Die DSGVO (Datenschutz-Grundverordnung) gilt seit 2018 und betrifft jede Website, die personenbezogene Daten verarbeitet. In diesem Artikel erklären wir die wichtigsten Anforderungen.

Hinweis: Dieser Artikel ersetzt keine Rechtsberatung. Bei Unsicherheiten konsultieren Sie einen Datenschutzbeauftragten oder Anwalt.

Was sind personenbezogene Daten?

Alle Informationen, die sich auf eine identifizierbare Person beziehen:

  • Name, Adresse, E-Mail
  • IP-Adresse
  • Cookies mit Nutzer-ID
  • Standortdaten
  • Nutzungsverhalten (Tracking)

Wichtig: Schon die IP-Adresse ist ein personenbezogenes Datum. Jede Website verarbeitet also automatisch personenbezogene Daten.

Impressumspflicht (§5 TMG)

Jede geschäftsmäßige Website braucht ein Impressum mit:

  • Vollständiger Name / Firmenname
  • Anschrift (kein Postfach)
  • E-Mail-Adresse
  • Telefonnummer (umstritten, aber empfohlen)
  • Bei juristischen Personen: Vertretungsberechtigte
  • USt-IdNr. (falls vorhanden)
  • Handelsregister-Nummer (falls eingetragen)

Impressum richtig einbinden

  • Mit maximal 2 Klicks erreichbar
  • Von jeder Seite aus zugänglich
  • Deutlich als "Impressum" gekennzeichnet

Datenschutzerklärung

Jede Website braucht eine Datenschutzerklärung, die informiert über:

Pflichtangaben

1. Verantwortlicher: Name und Kontaktdaten 2. Zweck der Verarbeitung: Warum werden Daten erhoben? 3. Rechtsgrundlage: Art. 6 DSGVO (Einwilligung, Vertrag, berechtigtes Interesse) 4. Empfänger: Wer erhält die Daten? (Hoster, Analyse-Dienste) 5. Speicherdauer: Wie lange werden Daten gespeichert? 6. Betroffenenrechte: Auskunft, Löschung, Widerspruch 7. Beschwerderecht: Hinweis auf Aufsichtsbehörde

Typische Abschnitte

  • Server-Logfiles
  • Kontaktformular
  • Newsletter
  • Cookies
  • Analyse-Tools (Google Analytics, Matomo)
  • Social Media Plugins
  • Eingebundene Dienste (YouTube, Maps)

Technisch notwendige Cookies

Für Session-Verwaltung, Warenkorb etc. ist keine Einwilligung nötig, aber Information in der Datenschutzerklärung.

Tracking- und Marketing-Cookies

Erfordern vorherige Einwilligung (Opt-In):

  • Google Analytics
  • Facebook Pixel
  • Werbe-Cookies
  • Social-Media-Buttons mit Tracking

Erforderlich:

  • Vor dem Setzen von Cookies Einwilligung einholen
  • Echte Wahlmöglichkeit (Ablehnen genauso einfach wie Akzeptieren)
  • Information über Zweck der Cookies
  • Verweis auf Datenschutzerklärung
  • Möglichkeit zum späteren Widerruf

Nicht erlaubt:

  • Vorangekreuzte Checkboxen
  • "Ablehnen" verstecken oder erschweren
  • Cookie-Walls ("Ohne Cookies kein Zugang")
  • Irreführende Gestaltung (Dark Patterns)

Server-Logfiles

Webserver speichern automatisch:

  • IP-Adresse
  • Datum/Uhrzeit
  • Aufgerufene Seite
  • Browser/Betriebssystem
  • Referrer

DSGVO-konforme Handhabung

  • Rechtsgrundlage: Art. 6 Abs. 1 lit. f (berechtigtes Interesse)
  • IP anonymisieren: Letztes Oktett entfernen oder nach 7 Tagen löschen
  • In Datenschutzerklärung aufführen

Kontaktformulare

Bei Kontaktformularen:

  • Nur notwendige Daten abfragen
  • Hinweis auf Datenschutzerklärung
  • Bei Checkbox: Kein "Ich stimme zu", sondern "Ich habe die Datenschutzerklärung gelesen"
  • Daten nur für angegebenen Zweck verwenden

Newsletter

Double-Opt-In Pflicht

1. Nutzer trägt E-Mail ein 2. Bestätigungs-E-Mail wird gesendet 3. Nutzer klickt Bestätigungslink 4. Erst dann: Newsletter-Versand

Weitere Anforderungen

  • Abmeldemöglichkeit in jeder E-Mail
  • Protokollierung der Einwilligung (Zeitpunkt, IP)
  • Keine Weitergabe an Dritte ohne Einwilligung

Auftragsverarbeitung (AVV)

Wenn Dritte Daten in Ihrem Auftrag verarbeiten, brauchen Sie einen AVV:

  • Hosting-Provider
  • E-Mail-Marketing-Dienste
  • Cloud-Speicher
  • Analyse-Tools

Seriöse Anbieter stellen AVV-Vorlagen bereit.

Checkliste für Websites

Grundlagen

  • [ ] Impressum vorhanden und vollständig
  • [ ] Datenschutzerklärung vorhanden
  • [ ] Beide von jeder Seite erreichbar

Cookies & Tracking

  • [ ] Cookie-Banner für nicht-notwendige Cookies
  • [ ] Opt-In vor Tracking-Aktivierung
  • [ ] Ablehnungsmöglichkeit gleichwertig
  • [ ] Alle Dienste in Datenschutzerklärung genannt

Formulare

  • [ ] Nur notwendige Felder
  • [ ] Hinweis auf Datenschutz
  • [ ] Verschlüsselte Übertragung (HTTPS)

Technisch

  • [ ] HTTPS aktiv
  • [ ] Server-Logs: IP-Anonymisierung oder kurze Speicherfrist
  • [ ] AVV mit Hoster und Dienstleistern

Drittanbieter

  • [ ] Google Fonts lokal eingebunden (nicht von Google-Servern)
  • [ ] YouTube im erweiterten Datenschutzmodus
  • [ ] Keine Social-Media-Buttons mit automatischem Tracking

Strafen bei Verstößen

  • Bis zu 20 Millionen Euro oder 4% des Jahresumsatzes
  • Abmahnungen durch Mitbewerber oder Verbände
  • Schadensersatzansprüche

Realität: Die meisten Strafen treffen große Unternehmen. Für kleine Websites sind Abmahnungen das größere Risiko.

Empfehlungen für Hosting

  • Serverstandort Deutschland/EU: Datenverarbeitung in Drittländern ist komplizierter
  • AVV vom Hoster: Seriöse Anbieter stellen diesen bereit
  • SSL-Zertifikat: HTTPS ist Pflicht

Bei Serverdiscounter hosten Sie Ihre Daten in unserem deutschen Rechenzentrum. AVV stellen wir auf Anfrage zur Verfügung.

Fazit

DSGVO-Konformität ist keine Raketenwissenschaft, aber erfordert Sorgfalt. Die wichtigsten Punkte: Impressum und Datenschutzerklärung, Cookie-Consent für Tracking, HTTPS, und AVV mit Dienstleistern. Bei Unsicherheiten ist eine Beratung durch Experten empfehlenswert.