8 wichtige Datenschutzregeln für deutsche Online-Unternehmen
Wer in Deutschland ein Online-Geschäft betreibt, arbeitet fast immer mit personenbezogenen Daten. Das gilt für Shops, Newsletter, Buchungsseiten, Lernplattformen, Vergleichsportale, Apps, digitale Dienstleistungen und Mitgliederbereiche. Namen, E-Mail-Adressen, Zahlungsdaten, IP-Adressen, Standortdaten, Cookie-Kennungen und Support-Anfragen reichen bereits aus, um Datenschutzpflichten auszulösen.
Die wichtigsten Datenschutzregeln für deutsche Online-Unternehmen sind deshalb kein Thema nur für große Konzerne. Auch kleine Firmen, Start-ups, Agenturen und Solo-Selbstständige müssen sauber arbeiten. Fehler bei Einwilligungen, Tracking, Datenschutzerklärungen oder Dienstleistern können Vertrauen kosten. Sie können auch Beschwerden, Prüfungen und Bußgelder auslösen.
Dieser Leitfaden erklärt acht zentrale Regeln in einfacher Sprache. Er ersetzt keine Rechtsberatung. Er hilft aber dabei, die wichtigsten Risiken zu erkennen und bessere Entscheidungen für Website, Shop, Marketing und Kundendaten zu treffen.
Warum Datenschutz für deutsche Online-Unternehmen zählt
Datenschutz ist nicht nur eine rechtliche Pflicht. Er ist auch ein Vertrauensfaktor. Wer online verkauft, muss Kundinnen und Kunden zeigen, dass Daten nicht heimlich gesammelt, unnötig gespeichert oder unsicher weitergegeben werden.
Gerade deutsche Nutzer reagieren sensibel auf unklare Cookie-Banner, aggressive Newsletter, komplizierte Opt-out-Wege und versteckte Datenweitergaben. Für ein Online-Unternehmen kann ein sauberer Datenschutzprozess daher auch ein Wettbewerbsvorteil sein.
Ein guter Datenschutzaufbau hilft bei:
- mehr Vertrauen auf der Website
- weniger Abbrüchen bei Formularen
- klareren internen Prozessen
- besserer Zusammenarbeit mit Dienstleistern
- schnellerer Reaktion bei Datenpannen
- geringeren rechtlichen Risiken
Kurzer Überblick über die 8 Datenschutzregeln für deutsche Online-Unternehmen
Bevor wir in die Details gehen, hilft ein kompakter Überblick. Diese acht Bereiche betreffen fast jedes digitale Geschäftsmodell in Deutschland.
| Nr. | Datenschutzregel | Warum sie wichtig ist | Typisches Risiko |
| 1 | Rechtsgrundlage klären | Jede Datenverarbeitung braucht eine rechtliche Basis | Daten werden ohne Erlaubnis verarbeitet |
| 2 | Datenschutzerklärung verständlich machen | Nutzer müssen wissen, was mit ihren Daten passiert | Unklare oder fehlende Informationen |
| 3 | Cookies und Tracking sauber steuern | Nicht notwendige Cookies brauchen meist Einwilligung | Manipulative Cookie-Banner |
| 4 | Datenminimierung und Speicherfristen nutzen | Nur nötige Daten sollten erhoben und gespeichert werden | Alte Kundendaten liegen unbegrenzt herum |
| 5 | Auftragsverarbeitung prüfen | Externe Tools verarbeiten oft Kundendaten | Fehlende Verträge mit Dienstleistern |
| 6 | Nutzerrechte ernst nehmen | Auskunft, Löschung und Widerspruch müssen funktionieren | Anfragen bleiben liegen |
| 7 | Sicherheit und Datenpannen planen | Technische und organisatorische Maßnahmen sind Pflicht | Zu langsame Reaktion bei Vorfällen |
| 8 | Datenschutzbeauftragte und Dokumentation klären | Nachweise sind Teil der DSGVO-Praxis | Keine interne Übersicht über Datenflüsse |
Top 8 Datenschutzregeln für deutsche Online-Unternehmen
Die folgenden Punkte sind bewusst praktisch formuliert. Sie zeigen, wo Online-Unternehmen im Alltag ansetzen sollten.
1. Datenschutzregeln für deutsche Online-Unternehmen: Jede Datenverarbeitung braucht eine klare Rechtsgrundlage
Jede Verarbeitung personenbezogener Daten braucht eine rechtliche Grundlage. Das gilt schon dann, wenn ein Kontaktformular Daten übermittelt, ein Shop eine Bestellung verarbeitet oder ein Newsletter-Tool E-Mail-Adressen speichert.
In der Praxis kommen mehrere Grundlagen infrage. Ein Shop darf viele Daten verarbeiten, weil sie für den Vertrag nötig sind. Ein Newsletter braucht meist eine Einwilligung. Betrugsprävention, IT-Sicherheit oder Direktwerbung können unter Umständen auf berechtigte Interessen gestützt werden. Das muss aber sorgfältig geprüft und dokumentiert werden.
Wichtig ist: Unternehmen sollten nicht pauschal „Einwilligung“ für alles verwenden. Eine Einwilligung muss freiwillig, informiert und widerrufbar sein. Außerdem kann sie jederzeit zurückgezogen werden. Wenn die Datenverarbeitung für einen Vertrag nötig ist, ist oft eine andere Rechtsgrundlage passender.
Praktische Beispiele:
- Bestelldaten im Online-Shop: meist Vertragserfüllung
- Newsletter-Anmeldung: meist Einwilligung
- Rechnungsaufbewahrung: rechtliche Pflicht
- Server-Logfiles zur Sicherheit: oft berechtigtes Interesse
- Profiling für personalisierte Werbung: häufig Einwilligung nötig
| Prüffrage | Praktische Antwort |
| Welche Daten werden erhoben? | Name, E-Mail, IP-Adresse, Zahlungsdaten, Nutzungsverhalten |
| Warum werden sie erhoben? | Bestellung, Kontakt, Sicherheit, Marketing, Analyse |
| Welche Rechtsgrundlage passt? | Vertrag, Einwilligung, rechtliche Pflicht, berechtigtes Interesse |
| Wo wird es dokumentiert? | Datenschutzerklärung, Verzeichnis der Verarbeitungstätigkeiten |
| Was ist zu vermeiden? | Daten sammeln „für später“ ohne klaren Zweck |
2. Eine klare Datenschutzerklärung schreiben
Eine Datenschutzerklärung ist nicht nur ein Pflichttext im Footer. Sie ist die zentrale Informationsseite für Nutzerinnen und Nutzer. Sie muss erklären, welche Daten erhoben werden, wofür sie genutzt werden, wer sie erhält und welche Rechte Betroffene haben.
Viele Websites machen hier denselben Fehler. Sie nutzen lange Generator-Texte, die nicht zu den tatsächlichen Tools passen. Dann steht dort zum Beispiel ein Analysewerkzeug, das gar nicht verwendet wird. Oder ein Zahlungsdienst fehlt, obwohl er im Shop aktiv ist. Das ist riskant, weil die Erklärung dann nicht mehr zuverlässig informiert.
Eine gute Datenschutzerklärung sollte einfach und konkret sein. Sie sollte zu den realen Funktionen der Website passen. Dazu gehören Kontaktformular, Kundenkonto, Newsletter, Zahlungsanbieter, Versanddienstleister, Analyse-Tools, eingebettete Inhalte, Hosting und Social-Media-Verbindungen.
Auch die Kontaktangaben des Verantwortlichen gehören hinein. Wenn ein Datenschutzbeauftragter bestellt wurde, müssen auch dessen Kontaktdaten leicht erreichbar sein.
| Inhalt | Was stehen sollte |
| Verantwortlicher | Name, Anschrift, Kontaktmöglichkeit |
| Zwecke | Warum Daten verarbeitet werden |
| Rechtsgrundlagen | Passende DSGVO-Grundlage je Verarbeitung |
| Empfänger | Hosting, Zahlungsdienste, Versand, Analyse-Tools |
| Speicherdauer | Konkrete Fristen oder klare Kriterien |
| Rechte | Auskunft, Löschung, Berichtigung, Widerspruch, Beschwerde |
| Drittlandtransfer | Hinweise auf Datenübermittlung außerhalb des EWR |
3. Cookies, Einwilligung und Tracking richtig einrichten
Cookies sind für deutsche Online-Unternehmen besonders heikel. Technisch notwendige Cookies dürfen oft ohne Einwilligung gesetzt werden. Dazu können Warenkorb-Cookies, Login-Sitzungen oder Sicherheitsfunktionen gehören. Analyse-, Marketing- und Werbe-Cookies brauchen dagegen in vielen Fällen eine vorherige Einwilligung.
Das betrifft nicht nur klassische Cookies. Auch ähnliche Technologien können relevant sein. Dazu zählen Gerätekennungen, lokale Speicher, Pixel, Fingerprinting-Techniken und Skripte, die Informationen aus dem Endgerät auslesen oder dort speichern.
Ein gutes Cookie-Banner sollte keine Tricks nutzen. Schaltflächen müssen fair gestaltet sein. Ablehnen darf nicht versteckt sein. Die Einwilligung muss vor dem Setzen nicht notwendiger Cookies erfolgen. Nutzer sollten ihre Auswahl später ändern können.
Praktisch wichtig ist auch die Tool-Prüfung. Viele Unternehmen bauen Analyse-, Chat-, Video-, Karten- oder Werbedienste ein, ohne genau zu prüfen, wann diese Daten übertragen. Das kann bereits beim Laden der Seite passieren. Dann hilft auch ein hübsches Banner nicht, wenn die Technik im Hintergrund vorher schon Daten sendet.
| Bereich | Richtige Umsetzung |
| Notwendige Cookies | Ohne Einwilligung möglich, aber informieren |
| Analyse-Cookies | Einwilligung prüfen |
| Marketing-Cookies | In der Regel vorherige Einwilligung nötig |
| Banner-Design | Klare Auswahl, kein Druck, kein Verstecken |
| Widerruf | Einfach erreichbar, etwa über Footer-Link |
| Dokumentation | Zeitpunkt, Zweck und Auswahl speichern |
4. Datenminimierung und klare Speicherfristen einführen
Datenschutz beginnt nicht erst bei der Datenschutzerklärung. Er beginnt bei der Frage: Brauchen wir diese Daten wirklich? Genau hier greifen Datenminimierung und Speicherbegrenzung.
Ein Online-Shop braucht eine Lieferadresse für den Versand. Er braucht aber nicht automatisch das Geburtsdatum, wenn keine Altersprüfung nötig ist. Eine Newsletter-Anmeldung braucht meist eine E-Mail-Adresse. Name, Telefonnummer und Adresse sind dafür oft unnötig.
Auch Speicherfristen sind wichtig. Viele Unternehmen behalten Kundendaten, Bewerbungen, Kontaktanfragen und alte Nutzerkonten länger als nötig. Das erhöht Risiken. Je mehr Daten gespeichert sind, desto größer ist der Schaden bei einem Angriff oder internen Fehler.
Praktische Maßnahmen:
- Formulare regelmäßig prüfen.
- Pflichtfelder reduzieren.
- Alte Konten und inaktive Profile löschen oder anonymisieren.
- Bewerbungsunterlagen nach Ablauf der nötigen Frist entfernen.
- Support-Tickets nicht unbegrenzt speichern.
- Löschkonzepte für Shop-, CRM- und Newsletter-Systeme festlegen.
| Datenart | Sinnvolle Frage | Praktischer Umgang |
| Kontaktformular | Brauchen wir Telefonnummer und Adresse? | Nur nötige Felder abfragen |
| Kundenkonto | Muss ein Konto Pflicht sein? | Gastbestellung anbieten, wenn möglich |
| Newsletter | Reicht die E-Mail-Adresse? | Wenige Daten erheben |
| Support | Wie lange brauchen wir Tickets? | Frist definieren und löschen |
| Analyse | Reichen gekürzte oder anonyme Daten? | Datensparsame Einstellungen nutzen |
5. Auftragsverarbeitung mit externen Tools sauber regeln
Fast jedes Online-Unternehmen nutzt externe Dienstleister. Dazu gehören Hosting-Anbieter, Newsletter-Dienste, Zahlungsanbieter, Analyseplattformen, Cloud-Speicher, CRM-Systeme, Chat-Tools, Buchhaltung, Support-Software und Versanddienstleister.
Wenn ein Dienstleister personenbezogene Daten im Auftrag verarbeitet, braucht das Unternehmen in der Regel einen Vertrag zur Auftragsverarbeitung. Dieser Vertrag regelt, was der Dienstleister mit den Daten darf, wie er sie schützt, welche Unterauftragnehmer er nutzt und was bei Vorfällen passiert.
Der Fehler liegt oft nicht beim fehlenden Willen. Viele Firmen haben einfach keinen Überblick. Im Laufe der Zeit werden Tools eingebaut, Plugins getestet, neue SaaS-Dienste verbunden und alte Anbieter nicht entfernt. So entsteht ein unkontrollierter Datenfluss.
Ein praktischer Start ist eine Tool-Liste. Darin sollte stehen, welches Tool genutzt wird, welche Daten es verarbeitet, wo der Anbieter sitzt, ob ein Vertrag zur Auftragsverarbeitung vorliegt und ob Daten außerhalb des Europäischen Wirtschaftsraums übertragen werden.
| Dienstleister | Typische Daten | Was prüfen? |
| Hosting | IP-Adressen, Logfiles, Website-Daten | Vertrag, Serverstandort, Sicherheit |
| Newsletter | E-Mail, Name, Öffnungsdaten | Einwilligung, Vertrag, Abmeldung |
| Zahlungsdienst | Zahlungs- und Bestelldaten | Rolle des Anbieters, Datenschutzhinweise |
| Analyse-Tool | Nutzungsdaten, Geräteinformationen | Einwilligung, IP-Kürzung, Drittlandtransfer |
| Support-Tool | Kundennachrichten, Kontaktdaten | Zugriff, Löschfrist, Unterauftragnehmer |
6. Nutzerrechte schnell und verlässlich bearbeiten
Nutzerinnen und Nutzer haben nach der DSGVO mehrere Rechte. Sie können Auskunft verlangen, Daten berichtigen lassen, Löschung fordern, Verarbeitung einschränken, Daten übertragen lassen oder widersprechen. Unternehmen müssen dafür klare Prozesse haben.
In der Praxis ist das oft schwieriger als es klingt. Eine Anfrage kann per E-Mail, Formular oder Brief kommen. Sie kann beim Support landen, bei der Buchhaltung oder im Social-Media-Postfach. Wenn niemand weiß, was zu tun ist, läuft die Frist.
Ein Unternehmen sollte deshalb intern festlegen:
- Wer nimmt Datenschutzanfragen entgegen?
- Wie wird die Identität geprüft?
- Welche Systeme müssen durchsucht werden?
- Wer entscheidet über Löschung oder Ablehnung?
- Wie wird die Antwort dokumentiert?
- Wann muss der Datenschutzbeauftragte einbezogen werden?
Wichtig ist auch die Balance. Nicht jede Löschanfrage bedeutet, dass alle Daten sofort verschwinden dürfen. Rechnungsdaten können wegen gesetzlicher Aufbewahrungspflichten länger gespeichert werden. In solchen Fällen sollte das Unternehmen klar erklären, welche Daten gelöscht werden und welche aus rechtlichen Gründen vorerst bleiben.
| Nutzerrecht | Bedeutung für Online-Unternehmen |
| Auskunft | Nutzer erfahren, welche Daten verarbeitet werden |
| Berichtigung | Falsche Daten müssen korrigiert werden |
| Löschung | Daten müssen entfernt werden, wenn kein Grund zur Speicherung bleibt |
| Widerspruch | Verarbeitung kann in bestimmten Fällen gestoppt werden |
| Datenübertragbarkeit | Daten müssen in bestimmten Fällen übertragbar sein |
| Beschwerde | Betroffene können sich an eine Aufsichtsbehörde wenden |
7. Datensicherheit und Datenpannen vorbereiten
Datenschutz ohne IT-Sicherheit funktioniert nicht. Wer Kundendaten sammelt, muss sie angemessen schützen. Das gilt für Shops, Agenturportale, Mitgliederbereiche, Lernplattformen und jedes System mit Login.
Zu den Grundmaßnahmen gehören starke Passwörter, Mehr-Faktor-Anmeldung, sichere Backups, Rollen- und Rechtekonzepte, Verschlüsselung, regelmäßige Updates, sichere Serverkonfiguration und Schulungen für Mitarbeitende. Besonders wichtig ist der Zugriffsschutz. Nicht jede Person im Unternehmen braucht Zugriff auf alle Kundendaten.
Auch Datenpannen brauchen einen Plan. Eine Datenpanne kann ein gehacktes Shop-System sein. Sie kann aber auch eine falsch versendete E-Mail, ein verlorener Laptop oder ein öffentlich erreichbarer Cloud-Ordner sein. Unternehmen sollten wissen, wer intern informiert wird und wie schnell geprüft werden muss, ob eine Meldung an die Aufsichtsbehörde nötig ist.
Ein einfacher Ablauf hilft:
- Vorfall erkennen und sichern.
- Zugang sperren oder Fehler stoppen.
- Umfang und Risiko bewerten.
- Datenschutzbeauftragten oder Verantwortliche einbeziehen.
- Meldepflicht prüfen.
- Betroffene informieren, wenn erforderlich.
- Maßnahmen dokumentieren.
| Sicherheitsbereich | Gute Praxis |
| Zugriff | Rollen, Rechte, Mehr-Faktor-Anmeldung |
| Systeme | Updates, Sicherheits-Patches, sichere Plugins |
| Daten | Verschlüsselung, Backups, Löschfristen |
| Mitarbeitende | Schulungen, klare Meldewege |
| Vorfälle | Datenpannenplan und Dokumentation |
| Lieferkette | Sicherheitsanforderungen an Dienstleister |
8. Datenschutzbeauftragte, Verzeichnis und Nachweise nicht vergessen
Viele Online-Unternehmen unterschätzen die Dokumentation. Die DSGVO verlangt nicht nur, dass Unternehmen rechtmäßig handeln. Sie müssen es auch nachweisen können. Genau hier kommen Verzeichnis der Verarbeitungstätigkeiten, interne Richtlinien, Verträge und Prüfprotokolle ins Spiel.
Ein Verzeichnis der Verarbeitungstätigkeiten zeigt, welche Datenverarbeitungen im Unternehmen stattfinden. Es enthält unter anderem Zwecke, Datenkategorien, betroffene Personen, Empfänger, Fristen und Sicherheitsmaßnahmen. Für Online-Unternehmen ist das besonders hilfreich, weil viele Tools parallel laufen.
In Deutschland kann außerdem die Pflicht bestehen, einen Datenschutzbeauftragten zu benennen. Das betrifft nicht nur große Unternehmen. Eine wichtige Grenze liegt bei regelmäßig mindestens 20 Personen, die ständig mit automatisierter Verarbeitung personenbezogener Daten beschäftigt sind. Auch besondere Risikoverarbeitungen können eine Benennung erforderlich machen.
Selbst wenn kein Datenschutzbeauftragter nötig ist, bleiben alle anderen Pflichten bestehen. Ein kleines Unternehmen braucht trotzdem klare Zuständigkeiten. Datenschutz darf nicht nur nebenbei beim Webentwickler, der Marketingperson oder dem Gründer liegen.
| Nachweis | Warum er wichtig ist |
| Verzeichnis der Verarbeitungstätigkeiten | Überblick über Datenflüsse und Zwecke |
| Auftragsverarbeitungsverträge | Nachweis bei Dienstleistern |
| Einwilligungsnachweise | Beleg für Newsletter, Tracking oder Werbung |
| Löschkonzept | Kontrolle über Speicherfristen |
| Sicherheitskonzept | Nachweis technischer und organisatorischer Maßnahmen |
| Schulungsnachweise | Beleg für interne Sensibilisierung |
Häufige Fehler bei Datenschutzregeln für deutsche Online-Unternehmen
Viele Datenschutzprobleme entstehen nicht durch böse Absicht. Sie entstehen durch Hektik, Tool-Wachstum und fehlende Zuständigkeit.
Typische Fehler sind:
- Cookie-Banner setzt Tracking schon vor Zustimmung.
- Datenschutzerklärung passt nicht zu den echten Tools.
- Newsletter-Anmeldung hat kein sauberes Einwilligungsverfahren.
- Alte Kundendaten werden nie gelöscht.
- Externe Anbieter wurden nie geprüft.
- Datenpannenplan fehlt.
- Datenschutzanfragen landen im normalen Support und bleiben liegen.
- Neue Plugins werden ohne Datenschutzprüfung installiert.
Der beste Schutz ist ein einfacher, wiederholbarer Prozess. Jede neue Funktion auf der Website sollte vor dem Start geprüft werden. Das gilt für Analyse, Werbung, Zahlungsdienste, Chatbots, Kontaktformulare, Kundenkonten und eingebettete Inhalte.
Praktische Checkliste für deutsche Online-Unternehmen
Diese Checkliste eignet sich für kleine und mittlere Online-Unternehmen. Sie kann monatlich, quartalsweise oder bei größeren Website-Änderungen genutzt werden.
| Aufgabe | Status prüfen |
| Datenschutzerklärung aktuell? | Ja / Nein |
| Cookie-Banner technisch korrekt? | Ja / Nein |
| Nicht notwendige Cookies blockiert bis zur Einwilligung? | Ja / Nein |
| Tool-Liste vollständig? | Ja / Nein |
| Auftragsverarbeitungsverträge vorhanden? | Ja / Nein |
| Speicherfristen festgelegt? | Ja / Nein |
| Nutzerrechte-Prozess vorhanden? | Ja / Nein |
| Datenpannenplan vorhanden? | Ja / Nein |
| Zugriff auf Kundendaten beschränkt? | Ja / Nein |
| Datenschutzbeauftragten-Pflicht geprüft? | Ja / Nein |
Fazit
Die wichtigsten Datenschutzregeln für deutsche Online-Unternehmen lassen sich auf eine einfache Idee bringen: Sammle nur Daten, die du wirklich brauchst. Erkläre klar, was du tust. Hole Einwilligungen dort ein, wo sie nötig sind. Prüfe deine Dienstleister. Schütze Daten technisch. Reagiere schnell auf Anfragen und Vorfälle.
Datenschutz wird leichter, wenn er Teil des normalen Arbeitsablaufs ist. Jede neue Website-Funktion, jedes neue Marketing-Tool und jeder neue Dienstleister sollte kurz geprüft werden, bevor Daten fließen. So entsteht kein perfektes, aber ein belastbares System.
Wer unsicher ist, sollte nicht warten, bis eine Beschwerde kommt. Eine interne Datenschutzprüfung oder rechtliche Beratung kann helfen, größere Risiken früh zu entfernen.
Häufig gestellte Fragen zu Datenschutzregeln für deutsche Online-Unternehmen
Braucht jedes deutsche Online-Unternehmen eine Datenschutzerklärung?
Ja, praktisch jede geschäftliche Website verarbeitet personenbezogene Daten. Schon IP-Adressen, Kontaktformulare oder Analyse-Tools können ausreichen. Deshalb sollte eine klare und aktuelle Datenschutzerklärung vorhanden sein.
Sind Cookie-Banner immer Pflicht?
Nicht immer. Technisch notwendige Cookies benötigen oft keine Einwilligung, aber eine Information. Für Analyse-, Werbe- und Marketing-Cookies ist eine vorherige Einwilligung in vielen Fällen erforderlich.
Muss ein kleiner Online-Shop einen Datenschutzbeauftragten haben?
Nicht automatisch. In Deutschland ist unter anderem relevant, ob regelmäßig mindestens 20 Personen ständig mit automatisierter Verarbeitung personenbezogener Daten beschäftigt sind. Auch besondere Datenverarbeitungen können eine Pflicht auslösen.
Darf ein Online-Unternehmen Kundendaten unbegrenzt speichern?
Nein. Daten sollten nur so lange gespeichert werden, wie ein Zweck oder eine rechtliche Pflicht besteht. Rechnungsdaten können länger aufzubewahren sein, aber alte Newsletter-, Kontakt- oder Supportdaten brauchen eigene Löschfristen.
Was passiert bei einer Datenpanne?
Das Unternehmen muss den Vorfall schnell prüfen, dokumentieren und das Risiko bewerten. Wenn ein Risiko für betroffene Personen besteht, kann eine Meldung an die zuständige Aufsichtsbehörde nötig sein. Bei hohem Risiko müssen auch Betroffene informiert werden.
Sind US-Tools für deutsche Websites verboten?
Nicht pauschal. Aber Datenübermittlungen außerhalb des Europäischen Wirtschaftsraums brauchen eine rechtliche Absicherung. Unternehmen müssen prüfen, welche Daten übertragen werden, welche Garantien bestehen und ob zusätzliche Maßnahmen nötig sind.
Reicht ein Datenschutzgenerator aus?
Ein Generator kann helfen, ersetzt aber keine Prüfung der echten Website. Die Erklärung muss zu den real verwendeten Tools, Zwecken, Dienstleistern und Datenflüssen passen.
Wie oft sollte Datenschutz geprüft werden?
Mindestens bei jeder größeren Änderung der Website oder Tool-Landschaft. Zusätzlich ist eine regelmäßige Prüfung sinnvoll, etwa einmal pro Quartal oder halbjährlich.
