DSGVO-konforme
Website erstellen
Der komplette Leitfaden

Q: Brauche ich für jede Website ein Cookie-Banner?

Nicht für jede, aber für die meisten. Ein Cookie-Banner ist erforderlich, sobald Sie nicht-notwendige Cookies oder ähnliche Tracking-Technologien einsetzen. Das betrifft fast alle Websites mit Analyse-Tools (wie Google Analytics), Marketing-Funktionen oder eingebetteten Inhalten (wie YouTube). Nur rein informative Websites ohne jegliches Tracking können auf ein Banner verzichten.

Q: Darf ich Google Analytics noch nutzen?

Ja, aber nur mit strikten Maßnahmen: Sie benötigen eine aktive Einwilligung über Ihr Cookie-Banner, müssen IP-Anonymisierung aktivieren, einen Auftragsverarbeitungsvertrag mit Google abschließen und alle Datenweitergabe-Optionen deaktivieren. Beachten Sie, dass mehrere europäische Behörden Google Analytics als problematisch eingestuft haben. Datenschutzfreundlichere Alternativen wie Matomo oder Plausible Analytics sind oft die bessere Wahl.

Q: Muss ich Google Fonts wirklich lokal einbinden?

Ja, unbedingt! Das LG München hat entschieden, dass die direkte Einbindung von Google Fonts ohne Einwilligung rechtswidrig ist. Bei jedem Seitenaufruf wird die IP-Adresse des Besuchers an Google-Server in den USA übertragen. Die lokale Einbindung ist technisch einfach und eliminiert dieses Risiko vollständig. Wir unterstützen Sie gerne bei der Umstellung.

Q: Was muss in einer Datenschutzerklärung stehen?

Eine vollständige Datenschutzerklärung muss enthalten: Kontaktdaten des Verantwortlichen, alle Datenverarbeitungen mit Zweck und Rechtsgrundlage, Kategorien der verarbeiteten Daten, Empfänger der Daten, Speicherdauern, Hinweise auf Drittlandtransfers, alle Betroffenenrechte und das Beschwerderecht bei der Aufsichtsbehörde. Jeder genutzte Dienst (Google Analytics, Social Media, Newsletter-Tool etc.) muss separat aufgeführt werden.

Q: Wie funktioniert Double-Opt-In bei Newslettern?

Beim Double-Opt-In meldet sich der Nutzer zunächst über ein Formular an und erhält dann eine Bestätigungs-E-Mail. Erst wenn er den Link in dieser E-Mail anklickt, wird die Anmeldung wirksam und er wird in den Newsletter-Verteiler aufgenommen. Dieses Verfahren ist in Deutschland für kommerzielle Newsletter praktisch Pflicht und dient als Nachweis der Einwilligung.

Q: Welche Rechte haben Website-Besucher nach der DSGVO?

Betroffene haben umfangreiche Rechte: Auskunft über gespeicherte Daten, Berichtigung falscher Daten, Löschung (Recht auf Vergessenwerden), Einschränkung der Verarbeitung, Datenübertragbarkeit, Widerspruch gegen die Verarbeitung und Schutz vor automatisierten Entscheidungen. Sie müssen innerhalb von 30 Tagen auf Anfragen reagieren und diese dokumentieren.

Q: Brauche ich einen Datenschutzbeauftragten?

Ein Datenschutzbeauftragter ist Pflicht, wenn mindestens 20 Mitarbeiter regelmäßig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, oder wenn Sie besonders sensible Daten verarbeiten (Gesundheitsdaten, politische Meinungen etc.), oder wenn die Datenverarbeitung Ihre Kerntätigkeit ist. Für kleine Websites und Einzelunternehmer ist meist kein DSB erforderlich.

Q: Was ist der Unterschied zwischen notwendigen und nicht-notwendigen Cookies?

Technisch notwendige Cookies sind für den Grundbetrieb der Website erforderlich – etwa Session-IDs, Warenkorb-Funktionen oder Login-Status. Diese dürfen ohne Einwilligung gesetzt werden, müssen aber in der Datenschutzerklärung erwähnt werden. Alle anderen Cookies (Analyse, Marketing, Social Media) sind nicht-notwendig und erfordern eine aktive Einwilligung vor dem Setzen.

Q: Wie oft muss ich meine Datenschutzerklärung aktualisieren?

Sie sollten Ihre Datenschutzerklärung immer dann aktualisieren, wenn Sie neue Dienste einbinden, Verarbeitungsprozesse ändern oder sich die Rechtslage ändert. Empfehlenswert ist eine mindestens halbjährliche Überprüfung. Dienste wie eRecht24 bieten automatisch aktualisierte Rechtstexte, die bei Gesetzesänderungen angepasst werden.

Formulare, Cookies und Tracking rechtssicher einrichten. Der umfassende Datenschutz-Guide für Ihre Website mit Checklisten, Praxistipps und Schritt-für-Schritt-Anleitungen.

Das Wichtigste in KürzeSchnellübersicht für eilige Leser

22 Min.

~3300 Wörter

Die DSGVO stellt klare Anforderungen an jede Website: Von der Datenschutzerklärung über Cookie-Banner bis hin zu sicheren Kontaktformularen. Dieser Leitfaden erklärt alle rechtlichen Grundlagen verständlich und zeigt Ihnen Schritt für Schritt, wie Sie Ihre Website DSGVO-konform gestalten. Vermeiden Sie Abmahnungen und Bußgelder – mit unseren praxiserprobten Checklisten und Experten-Tipps.

Kernaussagen

Eine vollständige Datenschutzerklärung ist Pflicht – sie muss alle Datenverarbeitungen transparent erklären
Cookie-Banner müssen eine echte Wahlmöglichkeit bieten – vorausgewählte Checkboxen sind unzulässig
Kontaktformulare benötigen SSL-Verschlüsselung und eine Einwilligung zur Datenverarbeitung
Google Fonts, Analytics & Co. dürfen nur mit Einwilligung oder nach lokaler Einbindung genutzt werden
Regelmäßige Überprüfung ist Pflicht – Rechtsprechung und Anforderungen ändern sich stetig

Warum DSGVO-Konformität für jede Website unverzichtbar ist

Die Datenschutz-Grundverordnung (DSGVO) gilt seit dem 25. Mai 2018 in der gesamten Europäischen Union und betrifft jede Website, die personenbezogene Daten verarbeitet. Das bedeutet: Sobald Sie ein Kontaktformular haben, Cookies setzen oder Analyse-Tools nutzen, müssen Sie die DSGVO-Anforderungen erfüllen.

Die Konsequenzen bei Verstößen sind drastisch: Bußgelder bis zu 20 Millionen Euro oder 4% des weltweiten Jahresumsatzes sind möglich. Doch auch ohne Bußgeld können Abmahnungen von Mitbewerbern oder Verbraucherverbänden schnell mehrere tausend Euro kosten. Die gute Nachricht: Mit dem richtigen Wissen und systematischem Vorgehen lässt sich die DSGVO-Konformität zuverlässig umsetzen.

Max. Bußgeld

Vom Jahresumsatz

50.000+

Abmahnungen

Jährlich in Deutschland

100€

Google-Fonts-Urteil

Pro Websitebesucher

2 Klicks

Cookie-Ablehnung

Maximum erlaubt

In diesem umfassenden Leitfaden erfahren Sie alles, was Sie für eine DSGVO-konforme Website wissen müssen. Von den rechtlichen Grundlagen über praktische Umsetzungstipps bis hin zu konkreten Checklisten – wir behandeln jeden Aspekt, der für Ihre rechtssichere Online-Präsenz relevant ist.

Rechtliche Grundlagen der DSGVO verstehen

Um die DSGVO-Anforderungen richtig umzusetzen, ist ein grundlegendes Verständnis der wichtigsten Prinzipien unerlässlich. Die DSGVO basiert auf mehreren Kernprinzipien, die alle Aspekte der Datenverarbeitung betreffen.

Die 7 Grundprinzipien der DSGVO

Jede Verarbeitung personenbezogener Daten muss diese Prinzipien erfüllen. Sie bilden das Fundament aller weiteren Anforderungen:

Rechtmäßigkeit & Transparenz

Jede Datenverarbeitung braucht eine Rechtsgrundlage. Betroffene müssen verstehen können, was mit ihren Daten passiert.

Zweckbindung

Daten dürfen nur für festgelegte, eindeutige und legitime Zwecke erhoben und nicht anderweitig verwendet werden.

Datenminimierung

Nur die Daten erheben, die für den jeweiligen Zweck tatsächlich erforderlich sind – nicht mehr.

Richtigkeit

Personenbezogene Daten müssen sachlich richtig und aktuell sein. Unrichtige Daten sind zu berichtigen oder zu löschen.

Speicherbegrenzung

Daten nur so lange speichern, wie es für den Verarbeitungszweck notwendig ist. Danach löschen!

Integrität & Vertraulichkeit

Angemessene technische und organisatorische Maßnahmen zum Schutz der Daten implementieren.

Die 6 Rechtsgrundlagen für Datenverarbeitung

Ohne gültige Rechtsgrundlage ist jede Verarbeitung personenbezogener Daten unzulässig. Für Websites sind vor allem diese Rechtsgrundlagen relevant:

Wichtigste Rechtsgrundlagen für Websites

Einwilligung (Art. 6 Abs. 1 lit. a DSGVO)Freiwillige, informierte, aktive Zustimmung – z.B. für Newsletter, Marketing-Cookies
Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO)Wenn Daten zur Erfüllung eines Vertrags nötig sind – z.B. Bestelldaten im Shop
Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO)Wenn Ihre Interessen überwiegen – z.B. technisch notwendige Cookies, Betrugsprävention
Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO)Wenn ein Gesetz die Datenerhebung vorschreibt – z.B. steuerliche Aufbewahrungspflichten

Häufiger Fehler: Berechtigtes Interesse falsch anwenden

Das „berechtigte Interesse" wird oft als Universalausrede missbraucht. Es erfordert jedoch eine dokumentierte Interessenabwägung und darf nur angewendet werden, wenn die Interessen der betroffenen Person nicht überwiegen. Für Marketing-Tracking oder Werbecookies reicht es in der Regel nicht aus – hier ist eine Einwilligung erforderlich.

Was sind personenbezogene Daten?

Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Bei Websites umfasst das mehr, als viele denken:

Beispiele personenbezogener Daten auf Websites

IP-Adressen (auch dynamische!)
E-Mail-Adressen und Namen
Cookie-IDs und Fingerprinting-Daten
Standortdaten und Geräteinformationen
Nutzungsverhalten und Klickpfade
Formulareinträge jeder Art
Bestellhistorie und Zahlungsdaten

Die perfekte Datenschutzerklärung erstellen

Die Datenschutzerklärung ist das Herzstück der DSGVO-Konformität Ihrer Website. Sie muss alle Datenverarbeitungen vollständig und verständlich erklären. Eine unvollständige oder fehlerhafte Datenschutzerklärung ist einer der häufigsten Abmahnungsgründe.

Pflichtangaben in der Datenschutzerklärung

Folgende Informationen müssen laut DSGVO in jeder Datenschutzerklärung enthalten sein:

Pflichtinhalte der Datenschutzerklärung

Verantwortlicher mit vollständigen KontaktdatenName, Anschrift, E-Mail, ggf. Datenschutzbeauftragter
Zwecke und Rechtsgrundlagen jeder DatenverarbeitungWarum und auf welcher Basis verarbeiten Sie Daten?
Kategorien der verarbeiteten DatenWelche konkreten Daten werden erhoben?
Empfänger oder Kategorien von EmpfängernAn wen werden Daten weitergegeben?
Speicherdauer oder Kriterien für die FestlegungWie lange werden Daten aufbewahrt?
Betroffenenrechte vollständig aufführenAuskunft, Berichtigung, Löschung, Widerspruch etc.
Beschwerderecht bei der AufsichtsbehördeMit Hinweis auf zuständige Behörde
Bei Drittlandtransfer: Garantien und RisikenZ.B. bei US-Diensten wie Google, Meta etc.

Typische Dienste, die dokumentiert werden müssen

Viele Website-Betreiber vergessen, bestimmte Dienste in ihrer Datenschutzerklärung zu erwähnen. Diese häufig genutzten Dienste müssen unbedingt aufgeführt werden:

Google-Dienste

Analytics, Fonts, Maps, reCAPTCHA, Tag Manager – jeder einzeln mit Zweck und Rechtsgrundlage.

Social Media

Facebook, Instagram, LinkedIn, YouTube – auch eingebettete Inhalte und Teilen-Buttons.

Newsletter & E-Mail

Mailchimp, CleverReach, HubSpot – Tracking-Pixel und Erfolgsmessung nicht vergessen.

Zahlungsanbieter

PayPal, Stripe, Klarna – mit Hinweis auf deren eigene Datenschutzbestimmungen.

Chat & Support

Live-Chat-Systeme, Helpdesk-Tools, Chatbots – oft mit Drittlandtransfer verbunden.

Hosting & CDN

Webhosting-Anbieter, Cloudflare, Content Delivery Networks – IP-Adressen werden übertragen.

Tipp: Datenschutzerklärung automatisch aktuell halten

Mit Diensten wie eRecht24 oder Datenschutz-Generator.de können Sie Datenschutzerklärungen erstellen, die bei Rechtsänderungen automatisch aktualisiert werden. Als eRecht24 Agentur-Partner unterstützen wir Sie gerne bei der Einrichtung.

Auffindbarkeit der Datenschutzerklärung

Die Datenschutzerklärung muss von jeder Seite aus mit maximal zwei Klicks erreichbar sein. Standard ist ein Link im Footer, der eindeutig als „Datenschutz" oder „Datenschutzerklärung" bezeichnet ist. Begriffe wie „Privacy Policy" sollten Sie vermeiden.

Link im Footer auf jeder Seite vorhanden
Bezeichnung eindeutig: Datenschutz oder Datenschutzerklärung
Auch in der mobilen Version gut erreichbar
Keine Verschachtelung in Untermenüs
Link auch im Cookie-Banner vorhanden

Cookie-Banner rechtssicher gestalten

Seit dem Urteil des Europäischen Gerichtshofs (EuGH) im Fall „Planet49" und der Umsetzung des TTDSG (Telekommunikation-Telemedien-Datenschutz-Gesetz) in Deutschland ist klar: Für nicht notwendige Cookies ist eine aktive Einwilligung erforderlich. Vorausgewählte Checkboxen oder „Weiter surfen = Zustimmung" sind unzulässig.

Nicht alle Cookies sind gleich. Die DSGVO unterscheidet zwischen verschiedenen Kategorien, die unterschiedlich behandelt werden müssen:

Technisch notwendige Cookies

Session-IDs, Warenkorb, Spracheinstellungen, Login-Status. Keine Einwilligung nötig, aber Information in Datenschutzerklärung.

Analyse-/Statistik-Cookies

Google Analytics, Matomo, Hotjar. Einwilligung erforderlich! Bei Matomo mit Opt-out-Lösung ggf. berechtigtes Interesse möglich.

Marketing-/Werbe-Cookies

Facebook Pixel, Google Ads, Retargeting. Immer Einwilligung erforderlich! Keine Ausnahmen.

Externe Medien

YouTube, Vimeo, Google Maps, Social Plugins. Einwilligung für die Einbindung erforderlich (Drittanbieter-Cookies).

Ein DSGVO-konformes Cookie-Banner muss strenge Anforderungen erfüllen. Viele verbreitete Implementierungen sind rechtlich problematisch:

Echte Wahlmöglichkeit bieten

Nutzer müssen Cookies genauso einfach ablehnen können wie akzeptieren. Akzeptieren und Ablehnen auf gleicher Ebene.

Keine versteckten Ablehn-Optionen

Keine Dark Patterns (Ablehnen in unauffälliger Farbe)

Ablehnung darf nicht mehr Klicks erfordern als Zustimmung

Informierte Einwilligung ermöglichen

Nutzer müssen vor der Entscheidung erfahren, welche Cookies gesetzt werden und zu welchem Zweck.

Kategorien und Zwecke benennen

Link zur Datenschutzerklärung

Keine irreführenden Formulierungen

Granulare Auswahl ermöglichen

Nutzer müssen einzelne Cookie-Kategorien separat an- oder abwählen können.

Kategorien einzeln aktivierbar

Technisch notwendige Cookies vorausgewählt erlaubt

Andere Kategorien standardmäßig deaktiviert

Keine vorausgewählten Marketing-Cookies

Alle nicht-notwendigen Cookies müssen standardmäßig deaktiviert sein (Opt-in-Prinzip).

Keine Checkboxen vorausgefüllt

Kein Alle akzeptieren als einziger Button

Fortfahren ohne Auswahl = Ablehnung

Widerruf jederzeit möglich machen

Die Einwilligung muss genauso einfach widerrufen werden können, wie sie erteilt wurde.

Permanenter Link zu Cookie-Einstellungen

Im Footer oder als schwebendes Icon

Neue Entscheidung sofort wirksam

Achtung: Das TTDSG verschärft die Regeln

Seit Dezember 2021 gilt in Deutschland das TTDSG. Es schreibt vor, dass bereits das Speichern oder Auslesen von Informationen auf dem Endgerät eine Einwilligung erfordert – unabhängig davon, ob personenbezogene Daten betroffen sind. Das betrifft auch Fingerprinting-Technologien ohne Cookies!

Die richtige Wahl des Cookie-Management-Tools ist entscheidend. Hier sind bewährte Lösungen:

Cookie-Consent-Tools im Vergleich

Empfohlene Tools

Real Cookie Banner (WordPress) – Deutsches Tool, sehr gute DSGVO-Konformität
Complianz (WordPress) – Umfangreiche Scan-Funktion, gute Dokumentation
Cookiebot – Cross-Platform, automatische Cookie-Erkennung
Usercentrics – Enterprise-Lösung, umfangreiche Analytics
Borlabs Cookie (WordPress) – Gute Integration, Content-Blocker

Zu vermeiden

Cookie Notice-Plugins ohne echte Einwilligung
Kostenlose Tools ohne Cookie-Blocking
Banner ohne Ablehn-Option auf erster Ebene
Tools die Cookies vor der Einwilligung setzen
Lösungen ohne regelmäßige Updates

Kontaktformulare DSGVO-konform gestalten

Kontaktformulare verarbeiten naturgemäß personenbezogene Daten. Damit sie DSGVO-konform sind, müssen mehrere technische und rechtliche Anforderungen erfüllt werden.

Technische Anforderungen an Formulare

Technische Formular-Checkliste

SSL-Verschlüsselung (HTTPS) für die gesamte WebsitePflicht! Ohne SSL werden Formulardaten unverschlüsselt übertragen.
Nur notwendige Felder als Pflichtfeld markierenDatenminimierung: Nur erheben, was wirklich gebraucht wird.
Formular-Eingaben serverseitig validierenSchutz vor Manipulation und Injections.
Spam-Schutz datenschutzkonform umsetzenHoneypot-Felder statt Google reCAPTCHA wenn möglich.
Keine Übermittlung an unsichere DrittanbieterFormulardaten sollten auf eigenen Servern verarbeitet werden.

Einwilligung korrekt einholen

Bei Kontaktformularen ist die Rechtsgrundlage typischerweise die Anbahnung eines Vertragsverhältnisses oder ein berechtigtes Interesse. Dennoch müssen Nutzer informiert werden:

Muster-Hinweistext für Kontaktformulare

„Mit dem Absenden dieses Formulars erklären Sie sich damit einverstanden, dass Ihre Daten zur Bearbeitung Ihrer Anfrage verarbeitet werden. Weitere Informationen finden Sie in unserer Datenschutzerklärung. Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen."

Rechtliche Formular-Checkliste

Checkbox für Datenschutzhinweis (nicht vorausgewählt)Bei reinen Kontaktformularen optional, bei Newsletter-Anmeldung Pflicht.
Link zur Datenschutzerklärung direkt am FormularNutzer muss vor Absenden informiert werden können.
Zweck der Datenerhebung klar benennenWas passiert mit den eingegebenen Daten?
Hinweis auf WiderrufsrechtNutzer können Einwilligung jederzeit widerrufen.
Bei Speicherung: Speicherdauer angebenWie lange werden Anfragen aufbewahrt?

Für Newsletter gilt in Deutschland die Double-Opt-In-Pflicht: Nach der Anmeldung muss eine Bestätigungs-E-Mail verschickt werden. Erst nach Klick auf den Bestätigungslink ist die Anmeldung wirksam.

Double-Opt-In korrekt umsetzen

Anmeldeformular mit Checkbox

Nutzer gibt E-Mail-Adresse ein und bestätigt aktiv die Datenschutzerklärung und den Erhalt des Newsletters.

Checkbox nicht vorausgewählt

Klar formulieren was angemeldet wird

Frequenz des Newsletters nennen

Bestätigungs-E-Mail versenden

Automatische E-Mail mit eindeutigem Bestätigungslink. Erst nach Klick wird die Adresse in den Verteiler aufgenommen.

Link nur einmal verwendbar

Zeitliche Begrenzung (z.B. 48 Stunden)

Ohne Bestätigung: Adresse löschen

Dokumentation der Einwilligung

IP-Adresse, Zeitstempel und Einwilligungstext speichern. Diese Daten dienen als Nachweis bei Beschwerden.

Nachweisbare Aufzeichnung

Unbefristete Aufbewahrung

Muss bei Anfrage vorgelegt werden können

Profi-Tipp: Spam-Schutz ohne reCAPTCHA

Google reCAPTCHA ist datenschutzrechtlich problematisch, da es umfangreiche Nutzerdaten an Google überträgt. Datenschutzfreundliche Alternativen sind Honeypot-Felder (versteckte Felder, die nur Bots ausfüllen), mathematische Aufgaben, oder das selbst gehostete hCaptcha. Diese Lösungen bieten guten Schutz ohne Drittanbieter-Cookies.

Tracking und Analyse DSGVO-konform einsetzen

Website-Analyse ist für die Optimierung unverzichtbar, stellt aber datenschutzrechtlich eine besondere Herausforderung dar. Die gute Nachricht: Mit der richtigen Konfiguration ist rechtskonformes Tracking möglich.

Google Analytics 4 und die DSGVO

Google Analytics 4 (GA4) ist das weltweit meistgenutzte Analyse-Tool, aber datenschutzrechtlich umstritten. Mehrere europäische Datenschutzbehörden haben den Einsatz für rechtswidrig erklärt. Wenn Sie GA4 nutzen wollen, sind strenge Maßnahmen erforderlich:

Google Analytics 4 datenschutzkonform nutzen

Nur mit vorheriger Einwilligung ladenGA4-Script erst nach Cookie-Zustimmung einbinden
IP-Anonymisierung aktivierenIn GA4 standardmäßig aktiv, aber prüfen!
Auftragsverarbeitungsvertrag abschließenIn den Google-Kontoeinstellungen verfügbar
Datenweitergabe an Google deaktivierenBenchmarking und technischer Support ausschalten
Speicherdauer auf Minimum setzenStandardmäßig 14 Monate, kürzere Zeiträume empfohlen
Advertising Features deaktivierenRemarketing und ähnliche Funktionen ausschalten
In Datenschutzerklärung vollständig dokumentierenMit Hinweis auf Drittlandtransfer und Risiken

Risiko: Österreichische und französische Behörden-Entscheidungen

Die österreichische Datenschutzbehörde und die französische CNIL haben Google Analytics für rechtswidrig erklärt, da der Datentransfer in die USA nicht ausreichend geschützt sei. Zwar gibt es seit Juli 2023 einen neuen Angemessenheitsbeschluss (EU-US Data Privacy Framework), aber dessen Beständigkeit ist rechtlich unsicher. Prüfen Sie datenschutzfreundliche Alternativen.

Datenschutzfreundliche Analytics-Alternativen

Es gibt hervorragende Alternativen zu Google Analytics, die weniger datenschutzrechtliche Risiken bergen:

Matomo (selbst gehostet)

Open-Source-Lösung auf eigenem Server. Bei korrekter Konfiguration ohne Einwilligung nutzbar (Opt-out genügt). Volle Datenkontrolle.

Plausible Analytics

Leichtgewichtige, cookielose Analyse. EU-Server verfügbar. Keine Einwilligung erforderlich, da keine personenbezogenen Daten.

Fathom Analytics

Datenschutzorientiert, ohne Cookies. EU-Rechenzentren. DSGVO-konform ohne Cookie-Banner für Analytics.

Simple Analytics

Niederländisches Unternehmen, keine persönlichen Daten. Umweltfreundlich, schnell, keine Einwilligung nötig.

Server-seitiges Tracking als Lösung?

Immer mehr Unternehmen setzen auf Server-Side-Tracking, bei dem Daten nicht direkt vom Browser, sondern vom eigenen Server an Analyse-Tools gesendet werden. Das bietet mehr Kontrolle, ersetzt aber nicht die Einwilligungspflicht:

Server-Side-Tracking: Vorteile und Grenzen

Vorteile

Volle Kontrolle über gesendete Daten
Weniger Datenverlust durch Ad-Blocker
Bessere Performance (weniger Client-Scripts)
Datensparsamkeit durch Filterung möglich
Kein direkter Drittanbieter-Zugriff auf Nutzer

Nachteile

Einwilligung für Marketing-Tracking weiterhin Pflicht
Technisch komplexer einzurichten
Höhere Infrastruktur-Kosten
Bei personenbezogenen Daten: AVV mit Empfänger nötig
Nicht alle Tracking-Features verfügbar

Externe Dienste datenschutzkonform einbinden

Moderne Websites nutzen zahlreiche externe Dienste: Schriftarten, Karten, Videos, Social-Media-Buttons. Viele dieser Dienste übertragen personenbezogene Daten (insbesondere IP-Adressen) an Drittanbieter – oft in die USA. Das erfordert besondere Vorsicht.

Google Fonts: Das 100-Euro-Urteil

Das Landgericht München hat im Januar 2022 entschieden, dass die direkte Einbindung von Google Fonts ohne Einwilligung einen Datenschutzverstoß darstellt. Betroffene können Schadensersatz von bis zu 100 Euro pro Seitenaufruf verlangen. Die Lösung ist einfach: Google Fonts lokal hosten.

Google Fonts lokal einbinden (Schritt für Schritt)

Schriftarten herunterladen

Laden Sie die benötigten Fonts von google-webfonts-helper.herokuapp.com oder fonts.google.com herunter.

Nur benötigte Schriftschnitte wählen

WOFF2-Format bevorzugen (kleinste Dateigröße)

Schriftdateien auf eigenem Server ablegen

Kopieren Sie die Dateien in Ihr Theme-Verzeichnis (z.B. /fonts/ oder /assets/fonts/).

Ordner-Struktur sinnvoll anlegen

Dateien nicht umbenennen

CSS-Regeln anpassen

Erstellen Sie @font-face-Deklarationen mit lokalen Pfaden statt Google-URLs.

font-display: swap für bessere Performance

Relative Pfade verwenden

Externe Aufrufe entfernen

Suchen und entfernen Sie alle Einbindungen von fonts.googleapis.com oder fonts.gstatic.com.

Theme-Dateien prüfen

Plugin-Einstellungen kontrollieren

Chrome DevTools nutzen zum Überprüfen

Wir helfen: Google Fonts lokalisieren

Die Umstellung auf lokale Fonts ist Teil unseres Internetrecht-Pakets. Wir prüfen Ihre Website auf externe Ressourcen und binden diese datenschutzkonform ein – inklusive regelmäßiger Überprüfung.

YouTube-Videos DSGVO-konform einbetten

YouTube setzt beim normalen Einbetten sofort Cookies – auch ohne dass der Nutzer das Video abspielt. Es gibt zwei datenschutzkonforme Lösungen:

YouTube-nocookie.com

Ersetzen Sie youtube.com durch youtube-nocookie.com in der Embed-URL. Cookies werden erst beim Abspielen gesetzt – Einwilligung trotzdem empfohlen.

2-Klick-Lösung

Zeigen Sie zunächst nur ein Vorschaubild. Erst nach Klick und Einwilligung wird das Video geladen. Datenschutzfreundlichste Variante.

Google Maps DSGVO-konform nutzen

Auch Google Maps überträgt IP-Adressen und setzt Cookies. Die Lösung: Karte erst nach Einwilligung laden (Content-Blocker) oder eine datenschutzfreundliche Alternative wie OpenStreetMap nutzen.

Klassische Social-Media-Buttons übertragen Nutzerdaten, sobald die Seite geladen wird – auch wenn niemand klickt! Die Shariff-Lösung bietet datenschutzkonformes Teilen: Erst beim Klick wird eine Verbindung zum sozialen Netzwerk hergestellt.

Externe Dienste: Was Sie prüfen müssen

Werden beim Laden der Seite Daten an Dritte übertragen?
Setzt der Dienst Cookies vor einer Nutzerinteraktion?
Werden Daten in ein Drittland (z.B. USA) übertragen?
Gibt es einen Auftragsverarbeitungsvertrag (AVV)?
Ist der Dienst in der Datenschutzerklärung dokumentiert?
Existiert eine Alternative ohne Drittanbieter-Cookies?

Betroffenenrechte: So reagieren Sie richtig

Die DSGVO räumt betroffenen Personen umfangreiche Rechte ein. Als Website-Betreiber müssen Sie diese Rechte kennen und innerhalb von 30 Tagen auf entsprechende Anfragen reagieren.

Die 8 Betroffenenrechte im Überblick

Recht auf Information

Betroffene müssen proaktiv über die Datenverarbeitung informiert werden (Datenschutzerklärung).

Recht auf Auskunft

Auf Anfrage müssen Sie mitteilen, welche Daten Sie über eine Person gespeichert haben.

Recht auf Berichtigung

Unrichtige Daten müssen auf Verlangen korrigiert, unvollständige ergänzt werden.

Recht auf Löschung

Das Recht auf Vergessenwerden – Daten müssen unter bestimmten Voraussetzungen gelöscht werden.

Recht auf Einschränkung

Die Verarbeitung kann unter bestimmten Umständen auf reines Speichern beschränkt werden.

Recht auf Datenübertragbarkeit

Bereitgestellte Daten müssen in maschinenlesbarem Format herausgegeben werden.

Recht auf Widerspruch

Gegen Datenverarbeitung auf Basis berechtigter Interessen kann Widerspruch eingelegt werden.

Recht bzgl. automatisierter Entscheidungen

Schutz vor rein automatisierten Entscheidungen mit erheblicher Wirkung.

Anfragen korrekt bearbeiten

Identität verifizieren

Stellen Sie sicher, dass die anfragende Person tatsächlich die betroffene Person ist.

E-Mail-Adresse abgleichen

Bei Zweifeln: Zusätzliche Informationen anfordern

Keine sensiblen Daten an Dritte herausgeben

Anfrage dokumentieren

Halten Sie Eingang, Art der Anfrage und alle weiteren Schritte schriftlich fest.

Frist beginnt mit Eingang

Interne Ablage für Nachweise

Auch mündliche Anfragen dokumentieren

Fristgerecht antworten

Die Antwort muss innerhalb von 30 Tagen erfolgen – bei komplexen Anfragen maximal 90 Tage.

Fristverlängerung nur mit Begründung

Zwischenbenachrichtigung bei Verzögerung

Schriftliche Antwort empfohlen

Umsetzung dokumentieren

Halten Sie fest, welche Maßnahmen Sie ergriffen haben (z.B. Löschung, Berichtigung).

Nachweis für Aufsichtsbehörde

Protokoll mit Zeitstempel

Technische Umsetzung prüfen

Vorsicht: Löschungsanfragen sorgfältig prüfen

Nicht jede Löschanfrage muss vollständig erfüllt werden. Gesetzliche Aufbewahrungspflichten (z.B. steuerrechtlich) gehen vor. In solchen Fällen informieren Sie den Betroffenen über die Einschränkung und den Grund. Gleichzeitig dürfen die Daten nicht mehr für andere Zwecke verwendet werden.

Die ultimative DSGVO-Checkliste für Ihre Website

Nutzen Sie diese umfassende Checkliste, um Ihre Website systematisch auf DSGVO-Konformität zu prüfen. Gehen Sie jeden Punkt durch und dokumentieren Sie den Status.

Grundlagen & Impressum

Impressum vollständig und von jeder Seite erreichbarName, Anschrift, Kontaktdaten, Register-Infos
Datenschutzerklärung vollständig und aktuellAlle Dienste und Verarbeitungen dokumentiert
SSL-Verschlüsselung aktiv (HTTPS)Grünes Schloss in der Adressleiste
Datenschutzbeauftragter benannt (falls erforderlich)Ab 20 Mitarbeitern mit Datenverarbeitung

Cookies & Tracking

Cookie-Banner mit echtem Opt-in implementiertAblehnen genauso einfach wie Akzeptieren
Keine Marketing-Cookies vor EinwilligungTechnisch sichergestellt, nicht nur visuell
Cookie-Einstellungen jederzeit änderbarPermanenter Link zu den Einstellungen
Analytics datenschutzkonform konfiguriertIP-Anonymisierung, Opt-in, AVV vorhanden
Alle Cookies in Datenschutzerklärung dokumentiertName, Zweck, Speicherdauer, Anbieter

Formulare & Kommunikation

Kontaktformulare mit DatenschutzhinweisLink zur Datenschutzerklärung
Newsletter mit Double-Opt-InBestätigungs-E-Mail vor Aufnahme in Verteiler
Einwilligungen dokumentiertZeitstempel, IP-Adresse, Einwilligungstext
Spam-Schutz datenschutzkonformHoneypot statt reCAPTCHA wenn möglich

Externe Dienste

Google Fonts lokal eingebundenKeine Requests an Google-Server
YouTube mit 2-Klick oder nocookieKein automatisches Laden von Videos
Google Maps mit Content-BlockerErst nach Einwilligung laden
Social-Media-Buttons datenschutzkonformShariff oder ähnliche Lösung
Auftragsverarbeitungsverträge vorhandenFür alle Dienstleister die Daten verarbeiten

Technische Sicherheit

Regelmäßige Software-UpdatesCMS, Plugins, Themes aktuell halten
Sichere Passwörter und 2FAFür alle Admin-Zugänge
Regelmäßige BackupsAutomatisiert und extern gespeichert
Firewall und Malware-SchutzAngriffe erkennen und abwehren

Fazit: DSGVO-Konformität als Chance nutzen

Die DSGVO-Konformität Ihrer Website ist keine einmalige Aufgabe, sondern ein kontinuierlicher Prozess. Rechtsprechung und technische Anforderungen entwickeln sich ständig weiter. Was heute konform ist, kann morgen bereits Anpassungen erfordern.

Doch DSGVO-Konformität ist mehr als nur Pflichterfüllung: Sie ist auch eine Chance, Vertrauen aufzubauen. Kunden schätzen Unternehmen, die verantwortungsvoll mit ihren Daten umgehen. Eine transparente Datenschutzpraxis kann zum Wettbewerbsvorteil werden.

Die wichtigsten Takeaways

Vollständige Datenschutzerklärung ist das Fundament – alle Dienste dokumentieren
Cookie-Banner mit echtem Opt-in – Ablehnen genauso einfach wie Akzeptieren
Google Fonts, Maps & Co. lokal hosten oder mit Content-Blocker schützen
Formulare immer mit SSL und Datenschutzhinweis betreiben
Betroffenenrechte ernst nehmen – Anfragen fristgerecht bearbeiten
Regelmäßige Überprüfung einplanen – Recht und Technik ändern sich

Professionelle Unterstützung: Internetrecht-Paket

Als eRecht24 Agentur-Partner bieten wir Ihnen mit unserem Internetrecht-Paket eine Rundum-sorglos-Lösung: Rechtssichere Datenschutzerklärung, korrekt konfigurierter Cookie-Banner, lokale Google Fonts und regelmäßige Updates. Lassen Sie sich jetzt unverbindlich beraten!

Datenschutz ist kein Hindernis, sondern ein Qualitätsmerkmal. Websites, die die Privatsphäre ihrer Besucher respektieren, genießen mehr Vertrauen – und Vertrauen ist die Grundlage jeder erfolgreichen Kundenbeziehung.

Häufig gestellte Fragen zur DSGVO-konformen Website

1Was passiert, wenn meine Website nicht DSGVO-konform ist?

Bei DSGVO-Verstößen drohen empfindliche Bußgelder von bis zu 20 Millionen Euro oder 4% des weltweiten Jahresumsatzes – je nachdem, was höher ist. Daneben können Abmahnungen von Mitbewerbern oder Verbraucherverbänden Kosten von mehreren tausend Euro verursachen. Besonders riskant: Das LG München hat im Google-Fonts-Urteil Schadensersatz von 100 Euro pro Seitenaufruf zugesprochen.

2Brauche ich für jede Website ein Cookie-Banner?

3Darf ich Google Analytics noch nutzen?

4Muss ich Google Fonts wirklich lokal einbinden?

5Was muss in einer Datenschutzerklärung stehen?

6Wie funktioniert Double-Opt-In bei Newslettern?

7Welche Rechte haben Website-Besucher nach der DSGVO?

8Brauche ich einen Datenschutzbeauftragten?

9Was ist der Unterschied zwischen notwendigen und nicht-notwendigen Cookies?

10Wie oft muss ich meine Datenschutzerklärung aktualisieren?

Marvin Sengera - Geschäftsführer Binärfabrik

Mit über 10 Jahren Erfahrung in Webentwicklung, SEO und digitalem Marketing unterstütze ich Unternehmen dabei, ihre Online-Präsenz zu optimieren und nachhaltiges Wachstum zu erzielen. Als Geschäftsführer der Binärfabrik verbinde ich technisches Know-how mit strategischem Denken.

WebentwicklungSEO & ContentDigitale StrategieMarketing

Projekt besprechen

Jetzt kostenloses Erstgespräch sichern

Lassen Sie uns über Ihre digitale Präsenz sprechen. Wir zeigen Ihnen, wie Sie mehr Kunden über Webentwicklung, SEO und Marketing erreichen.

100% kostenfrei & unverbindlich · Ihre Daten sind sicher

Sichtbarkeit & Content

LinkedIn & Marketing

Recruiting & Beratung

DSGVO-konformeWebsite erstellenDer komplette Leitfaden