DSGVO-Leitfaden
Kurz erklärt
Eine DSGVO-konforme Website muss vor allem eines: nur das verarbeiten, was erlaubt ist - und das transparent machen. Konkret heißt das, dass nicht notwendige Cookies und Tracker erst nach einer wirksamen Einwilligung laden, Schriften und eingebettete Inhalte keine Besucherdaten ungefragt in Drittländer schicken und Datenschutzerklärung sowie Impressum vollständig sind. Dieser Leitfaden erklärt jeden dieser Bausteine, nennt die einschlägige Rechtsquelle und verlinkt zu jedem Thema einen kostenlosen Check.
Nur technisch notwendige Cookies (z. B. Login oder Warenkorb) sind ohne Zustimmung erlaubt. Für alles andere - Analyse, Marketing, Komfort - braucht es nach § 25 TDDDG eine vorherige, aktive Einwilligung. Das Consent-Banner muss „Ablehnen" gleichwertig zu „Akzeptieren" anbieten, und vor der Zustimmung dürfen keine einwilligungspflichtigen Cookies gesetzt werden.
Analyse- und Marketing-Dienste wie Google Analytics oder das Meta Pixel sind einwilligungspflichtig und dürfen nicht vor dem Klick auf „Akzeptieren" feuern. Wer datensparsamer messen will, kann auf selbst gehostete Alternativen wie Matomo setzen. Entscheidend ist, dass kein Tracker ungefragt lädt.
Dynamisch von Google geladene Schriften übertragen die IP-Adresse jedes Besuchers in die USA - laut LG München (Az. 3 O 17493/20) ohne Einwilligung ein Verstoß. Dasselbe gilt für eingebettete YouTube-Videos, Maps oder Social-Widgets: Sie sollten lokal eingebunden oder per Zwei-Klick-Lösung erst nach Einwilligung geladen werden.
Die Datenschutzerklärung muss nach Art. 13 DSGVO über alle Verarbeitungen informieren - und zum tatsächlichen Verhalten der Seite passen. Nennt sie keine Tracker, obwohl welche laden, ist sie unvollständig. Ein Generator allein reicht oft nicht, weil er die real eingebundenen Dienste nicht kennt.
Nahezu jede geschäftsmäßige Website braucht nach § 5 DDG ein vollständiges, leicht erkennbares und unmittelbar erreichbares Impressum. Fehlende Pflichtangaben sind ein häufiger Abmahngrund.
Sobald Daten an Dienste in den USA fließen, braucht es eine Absicherung nach Art. 44 ff. DSGVO. Seit 2023 stützt sich der Transfer auf das EU-US Data Privacy Framework; nach dem Schrems-II-Urteil bleibt eine Einzelfallprüfung der Empfänger aber ratsam.
Art. 32 DSGVO verlangt dem Risiko angemessene technische und organisatorische Maßnahmen (TOM). Dazu zählen Verschlüsselung (HTTPS/HSTS), eine Content-Security-Policy und weitere Sicherheits-Header. Kommt es trotzdem zu einer Datenpanne, gilt die 72-Stunden-Meldepflicht.
Besucher und Kunden haben weitreichende Rechte: Auskunft (Art. 15), Löschung (Art. 17) und Widerspruch (Art. 21). Wer personenbezogene Daten verarbeitet, muss diese Anfragen in der Regel binnen eines Monats und unentgeltlich beantworten.
Wer Dienstleister einsetzt, die Daten verarbeiten, braucht einen Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO. Je nach Größe und Tätigkeit kommen ein Verzeichnis der Verarbeitungstätigkeiten und ein Datenschutzbeauftragter hinzu - in Deutschland ergänzt das BDSG die DSGVO.
Die meisten Verstöße entstehen nicht im Kern, sondern in Themes, Plugins und Apps - etwa durch dynamische Google Fonts in WordPress-Themes oder Marketing-Pixel in Shopify-Apps. Eine Prüfung von außen deckt auf, was tatsächlich lädt, ganz ohne Installation.
FAQ
Nein. Ein Banner ist nur ein Baustein - und nur wirksam, wenn „Ablehnen" gleichwertig ist und vor der Einwilligung keine Tracker laden. Entscheidend ist das tatsächliche Verhalten der Seite, nicht das bloße Vorhandensein eines Banners.
Dienste, die schon vor der Einwilligung laden - allen voran dynamisch eingebundene Google Fonts, Google Analytics und das Meta Pixel.
Nein. Er liefert aber einen mit Normen belegten Überblick und über die verlinkten Checks einen konkreten Befund, den Sie Ihrem Anwalt oder Datenschutzbeauftragten übergeben können.
Schluss-Akkord