Seit Mai 2018 gilt die DSGVO – und trotzdem sehen wir täglich Websites, die gegen sie verstoßen. Google Fonts von externen Servern, Analytics ohne Consent, Kontaktformulare ohne einen einzigen Hinweis darauf, dass da persönliche Daten verarbeitet werden. Meistens nicht aus böser Absicht. Meistens aus Unwissen darüber, was genau Pflicht ist – und was nur gut gemeinte Überregulierung ist, die Agenturen und Tool-Anbieter gerne als „notwendig" verkaufen.
Dieser Artikel erklärt, was DSGVO für Website-Betreiber konkret bedeutet – ohne Juristendeutsch, ohne Panikmache, mit klaren Handlungsempfehlungen.
Was die DSGVO für Website-Betreiber bedeutet
Die Grundregel ist simpel: Wer personenbezogene Daten verarbeitet – und das tut fast jede Website, die Cookies setzt, Formulare hat oder Tracking nutzt – braucht eine Rechtsgrundlage dafür. Die DSGVO definiert sechs solcher Grundlagen. Für Websites relevant sind vor allem drei:
- Einwilligung (Art. 6 Abs. 1 lit. a): Der Nutzer stimmt explizit zu. Das ist die Basis für Marketing-Cookies, Analytics, Pixel.
- Vertragserfüllung (Art. 6 Abs. 1 lit. b): Daten werden verarbeitet, um einen Vertrag zu erfüllen – z. B. E-Mail-Adresse für die Bestellbestätigung.
- Berechtigtes Interesse (Art. 6 Abs. 1 lit. f): Eine Abwägung: Euer Interesse an der Verarbeitung überwiegt die Interessen des Nutzers. Das gilt z. B. für Server-Logs oder technisch notwendige Cookies.
Technisch notwendige Cookies – Session-Cookies, Login-Status, Warenkorb – brauchen keine Einwilligung. Wer einen Cookie-Banner hat, der auch für diese Cookies „Zustimmung" einfordert, macht es unnötig kompliziert und schreckt Nutzer grundlos ab.
Impressum: Pflicht für (fast) alle gewerblichen Websites
Das Impressum ist kein DSGVO-Thema im engeren Sinne – es ist Pflicht nach § 5 TMG (Telemediengesetz), für alle Websites mit „geschäftsmäßigem" Angebot. In der Praxis: jede Website, die ein Unternehmen, eine Selbständige oder eine Organisation betreibt.
Was rein muss:
- Name und Anschrift: Vollständiger Vor- und Nachname (oder Firmenname), vollständige Postanschrift – keine Postfach-Adresse.
- Kontaktdaten: E-Mail-Adresse ist Pflicht. Eine Telefonnummer ist laut EuGH zwar nicht zwingend, aber ein Kontaktformular als einzige Option ist rechtlich unsicher.
- Handelsregistereintrag (wenn vorhanden): Registergericht, Registernummer, ggf. Geschäftsführer.
- Umsatzsteuer-Identifikationsnummer: wenn eine USt-ID vorhanden ist.
- Verantwortlicher für journalistische Inhalte (nur wenn ihr redaktionell publiziert).
Der Impressum-Link muss von jeder Seite der Website in maximal zwei Klicks erreichbar sein – üblicherweise im Footer. Fehlendes oder unvollständiges Impressum ist abmahnfähig. Das ist eine der einfachsten vermeidbaren Rechtsverletzungen.
Datenschutzerklärung: Was wirklich reinmuss
Die Datenschutzerklärung ist das Herzstück eurer DSGVO-Dokumentation. Sie informiert Nutzer darüber, wer ihre Daten verarbeitet, warum, wie lange und mit welchen Rechten. Keine Schaufensterdekoration – eine echte Pflichtangabe nach Art. 13 DSGVO.
Pflichtbestandteile:
- Verantwortlicher: Name und Kontaktdaten der datenverarbeitenden Person oder Organisation.
- Datenschutzbeauftragter: Nur wenn ihr gesetzlich einen benennen müsst (ab 20 Personen mit regelmäßiger Datenverarbeitung, oder bei bestimmten Datenkategorien).
- Welche Daten werden erhoben?: Server-Logs, Formulareingaben, Cookies, Tracking-Daten – alles benennen.
- Zweck und Rechtsgrundlage: Warum wird was verarbeitet? Auf welcher Rechtsgrundlage (Einwilligung, Vertrag, berechtigtes Interesse)?
- Drittanbieter: Google Analytics, Hosting-Anbieter, E-Mail-Tool, Zahlungsanbieter – alle mit Namen und Link zur deren Datenschutzerklärung.
- Speicherdauer: Wie lange werden die Daten gehalten?
- Betroffenenrechte: Auskunft, Berichtigung, Löschung, Einschränkung, Widerspruch, Datenübertragbarkeit – und wie Nutzer diese Rechte ausüben können.
Tipp für die Praxis: Datenschutz-Generatoren (von Anwaltskanzleien oder Tools wie Usercentrics) sind ein guter Startpunkt – aber keine finale Lösung. Wer Tools einsetzt, die nicht im Generator abgedeckt sind, hat eine unvollständige Erklärung.
Cookie-Consent: Wann ist ein Banner Pflicht?
Die Kurzantwort: Immer dann, wenn ihr Cookies setzt, die nicht technisch notwendig sind. Das sind:
- Analytics-Cookies (Google Analytics, Matomo mit Tracking-Funktion)
- Marketing-Cookies (Meta Pixel, Google Ads Conversion)
- Social-Media-Plugins (Like-Buttons, Share-Funktionen die Tracking-Cookies setzen)
- Personalisierung und A/B-Testing-Tools
Technisch notwendige Cookies brauchen keinen Banner:
- Session-Cookies für Login-Status
- Warenkorb-Cookies
- CSRF-Schutz-Tokens
- Cookie-Banner-Präferenz selbst
Die kritische technische Anforderung: Tracking darf erst starten, nachdem der Nutzer zugestimmt hat. Kein Pre-Loading von Analytics im <head>, das dann durch den Banner „abgedeckt" wird. Das ist die häufigste Fehlumsetzung: der Banner ist da, aber das Tracking läuft trotzdem beim ersten Page Load.
Consent Mode v2 von Google (Pflicht für GA4 und Google Ads seit Anfang 2024) ermöglicht ein datenschutzkonformes Grundtracking auch ohne Zustimmung – auf Basis von Modellierungsdaten. Das ist kein Freifahrtschein für unkontrolliertes Tracking, aber es löst das Problem des blinden Flecks bei Consent-Verweigerern teilweise.
Häufige DSGVO-Fehler auf Websites
Diese Fehler sehen wir in fast jedem Website-Audit – und sie sind alle vermeidbar:
Google Fonts von externem Server
Wer Google Fonts direkt über fonts.googleapis.com einbindet, überträgt bei jedem Seitenaufruf die IP-Adresse des Nutzers an Google – ohne Consent. Das Landgericht München hat das 2022 als DSGVO-Verstoß eingestuft. Die Lösung: Fonts lokal selbst hosten oder über next/font einbinden, das Fonts automatisch lokal cached. Das ist eine Änderung von wenigen Zeilen Code.
Google Analytics ohne Consent
GA4 ohne Cookie-Consent ist rechtswidrig. Weder die IP-Anonymisierung noch der Server-Standort in der EU ändern das – es geht um die Einwilligung, nicht nur um den Daten-Speicherort. Wer Analytics ohne Consent betreibt, riskiert Bußgelder und Abmahnungen.
Kontaktformular ohne Datenschutzhinweis
Jedes Formular, das Daten entgegennimmt, braucht einen direkten Hinweis auf die Datenschutzerklärung und den Verarbeitungszweck – direkt beim Formular, nicht nur irgendwo auf der Website. Ein kurzer Satz wie „Eure Angaben werden nur zur Bearbeitung eurer Anfrage genutzt. Informationen zum Datenschutz." mit Link reicht.
YouTube-Embeds ohne Consent-Wrapper
Wer YouTube-Videos direkt einbettet, lädt beim Seitenaufruf Tracking-Daten von Google – auch wenn der Nutzer das Video nicht abspielt. Die Lösung: Consent-Wrapper (z. B. über Usercentrics oder ein eigenes Thumbnail-Click-to-Load) oder der datenschutzfreundliche youtube-nocookie.com-Embed, der erst beim Klick lädt.
HTTP statt HTTPS
Eine unverschlüsselte Website überträgt Daten – darunter Formulareingaben – im Klartext. Das ist nicht nur ein Sicherheitsrisiko, sondern auch eine DSGVO-Anforderung nach dem Prinzip der technischen Datensicherheit (Art. 32 DSGVO).
SSL / HTTPS: Pflicht oder nicht?
De facto: ja. Formell schreibt die DSGVO keine bestimmte Technologie vor – sie fordert „geeignete technische Maßnahmen" zum Schutz personenbezogener Daten. HTTPS ist der etablierte Standard und gilt als Mindestanforderung. Außerdem zeigen Browser wie Chrome HTTP-Seiten als „nicht sicher" – das schreckt Nutzer ab und schadet dem Ranking.
Let's Encrypt macht SSL-Zertifikate kostenlos zugänglich. Kein Budget-Argument hält mehr.
Externe Tools und Auftragsverarbeitungsverträge
Wer externe Dienstleister nutzt, die im Auftrag personenbezogene Daten verarbeiten, braucht einen Auftragsverarbeitungsvertrag (AVV). Das gilt für:
- Hosting-Anbieter (AWS, Vercel, Hetzner)
- E-Mail-Marketing-Tools (Mailchimp, ActiveCampaign)
- CRM-Systeme
- Analytics-Anbieter (Google, Matomo Cloud)
- Support-Tools (Intercom, Freshdesk)
Die meisten großen Anbieter stellen AVVs über die Account-Einstellungen bereit – oft als Online-Prozess oder als PDF zum Unterzeichnen. Es muss nicht kompliziert sein, aber es muss erledigt werden.
Tools für DSGVO-Compliance
Für Cookie-Consent gibt es ausgereifte Lösungen:
- Usercentrics: Leistungsstark, teuer, für Enterprise-Bedarf
- Cookiebot (Cybot): Gut für mittelständische Websites, regelmäßige Scans der eingesetzten Cookies
- Borlabs Cookie: WordPress-Plugin, solide für kleinere Projekte
- Klaro (Open Source): Für technisch affine Teams mit eigenem Setup
Wichtig: Das Tool ist nur so gut wie seine Konfiguration. Ein Banner, der falsch konfiguriert ist, gibt euch keine rechtliche Sicherheit.
Was passiert bei Verstößen?
Realistisch betrachtet: Die meisten kleinen DSGVO-Verstöße werden nicht aktiv durch Behörden verfolgt. Das größere Risiko für kleinere Unternehmen sind Abmahnungen durch Wettbewerber oder Verbraucherverbände. Fehlendes Impressum, falscher Cookie-Banner, fehlende Datenschutzerklärung – das sind klassische Abmahn-Targets.
Bußgelder gibt es – aber meistens bei schweren Verstößen, wiederholten Vorfällen oder bei Unternehmen, die professionell Daten verarbeiten. Für eine mittelständische Website mit falsch gesetzten Google Fonts sind dreistellige bis fünfstellige Bußgelder theoretisch möglich, aber in der Praxis selten.
Das bedeutet nicht, dass man es ignorieren kann. Es bedeutet, dass man es pragmatisch angehen sollte: die häufigen, klaren Verstöße beseitigen – und nicht Monatelange Rechtsberatung für grenzwertige Einzelfragen investieren.
Wenn ihr wissen wollt, wo eure Website konkret steht, schauen wir uns das in einem DSGVO-Check gemeinsam an: technische Implementierung, rechtliche Grundlagen, konkrete Maßnahmen – priorisiert nach dem tatsächlichen Risiko, nicht nach dem, was sich am sichersten anfühlt.