DSGVO-Compliance für Websites: Anforderungen und praktische Umsetzung

Die Datenschutz-Grundverordnung (DSGVO) verpflichtet jede Website, die personenbezogene Daten verarbeitet — und das tun praktisch alle. Cookie-Banner, Datenschutzerklärung, Newsletter-Anmeldung, Kontaktformular: an jedem dieser Punkte entscheidet die Umsetzung darüber, ob eine Website rechtssicher betrieben wird oder ob Abmahnungen, Bußgelder und Imageschäden drohen. Dieser Leitfaden fasst die zentralen Pflichten zusammen und zeigt, wie sich DSGVO-Konformität strukturiert umsetzen lässt.

Was ist die DSGVO?

Die Datenschutz-Grundverordnung ist die europäische Verordnung zum Schutz personenbezogener Daten. Sie gilt seit Mai 2018 und regelt, wie Unternehmen personenbezogene Daten erheben, verarbeiten und speichern dürfen. Verstöße können mit bis zu 4 % des weltweiten Jahresumsatzes oder 20 Mio. Euro geahndet werden — je nachdem, welcher Betrag höher ist.

Für Website-Betreiber bedeutet die DSGVO konkrete Pflichten: vom Einholen von Cookie-Einwilligungen bis zur vollständigen Datenschutzerklärung.

DSGVO-Auslegung 2026

Die Grundprinzipien bleiben unverändert, aber Urteile und Aufsichtsbehörden-Richtlinien haben die Auslegung präzisiert. Besonders wichtig: das Planet49-Urteil (keine vorausgefüllten Checkboxen für Einwilligungen) und das TTDSG (Telekommunikation-Telemedien-Datenschutz-Gesetz, seit Dezember 2021).

Grundprinzipien der DSGVO

• Rechtmäßigkeit: Datenverarbeitung nur mit Rechtsgrundlage
• Zweckbindung: Nur für klar festgelegte Zwecke verarbeiten
• Datenminimierung: Nur notwendige Daten erheben
• Richtigkeit: Daten aktuell und korrekt halten
• Speicherbegrenzung: Nicht länger als notwendig speichern
• Integrität und Vertraulichkeit: Angemessene Sicherheit
• Rechenschaftspflicht: Einhaltung jederzeit nachweisen können

Personenbezogene Daten auf Websites

Praktisch jede Website verarbeitet personenbezogene Daten. Dazu zählen:

Direkt identifizierende Daten: Name, E-Mail-Adresse, Telefonnummer, Postadresse, Fotos.

Indirekt identifizierende Daten: IP-Adresse, Cookie-IDs, Geräte-Kennungen, Standortdaten, Nutzungsverhalten.

Beide Kategorien sind nach DSGVO geschützt. Selbst eine reine Informationsseite ohne Formulare verarbeitet IP-Adressen — und unterliegt damit der DSGVO.

Rechtsgrundlagen für die Verarbeitung (Art. 6 DSGVO)

Jede Datenverarbeitung braucht eine Rechtsgrundlage. Die wichtigsten für Websites:

Art. 6 Abs. 1	Rechtsgrundlage	Typische Anwendung
lit. a	Einwilligung	Cookies, Newsletter, Marketing
lit. b	Vertragserfüllung	Bestellabwicklung, Kundenkonto
lit. c	Rechtliche Verpflichtung	Aufbewahrungspflichten, Steuerdaten
lit. f	Berechtigte Interessen	Technisch notwendige Cookies, Logfiles

Bei berechtigten Interessen ist immer eine Interessenabwägung erforderlich — die Interessen des Verantwortlichen müssen gegen die Interessen der betroffenen Person abgewogen werden.

Cookie-Consent richtig umsetzen

Das TTDSG verlangt für nicht technisch notwendige Cookies eine vorherige, aktive Einwilligung. Die meisten Cookie-Banner im Web sind rechtlich nicht haltbar.

Anforderungen an Cookie-Einwilligungen

• Vorherige Einwilligung (Opt-in): Keine Cookies setzen, bevor der Nutzer zugestimmt hat
• Freiwilligkeit: Ablehnen muss genauso einfach sein wie Annehmen — gleichberechtigte Buttons
• Informiertheit: Klare Information über Zwecke und Empfänger
• Granularität: Einzelne Cookie-Kategorien müssen wählbar sein
• Widerrufbarkeit: Einwilligung muss jederzeit widerrufen werden können
• Dokumentation: Einwilligungen protokollieren und nachweisen können

Häufige Fehler bei Cookie-Bannern

• Vorausgewählte Checkboxen (Planet49-Urteil EuGH 2019)
• “Ablehnen” versteckt oder schwerer zugänglich als “Akzeptieren”
• Cookie-Wall ohne echte Alternative
• Berechtigtes Interesse als Rechtsgrundlage für Marketing-Cookies
• “Weiterscrollen = Zustimmung” — unzulässig

Empfohlene Cookie-Kategorien

1. Notwendig: Technisch erforderlich, keine Einwilligung nötig
2. Funktional: Spracheinstellungen, Präferenzen
3. Statistik: Anonyme Nutzungsanalyse
4. Marketing: Werbe-Tracking, Retargeting

Datenschutzerklärung — Pflichtinhalte

Jede Website braucht eine Datenschutzerklärung, die von jeder Seite aus erreichbar ist (typischerweise im Footer). Sie muss vollständig, verständlich und aktuell sein. Pflichtinhalte:

1. Name und Kontaktdaten des Verantwortlichen
2. Kontaktdaten des Datenschutzbeauftragten (Pflicht ab 20 Mitarbeitern mit Datenverarbeitung)
3. Zwecke und Rechtsgrundlagen der Verarbeitung
4. Empfänger der Daten (Auftragsverarbeiter, Dienstleister)
5. Drittlandtransfers (USA, andere Nicht-EU-Staaten)
6. Speicherdauer für jede Datenkategorie
7. Betroffenenrechte: Auskunft, Berichtigung, Löschung, Widerspruch, Portabilität
8. Beschwerderecht bei der zuständigen Aufsichtsbehörde

Generatoren mit Vorsicht nutzen

Es gibt seriöse Datenschutz-Generatoren (eRecht24, Dr. Schwenke, datenschutz-generator.de). Das Ergebnis sollte jedoch immer von einem fachkundigen Menschen an die konkrete Situation angepasst werden — generischer Boilerplate-Text reicht in der Regel nicht aus.

Formulare und Kontaktdaten

Überall, wo personenbezogene Daten erhoben werden, gelten besondere Anforderungen.

Kontaktformulare

• Nur notwendige Felder als Pflichtfeld (Datenminimierung)
• Hinweis auf Datenschutzerklärung verlinken
• HTTPS-Verschlüsselung (TLS) zwingend
• Keine vorausgefüllten Checkboxen für Marketing
• Klare Information über den Zweck der Datenerhebung

Newsletter-Anmeldung

• Double-Opt-in zwingend erforderlich (Bestätigungsmail)
• Nur E-Mail als Pflichtfeld
• Klarer Hinweis auf jederzeitige Abmeldemöglichkeit
• Protokollierung der Einwilligung (IP, Zeitstempel, Quelle, Einwilligungstext)

Analytics und Tracking

Website-Analyse ist legitim, aber die meisten gängigen Tools erfordern eine Einwilligung — und einige sind wegen Drittlandtransfer problematisch.

Google Analytics

Google Analytics 4 erfordert Cookie-Einwilligung und ist wegen des Datentransfers in die USA datenschutzrechtlich umstritten. Maßnahmen für einen rechtssichereren Einsatz:

• Einwilligung vor dem Setzen aller Cookies einholen
• IP-Anonymisierung aktivieren (in GA4 ist das standardmäßig der Fall)
• Auftragsverarbeitungsvertrag (AVV) mit Google abschließen
• Datentransfer in die USA in der Datenschutzerklärung transparent machen
• Standardvertragsklauseln + Transfer Impact Assessment dokumentieren

DSGVO-freundliche Alternativen

• Plausible Analytics: EU-Hosting, keine Cookies, keine personenbezogenen Daten. Häufig ohne Einwilligung möglich.
• Matomo (selbstgehostet): Open Source, volle Datenhoheit, keine Drittland-Übertragung bei eigenem Hosting.
• Fathom Analytics: Privacy-first, ohne Cookies, EU-Hosting verfügbar.

Hosting und Drittanbieter

Jeder Auftragsverarbeiter (Hosting-Provider, CDN, Mailversand-Dienstleister, Formular-Backend) muss vertraglich auf die DSGVO verpflichtet werden.

Pflichten gegenüber Auftragsverarbeitern

• Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO mit allen Dienstleistern, die personenbezogene Daten verarbeiten
• EU-Hosting bevorzugen — vermeidet Drittlandtransfer-Problematik
• Bei US-Anbietern: Standardvertragsklauseln + Risikoanalyse (Transfer Impact Assessment)
• Subunternehmer-Liste im AVV transparent machen

Typische Dienste mit AVV-Pflicht

• Hosting-Provider (Hetzner, Netcup, AWS, Google Cloud, Azure)
• CDN (Cloudflare, BunnyCDN, AWS CloudFront)
• Newsletter (Brevo, Mailchimp, ActiveCampaign, CleverReach)
• Analytics (Google Analytics, Plausible, Matomo Cloud)
• Formular-Tools (Typeform, Tally, Netlify Forms)
• Live-Chat (Intercom, Tawk, Crisp)

DSGVO-Checkliste

Grundlagen

• Verzeichnis von Verarbeitungstätigkeiten (Art. 30 DSGVO) erstellt
• Rechtsgrundlagen für alle Datenverarbeitungen dokumentiert
• Datenschutzbeauftragter benannt (bei Pflicht)
• Mitarbeiter auf Vertraulichkeit verpflichtet

Website-Technik

• HTTPS auf allen Seiten aktiv
• Cookie-Banner DSGVO-konform (Opt-in, granular, widerrufbar)
• Datenschutzerklärung vollständig und von jeder Seite verlinkt
• Impressum nach TMG vollständig

Formulare

• Nur notwendige Felder als Pflichtfeld
• Hinweis auf Datenschutzerklärung
• Keine vorausgefüllten Checkboxen für Marketing
• Double-Opt-in für Newsletter

Drittanbieter

• AVV mit allen Dienstleistern unterzeichnet
• Drittlandtransfers abgesichert (SCC + TIA)
• Auftragsverarbeiter in Datenschutzerklärung aufgeführt

Betroffenenrechte

• Auskunftsprozess definiert (Art. 15 DSGVO)
• Löschungsprozess definiert (Art. 17 DSGVO)
• Antwortzeit von 30 Tagen einhaltbar

Fazit

DSGVO-Compliance ist kein einmaliges Projekt, sondern ein laufender Prozess. Die größten Risiken liegen erfahrungsgemäß bei Cookie-Bannern, fehlenden AVVs und unvollständigen Datenschutzerklärungen. Wer diese drei Bereiche sauber aufstellt, hat den überwiegenden Teil der Pflichten erfüllt — die übrigen Punkte ergeben sich aus der Verarbeitungslandschaft des konkreten Unternehmens.

Bei tiefergehenden Fragen empfiehlt sich die Konsultation einer auf IT-Recht spezialisierten Kanzlei oder eines externen Datenschutzbeauftragten.

Verwandte Themen

• Cookie-Consent DSGVO-konform: Anforderungen und Umsetzung
• BFSG 2025: Was das Barrierefreiheitsstärkungsgesetz für Websites bedeutet
• GA4 für SEO: Suchdaten richtig analysieren