Alle Artikel

Datenschutz beim Website-Relaunch: Checkliste für Agenturen

Datenschutz beim Website-Relaunch: Checkliste für Agenturen – Cookies klassifizieren, Tracking prüfen, Datenschutzerklärung aktualisieren. Praxisnah.

Datenschutz beim Website-Relaunch: Checkliste für Agenturen

Datenschutz beim Website-Relaunch ist für Agenturen keine Randnotiz – er entscheidet darüber, ob der Launch reibungslos läuft oder ob Tracking-Skripte bereits vor dem ersten Consent-Klick feuern. Diese Checkliste beantwortet die operativen Fragen, die Webdesigner, Projektleiter und Entwickler im Projektalltag stellen: Welche Cookies dürfen ohne Einwilligung gesetzt werden? Wann braucht die Datenschutzerklärung eine neue Version? Und was muss die Agentur vor dem Go-live dokumentiert haben?

Website Relaunch DSGVO Checkliste: Die sieben Kernpunkte

Ein Relaunch ist datenschutzrechtlich kein kosmetisches Update. Sobald sich die technische Infrastruktur ändert – neues CMS, andere Hosting-Umgebung, ausgetauschte Drittdienste – verändern sich auch die Datenverarbeitungen. Was auf der alten Website als „technisch notwendig" eingestuft war, kann auf der neuen Architektur anders zu bewerten sein. Umgekehrt kann ein Dienst, der früher eine Einwilligung erforderte, durch eine serverseitige Lösung ohne Drittübermittlung anders einzuordnen sein – je nach konkreter Ausgestaltung und im Einzelfall zu prüfen.

Datenschutz gehört deshalb in den Kick-off, nicht in die letzte Projektwoche. Die folgende Tabelle zeigt, welche Punkte in welcher Projektphase relevant werden – und wer im Agentur-Team typischerweise zuständig ist.

Prüfpunkt Projektphase Typisch zuständig
Drittdienste inventarisieren Konzeption Projektleitung / Entwicklung
Cookies klassifizieren (essenziell vs. einwilligungspflichtig) Konzeption / Entwicklung Entwicklung
AVV mit neuen Dienstleistern prüfen Konzeption Projektleitung / Geschäftsführung
Datenschutzerklärung aktualisieren Kurz vor Launch Projektleitung + Mandant
Consent-Management konfigurieren und testen Entwicklung / QA Entwicklung
Pre-Consent-Scan durchführen QA / Staging Entwicklung / QA
Launch-Freigabe mit Datenschutz-Protokoll Launch Projektleitung

Die folgenden Abschnitte gehen auf die erfahrungsgemäß kritischsten Punkte ein.

Datenschutz Website Relaunch Agentur: Drittdienste zuerst inventarisieren

Der erste Schritt bei jedem Relaunch ist eine vollständige Liste aller Drittdienste, die auf der neuen Website eingebunden werden sollen. Das klingt trivial, ist es aber nicht: In der Praxis werden Dienste oft implizit eingebunden – über Plugins, Theme-Bibliotheken oder Copy-Paste-Code aus früheren Projekten. Ein Google Font, der direkt von Googles CDN geladen wird, überträgt die IP-Adresse des Besuchers an Google-Server. Ein eingebettetes YouTube-Video setzt bereits beim Laden der Seite Cookies, sofern kein datenschutzfreundlicher Einbettungsmodus aktiviert ist.

Empfehlenswert ist eine einfache Tabelle im Projektdokument: Dienst, Anbieter, Zweck, Datenübermittlung in Drittland (ja/nein), Rechtsgrundlage (Einwilligung oder berechtigtes Interesse, je nach Einzelfall zu prüfen). Diese Liste ist die Grundlage für alle weiteren Entscheidungen – und für die spätere Datenschutzerklärung.

Besondere Aufmerksamkeit verdienen Dienste, die Daten in Länder außerhalb des EWR übermitteln. Hier ist zu prüfen, ob ein angemessenes Datenschutzniveau besteht – etwa durch einen Angemessenheitsbeschluss der EU-Kommission oder Standardvertragsklauseln. Die konkrete Einschätzung sollte im Zweifel mit dem Datenschutzbeauftragten des Mandanten oder einem Anwalt abgestimmt werden.

Essenzielle Cookies Liste DSGVO: Welche Cookies brauchen keine Einwilligung?

Diese Frage stellt sich in jedem Projekt neu. Die Antwort hängt nicht vom Cookie-Namen ab, sondern vom Zweck. Als technisch notwendig – und damit einwilligungsfrei – gelten Cookies, die für den Betrieb der Website oder die Erbringung eines ausdrücklich vom Nutzer angeforderten Dienstes unbedingt erforderlich sind. Das TDDDG (Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz, das die ePrivacy-Richtlinie in Deutschland umsetzt) erlaubt diese Kategorie ohne vorherige Einwilligung.

Typische Beispiele für Cookies, die in der Regel keine Einwilligung erfordern:

  • Session-Cookies für Login-Zustände oder Warenkörbe im E-Commerce
  • CSRF-Token zum Schutz vor Cross-Site-Request-Forgery-Angriffen
  • Load-Balancer-Cookies, die eine Sitzung einem bestimmten Server zuweisen
  • Consent-Cookie selbst – speichert die Einwilligungsentscheidung des Nutzers
  • Sprachpräferenz-Cookies – die Einordnung ist strittig; es kommt auf die konkrete Ausgestaltung an

Nicht in diese Kategorie fallen hingegen:

  • Analytics-Cookies (z. B. Google Analytics, Matomo mit aktiviertem Tracking) – der Regelfall ist hier die Einwilligung; ob in Einzelfällen vollständig anonymisierte serverseitige Messung ohne Drittübermittlung anders einzuordnen ist, wird diskutiert und bedarf einer Einzelfallprüfung
  • Marketing- und Retargeting-Cookies (z. B. Meta Pixel, Google Ads Conversion) – hier ist die Einwilligungspflicht eindeutig
  • Social-Media-Embeds, die beim Laden Cookies setzen
  • A/B-Testing-Tools, die Nutzerverhalten aufzeichnen

Die Einordnung „technisch notwendig" ist keine Selbstauskunft des Anbieters, sondern eine rechtliche Bewertung, die der Betreiber – und damit im Projektalltag oft die beratende Agentur – vornehmen muss. Im Zweifel gilt: lieber in die einwilligungspflichtige Kategorie einordnen als zu großzügig argumentieren.

Tracking ohne Einwilligung erlaubt? Die Grenze im Projektalltag ziehen

„Tracking ohne Einwilligung erlaubt" ist eine der meistgesuchten Fragen im Agentur-Alltag – und die Antwort ist differenzierter als viele erwarten. Grundsätzlich gilt: Jedes Tracking, das das Verhalten eines Nutzers über Seiten hinweg verfolgt, Profile bildet oder Daten an Dritte übermittelt, erfordert eine Einwilligung. Das betrifft den überwiegenden Teil der gängigen Tracking-Tools.

Eine häufige Grauzone ist die reine Reichweitenmessung. Wenn ein Tool ausschließlich aggregierte, nicht personenbezogene Daten erhebt, keine Cookies setzt und keine Daten an Dritte übermittelt, kann im Einzelfall eine andere Rechtsgrundlage in Betracht kommen. Diese Einschätzung ist jedoch strittig und sollte nicht ohne Prüfung als Standardlösung angewendet werden.

Für die Agentur bedeutet das im Projektalltag: Jedes Tracking-Tool, das der Mandant wünscht, muss aktiv hinterfragt werden. Die Fragen lauten: Setzt das Tool Cookies? Übermittelt es Daten an Dritte? Wird ein Nutzerprofil gebildet? Wer diese Fragen nicht stellt, handelt nicht im Interesse des Mandanten – und schafft ein Risiko, das sich beim nächsten Relaunch oder bei einer Beschwerde materialisieren kann.

Praktisch empfiehlt sich ein Pre-Consent-Scan auf der Staging-Umgebung: Welche Requests feuern, bevor der Nutzer überhaupt eine Einwilligungsentscheidung getroffen hat? Genau das ist das Muster, das Complianty mit seinem Pre-/Post-Consent-Scanner sichtbar macht – wobei die Daten aus dem Complianty-Korpus stammen und keine repräsentative Zufallsstichprobe darstellen.

Datenschutzerklärung Relaunch Beispiele: Was sich typischerweise ändert

Die Datenschutzerklärung muss die tatsächlichen Datenverarbeitungen der Website widerspiegeln. Ein Relaunch, der neue Dienste einbindet, eine andere Hosting-Umgebung nutzt oder bestehende Tools austauscht, löst in der Regel eine Aktualisierungspflicht aus. Typische Auslöser:

  • Wechsel des Hosting-Anbieters oder des Serverstandorts
  • Einbindung neuer Analyse-, Marketing- oder Kommunikationstools
  • Austausch des CMS (z. B. von WordPress zu einem Headless-System)
  • Neue Kontaktformulare, Newsletter-Integrationen oder Buchungssysteme
  • Änderungen bei der Übermittlung von Daten in Drittländer

Konkrete Beispiele aus der Agenturpraxis zeigen, wie sich das auswirkt: Eine Agentur migriert einen Mandanten von einem deutschen Shared-Hosting-Anbieter auf einen US-amerikanischen Cloud-Dienst. Die bisherige Datenschutzerklärung erwähnte keine Drittlandübermittlung – nach dem Relaunch ist sie zwingend zu ergänzen. Ein anderes Beispiel: Der Mandant wechselt von einem selbst gehosteten Kontaktformular zu einem SaaS-Anbieter für Lead-Formulare. Auch hier entsteht eine neue Verarbeitungssituation, die in der Erklärung abgebildet werden muss.

Zur Frage des Formats: Es gibt kein gesetzlich vorgeschriebenes Muster. Entscheidend ist, dass alle tatsächlichen Verarbeitungen vollständig und verständlich beschrieben sind – Zweck, Rechtsgrundlage, betroffene Datenkategorien, Empfänger und gegebenenfalls Drittlandübermittlung. Generatoren können einen ersten Entwurf liefern, müssen aber auf die konkrete Website-Infrastruktur angepasst werden. Eine Vorlage, die nicht zur tatsächlichen Technik passt, ist schlimmer als keine – sie erweckt den Anschein von Compliance, ohne sie herzustellen.

Für Agenturen, die mehrere Mandanten betreuen, empfiehlt sich ein klarer Prozess: Die Datenschutzerklärung wird erst nach Abschluss der Drittdienste-Inventarisierung finalisiert, nicht vorher. So vermeiden Sie, dass die Erklärung beim Launch bereits veraltet ist.

AVV und Rollenklärung vor dem Launch: Was die Agentur regeln sollte

Sobald eine Agentur im Auftrag eines Mandanten auf personenbezogene Daten zugreift – etwa durch Zugriff auf das CMS, die Hosting-Konsole oder Analytics-Daten – entsteht je nach Ausgestaltung eine datenschutzrechtliche Beziehung. In vielen Konstellationen agiert die Agentur als Auftragsverarbeiterin im Sinne der DSGVO, was einen Auftragsverarbeitungsvertrag (AVV – der Vertrag, der Pflichten und Weisungsrechte zwischen Verantwortlichem und Auftragsverarbeiter regelt) erfordert.

Wichtig: Die datenschutzrechtliche Rolle hängt von der konkreten Ausgestaltung der Zusammenarbeit ab und ist nicht pauschal zu beantworten. Ebenso wenig folgt aus der Rolle als Auftragsverarbeiterin automatisch eine zivilrechtliche Haftung gegenüber dem Mandanten – diese ergibt sich aus dem Werk- oder Dienstvertrag und ist vertraglich zu regeln. Beide Ebenen sollten nicht vermischt werden.

Für den Relaunch-Kontext bedeutet das: Prüfen Sie, ob für neue Dienstleister (Hosting, CDN, E-Mail-Versand, Analytics) AVV-Verträge vorliegen. Viele Anbieter stellen diese in ihren Datenschutz-Einstellungen bereit. Fehlen sie, sollten sie vor dem Launch eingeholt werden.

Der häufigste Fehler beim Launch: Das Consent-Management-System (CMP – das Tool, das den Cookie-Banner steuert und Einwilligungen verwaltet) ist konfiguriert, aber nicht korrekt in alle Drittdienste integriert. Das Ergebnis: Tracking-Skripte feuern bereits beim Seitenaufruf, bevor der Nutzer überhaupt eine Einwilligungsentscheidung getroffen hat.

Dieser Zustand ist nicht nur datenschutzrechtlich problematisch, sondern auch schwer nachzuweisen – in beide Richtungen. Weder Agentur noch Mandant können im Nachhinein belegen, dass beim Launch alles korrekt war. Genau hier setzt ein Pre-Consent-Scan an: Er prüft, welche Netzwerkanfragen und Cookies beim ersten Seitenaufruf – also vor jeder Interaktion mit dem Banner – ausgelöst werden.

Empfehlung für den QA-Prozess:

  1. Staging-Umgebung mit leerem Browser-Cache und ohne bestehende Cookies aufrufen
  2. Alle ausgehenden Requests protokollieren (Browser-DevTools, Network-Tab)
  3. Prüfen: Welche Domains werden kontaktiert? Welche Cookies werden gesetzt?
  4. Abgleich mit der Drittdienste-Liste: Sind alle einwilligungspflichtigen Dienste korrekt geblockt?
  5. Test nach Einwilligung wiederholen: Werden alle Dienste korrekt aktiviert?

Dieser Schritt sollte als fester Bestandteil des QA-Prozesses dokumentiert werden – nicht als einmaliger Check, sondern als wiederholbarer, protokollierbarer Schritt. So entsteht ein Beweis-Block, der im Zweifelsfall belegt, dass die Agentur sorgfältig gearbeitet hat. Die Website-Relaunch-Datenschutz-Pflicht endet nicht mit dem Konfigurieren des Banners – sie endet erst, wenn der Scan sauber ist und das Ergebnis dokumentiert vorliegt.

Den nächsten Schritt strukturiert angehen

Datenschutz beim Website-Relaunch ist eine Querschnittsaufgabe, die von der Konzeption bis zum Go-live begleitet werden muss. Die Checkliste in diesem Artikel deckt die operativen Kernpunkte ab: Drittdienste inventarisieren, Cookies klassifizieren, AVV klären, Datenschutzerklärung aktualisieren, CMP konfigurieren und testen, Pre-Consent-Scan durchführen. Wer diese Schritte in sein Projektmanagement integriert, hat die wichtigsten Risiken im Griff – und kann dem Mandanten beim Launch belegen, dass sorgfältig gearbeitet wurde.

Für Agenturen, die mehrere Mandanten betreuen und den Datenschutz-Status aller Projekte im Blick behalten wollen, bietet Complianty ein Multi-Mandant-Dashboard mit Pre-/Post-Consent-Scanner. Einen ersten Eindruck gibt das DSGVO-Tool für Datenschutzbeauftragte.