das macht die Agentur“ – fehlende Verantwortung im Unternehmen

Klassiker, den ich ständig höre:

„Das haben wir an die Webagentur gegeben, die wird das schon richtig machen.“

oder

„Wir haben ein Standard-Cookie-Banner, das passt schon.“

Problem:
Webagenturen sind in der Regel keine Datenschutzberatungen.
Sie kennen viele technische Möglichkeiten – aber nicht automatisch die rechtliche Einordnung.

Die Verantwortung liegt am Ende immer bei dir als Unternehmen, nicht bei der Agentur.
Das mag unbequem sein, ist aber die Realität.

3.2 Veraltete oder generische Datenschutzerklärung

Noch ein Dauerbrenner:

  • Datenschutzerklärung vor Jahren per Generator erstellt
  • seitdem nie wieder ernsthaft angefasst
  • Website hat sich aber stark weiterentwickelt

Inzwischen sind dazugekommen:

  • zusätzliche Tracking- und Analyse-Tools
  • Newsletter-Dienstleister
  • eingebettete Karten, Videos, Captcha-Dienste
  • neue Formulare und Portale

In der Datenschutzerklärung:

  • viele dieser Dienste fehlen komplett
  • andere sind unsauber beschrieben
  • alte Dienste stehen drin, die schon lange nicht mehr genutzt werden

Kurz: Text und Wirklichkeit passen nicht zusammen.

3.3 Cookie-Banner, die mehr versprechen, als sie halten

Viele Banner sehen auf den ersten Blick modern aus, sind aber technisch oder rechtlich Murks:

  • Cookies und Tracking-Tools laufen schon, bevor jemand geklickt hat
  • „Alle akzeptieren“ ist groß und bunt, „Nur notwendige Cookies“ ist gut versteckt
  • Auswahl lässt sich kaum differenziert steuern
  • Widerruf der Einwilligung? Theoretisch ja, praktisch nein

Nach außen:
„Wir nehmen Datenschutz ernst.“

Unter der Haube:
„Wir hoffen, dass sich niemand damit auskennt.“

3.4 Externe Dienste „auf Zuruf“ eingebunden

Einige typische Kandidaten:

  • Schriftarten und Skripte von US-Servern
  • Karten (z. B. Routenplaner)
  • Videos von Plattformen
  • Spam-Schutz (Captcha)
  • Chat- oder Support-Tools

Oft wird einfach der Einbettungscode übernommen, den der Dienst anbietet.
Dass damit unter Umständen sofort IP-Adressen und Nutzungsdaten an Drittanbieter fließen, gerät im Projektstress gern in Vergessenheit.

3.5 Kein Blick auf die internen Prozesse hinter der Website

Die Website ist nur die sichtbare Oberfläche. Dahinter stehen Abläufe:

  • Wer bearbeitet Kontaktanfragen, Bewerbungen, Terminbuchungen?
  • Wo werden die Daten gespeichert (Postfach, CRM, Tool-Backend)?
  • Wer hat Zugriff – und wie lange?
  • Was passiert bei Auskunfts- oder Löschanfragen?

Wenn das niemand definiert hat, wird es spätestens ungemütlich, wenn sich eine betroffene Person meldet oder eine Behörde nachfragt.

4. Pragmatische Lösungen für gewachsene Websites

Ziel ist nicht, deine Website komplett auseinanderzunehmen.
Ziel ist, strukturiert Ordnung hineinzubringen.

Ein pragmatischer Ansatz besteht aus fünf Schritten.

4.1 Bestandsaufnahme: Was macht die Website heute wirklich?

Zuerst brauchst du ein ehrliches Bild. Dazu gehören:

  • Welche Unterseiten gibt es? (auch versteckte Landingpages)
  • Welche Formulare gibt es, und wohin gehen die Daten?
  • Welche externen Dienste und Skripte sind eingebunden
    (Tracking, Karten, Videos, Schriftarten, Chat, Captcha etc.)?
  • Welche Cookies werden gesetzt – und wann?

Das klingt umfangreich, lässt sich aber in einer kompakten technischen und rechtlichen Kurzprüfung abbilden – wenn man weiß, worauf man schauen muss.

4.2 Sortieren und Priorisieren: Was ist kritisch, was „nur“ unsauber?

Nicht alles ist gleich dringend. Sinnvolle Reihenfolge:

1. Offensichtliche Rechtsverstöße

  • Tracking ohne oder klar an der Einwilligung vorbei
  • Dienste mit problematischem Datentransfer ins Ausland ohne Absicherung
  • grob falsche oder fehlende Datenschutzerklärung

2. Strukturelle Schwächen

  • fehlende oder unklare Verträge mit Agentur, Hoster, Newsletterdienst usw.
  • unklare Prozesse für Anfragen, Bewerbungen, Support

3. Optimierungen

  • technisch schlankere Lösungen
  • datensparsame Alternativen (z. B. lokale Schriftarten, Karten erst nach Klick)
  • Aufräumen alter Inhalte und Formulare

So behältst du die Kontrolle über Aufwand und Kosten.

4.3 Verantwortlichkeiten klären

Für eine nachhaltige Lösung brauchst du klare Rollen:

  • Wer ist intern fachlich verantwortlich für die Website?
  • Wer pflegt Inhalte und neue Funktionen ein?
  • Wer ist technische Ansprechperson (IT, Hoster, Agentur)?
  • Wo wird der externe oder interne Datenschutz eingebunden?

Wichtig ist eine einfache Grundregel:
Jede wesentliche Änderung an der Website, bei der neue Daten verarbeitet werden, bekommt vor Livegang mindestens einen „Datenschutz-Blick“.

4.4 Technische und organisatorische Maßnahmen anpassen

Typische, pragmatische Maßnahmen:

  • Tracking nur noch mit Einwilligung und dokumentierter Konfiguration
  • Umstieg auf datenschutzfreundlichere Dienste
    (z. B. lokale Schriftarten, datensparsame Statistik-Tools)
  • Karten, Videos, externe Inhalte erst nach aktivem Klick laden
  • Bereinigung alter oder doppelter Formulare
  • klare Regeln für Mailpostfächer, in denen Website-Anfragen landen
    (Zugriffsrechte, Löschfristen, Vertretungen)

4.5 Dokumentation – aber schlank

Dokumentation ist kein Selbstzweck. Sie soll dir helfen, den Überblick zu behalten – nicht nur der Behörde.

Sinnvoll sind zum Beispiel:

  • eine aktuelle Übersicht der eingesetzten Website-Dienste
  • eine kurze Beschreibung, wofür welche Daten erhoben werden
  • Verknüpfung mit deinem Verzeichnis der Verarbeitungstätigkeiten
  • eine angepasste, aktuelle Datenschutzerklärung
  • kurze Arbeitsanweisungen für Mitarbeitende, die mit Website-Daten arbeiten

Mehr muss es im KMU nicht sein, aber weniger ist oft zu wenig.

5. Kurz erklärt: rechtliche Grundlagen – in normaler Sprache

Ohne Gesetzestexte zum Mitlesen, grob gesagt:

5.1 Transparenz

Menschen müssen nachvollziehen können, was mit ihren Daten passiert.
Dafür sind vor allem wichtig:

  • Datenschutzerklärung
  • verständliche Hinweise an Formularen
  • klare Infos bei Uploads und Portalen

5.2 Rechtsgrundlagen

Für jede Verarbeitung brauchst du eine halbwegs tragfähige Begründung:

  • z. B. Vertrag / vorvertragliche Maßnahmen (Angebotsanfrage, Bewerbung),
  • berechtigtes Interesse,
  • oder Einwilligung.

Tracking und Marketing-Skripte hängen häufig an einer Einwilligung.

5.3 Elektronische Kommunikation und Tracking

Für Cookies und ähnliche Technologien gelten zusätzliche Regeln.
Das betrifft:

  • viele Marketing-Tools
  • einiges an Statistik-Software
  • teilweise auch eingebettete Inhalte

5.4 Drittlandübermittlungen

Wenn Daten an Anbieter außerhalb EU/EWR fließen, brauchst du zusätzliche Sicherungen und eine saubere Abwägung.
Stichwort: US-Dienste.

5.5 Auftragsverarbeitung

Hosting, Newsletterversand, Wartung durch Agentur:

  • Hier brauchst du in der Regel Verträge, die grob regeln, was der Dienstleister darf und was nicht.

Das alles ist kein Selbstzweck, sondern Rahmen.
Mit einem strukturierten Vorgehen lässt sich das im KMU praxisnah abbilden – ohne Papierkrieg.

6. Praxis-Check / Schnellstart: Wo stehst du?

Mit ein paar Fragen kannst du einen schnellen Selbstcheck machen:

Datenschutzerklärung

  • Deckt sie alle aktuell eingesetzten Tools und Dienste ab?
  • Wurde sie in den letzten 12–18 Monaten bewusst geprüft oder einfach nur mitgeschleppt?

Cookie-Banner und Tracking

  • Werden Analyse- und Marketing-Tools erst nach Einwilligung aktiv?
  • Können Nutzende ihre Auswahl später ändern oder widerrufen?

Formulare und Uploads

  • Hat jedes Formular eine klare Zweckbeschreibung (Kontakt, Bewerbung, Support etc.)?
  • Gibt es Regeln, wie lange Daten gespeichert werden und wer Zugriff hat?

Externe Dienste

  • Weißt du, welche externen Dienste gerade auf deiner Website eingebunden sind (Karten, Schriftarten, Videos, Captcha, Chat …)?
  • Hast du zu den wichtigsten Dienstleistern passende Verträge und aktuelle Infos?

Prozesse und Zuständigkeiten

  • Gibt es eine Person, die Änderungen an der Website auch aus Datenschutzsicht bewertet?
  • Ist dein externer oder interner Datenschutz-Ansprechpartner bei relevanten Änderungen eingebunden?

Wenn du mehrere Fragen mit „Nein“ oder „Weiß ich nicht“ beantwortest, ist das ein recht klares Signal:

Deine gewachsene Website hat sich einen strukturierten Datenschutz-Check verdient.

7. Abhängigkeiten: Website, IT und Dienstleister im Zusammenspiel

Eine Website steht nie allein. Sie hängt an mehreren Ebenen.

7.1 Interne IT und Informationssicherheit

Themen wie:

  • Serverstandort, Backups, Zugriffsrechte
  • Sicherheitsupdates und Patch-Management
  • Schutz vor Angriffen (Firewalls, Monitoring usw.)

Wenn es hier große Lücken gibt, helfen auch das beste Cookie-Banner und die schönste Datenschutzerklärung nur begrenzt.

7.2 Webagentur, Hoster und andere Dienstleister

Fragen, die du im Griff haben solltest:

  • Wer hat Admin-Zugänge zur Website?
  • Wie werden Zugangsdaten ausgetauscht und gespeichert?
  • Gibt es klare Vereinbarungen, wer was macht – und was nicht?
  • Liegen die nötigen Verträge zur Auftragsverarbeitung vor?

Bei gewachsenen Websites ist das oft historisch gewachsen:
alte Agenturen, Host-Wechsel, zusätzliche Freelancer.
Hier wirkt schon eine einfache Bereinigung Wunder.

7.3 Fachbereiche im Unternehmen

Typische Situationen:

  • „Marketing möchte mal eben ein neues Formular / eine Landingpage live stellen.“
  • HR will ein Bewerbungsportal anbinden.
  • Vertrieb testet ein neues Analyse-Tool.

Ohne einfache Spielregeln wird daraus schnell ein Wildwuchs an Datenverarbeitungen.

Hilfreich ist z. B. eine klare Leitfrage:

„Was muss vor dem Onlinegang geklärt sein?“

z. B.:

  • Welche Daten sammeln wir dort?
  • Wohin fließen sie?
  • Wer ist verantwortlich?

8. Ruhiger CTA: Webseiten-Check oder größerer Datenschutz-Check?

Wenn du das Gefühl hast, deine Website ist über die Jahre einfach „mitgewachsen“ – und niemand hat mal in Ruhe draufgeschaut –, hast du im Grunde zwei Optionen:

8.1 Fokussierter Webseiten-Check

Geeignet, wenn du zuerst die Baustelle Website sortieren willst:

  • konzentriert sich auf Technik und Inhalte rund um Datenschutz auf der Website
  • identifiziert typische Risiken und Prioritäten
  • liefert konkrete Handlungsempfehlungen für die nächsten Schritte

8.2 Erweiterter Datenschutz-Check fürs Unternehmen

Sinnvoll, wenn du sagst: „Wenn wir schon dran sind, dann richtig“:

  • bezieht neben der Website auch interne Abläufe, IT-Struktur und Dienstleister mit ein
  • ordnet die Website in ein umfassenderes Datenschutz- und Informationssicherheitskonzept ein
  • legt eine stabile Basis, auf der du später einfacher weiterarbeiten kannst

Welcher Weg zu dir passt, hängt von deinem Ziel ab:

  • Willst du primär die Website in den Griff bekommen?
  • Oder nutzt du den Anlass, um Datenschutz insgesamt auf eine stabile Basis zu stellen?

9. FAQ: Gewachsene Website & fehlende Datenschutz-Prüfung

9.1 Reicht es nicht, dass Impressum und Datenschutzerklärung da sind?

Kurz: Nein.

Wenn die Datenschutzerklärung nicht zu dem passt, was technisch wirklich passiert, erfüllt sie ihren Zweck nicht.
Und es geht nicht nur um Texte, sondern auch um Einstellungen:

  • Wann werden Cookies gesetzt?
  • Welche Tools laufen ohne Einwilligung?
  • Was passiert im Hintergrund mit IP-Adressen und Formular-Daten?

9.2 Wie oft sollte eine Website aus Datenschutzsicht geprüft werden?

Keine starre Frist, aber aus der Praxis:

  • Immer bei größeren Änderungen (neue Funktionen, neue Tools, Relaunch).
  • Zusätzlich ein Check alle 12–24 Monate, um schleichende Änderungen und neue rechtliche Anforderungen zu berücksichtigen.

9.3 Wer ist verantwortlich – Agentur oder Unternehmen?

Rechtlich bist du als Unternehmen verantwortlich.
Agenturen, Hoster und andere Dienstleister unterstützen bei der Umsetzung, können Auftragsverarbeitende sein – aber sie nehmen dir die Verantwortung nicht ab.

9.4 Braucht jede kleine Website ein komplexes Cookie-Banner?

Nicht zwingend.

Wenn du wirklich nur technisch notwendige Cookies nutzt und auf Tracking, Marketing und viele externe Einbindungen verzichtest, kann ein sehr schlankes Banner oder in manchen Fällen sogar der Verzicht auf ein Banner ausreichen.

Sobald du aber Analyse-, Marketing- oder bestimmte externe Dienste einsetzt, brauchst du in der Regel eine differenzierte Einwilligungslösung.

9.5 Gilt das alles auch für kleine Unternehmen?

Ja.

Der Umfang der Maßnahmen kann sich an Größe und Komplexität orientieren – die Grundpflichten gelten aber unabhängig von der Unternehmensgröße.

Gerade kleinere Unternehmen leben stark vom Vertrauen ihrer Kundinnen und Kunden – und das beginnt heute oft auf der Website.

9.6 Was ist der Worst Case, wenn wir nichts tun?

Mögliche Folgen:

  • Beschwerden von betroffenen Personen
  • Prüfungen durch Aufsichtsbehörden oder Abmahnungen
  • Bußgelder bei deutlichen Verstößen
  • Reputationsschaden, wenn Datenschutzprobleme nach außen dringen

In vielen Fällen lässt sich das mit einer rechtzeitig strukturierten Überprüfung der Website vermeiden – und der Aufwand ist meist kleiner, als viele befürchten.

10. Disclaimer

Dieser Artikel bietet dir eine allgemeine Orientierung zum Thema „gewachsene Websites und fehlende Datenschutz-Prüfung“.
Er ersetzt keine individuelle Rechtsberatung und keine Prüfung deines konkreten Einzelfalls.

Für verbindliche Aussagen zu deiner spezifischen Situation solltest du eine qualifizierte datenschutzrechtliche Beratung in Anspruch nehmen – zum Beispiel im Rahmen eines strukturierten Webseiten-Checks oder eines erweiterten Datenschutz-Checks für dein Unternehmen.

Ähnliche Beiträge