Alle Artikel
Agentur-Praxis11 Min. Lesezeit

DSGVO-Pflichten für Webagenturen: Die vollständige Checkliste für jedes Kundenprojekt [2026]

DSGVO Checkliste Agentur: Welche Datenschutz-Pflichten gelten bei jedem Website-Launch für Webagenturen? AVV, Datenschutzerklärung, Cookie Banner, Haftung – komplett erklärt.

DSGVO-Pflichten für Webagenturen: Die vollständige Checkliste für jedes Kundenprojekt [2026]

Die meisten DSGVO-Artikel erklären Datenschutz für eine Website. Dieser Artikel erklärt ihn für eine Agentur, die dreißig Websites gleichzeitig betreut. Das ist ein fundamental anderes Problem – und genau die Lücke, die in der DSGVO-Praxis von Webagenturen fast niemand adressiert. Hier bekommst du die vollständige DSGVO Checkliste Agentur: Was du bei jedem Kundenprojekt erfüllen musst, wo die Haftungsrisiken liegen und wie du das System skalierst.

Doppelrolle der Agentur: Wann bist du Verantwortlicher, wann Auftragsverarbeiter?

Bevor wir zur Checkliste kommen, müssen wir klären, in welcher Rolle du als Agentur überhaupt agierst. Die DSGVO kennt zwei zentrale Rollen – und Webagenturen nehmen je nach Kontext beide ein. Gleichzeitig.

Du bist Verantwortlicher (Art. 4 Nr. 7 DSGVO), wenn du selbst entscheidest, zu welchem Zweck und auf welche Weise personenbezogene Daten verarbeitet werden. Das gilt für deine eigene Website, dein eigenes CRM, dein eigenes Newsletter-Tool. Für diese Datenverarbeitungen bist du vollständig eigenverantwortlich.

Du bist Auftragsverarbeiter (Art. 28 DSGVO), sobald du im Auftrag eines Kunden personenbezogene Daten verarbeitest – also wenn du eine Kunden-Website baust, hostest, wartest oder mit Tools ausstattest, die Besucherdaten erfassen. In dieser Rolle handelst du weisungsgebunden: Der Kunde (dein Auftraggeber) ist der Verantwortliche, du setzt technisch um.

Die Doppelrolle entsteht in der Praxis ständig: Wenn du für einen Kunden Hosting auf einem Server einrichtest, den du selbst verwaltest, bist du gleichzeitig Auftragsverarbeiter gegenüber dem Kunden und möglicherweise Verantwortlicher gegenüber dem Hosting-Anbieter. Diese Verschachtelung ist der Kern des DSGVO-Problems für Agenturen – und der Grund, warum Datenschutz Agentur Kunden nicht mit einem einzelnen Dokument erledigt ist.

Praktische Konsequenz der Auftragsverarbeiter-Rolle: Du benötigst mit jedem Kunden, für den du Daten im Sinne von Art. 28 DSGVO verarbeitest, einen Auftragsverarbeitungsvertrag (AVV). Das ist keine Empfehlung – es ist gesetzliche Pflicht.

Die 7 DSGVO-Pflichten, die du bei jedem Kunden-Launch erfüllen musst

Diese DSGVO Website Launch Checkliste gilt für jede Website, die du für einen Kunden an den Start bringst – egal ob Neuprojekt, Relaunch oder CMS-Migration. Alle sieben Punkte müssen vor dem Go-live erfüllt und dokumentiert sein.

☑ 1. Datenschutzerklärung korrekt und vollständig

Die Datenschutzerklärung muss alle auf der Website tatsächlich eingesetzten Dienste abbilden – nicht mehr, nicht weniger. Häufige Fehler: Dienste fehlen (weil sie nach dem letzten Update der DSE eingebunden wurden), veraltete Dienste stehen noch drin (obwohl sie längst abgeschaltet wurden), oder die Rechtsgrundlagen sind falsch angegeben. Als Agentur bist du für die technische Vollständigkeit verantwortlich – stell sicher, dass du dem Kunden eine aktuelle, konsistente DSE übergibst und dokumentiere den Stand zum Launch-Zeitpunkt. Die Pflicht zur Datenschutzerklärung Kunden Website erstellen ist nicht optional: Fehlt sie oder ist sie unvollständig, droht eine Abmahnung.

☑ 2. Cookie Banner konfiguriert – und blockiert er wirklich?

Ein Cookie Banner, der optisch vorhanden ist, aber kein Tracking blockiert, ist kein Datenschutz – er ist Dekoration. Prüfe vor dem Launch: Feuert der Google Tag Manager erst nach dem Consent-Signal? Haben alle Tags im GTM eine Consent-Bedingung? Wird das CMP-Consent-Event korrekt ausgelöst? Ein visueller Check reicht nicht – du brauchst einen Netzwerk-Interceptor-Test oder einen automatisierten Scanner, der Pre-Consent-Requests protokolliert. Mehr dazu im Artikel Tracking vor Cookie Consent: Wie du DSGVO-Verstöße erkennst. Welches CMP-Tool für Agenturen das beste Agentur-Dashboard und automatischen Cookie-Scan mitbringt, erklärt unser Cookie Consent Tool Vergleich für Agenturen. Einen umfassenden Vergleich der führenden DSGVO-Softwarelösungen findest du in unserem DSGVO-Software-Vergleich für Agenturen.

☑ 3. AVV mit allen Tool-Anbietern vorhanden

Für jeden Drittanbieter, der im Auftrag des Kunden personenbezogene Daten verarbeitet, braucht der Kunde einen AVV. Das betrifft: Hosting-Anbieter (Hetzner, AWS, IONOS), Analytics (Google Analytics 4), E-Mail-Marketing (Mailchimp, Brevo), CRM (HubSpot), Live-Chat (Intercom, Zendesk), Zahlungsdienstleister (Stripe, PayPal) und viele mehr. Als Agentur solltest du dem Kunden eine vollständige Liste aller eingesetzten Auftragsverarbeiter übergeben und dokumentieren, welche AVVs bereits abgeschlossen sind.

☑ 4. Kontaktformular DSGVO-konform

Kontaktformulare sind ein häufig übersehener Datenschutz-Datenpunkt. Prüfe: Werden nur Daten abgefragt, die tatsächlich für die Bearbeitung der Anfrage notwendig sind (Datensparsamkeit, Art. 5 Abs. 1 lit. c DSGVO)? Gibt es einen Hinweis auf die Verarbeitung der eingegebenen Daten und die Rechtsgrundlage? Werden Formulardaten verschlüsselt übertragen (HTTPS zwingend)? Wird die Eingabe nach angemessener Zeit gelöscht? Falls das Formular an ein CRM weitergeleitet wird – ist das in der DSE erwähnt und der AVV mit dem CRM-Anbieter vorhanden?

☑ 5. Google Fonts lokal eingebunden

Remote-eingebundene Google Fonts übertragen beim Laden die IP-Adresse des Besuchers an Google-Server in den USA – ohne Einwilligung, ohne ausreichende Rechtsgrundlage. Das haben mehrere Gerichte in Deutschland bestätigt, u.a. das LG München I (Az. 3 O 17493/20). Binde Schriftarten immer lokal ein: Lade die WOFF2-Dateien herunter, hoste sie selbst auf dem Webserver des Kunden. Das ist ein Handgriff, der bei jedem Projekt Standard sein sollte – Privacy by Design Webagentur bedeutet, dass solche Entscheidungen bereits im Setup-Prozess getroffen werden, nicht nachträglich.

☑ 6. VVT (Verarbeitungsverzeichnis) vorhanden

Das Verarbeitungsverzeichnis nach Art. 30 DSGVO ist für Unternehmen ab 250 Mitarbeitern verpflichtend – de facto aber auch für kleinere Unternehmen dann, wenn die Verarbeitungen ein Risiko für Betroffene darstellen oder nicht nur gelegentlich stattfinden. Das trifft auf fast jede Kunden-Website zu, die Analytics oder Marketing-Tools einsetzt. Das VVT Agentur Kunden Verarbeitungsverzeichnis muss alle Verarbeitungstätigkeiten dokumentieren: welche Daten, zu welchem Zweck, auf welcher Rechtsgrundlage, mit welchen Empfängern, mit welcher Löschfrist. Als Agentur kannst du dem Kunden eine Vorlage bereitstellen – die Pflicht zur Führung liegt beim Kunden als Verantwortlichem.

☑ 7. Pre-Consent Tracking geprüft

Der letzte und in der Praxis am häufigsten übersprungene Punkt. In unserer Auswertung von 1.001 Website-Scans hatten 59,2 % der Websites mindestens einen Tracking-Dienst, der vor dem Consent-Klick feuerte – und 75,9 % davon hatten trotzdem einen Cookie-Banner. Ein visueller Check reicht nicht: Nutze einen Netzwerk-Interceptor oder einen automatisierten Pre-Consent-Scanner als festen Bestandteil deines Launch-Prozesses. Dokumentiere das Ergebnis mit Datum – das ist dein Nachweis, dass die Website zum Launch-Zeitpunkt konform war.

Der AVV — warum Agenturen hier am häufigsten scheitern

Der Auftragsverarbeitungsvertrag nach Art. 28 DSGVO ist die meistunterschätzte Pflicht im Datenschutz Kundenprojekt Agentur-Kontext. Die AVV Pflicht Webagentur Kunden klingt bürokratisch – in der Praxis ist sie es auch. Aber sie ist nicht optional.

Wann ist ein AVV notwendig? Immer dann, wenn ein Dienstleister in deinem Auftrag oder im Auftrag deines Kunden Zugriff auf personenbezogene Daten hat und diese verarbeitet. Das gilt nicht nur für offensichtliche Fälle wie Analytics oder CRM – sondern auch für:

  • Den Hosting-Anbieter: Jeder Webserver speichert Access-Logs mit IP-Adressen
  • Das CDN (Cloudflare, AWS CloudFront): Verarbeitet ebenfalls IP-Adressen
  • Das E-Commerce-System (Shopify, WooCommerce mit externem Payment): Kundendaten
  • Das Backup-Tool: Enthält alle gespeicherten Daten in Kopie
  • Das Formular-Tool (Typeform, Jotform): Empfängt Nutzereingaben

Der Auftragsverarbeitungsvertrag Agentur Webdesign muss vor Beginn der Datenverarbeitung abgeschlossen sein – nicht nachträglich. In der Praxis bedeutet das: Bevor du für einen neuen Kunden eine Website hostest oder aufsetzt, braucht ihr einen AVV. Viele Agenturen schließen diesen Vertrag nie ab, weil der Kunde nicht fragt und die Agentur nicht daran denkt. Das ist eine Ordnungswidrigkeit.

Besonders relevant: Wenn du Hetzner, AWS oder einen anderen Hosting-Anbieter für Kunden-Websites verwendest, beauftragst du diesen Anbieter als Sub-Auftragsverarbeiter. Die Kette lautet: Kunde → beauftragt → Agentur (du bist Auftragsverarbeiter des Kunden) → beauftragt → Hetzner/AWS (Hetzner ist Sub-Auftragsverarbeiter der Agentur). Du musst also nicht nur einen AVV mit dem Kunden abschließen, sondern auch sicherstellen, dass der Hosting-Anbieter einen AVV mit dir abgeschlossen hat – und dass diese Sub-Auftragsverarbeitung in deinen eigenen Verträgen und im VVT dokumentiert ist. Das ist in Art. 28 Abs. 2 DSGVO geregelt.

Praktischer Tipp: Führe für jeden Kunden eine Tabelle aller eingesetzten Auftragsverarbeiter: Tool, Anbieter, AVV-Link, Datum, Verlängerungsdatum. Diese Übersicht ist gleichzeitig die Grundlage für das VVT und die Basis für Datenschutz Compliance Agentur Kundenprojekte im laufenden Betrieb.

Haftungsrisiken: Was passiert, wenn du es nicht machst?

Die Haftungsfrage ist der Punkt, der in keiner DSGVO Checkliste Agentur fehlen darf. Denn sie bestimmt, wer am Ende zahlt – und wie viel.

Primäre Haftung liegt beim Verantwortlichen – also beim Kunden als Website-Betreiber. Datenschutzbehörden adressieren Bußgelder in erster Linie an die verantwortliche Stelle. Der Rahmen: bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes – je nachdem, was höher ist (Art. 83 Abs. 5 DSGVO).

Haftung des Webdesigners DSGVO-Verstoß: Die Agentur kann in die Haftung geraten, wenn sie das rechtswidrige Setup wissentlich oder fahrlässig umgesetzt hat. Relevant sind zwei Szenarien: Erstens, wenn die Agentur vertraglich die Verantwortung für die DSGVO-Konformität des Setups übernommen hat – dann haftet sie direkt. Zweitens, wenn der Kunde Regressansprüche geltend macht, weil ein Bußgeld oder eine Abmahnung auf ein nachweislich fehlerhaftes technisches Setup zurückzuführen ist, das die Agentur geliefert hat.

Abmahnung Webagentur Datenschutz: Abmahnungen wegen Datenschutzverstößen kommen nicht nur von Behörden. Wettbewerber, Verbraucherschutzverbände und spezialisierte Abmahnanwälte sind aktiv. Typische Abmahn-Trigger: fehlende oder unvollständige Datenschutzerklärung, fehlender Hinweis auf Google Analytics, kein AVV mit dem Hosting-Anbieter, remote eingebundene Google Fonts, kein funktionierender Cookie-Banner. Die Abmahnkosten können schnell mehrere Tausend Euro erreichen – und der Kunden wird sich fragen, wer das Setup so gebaut hat.

Gesamtschuldnerische Haftung DSGVO Auftragsverarbeiter: Ein weniger bekannter, aber relevanter Aspekt: Unter bestimmten Umständen können Verantwortlicher und Auftragsverarbeiter gesamtschuldnerisch haften (Art. 82 Abs. 4 DSGVO). Das bedeutet: Wenn ein betroffener Nutzer Schadensersatz geltend macht, kann er sich an beide wenden – und sowohl Kunde als auch Agentur müssen zahlen, wenn keiner die Haftung ausschließen kann. Art. 82 ist inzwischen durch mehrere EuGH-Urteile weiter konkretisiert worden – u.a. durch C-687/21 und C-300/21 (Österreichische Post), in denen der EuGH klargestellt hat, dass auch immaterieller Schaden ersatzfähig ist und die Beweislast für den Ausschluss der Haftung beim Verantwortlichen bzw. Auftragsverarbeiter liegt. Das Risiko ist damit nicht mehr abstrakt, sondern durch Rechtsprechung unterlegt.

Was dich schützt: Dokumentation. Wer nachweisen kann, dass er zum Zeitpunkt des Launches eine vollständige Datenschutz-Prüfung durchgeführt hat – mit Datum, Ergebnis und Übergabeprotokoll –, hat eine deutlich bessere Position als wer das nicht kann. Das gilt auch dann, wenn sich die Lage später ändert (neues Plugin, neuer Service des Kunden). Datierte Scan-Berichte, AVV-Listen und DSE-Versionen sind keine Bürokratie – sie sind dein Nachweis im Streitfall.

Das eigentliche Problem: Du machst das für 10, 20, 30 Kunden gleichzeitig

Hier liegt die entscheidende Lücke in allen anderen DSGVO-Artikeln für Agenturen: Sie erklären Datenschutz für eine Website. Du managest DSGVO Agentur mehrere Kunden verwalten – und das ändert alles.

Was bei einem einzelnen Kunden noch manuell machbar ist, wird bei zehn Kunden unübersichtlich und bei dreißig Kunden unkontrollierbar. Konkrete Szenarien aus der Agentur-Praxis:

  • Ein WordPress-Plugin-Update bei Kunde A integriert stillschweigend ein neues Tracking-Script. Du weißt es nicht – bis jemand die Website scannt.
  • Kunde B integriert eigenständig ein neues Live-Chat-Tool in die Website, die ihr gebaut habt. Die Datenschutzerklärung ist plötzlich veraltet – und ihr wisst es nicht.
  • Der AVV mit dem Hosting-Anbieter für Kunde C läuft Ende des Jahres aus. Kein Mensch erinnert sich daran, wenn er nicht aktiv verfolgt wird.
  • Kunde D bekommt eine Abmahnung wegen Google Fonts, die ihr vor zwei Jahren lokal eingebunden habt – aber das Theme-Update hat sie wieder remote eingebunden.

Das sind keine Einzelfälle. Das ist die Realität von Datenschutz Kundenprojekt Agentur im laufenden Betrieb. Manuelles Monitoring skaliert nicht.

Was du brauchst, ist ein System: eine zentrale Übersicht aller Kunden-Websites mit aktuellem Compliance-Status, automatische Scans die neue Tools erkennen bevor Dritte es tun, ein AVV-Tracker mit Ablaufdaten und Erinnerungen, und datierte Nachweise für jeden Scan.

Genau das ist der Kern von Complianty: Datenschutz Compliance Agentur Kundenprojekte nicht als Einmal-Aufgabe, sondern als dauerhaften, skalierbaren Prozess – mit einem Dashboard für alle Kunden, nicht dreißig separate Tabs.

FAQ: Häufige Fragen zu DSGVO-Pflichten für Agenturen

Braucht eine Webagentur einen AVV mit jedem Kunden?

Ja – immer dann, wenn die Agentur im Rahmen der Projektarbeit Zugriff auf personenbezogene Daten des Kunden hat oder diese verarbeitet. Das gilt praktisch für jede Website-Agentur, die Hosting betreibt, CMS-Systeme wartet oder Analytics-Tools einrichtet. Der AVV muss vor Beginn der Datenverarbeitung abgeschlossen sein. Fehlt er, liegt eine Ordnungswidrigkeit nach Art. 83 Abs. 4 DSGVO vor – Bußgeld bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes.

Haftet die Agentur, wenn die Kunden-Website DSGVO-Verstöße hat?

Primär haftet der Website-Betreiber (der Kunde) als verantwortliche Stelle. Die Agentur kann aber in die Haftung geraten, wenn sie vertraglich die DSGVO-Konformität zugesichert hat, das fehlerhafte Setup nachweislich von ihr stammt, oder der Kunde erfolgreich Regress geltend macht. Wer das Setup baut, ohne es auf Compliance zu prüfen, riskiert im Streitfall den Vorwurf grober Fahrlässigkeit. Dokumentation – datierte Prüfberichte, AVV-Listen, DSE-Versionen zum Launch – ist der wichtigste Schutz.

Was ist die Doppelrolle einer Agentur nach DSGVO?

Eine Webagentur agiert gleichzeitig als Verantwortlicher (für eigene Daten: eigene Website, eigenes CRM, eigene Mitarbeiterdaten) und als Auftragsverarbeiter (für Kundendaten: wenn sie Websites baut, hostet oder wartet, auf denen Besucherdaten verarbeitet werden). Die Auftragsverarbeiter-Rolle begründet die AVV-Pflicht nach Art. 28 DSGVO und die Pflicht zur Umsetzung technischer und organisatorischer Maßnahmen (TOM) nach Art. 32 DSGVO.

Gilt die DSGVO auch für kleine Agenturen ohne eigenen Datenschutzbeauftragten?

Ja. Die DSGVO gilt für jedes Unternehmen, das personenbezogene Daten verarbeitet – unabhängig von der Größe. Ein betrieblicher Datenschutzbeauftragter (DSB) ist erst ab 20 Personen verpflichtend, die regelmäßig mit personenbezogenen Daten umgehen. Aber auch ohne DSB müssen alle anderen Pflichten – AVV, VVT, Datenschutzerklärung, technisch-organisatorische Maßnahmen – erfüllt werden. Viele kleine Agenturen unterschätzen das.

Was bedeutet „Website übergeben DSGVO Haftung Agentur"?

Bei der Übergabe einer fertigen Website an den Kunden empfiehlt es sich, explizit zu dokumentieren, welche DSGVO-relevanten Maßnahmen umgesetzt wurden: DSE-Stand, Cookie-Banner-Konfiguration, AVV-Liste, Pre-Consent-Scan-Ergebnis. Erstens schützt dich das vor späteren Vorwürfen. Zweitens übernimmt der Kunde damit informiert die Verantwortung für das laufende Monitoring. Eine formelle Übergabe-Checkliste ist kein bürokratischer Aufwand – sie ist deine Haftungsgrenze.

Fazit: Die Checkliste rettet euch nicht. Ein System schon.

Diese DSGVO Webdesign Checkliste gibt dir den vollständigen Überblick über die sieben Pflichten bei jedem Kunden-Launch. Aber sie löst das eigentliche Problem nicht: Datenschutz ist keine einmalige Aufgabe, die mit dem Go-live erledigt ist. Plugin-Updates, neue Tools, veränderte Kundenbedürfnisse – der Compliance-Status einer Website ändert sich laufend.

Für eine Agentur mit einem Kunden ist manuelle Prüfung machbar. Für eine Agentur mit zehn, zwanzig oder dreißig Kunden braucht es ein System. Die Frage ist nicht, ob du DSGVO Agentur mehrere Kunden verwalten musst – sondern mit welchem Werkzeug du es so machst, dass es nicht zum Vollzeitjob wird.

Complianty
DSGVO-ToolBlogImpressumDatenschutz
Complianty ist ein Dokumentations- und Monitoring-Tool. Es ersetzt keine Rechtsberatung und begründet keinen Rechtsanspruch.

© 2026 Complianty. Alle Rechte vorbehalten.