Cookie Consent, Impressum, Datenschutzerklärung, Server-Standort — r.digital baut Websites, die DSGVO-konform sind. Keine Grauzone, kein Risiko.
Jede kommerzielle Website in Österreich muss bestimmte Mindestanforderungen erfüllen. Eine Datenschutzerklärung ist Pflicht — sie muss erklären, welche Daten wie und warum verarbeitet werden. Das Impressum ist für jede gewerbliche Website verpflichtend. Ein Cookie Consent Banner ist Pflicht, sobald du Tracking-Cookies (Analytics, Werbung) einsetzt. SSL-Verschlüsselung ist technischer Standard und wird von Google als Rankingfaktor bewertet. Jedes Kontaktformular braucht einen Datenschutzhinweis. Und mit jedem Hosting-Anbieter, der Daten in deinem Auftrag verarbeitet, brauchst du einen Auftragsverarbeitungsvertrag (AVV).
Nicht alle Cookies sind gleich — das ist der wichtigste Punkt, den die meisten falsch machen. Technisch notwendige Cookies (Session-Cookies, Login-Cookies) brauchen keine Einwilligung. Analytics-Cookies (Google Analytics, Plausible, Matomo) und Marketing-Cookies (Meta Pixel, Google Ads Conversion Tracking) brauchen aktive, informierte Einwilligung — kein vorangehaktes Kästchen, kein „durch weitere Nutzung stimmen Sie zu". r.digital implementiert DSGVO-konforme Cookie Consent Manager (zum Beispiel Cookiebot, Consentmanager oder äquivalente Open-Source-Lösungen) und konfiguriert sie korrekt.
Seit dem LG München Urteil von 2022 ist klar: Google Fonts, die direkt von Google-Servern geladen werden, sind ohne Einwilligung nicht DSGVO-konform — weil dabei die IP-Adresse des Nutzers an Google übertragen wird. r.digital hostet alle Schriften lokal — keine externen Server-Anfragen, keine IP-Übertragung. Dasselbe gilt für Google Maps (braucht Einwilligung oder 2-Click-Lösung), YouTube Embeds (ebenfalls 2-Click-Lösung notwendig) und externe Social Plugins (Facebook Like Button, Twitter/X Widget). Diese Details klingen klein — aber genau hier werden Abmahnungen ausgesprochen.
Die DSGVO schreibt EU-konforme Datenverarbeitung vor. Vercel, unser Standard-Deployment-Provider, hat EU-Regionen und ist DSGVO-konform einsetzbar. Supabase (unser bevorzugtes Backend) hostet auf AWS EU-West — ebenfalls konform. Kritisch ist Google Analytics: seit dem Schrems-II-Urteil ist der Einsatz ohne entsprechende Konfiguration in Österreich problematisch, weil Daten in die USA übertragen werden. Wir empfehlen Alternativen wie Plausible Analytics, umami oder Matomo — alle EU-konform, alle ohne Cookies, alle ohne Datenschutzproblem.
Direkte Antworten, kein Agentur-Sprech.
Für den initialen Setup reicht in den meisten Fällen eine gute Checkliste und ein geprüftes Setup durch eine erfahrene Agentur. Für komplexere Fälle — etwa wenn du besonders sensible Daten (Gesundheit, Finanzen) verarbeitest — ist anwaltliche Beratung sinnvoll. Bei tatsächlichen Datenpannen (Data Breaches) ist ein Datenschutzanwalt Pflicht, da du innerhalb von 72 Stunden melden musst.
Sehr teuer. Die DSGVO sieht Bußgelder von bis zu 4 % des weltweiten Jahresumsatzes oder 20 Millionen Euro vor — je nachdem, was höher ist. In der Praxis werden für kleinere Unternehmen oft geringere Bußgelder verhängt, aber die Tendenz ist steigend. Das Risiko abseits von Bußgeldern: Reputationsschaden und teure Abmahnungen durch Mitbewerber.
Nein — aber es muss von jeder Seite aus mit maximal zwei Klicks erreichbar sein. In der Praxis bedeutet das: ein Impressum-Link im Footer, der auf allen Seiten angezeigt wird. Das erfüllt die gesetzliche Anforderung der „leichten Auffindbarkeit" nach dem österreichischen E-Commerce-Gesetz.
Das Impressum identifiziert den Betreiber der Website — Name, Adresse, Kontakt, Unternehmensform, bei Gewerbebetrieben auch die Gewerbebehörde. Die Datenschutzerklärung erklärt, welche Daten du von Nutzern sammelst, zu welchem Zweck, auf welcher Rechtsgrundlage und wie lange du sie speicherst. Beides ist für kommerzielle Websites Pflicht — und beides müssen wir regelmäßig aktuell halten.