DSGVO-Check für Kundenwebsites: Agentur-Workflow

Warum Agenturen einen wiederholbaren Check brauchen

Jede Kundenwebsite ist anders, die Risikomuster ähneln sich aber: Analytics, Pixel, Tag Manager, externe Fonts, Maps, YouTube, Kontaktformulare, Newsletter und veraltete Datenschutzerklärungen. Ein Standard-Workflow spart Zeit und sorgt für konsistente Übergaben.

Wichtig ist die Rollenklärung: Eine Agentur kann technische Befunde sichtbar machen und sauber dokumentieren. Die rechtliche Bewertung im Einzelfall sollte beim Kunden, Datenschutzbeauftragten oder juristischen Ansprechpartner liegen.

Prüfung in Projektphasen aufteilen

• Kickoff: Abfragen, welche Tools der Kunde einsetzen will: Analytics, Ads, CRM, Newsletter, Chat, Buchung, Karten und Videos.
• Umsetzung: Tracking-Snippets zentral dokumentieren und nicht verstreut in Templates, Plugins und Custom Code verstecken.
• Prelive: Staging- oder Test-URL technisch prüfen, Consent-Zustände testen und Befunde vor Go-live beheben.
• Übergabe: Dokumentieren, welche Dienste aktiv sind, welche Texte angepasst werden sollten und welche Punkte der Kunde fachlich freigeben muss.

Technischer Mindestumfang

Ein pragmatischer Agentur-Check umfasst Startseite, Kontaktseite, zentrale Landingpages, Formularseiten und alle Seiten mit Embeds oder Shop-/Buchungsfunktionen. Bei größeren Projekten wählst du eine repräsentative Stichprobe nach Seitentyp.

Für jede URL lohnt sich dieselbe Matrix: keine Cookie-Auswahl, Ablehnen, Akzeptieren. Notiere externe Hosts, Cookies, Tracker, Fonts, Embeds, Formulare und auffällige Pflichttext-Lücken.

Kommunikation mit Kunden

Vermeide absolute Zusagen wie "abschließend geprüft" oder "vollständig erledigt". Besser ist eine klare technische Sprache: "Wir haben folgende Dienste gefunden", "diese Punkte sollten fachlich geprüft werden", "diese Skripte laden vor einer Einwilligung".

So bleibt die Agentur hilfreich, ohne Rechtsberatung zu versprechen. Gleichzeitig bekommt der Kunde konkrete Aufgaben statt abstrakter Datenschutzangst.

Rollen klären: Dienstleister oder Auftragsverarbeiter

Je nach Leistung kann eine Agentur selbst zum Auftragsverarbeiter ihrer Kunden werden — etwa wenn sie beim Hosting, bei der Wartung oder im Support Zugriff auf personenbezogene Daten der Kundenwebsite hat (Formular-Einsendungen, Kundenkonten, Analytics). Dann kommt ein Vertrag zur Auftragsverarbeitung nach Art. 28 DSGVO in Betracht. Reine Design- oder Beratungsleistungen ohne Datenzugriff sind anders einzuordnen.

Kläre diese Rolle pro Kunde und pro Leistung, idealerweise schon im Angebot. Das schützt beide Seiten: Der Kunde weiß, worauf er sich verlassen kann, und die Agentur verspricht nichts, was rechtlich ihr gar nicht zusteht. Bei Unsicherheit über die eigene Rolle hilft einmaliger fachkundiger Rat mehr als jede Vorlage aus dem Netz.

Typische Befunde aus der Praxis

• Analytics vor Consent: Das Statistik-Tool lädt beim ersten Seitenaufruf, obwohl das Banner noch offen ist — meist eine Kopplungs- oder Tag-Manager-Frage.
• Externe Schriften: Google Fonts oder Icon-Fonts werden von fremden Servern geladen, obwohl lokales Hosting möglich wäre.
• Embeds ohne Schutz: YouTube-Videos oder Karten laden direkt statt über eine Zwei-Klick- oder Consent-Lösung.
• Veraltete Datenschutzerklärung: Der Text beschreibt Dienste, die nicht mehr laufen — oder verschweigt welche, die längst aktiv sind.
• HTTPS-Lücken: Fehlende Weiterleitung von http auf https oder gemischte Inhalte auf einzelnen Unterseiten.

Werkzeuge im Workflow: Browser, Checkliste, automatisierter Scan

In der Praxis bewährt sich eine Kombination aus drei Ebenen. Die Browser-Entwicklerwerkzeuge liefern die Tiefe: Requests, Cookies und Consent-Verhalten einer konkreten Seite, von Hand geprüft. Eine Checkliste sorgt für Konsistenz, damit bei Kunde zwölf dieselben Punkte geprüft werden wie bei Kunde eins — und nichts vergessen wird, wenn es eilig ist.

Automatisierte Scans liefern die Breite: Sie machen wiederkehrende Prüfungen über viele Kundenwebsites wirtschaftlich und erzeugen vergleichbare Ergebnisse als Bericht. Wichtig ist, ihre Grenzen ehrlich zu kommunizieren — ein automatischer Scan sieht die aufgerufene Seite, klickt aber keine komplexen Flows durch und ersetzt keine fachliche Bewertung. Wer beides sauber trennt, kann Automatisierung guten Gewissens als Grundlage nutzen und die Handarbeit dort einsetzen, wo sie wirklich nötig ist.

Dokumentation als Arbeitsprodukt

Der Wert eines Agentur-Checks steht und fällt mit der Dokumentation. Ein brauchbares Prüfprotokoll hält pro URL fest: Datum und Prüfstand, gefundene externe Hosts mit Zuordnung, Consent-Verhalten in den drei Zuständen, auffällige Formulare und Pflichttext-Lücken — plus eine Priorisierung, was zuerst behoben werden sollte.

Diese Dokumentation ist doppelt nützlich: Der Kunde bekommt eine konkrete Aufgabenliste statt eines vagen „da war was mit Cookies", und die Agentur kann bei Rückfragen belegen, was wann geprüft und kommuniziert wurde. Beim nächsten Check dient das alte Protokoll als Vergleichsbasis — Veränderungen fallen sofort auf.

Akquise mit Augenmaß: Befunde sind kein Drohmittel

Manche Agenturen nutzen Datenschutz-Checks auch zur Neukundengewinnung — das kann seriös funktionieren, hat aber Grenzen. Unaufgeforderte E-Mails an fremde Unternehmen mit Befund-Listen ihrer Website sind doppelt heikel: Werbliche E-Mails ohne Einwilligung sind wettbewerbsrechtlich problematisch, und ein drohender Unterton („Ihre Website ist abmahngefährdet!") beschädigt genau das Vertrauen, von dem Agenturarbeit lebt.

Tragfähiger ist der umgekehrte Weg: Datenschutz-Kompetenz sichtbar machen — über Inhalte, Referenzen und saubere eigene Projekte — und den Check als Leistung anbieten, wenn der Kontakt besteht. Im Bestandskunden-Verhältnis ist der Check ohnehin am wertvollsten: als fester Bestandteil von Relaunches, Retainern und Übergaben statt als einmalige Sonderaktion.

Und intern gilt dasselbe wie gegenüber Kunden: nüchterne Sprache. Wer Befunde sachlich einordnet, statt mit Bußgeldern zu winken, wird als Partner wahrgenommen — nicht als Vertreter mit Angstprospekt.

Wartung nach Launch

• Kampagnen: Neue Ads-Pixel oder A/B-Tests vor Aktivierung in den Consent-Plan aufnehmen.
• Plugin-Updates: Nach größeren Updates stichprobenartig prüfen, ob neue externe Requests entstehen.
• Content-Team: Redakteure sensibilisieren, wenn sie Videos, Karten oder Social Posts selbst einbetten.
• Regelmäßige Kontrolle: Bei laufenden Retainern kann ein wiederkehrender technischer Check Teil der Website-Pflege sein.

Häufige Fragen

Darf eine Agentur DSGVO-Checks anbieten?

Technische Prüfungen und Dokumentation sind möglich. Eine verbindliche rechtliche Beratung im Einzelfall sollte klar abgegrenzt und fachkundigen Stellen überlassen werden.

Welche Seiten sollte eine Agentur mindestens prüfen?

Startseite, Kontakt, zentrale Landingpages, Formularseiten und Seiten mit Embeds, Shop- oder Buchungsfunktionen. Bei großen Websites hilft eine Seitentyp-Stichprobe.

Wie formuliere ich Befunde für Kunden?

Sachlich und konkret: Welche Dienste wurden gefunden, wann laden sie, welche Texte passen möglicherweise nicht und welche Punkte sollten fachlich geprüft werden.

Wie oft sollten Kundenwebsites geprüft werden?

Mindestens vor jedem Go-live und nach größeren Änderungen — neue Kampagnen, neue Plugins, neue Embeds. Bei laufenden Retainern hat sich zusätzlich ein wiederkehrender Check bewährt, weil sich Websites auch ohne aktives Zutun verändern, etwa durch Plugin-Updates.

Was, wenn der Kunde Befunde nicht beheben will?

Dokumentiere Befund, Empfehlung und die Entscheidung des Kunden mit Datum. Die Verantwortung für die Website liegt beim Betreiber — die Agentur schützt sich durch nachvollziehbare Kommunikation, nicht durch Nachdruck oder dramatische Warnungen.

Welche Punkte gehören in jede Kundenübergabe?

Eine Liste der aktiven Dienste mit Zweck und Consent-Kopplung, der Stand der Pflichttexte, offene Befunde mit Priorität und die Absprache, wer künftige Änderungen prüft. Damit kann der Kunde Verantwortung tatsächlich übernehmen — und die Agentur hat den Projektstand belegt.