Datenflüsse erfassen
Bevor du Cookie-Banner oder Datenschutzerklärungen anfasst, musst du verstehen, wie Daten durch dein System laufen.
Checkliste:
- Alle personenbezogenen Daten erfassen, etwa Namen, E-Mail-Adressen, IP-Adressen, User-IDs und Tracking-Events
- Nachvollziehen, wohin diese Daten gehen: Backend, Datenbank, Logs, Analytics, externe Dienste
- Speicherorte dokumentieren, inklusive Backups, Log-Systeme und Cloud-Speicher
- Alle Empfänger auflisten, zum Beispiel Analyse-Tools, Mail-Services, Error-Tracking oder CDNs
Beispiel: Ein Kontaktformular schickt Daten an eine API, schreibt Request-Bodies in Logs, leitet Inhalte per E-Mail weiter und speichert Einträge in einem CRM. Alle vier Stationen müssen dokumentiert sein.
Rechtsgrundlage klären
Jede Datenerhebung braucht einen klaren Zweck.
Checkliste:
- Für jede Datenkategorie eine Rechtsgrundlage festlegen, etwa Einwilligung, Vertrag oder berechtigtes Interesse
- Felder entfernen, die keinen klaren Nutzen haben
- Optionale Daten nur erheben, wenn sie wirklich gebraucht werden
Beispiel: Wenn für einen Newsletter nur eine E-Mail-Adresse nötig ist, sollten Name, Firma und Telefonnummer gestrichen werden, sofern sie nicht aktiv genutzt werden.
Einwilligung sauber umsetzen
Einwilligung muss aktiv erfolgen, sinnvoll aufgeteilt sein und jederzeit widerrufen werden können.
Checkliste:
- Keine vorausgewählten Checkboxen
- Einwilligungen nach Kategorien trennen, zum Beispiel Analytics, Marketing und notwendige Funktionen
- Einwilligungsstatus serverseitig oder dauerhaft im Client speichern
- Nutzern eine gut sichtbare Möglichkeit geben, ihre Auswahl zu ändern
Beispiel: Eine Einstellungsseite, auf der Nutzer Analytics nachträglich deaktivieren können, wobei gleichzeitig alle entsprechenden Cookies gelöscht werden.
Cookies und Tracking
Ein Banner allein reicht nicht. Der Code muss die Entscheidung respektieren.
Checkliste:
- Alle nicht notwendigen Skripte blockieren, bis eine Einwilligung vorliegt
- Tracking- und Analyse-Tools erst nach Opt-in laden
- Keine Tracking-Pixel beim ersten Seitenaufruf auslösen
- Do-Not-Track-Signale berücksichtigen, wo sinnvoll
Beispiel: Analytics wird erst initialisiert, wenn die entsprechende Einwilligung tatsächlich gesetzt ist.
Formulare kritisch prüfen
Formulare sind oft die größte Quelle unnötiger Datensammlung.
Checkliste:
- Pro Feld nur das abfragen, was wirklich benötigt wird
- Zweck der Datenerhebung direkt am Formular erklären
- Versteckte Felder mit personenbezogenen Daten entfernen, wenn sie nicht zwingend nötig sind
- Sicherstellen, dass Frontend und Backend dieselben Regeln durchsetzen
Beispiel: Unter dem E-Mail-Feld steht: „Wir nutzen deine E-Mail-Adresse ausschließlich zur Kontoerstellung und für Passwort-Resets.“
Nutzerrechte umsetzbar machen
Rechte müssen funktionieren, nicht nur in der Datenschutzerklärung stehen.
Checkliste:
- Nutzern Zugriff auf ihre gespeicherten Daten ermöglichen
- Korrekturen ohne Support-Kontakt erlauben, wo möglich
- Lösch- und Anonymisierungsprozesse über alle Systeme hinweg implementieren
- Datenexporte in einem strukturierten, maschinenlesbaren Format anbieten
Beispiel: Ein Button im Account-Bereich, der im Hintergrund Jobs startet, um Nutzerdaten zu löschen, Tokens zu widerrufen und Tracking-IDs zu entfernen.
Aufbewahrungsfristen festlegen
Daten unbegrenzt zu speichern ist ein echtes Risiko.
Checkliste:
- Für jede Datenart klare Aufbewahrungsfristen definieren
- Automatisierte Löschung oder Anonymisierung einrichten
- Backups und Logs nach Möglichkeit einbeziehen
Beispiel: Kontaktanfragen werden nach 90 Tagen automatisch gelöscht, sofern sie keinem aktiven Supportfall zugeordnet sind.
Sicherheit ernst nehmen
Sicherheit ist ein zentraler Bestandteil der GDPR, kein optionales Extra.
Checkliste:
- HTTPS überall erzwingen, auch intern
- Sensible Daten im Ruhezustand verschlüsseln
- Zugriffe strikt rollenbasiert steuern
- Zugriffe auf personenbezogene Daten protokollieren
- Auffälliges Verhalten überwachen und melden
Beispiel: Direkter Datenbankzugriff ist auf Applikationsrollen beschränkt, alle administrativen Abfragen werden geloggt.
Drittanbieter überprüfen
Jeder externe Dienst erhöht die Angriffsfläche.
Checkliste:
- Alle Drittanbieter erfassen, die personenbezogene Daten erhalten
- Prüfen, ob Auftragsverarbeitungsverträge vorhanden sind
- Klären, wo die Daten gespeichert werden
- Nicht genutzte Integrationen entfernen
Beispiel: Ein altes Chat-Widget wird entfernt, weil es weiterhin Tracking-Skripte lädt, obwohl es nicht mehr genutzt wird.
Datenschutzerklärung und Code abgleichen
Die Erklärung muss widerspiegeln, was der Code tatsächlich tut.
Checkliste:
- Technisches Verhalten und Dokumentation regelmäßig abgleichen
- Datenschutzerklärung bei Änderungen anpassen
- Einwilligungen und Nutzerrechte mit konkreten Funktionen verknüpfen
Beispiel: Wenn Analytics laut Erklärung optional ist, darf es technisch erst nach Einwilligung geladen werden.
Entwicklungs- und Produktionsumgebungen trennen
Abkürzungen in der Entwicklung führen schnell zu Compliance-Problemen.
Checkliste:
- Keine echten Nutzerdaten in Dev- oder Testumgebungen verwenden
- Testdaten anonymisieren oder synthetisch erzeugen
- Zugriff auf Produktivdaten und Logs strikt einschränken
Beispiel: Produktions-Backups werden vor dem Einsatz in Staging durch anonymisierte Datensätze ersetzt.
Vorbereitung auf Sicherheitsvorfälle
Geh davon aus, dass etwas passiert, und sei vorbereitet.
Checkliste:
- Sicherheitsrelevante Events mit Zeitstempeln und IDs loggen
- Unbefugten Zugriff und Datenabfluss überwachen
- Einen klaren Incident-Prozess mit Zuständigkeiten dokumentieren
- Betroffene Nutzer und Datentypen schnell identifizieren können
Beispiel: Zentrale Logs ermöglichen bei einem Vorfall die Filterung nach User-ID und Event-Typ.
Realitätscheck zum Schluss
Wenn du nicht erklären kannst, welche Daten deine Website sammelt, warum sie gesammelt werden und wie sie wieder gelöscht werden, ist dein System nicht GDPR-ready. Compliance wird deutlich einfacher, wenn Datenflüsse überschaubar bleiben, Tracking bewusst eingesetzt wird und Löschung von Anfang an mitgedacht wird.