DSGVO: Warum es jedes Unternehmen betrifft
Seit 2018 gilt die DSGVO — und viele Websites sind immer noch nicht compliant. Das Risiko: Abmahnungen, Bußgelder und Vertrauensverlust. Besonders seit dem EuGH-Urteil zu Google Fonts (2022) und den verschärften Cookie-Regelungen ist klar: Datenschutz auf Websites ist keine Nebensache.
Diese 12-Punkte-Checkliste hilft dir, deine Website DSGVO-konform zu machen — oder zu prüfen, ob sie es schon ist.
1. SSL-Verschlüsselung (HTTPS)
Pflicht. Ohne HTTPS ist jede Datenübertragung unsicher. Browser zeigen Warnungen an, Google bestraft unverschlüsselte Seiten. Jeder Hoster bietet kostenlose SSL-Zertifikate (Let's Encrypt).
Check: Deine URL beginnt mit https:// und das Schloss-Symbol ist sichtbar.
2. Cookie-Consent-Banner
Nicht irgendein Banner — ein echtes Consent-Management-Tool, das:
- Vor dem Laden von Cookies die Zustimmung einholt (Opt-in, nicht Opt-out)
- Kategorien anbietet (Notwendig, Statistik, Marketing)
- Eine echte Ablehnungsmöglichkeit bietet (nicht nur "Akzeptieren")
- Die Einwilligung dokumentiert und speichert
- Leicht widerrufbar ist (Link im Footer)
Tools: Cookiebot, Borlabs Cookie (WordPress), oder eigene Lösung.
3. Google Fonts lokal hosten
Seit dem Urteil des LG München (2022) ist klar: Google Fonts dürfen nicht mehr von Google-Servern geladen werden, weil dabei IP-Adressen in die USA übertragen werden. Die Fonts müssen lokal gehostet werden.
Check: Öffne den Seitenquelltext (Strg+U) und suche nach „fonts.googleapis.com". Wenn du es findest → sofort umstellen.
4. Datenschutzerklärung
Muss vorhanden, vollständig und aktuell sein. Pflichtinhalte:
- Verantwortlicher (Name, Adresse, E-Mail)
- Welche Daten werden erhoben und warum
- Rechtsgrundlage (Art. 6 DSGVO)
- Empfänger der Daten (Hoster, Analytics, etc.)
- Speicherdauer
- Betroffenenrechte (Auskunft, Löschung, Widerruf)
- Hinweis auf Beschwerderecht bei der Datenschutzbehörde
5. Impressum
Pflicht nach § 5 ECG (Österreich). Von jeder Unterseite aus erreichbar (max. 2 Klicks). Pflichtangaben: Name/Firma, Adresse, E-Mail, UID-Nummer, Gewerbeordnung, Aufsichtsbehörde.
6. Kontaktformulare
- Nur notwendige Felder als Pflichtfeld (Name, E-Mail reichen meist)
- Hinweis auf die Datenschutzerklärung mit Link
- Checkbox für Einwilligung (empfohlen, in manchen Fällen Pflicht)
- Daten verschlüsselt übertragen (HTTPS)
- Keine Speicherung auf Servern außerhalb der EU ohne AVV
7. Analytics und Tracking
Google Analytics 4 nur mit Cookie-Consent laden. Besser: datenschutzfreundliche Alternative wie Plausible, Fathom oder Umami (DSGVO-konform, kein Cookie-Banner nötig).
Wenn GA4: IP-Anonymisierung aktivieren, Auftragsverarbeitungsvertrag (AVV) mit Google abschließen, Datenverarbeitung in der Datenschutzerklärung beschreiben.
8. Social Media Embeds
YouTube-Videos, Instagram-Feeds, Facebook-Like-Buttons — alle laden Daten von US-Servern, sobald die Seite geladen wird. Lösung: 2-Klick-Lösung (erst Platzhalter, dann auf Klick laden) oder Consent-Abfrage.
9. Newsletter-Anmeldung
- Double-Opt-in Pflicht (Bestätigungsmail nach Anmeldung)
- Hinweis auf Datenschutz
- Einfache Abmeldemöglichkeit in jeder Mail
- Keine vorausgefüllten Checkboxen
10. Auftragsverarbeitungsverträge (AVV)
Mit jedem Dienstleister, der personenbezogene Daten verarbeitet, brauchst du einen AVV: Hoster, E-Mail-Provider, Analytics-Tool, CRM, Newsletter-Tool, Supabase, Vercel, etc.
11. Hosting in der EU
Idealerweise liegen deine Daten auf Servern in der EU. Wenn nicht (z.B. Vercel nutzt AWS in den USA), brauchst du Standardvertragsklauseln und eine Erwähnung in der Datenschutzerklärung.
12. Regelmäßige Überprüfung
DSGVO-Compliance ist kein Einmal-Projekt. Prüfe mindestens einmal im Jahr:
- Sind alle Plugins/Tools noch DSGVO-konform?
- Laden neue Elemente (Videos, Widgets, Schriften) externe Ressourcen?
- Ist die Datenschutzerklärung aktuell?
- Funktioniert der Cookie-Banner noch korrekt?
Fazit
DSGVO-Compliance ist Pflicht — aber kein Hexenwerk. Die meisten Punkte sind einmalige Maßnahmen, die danach nur noch regelmäßig geprüft werden müssen. Und: Eine datenschutzkonforme Website ist auch eine vertrauenswürdige Website. Das schätzen Kunden.
Als Digitalagentur in Graz bauen wir Websites, die von Anfang an DSGVO-konform sind — lokal gehostete Fonts, sauberes Consent-Management, und keine versteckten Datenlecks.
