DSGVO auf der Website – seit dem Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) im Mai 2018 müssen Unternehmen, Selbstständige und Vereine besondere Anforderungen an den Datenschutz erfüllen, auch auf ihrer Website. Ziel der DSGVO ist der Schutz personenbezogener Daten und die Schaffung von Transparenz im Umgang damit. Wer eine Website betreibt, sammelt in der Regel automatisch Daten, beispielsweise durch Kontaktformulare, Cookies oder Analysetools. Dieser Artikel zeigt, worauf Websitebetreiber achten sollten, um DSGVO-konform zu handeln.
1. Datenschutzerklärung – Pflicht auf jeder Website
Jede Website, die personenbezogene Daten verarbeitet, benötigt eine Datenschutzerklärung. Diese muss leicht auffindbar sein und in verständlicher Sprache formuliert werden. Sie sollte unter anderem die folgenden Punkte enthalten:
- Name und Kontaktdaten des Verantwortlichen (und ggf. des Datenschutzbeauftragten)
- Art, Umfang und Zweck der Datenverarbeitung
- Rechtsgrundlagen nach Art. 6 DSGVO
- Speicherdauer und Kriterien für deren Festlegung
- Rechte der betroffenen Personen (Auskunft, Löschung, Widerspruch etc.)
- Hinweise auf eingesetzte Dienste wie Google Analytics, Social-Media-Plugins oder Newsletter-Tools
Unser Tipp: Überprüfen Sie Ihre Datenschutzerklärung regelmäßig und passen Sie sie an neue gesetzliche Anforderungen oder technische Änderungen an.
2. Impressum und Datenschutz trennen
Das Impressum ist rechtlich vorgeschrieben, aber nicht Teil der Datenschutzerklärung. Beide Seiten sollten getrennt, aber gut erreichbar verlinkt sein, idealerweise im Footer der Website. So erfüllen Betreiber die Anforderungen des Telemediengesetzes (TMG) bzw. des neuen Digital Services Act (DSA).
3. Cookies und Tracking – nur mit Einwilligung
Viele Websites setzen Cookies ein, um Besucher zu analysieren oder Marketingmaßnahmen zu steuern. Nach der DSGVO und der ePrivacy-Richtlinie dürfen nicht notwendige Cookies (z. B. für Statistik oder Werbung) nur mit aktiver Einwilligung gesetzt werden. Ein Cookie-Banner oder ein Consent-Management-Tool ist daher Pflicht. Wichtig ist:
- Keine voreingestellten Häkchen („Opt-in“ erforderlich)
- Klare Unterscheidung zwischen notwendigen und optionalen Cookies
- Möglichkeit, die Einwilligung jederzeit zu widerrufen
Bekannte Lösungen sind beispielsweise „Borlabs Cookie“, „Cookiebot“ oder „Usercentrics“.
4. SSL-Verschlüsselung (HTTPS)
Sobald personenbezogene Daten über Formulare oder Logins übertragen werden, ist eine verschlüsselte Datenübertragung Pflicht. Ein SSL-Zertifikat schützt nicht nur die Daten, sondern stärkt auch das Vertrauen der Nutzer:innen und wirkt sich positiv auf das Google-Ranking aus. Eine verschlüsselte Verbindung ist am Schloss-Symbol in der Browserleiste und dem URL-Beginn „https://“ erkennbar.
5. Kontaktformulare und Newsletter
Wer Kontaktformulare anbietet, verarbeitet personenbezogene Daten wie Namen oder E-Mail-Adressen. Hier gilt:
- Nur notwendige Felder abfragen (Datensparsamkeit)
- Datenschutzhinweis direkt am Formular verlinken
- SSL-Verschlüsselung nutzen
Beim Versand von Newslettern ist das Double-Opt-In-Verfahren zusätzlich erforderlich, um die Zustimmung des Empfängers nachweisen zu können. Außerdem muss in jedem Newsletter ein Abmeldelink enthalten sein.
6. Einbindung externer Inhalte
Externe Dienste wie YouTube, Google Maps oder Social-Media-Plugins übermitteln Daten an Dritte. Um DSGVO-konform zu bleiben, sollten solche Inhalte erst nach Zustimmung der Nutzer geladen werden („Zwei-Klick-Lösung“ oder Einbindung über ein Consent-Tool). Alternativ können datenschutzfreundliche Plug-ins oder lokale Einbindungen genutzt werden.
7. Auftragsverarbeitung prüfen
Wer externe Anbieter (z. B. Hosting-Dienstleister, Newsletter-Anbieter oder Webagenturen) einsetzt, muss einen Auftragsverarbeitungsvertrag (AV-Vertrag) nach Art. 28 DSGVO abschließen. Dieser regelt, wie der Dienstleister mit den Daten umgeht und welche Sicherheitsmaßnahmen er ergreift.
Fazit
Eine DSGVO-konforme Website ist nicht nur Pflicht, sondern schützt auch vor Bußgeldern und stärkt das Vertrauen der Besucher. Wer seine Datenschutzmaßnahmen regelmäßig überprüft, Einwilligungen korrekt einholt und für Transparenz sorgt, ist auf der sicheren Seite.