Gewachsene Websites und fehlende Datenschutz-Prüfung

VonStephan Wagner
Ein Laptop auf einem Schreibtisch zeigt eine Website mit einem Pflanzenfoto - perfekt für die Datenschutz-Prüfung. Ein weißer Kaffeebecher steht daneben und vervollständigt die Szene.

Ein unterschätztes Risiko

1. Einstieg: Eine ganz normale Website, die „irgendwie mitgewachsen“ ist

Stellen Sie sich folgende Situation vor:

Ihre Website gibt es seit Jahren. Am Anfang war es eine einfache Visitenkarte: Startseite, Kontakt, vielleicht ein Teamfoto. Dann kam ein Blog dazu, ein Newsletter-Formular, Online-Terminbuchung, eingebettete Karten, ein Bewerbungsformular, vielleicht ein Mandanten-/Kundenportal oder ein Downloadbereich.

Verschiedene Agenturen und Freiberuflerinnen und Freiberufler haben daran gearbeitet. Hier ein neues Plugin, dort ein Tracking-Tool, ein neues Cookie-Banner, ein „schnelles“ Script, damit etwas hübscher aussieht.

Alle hatten das Beste im Sinn – aber niemand hat jemals die komplette Website systematisch unter dem Blickwinkel „Datenschutz-Prüfung“ betrachtet.

Das Ergebnis: eine gewachsene Website und fehlende Datenschutz-Prüfung. Nach außen wirkt alles ordentlich, aber unter der Haube ist es ein Flickenteppich aus Diensten, Datenströmen und Einstellungen. Und genau dort entstehen die Risiken.

In diesem Fachartikel geht es darum, Ihnen als Geschäftsführung, Inhabende oder Notarinnen und Notare Orientierung zu geben:
Was ist wirklich kritisch? Wo passieren typische Fehler? Und wie kommen Sie pragmatisch zu einer Website, die fachlich und rechtlich sauber aufgestellt ist – ohne die Welt neu zu erfinden.

2. Warum das Thema wichtig ist – ohne Panik und ohne Gesetzeszitate

Datenschutz auf der Website ist kein Selbstzweck. Es geht im Kern um drei Punkte:

  1. Vertrauen nach außen
    Menschen geben auf Ihrer Website Daten ein: Kontaktformular, Bewerbung, Terminbuchung, Newsletter, vielleicht auch vertrauliche Unterlagen. Sie erwarten, dass Sie sorgsam damit umgehen. Eine Website, die sichtbar veraltet wirkt oder datenschutzrechtlich „wackelt“, beschädigt Vertrauen – gerade bei sensiblen Dienstleistungen.
  2. Vermeidung von Bußgeldern und Beschwerden
    Datenschutzaufsichtsbehörden und auch Verbraucherschutzverbände schauen seit einigen Jahren sehr genau auf Websites. Häufige Auslöser:
    • fehlerhafte oder übergriffige Tracking-Einstellungen
    • unpassende Cookie-Banner
    • der Einsatz von US-Diensten ohne ausreichende Absicherung
    • fehlende oder veraltete Datenschutzerklärungen
      Oft beginnt es nicht mit der Behörde, sondern mit einer Beschwerde einer betroffenen Person oder eines Mitbewerbers.
  3. Stabilität Ihrer Prozesse
    Ihre Website ist häufig der erste Berührungspunkt für neue Aufträge, Anfragen, Bewerbungen. Wenn hier Datenschutz oder Informationssicherheit nicht durchdacht sind, entstehen Brüche in den Abläufen: unsichere Datenübertragung, unklare Zuständigkeiten, verstreute Datenspeicherung (Postfach, Tools, lokale Rechner) und am Ende Mehrarbeit und Unsicherheit im Team.

Es geht also nicht darum, „noch eine Pflicht“ zu erfüllen, sondern darum, ein geschäftskritisches Instrument – Ihre Website – sauber in Ihr Datenschutz- und IT-Sicherheitskonzept einzubetten.

3. Typische Praxisfehler bei gewachsenen Websites

3.1 „Das macht die Agentur“ – fehlende Verantwortung im Unternehmen

Häufig höre ich Sätze wie:

„Das haben wir an die Webagentur abgegeben, die wird das schon richtig machen.“

Oder:

„Wir haben ein Standard-Cookie-Banner eingebaut, das passt schon.“

Problem:
Webagenturen sind in der Regel keine Datenschutz-Beratungen. Sie kennen viele technische Möglichkeiten, aber nicht automatisch die rechtliche Einordnung. Die Verantwortung bleibt bei Ihnen als Verantwortliche oder Verantwortlicher des Unternehmens oder der Kanzlei.

3.2 Veraltete oder generische Datenschutzerklärung

Ein Klassiker:
Die Datenschutzerklärung wurde vor Jahren erstellt – vielleicht per Generator – und seitdem nie wieder angetastet. Inzwischen sind neue Dienste hinzugekommen:

  • zusätzliche Tracking- und Analyse-Tools
  • Newsletter-Dienstleister
  • eingebettete Karten, Videos, Captcha-Dienste
  • neue Formulare und Portale

Diese werden in der Datenschutzerklärung entweder gar nicht oder nur unvollständig erwähnt. Gleichzeitig stehen dort Dienste, die längst nicht mehr im Einsatz sind.

3.3 Cookie-Banner, die mehr versprechen, als sie halten

Viele Banner sehen modern aus, sind aber rechtlich und technisch unlogisch umgesetzt:

  • Cookies und Tracking-Tools werden bereits vor der Einwilligung geladen.
  • „Alle akzeptieren“ ist prominent, „Nur notwendige Cookies“ ist versteckt.
  • Die Auswahl lässt sich nicht differenziert steuern („Statistik“, „Marketing“ etc.).
  • Ein Widerruf der Einwilligung ist praktisch nicht umsetzbar.

Kurz gesagt: Das Banner vermittelt den Eindruck von Wahlfreiheit, aber technisch ist vieles bereits aktiv.

3.4 Externe Dienste „auf Zuruf“ eingebunden

Ein paar typische Beispiele:

  • Schriftarten und Skripte von US-Servern
  • Karten (z. B. Routenplaner)
  • Videos von Plattformen
  • Spam-Schutz (Captcha)
  • Chat- oder Support-Tools

Oft wird einfach der von der Dienstleisterin oder dem Dienstleister bereitgestellte Einbettungs-Code kopiert. Dass damit unter Umständen sofort IP-Adressen und Nutzungsdaten in Drittländer fließen, ist im Alltag schnell vergessen.

3.5 Kein Blick auf interne Prozesse hinter der Website

Die Website ist nur die Spitze des Eisbergs. Dahinter stehen Prozesse:

  • Wer bearbeitet Kontaktanfragen, Bewerbungen, Terminbuchungen?
  • Wo werden eingehende Daten gespeichert?
  • Wer hat Zugriff?
  • Wie lange bleiben Daten in Formular-Backends oder Tools liegen?
  • Was passiert bei einer Anfrage auf Auskunft oder Löschung?

Wenn diese Fragen ungeklärt sind, wird es spätestens dann ungemütlich, wenn sich eine betroffene Person meldet oder die Aufsichtsbehörde nachfragt.

4. Pragmatische Lösungen für gewachsene Websites

Ziel ist nicht, Ihre Website „auseinanderzunehmen“, sondern strukturiert Ordnung hineinzubringen. Ein pragmatischer Ansatz besteht aus fünf Schritten.

4.1 Bestandsaufnahme: Was macht die Website heute wirklich?

Zuerst brauchen Sie ein ehrliches Bild. Dazu gehören:

  • Welche Unterseiten gibt es? (inkl. versteckter Landingpages)
  • Welche Formulare gibt es und wohin gehen die Daten?
  • Welche externen Dienste und Skripte sind eingebunden (Tracking, Karten, Videos, Schriftarten, Chat, Captcha usw.)?
  • Welche Cookies werden gesetzt – und wann?

Das klingt aufwendig, lässt sich aber in einer kompakten technischen und rechtlichen Kurzprüfung gut abbilden.

4.2 Sortieren und Priorisieren: Was ist kritisch, was „nur“ unsauber?

Nicht alles ist gleich dringlich. Sinnvolle Reihenfolge:

  1. Offensichtliche Rechtsverstöße
    • Tracking ohne Einwilligung
    • Dienste mit klaren Problemen beim Datentransfer in Drittländer
    • grob falsche oder fehlende Datenschutzerklärung
  2. Strukturelle Schwächen
    • fehlende oder unklare Verträge mit Webagentur, Hoster, Newsletterdienst
    • unklare Prozesse im Umgang mit Anfragen, Bewerbungen usw.
  3. Optimierungen
    • technisch schlankere Lösungen
    • datensparsame Alternativen (z. B. lokale Schriftarten, Karten erst nach Klick laden)

So behalten Sie die Kontrolle über Aufwand und Kosten.

4.3 Verantwortlichkeiten klären

Für eine nachhaltige Lösung braucht es klare Rollen:

  • Wer ist intern für die Website fachlich verantwortlich?
  • Wer pflegt Inhalte und neue Funktionen ein?
  • Wer ist technische Ansprechperson (IT, Agentur, Hoster)?
  • Wo ist der oder die externe Datenschutzbeauftragte eingebunden?

Wichtig: Jede wesentliche Änderung an der Website, bei der neue Daten verarbeitet werden, sollte künftig einen „Datenschutz-Blick“ bekommen, bevor sie live geht.

4.4 Technische und organisatorische Maßnahmen anpassen

Einige typische, pragmatische Maßnahmen:

  • Tracking nur noch mit Einwilligung und dokumentierter Konfiguration.
  • Umstellung auf datenschutzfreundlichere Dienste (z. B. lokale Schriftarten, datensparsame Statistik-Tools).
  • Einbindung von Karten, Videos usw. erst nach bewusster Aktivierung durch die Nutzenden („Klick zum Laden“).
  • Bereinigung alter Formulare, die niemand mehr braucht.
  • Klare Prozesse für Postfächer, in denen Website-Anfragen landen (Löschfristen, Zugriffsrechte).

4.5 Dokumentation – aber schlank

Für Geschäftsführung, Inhabende und Notarinnen und Notare ist entscheidend:
Die Dokumentation soll verständlich und nutzbar sein, nicht nur „für die Schublade“.

Dazu gehören:

  • eine aktuelle Übersicht der eingesetzten Website-Dienste
  • eine nachvollziehbare Beschreibung, wofür welche Daten erhoben werden
  • Verknüpfung mit Ihrem Verzeichnis der Verarbeitungstätigkeiten
  • angepasste Datenschutzerklärung
  • kurze Arbeitsanweisungen für Mitarbeitende, die mit Website-Daten arbeiten

5. Kurz erklärt: rechtliche Grundlagen

Ohne in Detailtiefe zu gehen, lassen sich die rechtlichen Grundlagen für Websites grob wie folgt zusammenfassen:

  1. Transparenzpflichten
    Personen müssen nachvollziehen können, was mit ihren Daten passiert. Dafür sind vor allem die Datenschutzerklärung und klare Hinweise rund um Formulare entscheidend.
  2. Rechtsgrundlagen für die Verarbeitung
    Für jede Datenverarbeitung auf der Website braucht es eine tragfähige Begründung (z. B. Vertragserfüllung, berechtigtes Interesse oder Einwilligung). Tracking und Marketing-Scripts sind häufig auf eine Einwilligung angewiesen.
  3. Elektronische Kommunikation und Tracking
    Für Cookies und vergleichbare Technologien gelten zusätzliche Anforderungen. Das betrifft sowohl Marketing- als auch teilweise Statistik-Tools.
  4. Drittlandübermittlungen
    Wenn Daten über Dienste in Länder außerhalb der EU/EWR fließen, müssen weitere Schutzmechanismen beachtet werden (z. B. vertragliche Vereinbarungen, Risikoabwägungen).
  5. Auftragsverarbeitung
    Hosting, Newsletterversand, Wartung durch Agenturen: Hier ist regelmäßig ein Vertrag zur Auftragsverarbeitung erforderlich, der die Zusammenarbeit rechtlich absichert.

Diese Grundlagen sind nicht „nice to have“, sondern der Rahmen, in dem sich Ihre Website bewegen muss. Die gute Nachricht: Mit einem strukturierten Vorgehen lassen sie sich praxisnah erfüllen.

6. Praxis-Check / Schnellstart: Wo stehen Sie?

Mit den folgenden Fragen können Sie einen schnellen Selbstcheck durchführen:

  1. Datenschutzerklärung
    • Deckt sie alle aktuell eingesetzten Tools und Dienste ab?
    • Wurde sie in den letzten 12–18 Monaten bewusst geprüft oder nur „mitgeschleppt“?
  2. Cookie-Banner und Tracking
    • Werden Analyse- und Marketing-Tools erst nach Einwilligung aktiv?
    • Können Nutzende ihre Auswahl später ändern oder widerrufen?
  3. Formulare und Uploads
    • Gibt es zu jedem Formular eine klare Zweckbeschreibung (z. B. Kontaktaufnahme, Bewerbung, Mandatsanfrage)?
    • Gibt es interne Regeln, wie lange eingehende Daten gespeichert werden und wer Zugriff hat?
  4. Externe Dienste
    • Wissen Sie, welche externen Dienste auf Ihrer Website eingebunden sind (Karten, Schriftarten, Videos, Captcha, Chat usw.)?
    • Haben Sie zu den wichtigsten Dienstleistern Verträge und aktuelle Informationen?
  5. Prozesse und Zuständigkeiten
    • Gibt es eine Person im Unternehmen, die Änderungen an der Website aus Datenschutzsicht bewertet?
    • Ist Ihr externer Datenschutzbeauftragter in relevante Änderungen eingebunden?

Wenn Sie mehrere Fragen deutlich mit „Nein“ oder „Weiß ich nicht“ beantworten, ist das ein klares Signal: Ihre gewachsene Website braucht eine strukturierte Datenschutz-Prüfung.

7. Abhängigkeiten: Website, IT und Dienstleister im Zusammenspiel

Eine Website steht nie allein. Sie hängt an mehreren Stellen:

7.1 Interne IT und Informationssicherheit

  • Serverstandort, Backups, Zugriffsrechte
  • Sicherheitsupdates und Patch-Management
  • Schutz vor Angriffen (z. B. Firewalls, Monitoring)

Wenn hier Lücken bestehen, helfen auch die beste Datenschutzerklärung und das sauberste Cookie-Banner wenig.

7.2 Webagentur, Hoster und andere Dienstleister

  • Wer hat administrativen Zugriff auf die Website?
  • Wie werden Zugangsdaten ausgetauscht und verwaltet?
  • Gibt es klare Vereinbarungen, wer was macht (und was nicht)?
  • Liegen Verträge zur Auftragsverarbeitung vor, wo erforderlich?

Bei gewachsenen Websites sind diese Beziehungen häufig historisch gewachsen: alte Agenturen, Wechsel des Hosters, zusätzliche Freelance-Entwicklerinnen und -Entwickler. Hier lohnt sich eine Bereinigung.

7.3 Fachbereiche im Unternehmen oder der Kanzlei

  • Fachabteilungen möchten „mal eben“ ein neues Formular oder eine Kampagnen-Landingpage.
  • Marketing oder Kommunikation testet ein neues Analyse-Tool.
  • HR möchte eine separate Karriereseite oder ein Bewerbungsportal anbinden.

Damit daraus keine unkontrollierte Ausweitung von Datenverarbeitungen entsteht, braucht es einfache interne Regeln:
„Was muss geklärt sein, bevor etwas Neues online geht?“

8. Ruhiger CTA: Webseiten-Check oder umfassender Datenschutzcheck?

Wenn Sie den Eindruck haben, dass Ihre Website über die Jahre hinweg gewachsen ist und eine strukturierte Sicht fehlt, gibt es im Grunde zwei Wege:

  1. Fokussierter Webseiten-Check
    • konzentriert sich auf die technische und inhaltliche Umsetzung des Datenschutzes auf der Website
    • identifiziert typische Risiken und Prioritäten
    • liefert konkrete Handlungsempfehlungen für die nächsten Schritte
  2. Erweiterter Datenschutzcheck für das Unternehmen bzw. die Kanzlei
    • bezieht neben der Website auch interne Abläufe, IT-Struktur und Dienstleister mit ein
    • ordnet die Website in ein umfassenderes Datenschutz- und Informationssicherheitskonzept ein
    • eignet sich, wenn Sie ohnehin Ihr gesamtes Datenschutz-Management modernisieren möchten

Welcher Weg für Sie sinnvoll ist, hängt von Ihrem Ziel ab:
Möchten Sie primär die „Baustelle Website“ geordnet bekommen, oder nutzen Sie den Anlass, um das Thema Datenschutz insgesamt auf eine stabile Basis zu stellen?

9. FAQ: Gewachsene Websites und fehlende Datenschutz-Prüfung

9.1 Reicht es nicht, wenn Impressum und Datenschutzerklärung vorhanden sind?

Nein. Eine Datenschutzerklärung, die nicht zu den tatsächlich eingesetzten Diensten passt, erfüllt die Anforderungen nicht. Sie brauchen eine inhaltliche Übereinstimmung zwischen dem, was auf der Website passiert, und dem, was in der Erklärung steht.
Außerdem geht es nicht nur um Texte, sondern auch um technische Einstellungen (z. B. wann Cookies gesetzt werden).

9.2 Wie oft sollte eine Website aus Datenschutzsicht geprüft werden?

Eine starre Frist gibt es nicht. Aus der Praxis haben sich folgende Punkte bewährt:

  • Bei größeren Änderungen (neue Funktionen, neue Tools, Relaunch) sollte die Datenschutzseite mitbetrachtet werden.
  • Zusätzlich ist ein periodischer Check sinnvoll, etwa alle 12–24 Monate, um schleichende Veränderungen und neue rechtliche Entwicklungen zu berücksichtigen.

9.3 Wer ist verantwortlich – die Agentur oder wir?

Die rechtliche Verantwortung liegt bei Ihnen als Verantwortliche oder Verantwortlicher (Unternehmen, Kanzlei, Notariat).
Webagenturen, Hoster und andere Dienstleister unterstützen bei der Umsetzung und können Auftragsverarbeitende sein. Sie nehmen Ihnen aber nicht die Verantwortung ab, dass die Website insgesamt rechtlich stimmig ist.

9.4 Muss jede kleine Website ein komplexes Cookie-Banner haben?

Nicht unbedingt.
Wenn Sie ausschließlich technisch notwendige Cookies verwenden und auf Tracking, Marketing und externe Einbindungen verzichten, kann ein einfaches Banner oder mitunter sogar der Verzicht auf ein Banner ausreichend sein.
Sobald Sie jedoch Analyse- oder Marketing-Tools sowie bestimmte externe Dienste einsetzen, werden differenzierte Einwilligungs-Lösungen erforderlich.

9.5 Gilt das alles auch für kleine Kanzleien und Notariate?

Ja. Der Umfang der Maßnahmen kann sich an der Größe und Komplexität orientieren, aber die grundlegenden Pflichten gelten unabhängig von der Unternehmensgröße.
Gerade in rechtlich sensiblen Berufen erwarten Mandantinnen und Mandanten und Klientinnen und Klienten eine besonders sorgfältige Behandlung ihrer Daten – und zwar bereits auf der Website.

9.6 Was passiert im schlimmsten Fall, wenn wir nichts tun?

Mögliche Folgen sind:

  • Beschwerden von betroffenen Personen
  • Prüfungen durch Aufsichtsbehörden oder Abmahnungen durch Mitbewerbende
  • Bußgelder bei gravierenden Verstößen
  • Reputationsverlust, wenn Datenschutzprobleme öffentlich werden

In vielen Fällen lässt sich durch eine frühzeitige, strukturierte Überprüfung der Website vermeiden, dass es überhaupt so weit kommt.

10. Disclaimer

Dieser Fachartikel bietet eine allgemeine Orientierung zu dem Thema „gewachsene Websites und fehlende Datenschutz-Prüfung“. Er ersetzt keine individuelle rechtliche Beratung und keine Prüfung Ihres konkreten Einzelfalls.
Für verbindliche Aussagen zu Ihrer spezifischen Situation sollten Sie eine qualifizierte rechtliche und datenschutzrechtliche Beratung in Anspruch nehmen.

Ähnliche Beiträge