Die meisten Datenschutzerklärungen sind Vorlagen. Sie beschreiben einen Idealzustand — nicht das, was deine Website beim Aufruf tatsächlich lädt. Genau diese Lücke zwischen Soll (dem Erklärungstext) und Ist (den real geladenen Diensten) ist der Kern technischer Datenschutz-Transparenz.
Eine Datenschutzerklärung erfüllt einen Zweck: Sie soll Besucherinnen und Besucher darüber informieren, welche personenbezogenen Daten beim Aufruf der Website verarbeitet werden, durch wen und auf welcher Rechtsgrundlage. Die DSGVO nennt das Transparenz- und Informationspflichten. In der Praxis wird die Erklärung aber oft aus einem Generator oder einer Vorlage übernommen — und dann nie mehr mit der Website abgeglichen, die sich seither verändert hat.
Maßgeblich sind hier vor allem Art. 13 DSGVO (Informationspflichten bei Erhebung der Daten bei der betroffenen Person) und der Transparenzgrundsatz aus Art. 5 Abs. 1 lit. a DSGVO. Vereinfacht gesagt: Wenn deine Seite einen Dienst einbindet, der Daten an Dritte überträgt — etwa ein eingebettetes Video, eine Schriftart von einem fremden Server, ein Analyse- oder Marketing-Tool —, dann sollen Nutzerinnen und Nutzer das aus der Datenschutzerklärung erfahren können: welcher Dienst, welche Daten, welcher Zweck, welche Rechtsgrundlage.
Art. 13 DSGVO zählt dabei recht konkret auf, worüber zum Zeitpunkt der Datenerhebung informiert werden soll. Dazu gehören unter anderem:
Spielt ein Dienstleister beim Betrieb der Seite mit — ein CDN, ein Hosting- oder ein Analyse-Anbieter —, kommt häufig ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO hinzu, und der jeweilige Auftragsverarbeiter sollte in der Erklärung benannt sein. All das funktioniert nur, wenn der Text weiß, welche Dienste überhaupt laufen.
Eine Vorlage kann diese Pflicht nur erfüllen, wenn sie zur Realität passt. Tut sie das nicht, entstehen zwei Arten von Lücken — und beide deuten auf Handlungsbedarf hin:
„Soll" ist der Text deiner Datenschutzerklärung: die Dienste und Datenverarbeitungen, die du dort beschreibst. „Ist" ist das, was beim Aufruf der Seite technisch tatsächlich passiert: jede Verbindung zu einer Drittdomain, jedes nachgeladene Skript, jede Schriftart, jedes Embed, jeder gesetzte Cookie. Ein Soll-Ist- Abgleich stellt beides nebeneinander und macht sichtbar, wo der Text und die Technik auseinanderlaufen.
Dafür wird die Seite wie in einem echten Browser geladen und beobachtet, welche externen Verbindungen aufgebaut werden. So lassen sich die tatsächlich eingebundenen Drittdienste erkennen — Analyse- und Marketing-Skripte, Karten- und Video-Embeds, extern geladene Schriftarten, CDNs und Consent-Tools. Das ist eine technische Bestandsaufnahme, kein juristisches Urteil.
Parallel wird der Text der verlinkten Datenschutzerklärung ausgewertet: Welche Dienste und Anbieter werden dort namentlich genannt? Dabei geht es nicht um schöne Formulierungen, sondern um die konkrete Frage, ob ein real geladener Dienst im Text überhaupt auftaucht.
Im letzten Schritt werden die real geladenen Dienste mit den im Text genannten abgeglichen. Heraus kommt eine nüchterne Differenzliste: Was läuft, ohne erwähnt zu sein? Was wird erwähnt, läuft aber gar nicht? Diese Differenz ist der eigentliche Mehrwert — sie zeigt nicht nur, dass eine Datenschutzerklärung existiert, sondern ob sie zur Seite passt.
Einige Konstellationen tauchen erfahrungsgemäß immer wieder auf und sind häufig Gegenstand von Beanstandungen:
Der häufigste Grund für eine auseinanderlaufende Erklärung ist schlicht Zeit. Eine Website verändert sich: Es kommt ein neues Buchungs-Widget hinzu, das Marketing bindet ein Pixel ein, ein Theme-Update lädt plötzlich wieder Schriftarten von einem fremden Server, ein eingebettetes Video wandert auf eine Unterseite. Die Datenschutzerklärung dagegen wurde einmal erstellt und seither nicht angefasst. So entsteht die Lücke fast von allein — niemand hat etwas falsch gemacht, der Text ist nur stehen geblieben, während die Technik weiterlief.
Sinnvoll ist deshalb, den Abgleich nicht als einmalige Aktion zu verstehen, sondern bei relevanten Änderungen zu wiederholen: nach einem Relaunch, dem Einbau neuer Tools, einem Wechsel des Consent-Managers oder größeren Updates des Content-Management- Systems. Wer das nicht von Hand im Blick behalten möchte, kann wiederkehrende technische Prüfungen einrichten — konfora bietet dafür mit „Watch“ ein optionales, separates Monitoring-Abo (9 € / Monat, jederzeit zum Laufzeitende kündbar), das den Report regelmäßig wiederholt und auf neue Hinweise aufmerksam macht. Pflicht ist das nicht; der Report selbst funktioniert ohne Abo.
Dieser Abgleich ist das, was konfora von einer reinen Checkliste unterscheidet. Beim Scan lädt ein echter Browser deine Seite, erfasst die tatsächlich eingebundenen Drittdienste und vergleicht sie mit dem Text deiner Datenschutzerklärung. Insgesamt prüft der Report 16 Bereiche — Tracker, Cookies, Schriftarten, Embeds, Formulare, Verschlüsselung, Pflichtseiten und weitere — und stellt am Ende die Differenz zwischen Erklärung und Realität dar. Den Zugang zu deinem Report bekommst du per Magic-Link an deine E-Mail.
Ein solcher Report ersetzt keine inhaltliche Bewertung durch fachkundige Personen. Er liefert eine technische Bestandsaufnahme und eine priorisierte Aufgabenliste, mit der du und deine Datenschutzbeauftragte oder dein Anwalt gezielt weiterarbeiten könnt — statt eine Vorlage blind zu übernehmen.
Wichtiger Hinweis
Dieser Beitrag ist allgemeine Information und ersetzt keine Rechtsberatung. Ob deine Datenschutzerklärung im Einzelfall vollständig und korrekt ist, kann nur eine fachkundige Prüfung beurteilen — im Zweifel solltest du deine Datenschutzbeauftragte oder einen auf Datenschutzrecht spezialisierten Anwalt hinzuziehen. Zitierte Normen können sich ändern; maßgeblich ist immer die geltende Fassung.
Der Report als PDF zeigt dir konkret, wo deine Website steht — mit Soll-Ist-Differenz und priorisierter Aufgabenliste. Er kostet einmalig 14,99 € — ohne Abo. Den Zugang zu deinem Report bekommst du per Magic-Link an deine E-Mail.