Website-Relaunch und DSGVO: Die komplette Checkliste
Website-Relaunch DSGVO-konform planen und umsetzen: Checkliste für vor, während und nach dem Relaunch mit CMS-spezifischen Hinweisen und typischen Fehlern.
Ein Website-Relaunch ist aus Datenschutz-Perspektive ein kritischer Moment. Neue Technologien, neue Dienstleister, geänderte Datenflüsse — all das kann dazu führen, dass eine bisher konforme Website plötzlich gegen die DSGVO verstößt. In der Hektik von Relaunch-Projekten wird der Datenschutz oft als “machen wir später” behandelt. Das Ergebnis: Die neue Website geht live und ist vom ersten Tag an nicht konform.
Laut einer Studie der Datenschutzkonferenz (DSK) weisen über 60 % der neu gelaunchten Websites mindestens einen DSGVO-Verstoß auf — häufig Tracking ohne Consent oder fehlende Angaben in der Datenschutzerklärung. Dieser Artikel liefert die komplette Checkliste, um das zu vermeiden.
Warum ein Relaunch DSGVO-relevant ist
Ein Website-Relaunch ist nicht nur ein Design-Update. Er verändert potenziell:
- Technologie-Stack: Neues CMS, neue Frameworks, neue Libraries
- Dienstleister: Neuer Hoster, neuer CDN-Provider, neue Analytics-Tools
- Datenflüsse: Andere Formulare, andere Integrationen, andere APIs
- Cookies: Neue Plugins setzen neue Cookies, alte Cookies bleiben als Altlast
- Rechtstexte: Die bestehende DSE passt möglicherweise nicht mehr zur neuen Datenverarbeitung
Aus DSGVO-Sicht bedeutet jede dieser Änderungen: Das Verarbeitungsverzeichnis (Art. 30 DSGVO) muss aktualisiert werden, und es muss geprüft werden, ob eine Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 DSGVO nötig ist.
Phase 1: Vor dem Relaunch
Datenschutz-Folgenabschätzung prüfen
Art. 35 DSGVO verlangt eine DSFA, wenn eine Verarbeitung “voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen” mit sich bringt. Die DSK hat eine Positivliste veröffentlicht, die konkrete Fälle benennt. Prüfe:
- Werden neue Tracking-Technologien eingeführt (z.B. Session-Recording, Heatmaps)?
- Werden neue Kategorien personenbezogener Daten verarbeitet?
- Werden Daten an neue Drittländer übermittelt?
- Wird Profiling oder automatisierte Entscheidungsfindung eingeführt?
Wenn mindestens zwei Kriterien der DSK-Positivliste zutreffen, ist eine DSFA Pflicht.
Verarbeitungsverzeichnis aktualisieren
Das Verarbeitungsverzeichnis (Art. 30 DSGVO) muss vor dem Go-live aktualisiert werden, nicht danach. Dokumentiere für jede Verarbeitungstätigkeit auf der neuen Website:
| Pflichtangabe | Art. 30 Abs. 1 | Beispiel |
|---|---|---|
| Zweck der Verarbeitung | lit. b | ”Kontaktanfragen beantworten” |
| Kategorien betroffener Personen | lit. c | Website-Besucher, Kunden |
| Kategorien personenbezogener Daten | lit. c | Name, E-Mail, IP-Adresse |
| Empfänger | lit. d | Hosting-Provider, E-Mail-Dienst |
| Übermittlung in Drittländer | lit. e | USA (Google Analytics) |
| Löschfristen | lit. f | 6 Monate nach Kontakt |
| Technische und organisatorische Maßnahmen | Abs. 1 Satz 2 | SSL, Zugriffskontrolle, Backups |
AVVs mit neuen Dienstleistern abschließen
Jeder Dienstleister, der im Auftrag personenbezogene Daten verarbeitet, braucht einen Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO. Bei einem Relaunch kommen typischerweise neue Dienstleister hinzu:
- Hosting-Provider (Hetzner, IONOS, AWS, etc.)
- CDN (Cloudflare, BunnyCDN, etc.)
- E-Mail-Dienst (Brevo, Mailgun, etc.)
- Analytics (Google, Plausible, Matomo, etc.)
- Formular-Tools (Typeform, JotForm, etc.)
- Chat-Widgets (Intercom, HubSpot, etc.)
- A/B-Testing (Optimizely, VWO, etc.)
Wichtig: Der AVV muss vor dem Go-live unterzeichnet sein, nicht erst wenn die Aufsichtsbehörde danach fragt.
Bestandsaufnahme der alten Website
Bevor du die alte Website abschaltest, dokumentiere den Ist-Zustand:
- Welche Cookies setzt die alte Website?
- Welche Third-Party-Requests werden geladen?
- Welche Formulare existieren und wohin gehen die Daten?
- Unter welcher URL ist die DSE erreichbar? (Für 301-Redirects relevant)
- Welche Consent-Einstellungen haben bestehende Nutzer gespeichert?
Phase 2: Während des Relaunchs
Cookie-Audit durchführen
Bevor die neue Website live geht, führe einen vollständigen Cookie-Audit durch:
- Öffne die Website im Inkognito-Modus
- Prüfe: Welche Cookies werden vor dem Cookie-Consent gesetzt?
- Klicke auf “Alle akzeptieren” — welche Cookies kommen hinzu?
- Klicke auf “Nur notwendige” — werden nicht-notwendige Cookies tatsächlich blockiert?
- Dokumentiere alle Cookies: Name, Domain, Zweck, Laufzeit, Kategorie
Third-Party-Requests prüfen
Öffne die Browser-DevTools (Network-Tab) und prüfe:
- Welche externen Domains werden beim Seitenaufruf kontaktiert?
- Passiert das vor oder nach dem Cookie-Consent?
- Für jeden externen Dienst: Gibt es einen AVV? Wo stehen die Server?
Typische Relaunch-Fallen:
| Problem | Ursache | Lösung |
|---|---|---|
| Google Fonts extern geladen | Theme/Template lädt Fonts von googleapis.com | Fonts lokal einbinden |
| YouTube-Embeds ohne Consent | Videos direkt eingebettet statt mit 2-Klick-Lösung | youtube-nocookie.com oder 2-Klick-Fassade |
| Google Maps ohne Consent | Karte direkt eingebettet | 2-Klick-Lösung oder Screenshot mit Link |
| Chatbot lädt beim Seitenaufruf | Widget-Script im <head> ohne Consent-Gate | Script erst nach Consent laden |
| Analytics vor Consent | GTM nicht korrekt konfiguriert | Google Consent Mode v2 implementieren |
Rechtstexte aktualisieren
Die Datenschutzerklärung muss die aktuelle Datenverarbeitung abbilden, nicht die der alten Website.
Checkliste für die DSE-Aktualisierung:
- Alle neuen Dienste aufgeführt (Analytics, Chat, Formulare, CDN)
- Alte Dienste, die nicht mehr genutzt werden, entfernt
- Server-Standort des neuen Hosters korrekt angegeben
- Neue Cookie-Kategorien dokumentiert (Name, Zweck, Laufzeit, Anbieter)
- Drittlandtransfers aktualisiert (USA, UK, etc.)
- Rechtsgrundlagen für neue Verarbeitungen angegeben
- Speicherdauern konkretisiert
Auch das Impressum prüfen: Hat sich der Firmenname, die Adresse oder die Rechtsform geändert?
Cookie-Banner implementieren
Prüfe den bestehenden oder neuen Banner: Funktioniert er korrekt? Werden neue Kategorien abgedeckt? Ist der Google Consent Mode v2 implementiert? Werden alle Scripts bis zum Consent blockiert? Wenn sich die Kategorien ändern, sollte der Consent zurückgesetzt werden.
Security Headers und SSL/TLS konfigurieren
Die Security Headers der alten Website werden beim Relaunch nicht automatisch übernommen. Konfiguriere auf dem neuen Server HSTS, X-Content-Type-Options, X-Frame-Options, Referrer-Policy, Permissions-Policy und CSP (Details in unserem Security-Headers-Artikel). SSL-Zertifikat einrichten, Subdomains abdecken, HTTP-zu-HTTPS-Redirect aktivieren, Mixed Content vermeiden.
Phase 3: Nach dem Relaunch
Sofort-Scan durchführen
Direkt nach dem Go-live: Führe einen vollständigen Compliance-Scan durch. Prüfe alle 10 Punkte der manuellen DSGVO-Prüfung (siehe unseren Artikel zur Website-Prüfung) oder nutze den Compliso Scanner für eine automatisierte Prüfung in 30 Sekunden.
Consent-Flow testen
Teste den kompletten Consent-Flow auf der Live-Website:
- Website im Inkognito-Modus öffnen
- Keine Cookies/Tracking vor Banner-Interaktion? (DevTools prüfen)
- “Nur notwendige” klicken — kein Tracking aktiv? (DevTools prüfen)
- Consent-Cookie löschen, Seite neu laden — Banner erscheint wieder?
- ”Alle akzeptieren” klicken — Google Consent Mode Signale korrekt? (Console:
dataLayerprüfen) - Consent-Widerruf testen: Link zum Ändern der Einstellungen sichtbar und funktional?
Alle Formulare prüfen
Teste jedes Formular auf der neuen Website:
- Wird das Formular über HTTPS abgesendet?
- Werden nur notwendige Felder als Pflichtfelder markiert?
- Ist ein DSE-Hinweis vorhanden?
- Kommt die Bestätigungs-E-Mail an?
- Funktioniert der Spam-Schutz (Honeypot, Captcha)?
301-Redirects für alte URLs
Datenschutzrechtlich besonders relevant: Die URL der Datenschutzerklärung und des Impressums. Wenn sich diese URLs ändern, müssen 301-Redirects eingerichtet werden. Andernfalls führen Links in E-Mails, Social Media, Google-Ergebnissen oder externen Websites ins Leere.
# nginx Redirect-Beispiel
location = /privacy-policy {
return 301 /datenschutz;
}
location = /imprint {
return 301 /impressum;
}
Alte Daten löschen
Wenn die alte Website auf einem anderen Server lief:
- Wurden alle personenbezogenen Daten vom alten Server gelöscht?
- Wurden Backups des alten Servers gelöscht oder anonymisiert?
- Wurde der AVV mit dem alten Hosting-Provider gekündigt?
- Wurde der alte Formular-Dienst gekündigt und die Daten gelöscht?
CMS-spezifische Hinweise
WordPress
| Risiko | Details | Maßnahme |
|---|---|---|
| Theme lädt Google Fonts extern | Fast alle Premium-Themes laden Google Fonts | In Theme-Einstellungen deaktivieren + lokal einbinden |
| Plugin setzt Cookies | Contact Form, Slider, Social-Plugins | Jedes Plugin einzeln auf Cookies prüfen |
| Gravatar | WordPress lädt Profilbilder von gravatar.com | Unter Einstellungen > Diskussion deaktivieren |
| Emojis | WordPress lädt Emoji-Script von s.w.org | Deaktivieren per remove_action('wp_head', 'print_emoji_detection_script', 7) |
| oEmbed | Automatische Einbettung von YouTube, Twitter etc. | oEmbed deaktivieren oder 2-Klick-Lösung |
| REST API | Benutzernamen über API öffentlich zugänglich | REST API für nicht-authentifizierte Nutzer einschränken |
Shopify und Webflow
Shopify: Setzt standardmäßig Analytics-Cookies, Apps von Drittanbietern können Tracking einführen. Server in Nordamerika — DPA im Shopify-Admin abschließen.
Webflow: Hostet auf AWS (USA/EU möglich), Forms senden Daten an Webflow-Server (AVV nötig), Custom Code im <head> wird nicht automatisch consent-gated.
Häufige Relaunch-Fehler
| Fehler | Problem | Lösung |
|---|---|---|
| Alte Tracking-Codes vergessen | GTM enthält Tags, die längst entfernt sein sollten | GTM-Container komplett prüfen, ungenutzte Tags entfernen |
| Test-Cookies im Live-System | Debug-Cookies und Hotjar-Test-Account bleiben aktiv | Vor Go-live alle Cookies im Inkognito-Modus prüfen |
| DSE-URL geändert ohne Redirect | Bestehende Links führen auf 404 | 301-Redirects für alle Rechtstext-URLs einrichten |
| Consent nicht zurückgesetzt | Nutzer haben altem Cookie-Setup zugestimmt, das nicht mehr gilt | Consent-Cookie zurücksetzen (neue Version im Banner) |
| Barrierefreiheit nicht geprüft | Neues Design ohne WCAG-Berücksichtigung | WCAG 2.1 AA ins Relaunch-Briefing aufnehmen |
Praxis-Checkliste
Vor dem Relaunch
- DSFA-Pflicht geprüft (Art. 35 DSGVO)
- Verarbeitungsverzeichnis aktualisiert (Art. 30 DSGVO)
- AVVs mit allen neuen Dienstleistern abgeschlossen (Art. 28 DSGVO)
- Bestandsaufnahme der alten Website dokumentiert
Während des Relaunchs
- Cookie-Audit durchgeführt (alle Cookies dokumentiert)
- Third-Party-Requests geprüft und dokumentiert
- Datenschutzerklärung aktualisiert
- Impressum aktualisiert
- Cookie-Banner konfiguriert und getestet
- Security Headers konfiguriert
- SSL/TLS eingerichtet und HTTP-Redirect aktiv
Nach dem Relaunch
- Compliance-Scan durchgeführt
- Consent-Flow getestet (Akzeptieren, Ablehnen, Widerruf)
- Alle Formulare getestet
- 301-Redirects für geänderte URLs (insb. DSE und Impressum)
- Alte Daten vom alten Server gelöscht
- Regelmäßige automatische Scans eingerichtet
Nach jedem Relaunch: Automatisch scannen
Ein Website-Relaunch ist der perfekte Moment, um automatisches Compliance-Monitoring einzurichten. Der Compliso Scanner prüft deine Website regelmäßig auf 30 DSGVO-relevante Kriterien und benachrichtigt dich bei neuen Problemen — damit du nach dem Relaunch nicht sofort wieder hinterherläuft.
Scanne deine neue Website jetzt kostenlos und erfahre in 30 Sekunden, ob der Relaunch DSGVO-konform gelaufen ist. Oder registriere dich für automatische wöchentliche Scans und behalte den Überblick.
Deine Website DSGVO-konform machen?
Compliso prüft deine Website automatisch auf Cookies, Tracker, Dark Patterns und Accessibility-Probleme.