Die DSGVO gilt seit 2018 – und trotzdem verstoßen viele Websites noch dagegen. Cookies ohne Einwilligung, fehlende Auftragsverarbeitungsverträge, unvollständige Datenschutzerklärungen: Die Abmahnrisiken sind real. Dieser praktische Guide zeigt Ihnen, wie Sie Ihre Website DSGVO-konform gestalten.
Dieser Artikel bietet allgemeine Orientierung, keine Rechtsberatung. Die DSGVO ist komplex und jeder Einzelfall ist anders. Für rechtssichere Umsetzung empfehlen wir die Konsultation eines Datenschutzbeauftragten oder spezialisierten Anwalts.
DSGVO Grundlagen für Website-Betreiber
Die Datenschutz-Grundverordnung (DSGVO) regelt den Umgang mit personenbezogenen Daten in der EU. Für Websites bedeutet das:
Was sind personenbezogene Daten?
- Direkt identifizierend: Name, E-Mail, Telefonnummer, Adresse
- Indirekt identifizierend: IP-Adressen, Cookies, Gerätekennungen
- Besondere Kategorien: Gesundheitsdaten, religiöse Überzeugungen
Kernprinzipien der DSGVO
Die 7 Grundsätze
Rechtsgrundlagen für Websites
| Rechtsgrundlage | Typische Anwendung |
|---|---|
| Einwilligung (Art. 6 Abs. 1 lit. a) | Marketing-Cookies, Newsletter |
| Vertragserfüllung (Art. 6 Abs. 1 lit. b) | Bestellabwicklung, Kundenkonto |
| Berechtigtes Interesse (Art. 6 Abs. 1 lit. f) | Kontaktformular, Statistiken (eingeschränkt) |
| Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c) | Aufbewahrungspflichten, Steuerdaten |
Formulare & Datenerfassung
Formulare erfassen personenbezogene Daten direkt – hier gilt besondere Sorgfalt:
Kontaktformulare
Newsletter-Anmeldung
Beispiel für korrekten Datenschutzhinweis
"Ihre Daten werden zur Bearbeitung Ihrer Anfrage verarbeitet. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse). Mehr Informationen finden Sie in unserer Datenschutzerklärung."
Analytics & Tracking
Web-Analyse ist DSGVO-kritisch – besonders bei US-Diensten:
Google Analytics: Status 2026
Die Nutzung von Google Analytics bleibt rechtlich umstritten:
- EU-US Data Privacy Framework gilt, aber Unsicherheiten bleiben
- IP-Anonymisierung ist bei GA4 Standard (keine manuelle Einstellung nötig)
- Einwilligung vor Tracking ist Pflicht
- AVV mit Google abschließen
DSGVO-freundlichere Alternativen
| Tool | Hosting | Einwilligung nötig? | Kosten |
|---|---|---|---|
| Matomo (Self-hosted) | EU (eigener Server) | Nein (bei korrekter Konfig) | Kostenlos |
| Matomo Cloud | EU | Ja | Ab 19€/Monat |
| Plausible | EU | Nein (cookieless) | Ab 9€/Monat |
| Fathom | EU-Option | Nein (cookieless) | Ab 14€/Monat |
| Google Analytics 4 | USA/EU | Ja (Pflicht) | Kostenlos |
Für maximale DSGVO-Konformität empfehlen wir cookielose Lösungen wie Plausible oder self-hosted Matomo ohne Cookies. Diese benötigen in der Regel keine Einwilligung und sammeln trotzdem wertvolle Daten.
Hosting & Auftragsverarbeitung
Ihr Hosting-Anbieter verarbeitet personenbezogene Daten (IP-Adressen, Logs) – daher ist ein AVV Pflicht:
Auftragsverarbeitungsvertrag (AVV)
Wann brauchen Sie einen AVV?
Hosting in der EU bevorzugen
Bei EU-Hosting vereinfacht sich die DSGVO-Compliance erheblich:
- Keine Drittlandübermittlung (kein SCCs nötig)
- EU-Datenschutzstandards gelten automatisch
- Empfohlene deutsche Hoster: Hetzner, IONOS, all-inkl, Mittwald
Bei US-Anbietern (AWS, Cloudflare, etc.) prüfen Sie, ob sie unter dem EU-US Data Privacy Framework zertifiziert sind. Ohne dies sind zusätzliche Schutzmaßnahmen erforderlich.
Drittanbieter-Tools prüfen
Jedes externe Tool, das Nutzerdaten verarbeitet, muss in der Datenschutzerklärung genannt werden:
Häufig übersehene Drittanbieter
| Dienst | Datenübermittlung | Handlungsbedarf |
|---|---|---|
| Google Fonts (extern) | IP an Google (USA) | Lokal hosten oder Einwilligung |
| YouTube-Videos (eingebettet) | Daten an Google | Zwei-Klick-Lösung oder Consent |
| Google Maps | Daten an Google | Zwei-Klick oder Consent |
| Social Media Buttons | Daten an Netzwerke | Shariff-Lösung verwenden |
| reCAPTCHA | Daten an Google | Alternative prüfen (hCaptcha) |
| CDN-Dienste | IP-Adressen | AVV abschließen, EU-CDN bevorzugen |
Google Fonts lokal hosten
Ein häufiger Abmahngrund! Lösung:
- Fonts herunterladen und auf eigenem Server hosten
- Keine externe Einbindung von fonts.googleapis.com
- WordPress: Plugin "OMGF" oder manuell einbinden
Rechte der Betroffenen
Nutzer haben umfangreiche Rechte, auf die Sie reagieren können müssen:
| Recht | Bedeutung | Frist |
|---|---|---|
| Auskunft (Art. 15) | Welche Daten werden verarbeitet? | 1 Monat |
| Berichtigung (Art. 16) | Korrektur falscher Daten | Unverzüglich |
| Löschung (Art. 17) | Daten löschen auf Anfrage | 1 Monat |
| Einschränkung (Art. 18) | Verarbeitung einschränken | 1 Monat |
| Datenübertragbarkeit (Art. 20) | Daten in maschinenlesbarem Format | 1 Monat |
| Widerspruch (Art. 21) | Widerspruch gegen Verarbeitung | Sofort prüfen |
| Widerruf (Art. 7) | Einwilligung widerrufen | Sofort umsetzen |
Prozesse vorbereiten
DSGVO-Checkliste für Websites
Nutzen Sie diese Checkliste zur Selbstprüfung Ihrer Website:
Rechtliche Dokumente
Cookies & Tracking
Externe Dienste
Verträge & Technisches
DSGVO-Check für Ihre Website?
Wir prüfen Ihre Website auf DSGVO-Konformität und beheben Schwachstellen.
Häufig gestellte Fragen
Hier finden Sie Antworten auf die wichtigsten Fragen. Weitere Fragen? Kontaktieren Sie uns
Brauche ich für meine Website einen Cookie-Banner?
Ist Google Analytics DSGVO-konform?
Was muss in der Datenschutzerklärung stehen?
Brauche ich einen Auftragsverarbeitungsvertrag (AVV)?
Darf ich Kontaktformulare ohne Einwilligung nutzen?
Welche Strafen drohen bei DSGVO-Verstößen?
Fazit: DSGVO-Compliance ist machbar
DSGVO-Konformität ist kein Hexenwerk, erfordert aber Sorgfalt. Mit den richtigen Tools, korrekten Verträgen und einer vollständigen Datenschutzerklärung reduzieren Sie Ihr Abmahnrisiko erheblich. Beachten Sie auch die Anforderungen des Barrierefreiheitsstärkungsgesetzes (BFSG).
Ihre nächsten Schritte
Website DSGVO-konform machen?
Wir unterstützen Sie bei der technischen Umsetzung der DSGVO-Anforderungen.