Datenschutz und DSGVO: Was Ihre Website wirklich braucht

Die DSGVO ist keine Empfehlung. Sie ist geltendes Recht mit Bussgeldern von bis zu 20 Millionen Euro oder 4 Prozent des globalen Jahresumsatzes. Trotzdem ignorieren erschreckend viele Unternehmen grundlegende Anforderungen an ihre Website. Cookie-Banner, die keine echte Wahl bieten. Google Analytics ohne gueltige Einwilligung. Kontaktformulare ohne Datenschutzhinweis. Datenschutzerklaerungen, die aus 2018 stammen und seitdem nicht aktualisiert wurden. Die Datenschutzbehoerden haben in den letzten Jahren deutlich aufgeruestet. Die Deutsche Datenschutzkonferenz berichtet, dass die Zahl der Beschwerden jaehrlich um 30 Prozent steigt. Noyb, die Datenschutzorganisation von Max Schrems, hat seit 2018 ueber 800 Beschwerden gegen Unternehmen eingereicht, viele davon wegen fehlerhafter Cookie-Banner und illegaler Tracking-Setups. Die irische Datenschutzbehoerde DPC hat Meta allein 2023 mit 1,2 Milliarden Euro bestraft. Aber auch kleinere Unternehmen sind betroffen: Das bayerische Landesamt fuer Datenschutzaufsicht hat 2023 systematisch Websites kleiner und mittlerer Unternehmen geprueft und in ueber 60 Prozent der Faelle Verstoesse festgestellt. Unwissenheit schuetzt nicht vor Bussgeldern. Und der Hinweis, dass die Agentur die Website gebaut hat, schuetzt erst recht nicht, denn verantwortlich ist das Unternehmen, nicht der Dienstleister.

Cookie Consent: Was wirklich rechtskonform ist

Die meisten Cookie-Banner im Internet sind rechtswidrig. Das ist keine Uebertreibung, sondern das Ergebnis systematischer Pruefungen durch Datenschutzbehoerden in ganz Europa. Ein rechtskonformes Cookie-Banner muss eine echte Wahl bieten: Ablehnen muss genauso einfach sein wie Akzeptieren. Ein grosser gruener Button fuer Akzeptieren und ein kaum sichtbarer Link fuer weitere Optionen ist kein Cookie Consent. Es ist Dark Pattern, und der Europaeische Datenschutzausschuss EDSA hat explizit klargestellt, dass solche Designs gegen die DSGVO verstossen. Was ein rechtskonformes Cookie-Banner braucht: Einen Ablehnen-Button auf der ersten Ebene, gleichwertig gestaltet wie der Akzeptieren-Button. Keine vorangekreuzten Checkboxen fuer optionale Cookies. Eine klare Trennung zwischen technisch notwendigen und optionalen Cookies. Die Moeglichkeit, die Einwilligung jederzeit zu widerrufen. Und kein Cookie-Wall, das den Zugang zur Website von der Einwilligung abhaengig macht. Technisch bedeutet das: Kein einziges nicht-essentielles Cookie darf gesetzt werden, bevor der Nutzer aktiv eingewilligt hat. Kein Google Analytics, kein Facebook Pixel, kein HubSpot Tracking, kein LinkedIn Insight Tag. Wer diese Skripte vor der Einwilligung laedt, verstoesst gegen die DSGVO und die ePrivacy-Richtlinie gleichzeitig.

Google Analytics und die DSGVO: Ein kompliziertes Verhaeltnis

Google Analytics ist das meistgenutzte Web-Analytics-Tool weltweit. Es ist auch eines der problematischsten aus DSGVO-Perspektive. Mehrere europaeische Datenschutzbehoerden haben festgestellt, dass der Einsatz von Google Analytics ohne zusaetzliche Schutzmassnahmen gegen die DSGVO verstoesst, weil personenbezogene Daten in die USA uebertragen werden. Die oesterreichische Datenschutzbehoerde war 2022 die erste, die Google Analytics explizit fuer rechtswidrig erklaerte. Frankreich, Italien und Daenemark folgten. Seit dem EU-U.S. Data Privacy Framework von 2023 ist die Rechtslage etwas entspannter, aber der Europaeische Gerichtshof hat bereits zwei Vorgaengerabkommen, Safe Harbor und Privacy Shield, fuer ungueltig erklaert. Die Stabilitaet des aktuellen Frameworks ist nicht garantiert. Google Analytics 4 sammelt standardmaessig weniger Daten als sein Vorgaenger, aber es sammelt immer noch genug, um eine Einwilligung zu erfordern: IP-Adressen, User-Agent-Strings, Client-IDs und Geraeteinformationen gelten als personenbezogene Daten im Sinne der DSGVO. Das bedeutet: Google Analytics darf nur mit aktiver, informierter Einwilligung eingesetzt werden. Ohne Consent kein Tracking. Und da erfahrungsgemaess 30 bis 50 Prozent der Nutzer Tracking ablehnen, verlieren Sie mit Google Analytics einen erheblichen Teil Ihrer Daten.

Datenschutzfreundliche Analytics-Alternativen

Es gibt Alternativen zu Google Analytics, die keine Einwilligung erfordern, weil sie keine personenbezogenen Daten verarbeiten. Plausible Analytics, Fathom und Umami sind datenschutzfreundliche Analytics-Tools, die auf Cookies verzichten, keine IP-Adressen speichern und Nutzerdaten nicht an Dritte uebermitteln. Sie liefern die Kernmetriken, die fuer die meisten Unternehmen relevant sind: Seitenaufrufe, Quellen, beliebte Seiten, Verweildauer und Conversion-Events. Was sie nicht liefern, sind die granularen Cross-Device-Tracking- und Audience-Segmentierungs-Funktionen von Google Analytics. Fuer die Mehrheit der Unternehmenswebsites ist das kein Verlust, sondern ein Gewinn: Sie erhalten 100 Prozent der Nutzerdaten statt nur 50 bis 70 Prozent, weil keine Einwilligung erforderlich ist. Die Daten sind sauberer, weil kein Ad-Blocker die Erhebung blockiert. Und Sie eliminieren einen Compliance-Risikofaktor vollstaendig. Plausible und Fathom bieten EU-Hosting an, was die Datenuebertragungsproblematik loest. Die Kosten liegen bei 9 bis 19 Euro monatlich, ein Bruchteil der Compliance-Kosten, die Google Analytics verursacht. Die Entscheidung ist keine technische, sondern eine strategische: Wollen Sie 100 Prozent Ihrer Nutzerdaten ohne Compliance-Risiko, oder 60 Prozent Ihrer Nutzerdaten mit Compliance-Risiko?

Die Datenschutzerklaerung: Was wirklich drin stehen muss

Eine Datenschutzerklaerung ist kein juristischer Standardtext, den Sie einmal erstellen und vergessen. Sie muss spezifisch fuer Ihre Website sein und alle tatsaechlich stattfindenden Datenverarbeitungen beschreiben. Artikel 13 und 14 der DSGVO definieren praezise, was enthalten sein muss: Name und Kontaktdaten des Verantwortlichen. Kontaktdaten des Datenschutzbeauftragten, sofern vorhanden. Die konkreten Zwecke und Rechtsgrundlagen jeder Datenverarbeitung. Empfaenger oder Kategorien von Empfaengern der Daten. Informationen zu Datenuebermittlungen in Drittlaender. Speicherdauer oder Kriterien fuer die Festlegung der Speicherdauer. Hinweis auf die Rechte der Betroffenen: Auskunft, Berichtigung, Loeschung, Einschraenkung, Widerspruch und Datenuebertragbarkeit. Beschwerderecht bei einer Aufsichtsbehoerde. Der haeufigste Fehler: Die Datenschutzerklaerung beschreibt Datenverarbeitungen, die gar nicht stattfinden, weil sie aus einem Generator stammt und nicht angepasst wurde. Oder sie verschweigt Datenverarbeitungen, die tatsaechlich stattfinden, weil das Marketing-Team ein neues Tool eingebunden hat, ohne die Datenschutzerklaerung zu aktualisieren. Beides ist ein Verstoss. Eine Datenschutzerklaerung muss leben: Bei jeder Aenderung an den eingesetzten Tools, Integrationen oder Prozessen muss sie aktualisiert werden.

Kontaktformulare DSGVO-konform gestalten

Kontaktformulare verarbeiten personenbezogene Daten: mindestens Name und E-Mail-Adresse. Die DSGVO stellt klare Anforderungen an diese Verarbeitung. Erstens: Datensparsamkeit. Erheben Sie nur die Daten, die fuer den Zweck tatsaechlich erforderlich sind. Wenn ein Kunde eine Frage stellen moechte, brauchen Sie seine Telefonnummer nicht als Pflichtfeld. Zweitens: Transparenz. Direkt am Formular muss ein Hinweis stehen, welche Daten zu welchem Zweck verarbeitet werden, wie lange sie gespeichert werden und auf welcher Rechtsgrundlage die Verarbeitung erfolgt. Ein Link zur Datenschutzerklaerung allein reicht nicht aus. Drittens: Einwilligungsmanagement. Wenn Sie die Daten fuer Marketingzwecke nutzen wollen, also Newsletter-Anmeldung oder Werbeanrufe, brauchen Sie eine separate, aktive Einwilligung. Die darf nicht vorangekreuzt sein. Viertens: Verschluesselung. Formulardaten muessen ueber HTTPS uebertragen werden. Ein Formular auf einer HTTP-Seite ist ein Verstoss. Fuenftens: Loeschkonzept. Die ueber das Formular erhobenen Daten muessen geloescht werden, wenn der Zweck der Verarbeitung entfaellt. Ein definiertes Loeschkonzept mit konkreten Fristen ist Pflicht.

Privacy by Design: Datenschutz als Architekturprinzip

Privacy by Design ist keine nette Idee. Es ist eine gesetzliche Anforderung nach Artikel 25 der DSGVO. Es bedeutet, dass Datenschutz nicht nachtraeglich auf ein fertiges Produkt aufgesetzt wird, sondern von Anfang an in die Architektur eingebaut ist. Konkret bedeutet das: Datenminimierung auf technischer Ebene. Wenn ein System keine personenbezogenen Daten braucht, darf es keine erheben. Wenn es sie nur temporaer braucht, darf es sie nicht dauerhaft speichern. Pseudonymisierung und Anonymisierung, wo immer moeglich. Zugriffskontrollen, die sicherstellen, dass nur berechtigte Personen auf personenbezogene Daten zugreifen koennen. Automatische Loeschung nach Ablauf definierter Aufbewahrungsfristen. Verschluesselung personenbezogener Daten bei Speicherung und Uebertragung. Privacy by Design ist kein Zusatzaufwand, wenn es von Anfang an beruecksichtigt wird. Es wird zum massiven Zusatzaufwand, wenn es nachtraeglich in ein bestehendes System eingebaut werden muss. Die Kosten fuer nachtraegliche Privacy-Compliance koennen laut einer Studie von Cisco das 5- bis 10-Fache der Kosten betragen, die eine Integration von Anfang an gekostet haette.

Haeufige DSGVO-Verstoesse und echte Bussgelder

Die Enforcement Tracker Datenbank dokumentiert alle oeffentlich bekannten DSGVO-Bussgelder in Europa. Die Spannbreite ist enorm: von 500 Euro fuer fehlende Datenschutzerklaerungen bis zu 1,2 Milliarden Euro gegen Meta. Fuer den Mittelstand relevant sind die Faelle im Bereich 5.000 bis 250.000 Euro, die haeufiger vorkommen als man denkt. Die Deutsche Wohnen wurde mit 14,5 Millionen Euro bestraft, weil personenbezogene Daten nicht geloescht wurden. Notebooksbilliger.de erhielt 10,4 Millionen Euro Bussgeld wegen unerlaubter Videoueberwachung. Die AOK Baden-Wuerttemberg zahlte 1,24 Millionen Euro wegen unrechtmaessiger Datenverarbeitung im Marketing. Aber auch kleinere Faelle sind haeufig: fehlende Datenschutzerklaerungen, fehlerhaftes Cookie Consent, Google Analytics ohne Einwilligung, unverschluesselte Kontaktformulare. Die bayerische Datenschutzbehoerde verhaengt regelmaessig Bussgelder zwischen 5.000 und 50.000 Euro gegen KMUs. Das Risiko ist real, und es steigt, weil Datenschutzbehoerden zunehmend automatisierte Pruefverfahren einsetzen, die systematisch Websites auf Verstoesse scannen koennen.

Technische Massnahmen: HTTPS, Verschluesselung, Datenretention

Die technischen Anforderungen der DSGVO sind konkreter als viele annehmen. HTTPS ist Pflicht fuer jede Website, die personenbezogene Daten verarbeitet, und das tut jede Website mit einem Kontaktformular, Newsletter-Anmeldung oder Login-Bereich. Let's Encrypt bietet kostenlose TLS-Zertifikate. Es gibt keine Ausrede fuer HTTP im Jahr 2026. Verschluesselung der Daten at rest, also im Speicher, ist fuer besonders schuetzenswerte Daten erforderlich. Passwörter muessen gehasht gespeichert werden, mit modernen Algorithmen wie bcrypt oder Argon2, nicht mit MD5 oder SHA-1. Datenbanken mit personenbezogenen Daten sollten auf Festplattenebene verschluesselt sein. Datenretention erfordert definierte Loeschfristen fuer jede Kategorie personenbezogener Daten. Bewerberdaten: 6 Monate nach Abschluss des Verfahrens. Kontaktformular-Daten: nach Erledigung des Anliegens plus gesetzliche Aufbewahrungsfristen. Vertrags- und Rechnungsdaten: 10 Jahre gemaess Handels- und Steuerrecht. Backup-Strategien muessen beruecksichtigen, dass geloeschte Daten auch aus Backups entfernt werden muessen. Ein Backup, das nie bereinigt wird, ist ein permanenter DSGVO-Verstoss.

Drittanbieter-Einbindungen: Die versteckten Datentransfers

Jede Einbindung eines externen Dienstes auf Ihrer Website ist potenziell ein Datentransfer an einen Dritten. Google Fonts laedt Schriften von Google-Servern und uebertraegt dabei die IP-Adresse des Nutzers an Google. Das Landgericht Muenchen hat 2022 entschieden, dass die dynamische Einbindung von Google Fonts ohne Einwilligung einen DSGVO-Verstoss darstellt und 100 Euro Schadenersatz pro betroffenem Nutzer zugesprochen. Danach folgte eine Abmahnwelle mit tausenden Abmahnungen gegen Website-Betreiber. Google Maps, YouTube-Videos, Social-Media-Widgets, Chat-Tools, Schriftarten-Dienste: Jede Einbindung uebertraegt Nutzerdaten an den jeweiligen Anbieter. Die DSGVO-konforme Loesung: Self-Hosting aller Ressourcen, die sich selbst hosten lassen, also Fonts und Skripte. Zwei-Klick-Loesungen fuer Inhalte, die nicht selbst gehostet werden koennen, also YouTube-Videos erst nach Klick laden. Auftragsverarbeitungsvertraege mit allen Drittanbietern, deren Dienste eingebunden sind. Und Information der Nutzer in der Datenschutzerklaerung ueber jede einzelne Drittanbieter-Einbindung.

Auftragsverarbeitung: Wer braucht einen AV-Vertrag?

Wenn ein Dienstleister in Ihrem Auftrag personenbezogene Daten verarbeitet, brauchen Sie einen Auftragsverarbeitungsvertrag nach Artikel 28 DSGVO. Das betrifft: Ihren Hosting-Provider, Ihren E-Mail-Marketing-Anbieter, Ihren CRM-Anbieter, Ihren Analytics-Anbieter, Ihren Cookie-Consent-Anbieter, Ihren Cloud-Speicher-Dienst und jeden weiteren Dienstleister, der Zugriff auf personenbezogene Daten hat. Die meisten grossen Anbieter bieten AV-Vertraege als Standard an, die Sie online abschliessen koennen. Das Problem sind kleinere Dienstleister, die keine standardisierten AV-Vertraege anbieten, und interne Prozesse, die den Ueberblick verlieren, welche Dienstleister ueberhaupt Zugriff auf welche Daten haben. Eine AV-Vertragsliste ist kein buerokratischer Selbstzweck. Sie ist die Dokumentation Ihrer Datenverarbeitungslandschaft und eine Pflichtunterlage bei jeder Datenschutzpruefung. Fehlt der AV-Vertrag, ist jede Datenverarbeitung durch den Dienstleister rechtswidrig, unabhaengig davon, ob die Daten tatsaechlich missbraucht wurden.

Datenschutzbeauftragter: Wann ist einer Pflicht?

In Deutschland ist die Bestellung eines Datenschutzbeauftragten Pflicht, wenn mindestens 20 Personen staendig mit der automatisierten Verarbeitung personenbezogener Daten beschaeftigt sind. Oder wenn die Kerntaetigkeit des Unternehmens in der umfangreichen Verarbeitung besonderer Kategorien personenbezogener Daten besteht. Oder wenn die Kerntaetigkeit in der umfangreichen regelmaessigen und systematischen Ueberwachung von betroffenen Personen besteht. Die 20-Personen-Schwelle ist schnell erreicht: Jeder Mitarbeiter, der E-Mails an Kunden schreibt, CRM-Daten pflegt oder Bestellungen bearbeitet, zaehlt. Ein Unternehmen mit 25 Bueroangestellten braucht in der Regel einen Datenschutzbeauftragten. Der Datenschutzbeauftragte kann intern oder extern bestellt werden. Externe Datenschutzbeauftragte kosten typischerweise 200 bis 800 Euro monatlich und bringen den Vorteil mit, dass sie unabhaengig agieren und breitere Erfahrung aus verschiedenen Unternehmen einbringen. Wichtig: Der Datenschutzbeauftragte darf nicht in einen Interessenkonflikt geraten. Der Geschaeftsfuehrer, der IT-Leiter und der Marketingleiter koennen diese Rolle nicht uebernehmen.

Fazit: Datenschutz ist kein Projekt, sondern ein Prozess

DSGVO-Compliance ist kein einmaliges Projekt, das Sie 2018 abgeschlossen haben. Es ist ein kontinuierlicher Prozess, der bei jeder Aenderung an Ihrer Website, Ihren Tools und Ihren Geschaeftsprozessen aktualisiert werden muss. Die gute Nachricht: Die meisten DSGVO-Anforderungen an Websites sind standardisierbar. Ein rechtskonformes Cookie-Banner, eine aktuelle Datenschutzerklaerung, HTTPS-Verschluesselung, datenschutzfreundliche Analytics, DSGVO-konforme Kontaktformulare: All das laesst sich einmal korrekt implementieren und dann durch regelmaessige Audits aktuell halten. Die schlechte Nachricht: Die meisten Websites tun genau das nicht. Sie laufen mit Setups, die 2018 vielleicht noch vertretbar waren und 2026 eindeutige Verstoesse darstellen. Die Datenschutzbehoerden haben die Kapazitaeten aufgestockt, die Pruefverfahren automatisiert und die Bussgeldrahmen ausgeschoepft. Wer jetzt nicht handelt, handelt fahrlässig. Nicht im moralischen Sinne, sondern im juristischen.