Muss ich bei einem Website Relaunch die DSGVO beachten?

Ja, unbedingt. Nach Art. 25 DSGVO (Privacy by Design) muss der Datenschutz bereits bei der Planung berücksichtigt werden. Ein Relaunch ohne DSGVO-Prüfung kann zu Bußgeldern nach Art. 83 DSGVO führen.

Brauche ich bei einem Relaunch eine neue Datenschutzerklärung?

In der Regel ja. Die Datenschutzerklärung muss alle aktuellen Verarbeitungen auf der Website abbilden (Art. 13, 14 DSGVO). Beim Relaunch ändern sich typischerweise eingebundene Dienste, Formulare und Tracking-Tools.

Welche Drittanbieter-Dienste sind beim Relaunch besonders kritisch?

Besonders kritisch sind Google Analytics, Google Fonts (lokal einbinden!), Social-Media-Plugins, Chat-Tools und Newsletter-Dienste. Für jeden Dienst brauchen Sie eine Rechtsgrundlage und ggf. einen Auftragsverarbeitungsvertrag.

Wie teste ich, ob mein Relaunch DSGVO-konform ist?

Prüfen Sie vor dem Go-Live: Cookie-Banner funktioniert korrekt (kein Tracking vor Einwilligung), Datenschutzerklärung ist vollständig und erreichbar, alle Formulare haben Datenschutzhinweise, und SSL/TLS ist aktiv. Nutzen Sie einen automatisierten DSGVO-Check für eine umfassende Prüfung.

Website Relaunch DSGVO Checkliste — So wird Ihr Relaunch rechtssicher

Ein Website Relaunch ist mehr als ein neues Design. Wer die DSGVO beim Relaunch nicht von Anfang an einplant, riskiert Bußgelder, Abmahnungen und den Verlust von Kundenvertrauen. Ich sehe das in der Praxis leider regelmäßig: Die neue Website sieht fantastisch aus, aber datenschutzrechtlich ist sie eine Katastrophe.

Damit Ihnen das nicht passiert, habe ich diese Checkliste zusammengestellt. Sie deckt jeden Bereich ab, den Sie bei einem DSGVO-konformen Website Relaunch beachten müssen.

Warum die DSGVO beim Relaunch so wichtig ist

Ein Website Relaunch ist rechtlich gesehen eine Neugestaltung Ihrer gesamten Datenverarbeitung im Web. Jedes Formular, jedes Tracking-Tool, jeder eingebundene Dienst muss den Anforderungen der DSGVO (Verordnung (EU) 2016/679) entsprechen.

Nach Art. 25 DSGVO gilt das Prinzip Privacy by Design und Privacy by Default. Das bedeutet: Datenschutz muss bereits in der Planungsphase des Relaunches berücksichtigt werden — nicht erst nachträglich.

Die Aufsichtsbehörden schauen bei neuen Websites besonders genau hin. Eine frisch relaunchte Website, die gegen die DSGVO verstößt, zeigt, dass der Betreiber die Anforderungen bewusst ignoriert hat.

Phase 1: Planung und Bestandsaufnahme

Verarbeitungsverzeichnis aktualisieren

Bevor Sie auch nur eine Zeile Code schreiben, müssen Sie Ihr Verzeichnis der Verarbeitungstätigkeiten (Art. 30 DSGVO) überprüfen und aktualisieren. Fragen Sie sich:

Welche personenbezogenen Daten werden auf der neuen Website erhoben?
Welche Drittanbieter-Tools und Dienste sollen eingebunden werden?
Welche Datenflüsse ergeben sich daraus?
Gibt es Datenübermittlungen in Drittländer (z. B. USA)?

Jeder neue Dienst, jedes neue Formular, jede neue Funktion muss im Verarbeitungsverzeichnis dokumentiert werden. Nutzen Sie unseren DSGVO-Check, um den aktuellen Stand Ihrer Website zu prüfen.

Datenschutz-Folgenabschätzung prüfen

Bei bestimmten Verarbeitungen kann eine Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 DSGVO erforderlich sein. Das gilt insbesondere, wenn Sie:

Umfangreiches Nutzer-Tracking einsetzen wollen
Profiling oder personalisierte Inhalte planen
Gesundheitsdaten oder andere besondere Kategorien verarbeiten
Große Mengen personenbezogener Daten systematisch erheben

Auftragsverarbeiter identifizieren

Jeder externe Dienstleister, der in Ihrem Auftrag personenbezogene Daten verarbeitet, braucht einen Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO. Typische Beispiele beim Website Relaunch:

Hosting-Anbieter
Content Delivery Networks (CDN)
Newsletter-Tools
Analyse-Dienste
Chat-Widgets
CRM-Systeme

Prüfen Sie für jeden Dienstleister, ob ein gültiger AVV vorliegt. Mehr dazu finden Sie in unserem Glossar.

Phase 2: Technische Umsetzung

Das Cookie-Banner ist beim Relaunch eine der größten Fehlerquellen. Nach der Rechtsprechung des EuGH (Urteil vom 01.10.2019, C-673/17 — “Planet49”) und des BGH (Urteil vom 28.05.2020, I ZR 7/16) gilt:

Opt-in ist Pflicht für alle nicht technisch notwendigen Cookies
Vorangekreuzte Checkboxen sind unzulässig
Der Nutzer muss echte Wahlfreiheit haben — kein Dark Pattern
Die Ablehnung muss genauso einfach sein wie die Zustimmung

Technisch bedeutet das: Kein Tracking-Script darf vor der Einwilligung laden. Verwenden Sie ein seriöses Consent-Management-Tool und testen Sie gründlich.

SSL/TLS-Verschlüsselung

Art. 32 DSGVO verlangt angemessene technische Schutzmaßnahmen. Eine SSL/TLS-Verschlüsselung (HTTPS) ist heute absoluter Mindeststandard. Stellen Sie sicher:

Alle Seiten werden über HTTPS ausgeliefert
HTTP wird automatisch auf HTTPS umgeleitet
Mixed Content wird vermieden
Das Zertifikat ist gültig und aktuell

Formulare DSGVO-konform gestalten

Jedes Kontaktformular, Anmeldeformular oder Bestellformular muss:

Nur die wirklich erforderlichen Daten abfragen (Datenminimierung, Art. 5 Abs. 1 lit. c DSGVO)
Einen Hinweis auf die Datenschutzerklärung enthalten
Bei Newsletter-Anmeldungen das Double-Opt-in-Verfahren verwenden
Einwilligungen protokollieren und nachweisbar speichern

Drittanbieter-Dienste prüfen

Beim Relaunch werden oft neue Tools eingebunden. Für jeden Drittanbieter müssen Sie prüfen:

Rechtsgrundlage: Einwilligung (Art. 6 Abs. 1 lit. a) oder berechtigtes Interesse (Art. 6 Abs. 1 lit. f)?
Datenübermittlung in Drittländer: Liegt ein Angemessenheitsbeschluss vor (Art. 45 DSGVO)? Werden Standardvertragsklauseln (Art. 46 Abs. 2 lit. c) verwendet?
AVV: Ist ein Auftragsverarbeitungsvertrag geschlossen?

Besonders kritisch sind US-Dienste. Seit dem EU-US Data Privacy Framework gibt es zwar wieder eine Rechtsgrundlage für zertifizierte US-Unternehmen, aber die Zertifizierung muss aktuell und gültig sein.

Phase 3: Rechtliche Dokumente

Datenschutzerklärung vollständig überarbeiten

Die Datenschutzerklärung muss alle Verarbeitungen auf der neuen Website abbilden. Häufige Fehler:

Alte Dienste werden noch aufgeführt, obwohl sie nicht mehr genutzt werden
Neue Dienste fehlen in der Datenschutzerklärung
Die Rechtsgrundlagen stimmen nicht mit der tatsächlichen Einbindung überein
Drittlandtransfers werden nicht korrekt benannt

Die Anforderungen an die Datenschutzerklärung ergeben sich aus Art. 13 und Art. 14 DSGVO. Sie muss in klarer und einfacher Sprache verfasst sein und leicht zugänglich sein.

Impressum prüfen

Auch das Impressum muss beim Relaunch überprüft werden. Es gelten die Anforderungen nach § 5 TMG (bzw. ab 2025 § 5 DDG). Achten Sie auf:

Vollständige Angaben zum Betreiber
Erreichbare Kontaktdaten
Ggf. Handelsregister-Angaben und USt-IdNr.

AGB und Widerrufsbelehrung (bei Online-Shops)

Wenn Sie einen Online-Shop relaunchen, müssen zusätzlich AGB, Widerrufsbelehrung und ggf. Versandbedingungen aktualisiert werden. Schauen Sie sich unser Rettungspaket an, wenn Sie schnelle Hilfe benötigen.

Phase 4: Go-Live und Nachbereitung

Funktionstest vor dem Launch

Testen Sie vor dem Go-Live:

Funktioniert das Cookie-Banner korrekt? Werden Scripts erst nach Einwilligung geladen?
Sind alle Formulare DSGVO-konform?
Ist die Datenschutzerklärung vollständig und von jeder Seite erreichbar?
Werden keine Daten ohne Rechtsgrundlage übermittelt?

Monitoring nach dem Launch

Nach dem Go-Live sollten Sie regelmäßig prüfen, ob alles korrekt funktioniert. Consent-Raten, Formular-Eingänge und technische Fehler sollten überwacht werden.

Nutzen Sie unseren DSGVO-Check für eine automatische Überprüfung Ihrer Website.

Die kompakte Relaunch-Checkliste

Hier die wichtigsten Punkte auf einen Blick:

✅ Verarbeitungsverzeichnis aktualisiert
✅ DSFA geprüft (falls erforderlich)
✅ AVV mit allen Auftragsverarbeitern geschlossen
✅ Cookie-Consent korrekt implementiert (Opt-in)
✅ SSL/TLS aktiv, kein Mixed Content
✅ Formulare datenminimiert und mit Hinweisen versehen
✅ Drittanbieter geprüft (Rechtsgrundlage, Drittland, AVV)
✅ Datenschutzerklärung vollständig überarbeitet
✅ Impressum aktuell
✅ Funktionstest vor Go-Live durchgeführt

Typische Fehler beim Website Relaunch

Die häufigsten DSGVO-Fehler, die ich bei Relaunches sehe:

Google Fonts lokal einbinden vergessen: Nach dem LG-München-Urteil (20.01.2022, Az. 3 O 17493/20) ist die Einbindung über Google-Server ohne Einwilligung unzulässig.
Alte Tracking-Codes mitgenommen: Beim Relaunch werden oft alte Analytics-Snippets vergessen, die ohne Consent laden.
Social-Media-Plugins direkt eingebunden: Facebook-, Instagram- oder LinkedIn-Plugins übertragen sofort Daten. Nutzen Sie die 2-Klick-Lösung.
Kontaktformular ohne Datenschutzhinweis: Jedes Formular braucht einen Hinweis auf die Verarbeitung.

Fazit

Ein Website Relaunch ist die perfekte Gelegenheit, Ihren Datenschutz auf ein solides Fundament zu stellen. Nutzen Sie die Chance, alles von Grund auf richtig zu machen — statt später teuer nachbessern zu müssen.

Wenn Sie unsicher sind, ob Ihre Website alle Anforderungen erfüllt, nutzen Sie unseren kostenlosen DSGVO-Check. Und wenn es schnell gehen muss, hilft unser Rettungspaket — damit Ihr Relaunch nicht zum Risiko wird.

Alle relevanten Begriffe finden Sie in unserem DSGVO-Glossar, und unsere Produkte unterstützen Sie bei der praktischen Umsetzung.

Warum die DSGVO beim Relaunch so wichtig ist#

Phase 1: Planung und Bestandsaufnahme#

Verarbeitungsverzeichnis aktualisieren#

Datenschutz-Folgenabschätzung prüfen#

Auftragsverarbeiter identifizieren#

Phase 2: Technische Umsetzung#

Cookie-Consent korrekt implementieren#

SSL/TLS-Verschlüsselung#

Formulare DSGVO-konform gestalten#

Drittanbieter-Dienste prüfen#

Phase 3: Rechtliche Dokumente#

Datenschutzerklärung vollständig überarbeiten#

Impressum prüfen#

AGB und Widerrufsbelehrung (bei Online-Shops)#

Phase 4: Go-Live und Nachbereitung#

Funktionstest vor dem Launch#

Monitoring nach dem Launch#

Die kompakte Relaunch-Checkliste#

Typische Fehler beim Website Relaunch#

Fazit#

Häufig gestellte Fragen (FAQ)#