- Jede Website, die Daten erfasst, braucht eine Rechtsgrundlage nach Art. 6 DSGVO. Ohne Rechtsgrundlage ist die Verarbeitung unzulässig.
- Die Datenschutzerklärung muss nach Art. 13 DSGVO für jeden Verarbeitungszweck konkret Zweck, Rechtsgrundlage, Empfänger und Speicherdauer benennen.
- Google Fonts direkt von Google laden ist rechtswidrig. Das Landgericht München hat das 2022 (Az. 3 O 17493/20) eindeutig entschieden. Lösung: Schriften lokal hosten.
- Einwilligungen müssen freiwillig, informiert und dokumentiert sein. Wer vor der Einwilligung bereits Cookies setzt, verstößt gegen § 25 TDDDG.
Datenschutz auf Websites ist kein rein akademisches Thema. Abmahnbüros durchsuchen Websites automatisiert nach Mustern: extern geladene Schriften, fehlende oder veraltete Datenschutzerklärung, Cookies vor dem Klick. Wer weiß, wo die tatsächlichen Risikopunkte liegen, kann sie gezielt schließen. Dieser Artikel geht durch die wesentlichen Pflichten nach DSGVO und erklärt, was konkret zu tun ist.
Hinweis vorab: Dieser Artikel ist eine fachliche Einordnung und ersetzt keine Rechtsberatung im Einzelfall. Bei konkreten Fragen wenden Sie sich an eine auf Datenschutzrecht spezialisierte Kanzlei oder an Ihren Datenschutzbeauftragten.
Wann Abmahnungen entstehen und was sie kosten
Die meisten Abmahnungen im DSGVO-Umfeld kommen nicht wegen eines Datenschutzvorfalls, sondern wegen technischer Mängel, die öffentlich sichtbar sind. Extern geladene Schriften, ein Cookie-Banner, der zu früh oder gar nicht greift, eine Datenschutzerklärung, die veraltete oder gar keine Dienste benennt: Das sind die Treffer, auf die automatisierte Scan-Tools ausgerichtet sind.
Die DSGVO selbst ermöglicht Bußgelder durch Aufsichtsbehörden. Nach Art. 83 DSGVO können bei schwerwiegenden Verstößen bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes verhängt werden. Für kleine Unternehmen und Selbstständige sind die Beträge realistisch niedriger, aber die Aufsichtsbehörden gehen seit 2020 auch gegen Kleinstbetreiber vor. Hinzu kommen wettbewerbsrechtliche Abmahnungen durch Mitbewerber und Verbände: nach der UWG-Reform 2021 ist der Kreis der Abmahnberechtigten etwas eingeschränkt worden, komplett verschwunden ist das Risiko aber nicht.
Art. 6 DSGVO: Die sechs Rechtsgrundlagen für Websites
Art. 6 Abs. 1 DSGVO listet abschließend auf, wann Daten verarbeitet werden dürfen. Für Websites kommen in der Praxis vor allem drei Grundlagen in Frage:
- Einwilligung (Art. 6 Abs. 1 lit. a): Die betroffene Person hat freiwillig zugestimmt, für einen bestimmten Zweck. Klassischer Anwendungsfall: Tracking, Werbe-Cookies, Newsletter-Anmeldung. Die Einwilligung muss dokumentiert und jederzeit widerrufbar sein (Art. 7 DSGVO).
- Vertragserfüllung (Art. 6 Abs. 1 lit. b): Die Verarbeitung ist notwendig für einen Vertrag oder vorvertragliche Maßnahmen. Typisch bei Kontaktformularen, Shop-Bestellungen und Buchungsformularen.
- Berechtigtes Interesse (Art. 6 Abs. 1 lit. f): Der Verantwortliche hat ein berechtigtes Interesse, das die Interessen der betroffenen Person überwiegt. Kann für Serverlogfiles oder Sicherheitsmaßnahmen gelten. Immer eine Abwägung im Einzelfall nötig.
Die anderen drei Grundlagen (rechtliche Verpflichtung, lebenswichtige Interessen, öffentliche Aufgabe) spielen für gewöhnliche Unternehmenswebsites eine untergeordnete Rolle. Wichtig: Jede Grundlage muss in der Datenschutzerklärung konkret dem jeweiligen Verarbeitungszweck zugeordnet werden. Pauschale Verweise auf „Art. 6 DSGVO“ genügen nicht.
Art. 13 DSGVO: Was die Datenschutzerklärung enthalten muss
Eine vollständige Datenschutzerklärung nach Art. 13 DSGVO benennt für jeden eingesetzten Dienst und Verarbeitungszweck:
- Name und Kontaktdaten des Verantwortlichen sowie des Datenschutzbeauftragten, falls einer zu bestellen ist
- den Verarbeitungszweck und die konkrete Rechtsgrundlage (nicht nur den Artikel, sondern den Absatz und Buchstaben)
- bei berechtigtem Interesse: was dieses Interesse konkret ist
- die Empfänger oder Kategorien von Empfängern (welche Dienstleister erhalten Daten?)
- ob Daten in Drittländer übermittelt werden, und wenn ja, auf welcher Grundlage
- die Speicherdauer oder die Kriterien für ihre Festlegung
- alle Betroffenenrechte und wie sie ausgeübt werden können
Viele Datenschutzerklärungen scheitern an einer einfachen Prüffrage: Steht in der Erklärung, welche Dienste tatsächlich im Einsatz sind? Ein Kontaktformular über Gravity Forms, das Daten an einen US-Server übermittelt, muss dort benannt sein. Ein eingebettetes Stripe-Zahlungsformular ebenfalls. Wer einen Dienst wechselt, muss die Erklärung aktualisieren. Das klingt selbstverständlich, ist aber in der Praxis einer der häufigsten Mängel.
Die Erklärung muss von jeder Seite aus leicht erreichbar sein, klar und verständlich formuliert und speziell für Kinder geeignet, wenn sich das Angebot an Minderjährige richtet. Den genauen Umfang der Impressumspflicht erklärt der Artikel Impressumspflicht für Websites.
Externe Dienste und Google Fonts lokal hosten
Google Fonts direkt von Googles CDN zu laden war lange weit verbreitet. Das Landgericht München stellte in seinem Urteil vom 20. Januar 2022 klar: Die dynamische IP-Adresse eines Websitebesuchers ist ein personenbezogenes Datum. Wer Fonts von Google lädt, übermittelt diese Adresse an Google, ohne Einwilligung des Besuchers und ohne zwingenden Grund. Das verstößt gegen Art. 6 DSGVO. Im Urteil wurde dem Beklagten auferlegt, künftig die Einbindung zu unterlassen, und ein Schadensersatz von 100 Euro zugesprochen.
Das Prinzip gilt über Fonts hinaus für alle extern eingebundenen Ressourcen, die beim Seitenaufruf automatisch Verbindungen aufbauen: JavaScript-Bibliotheken von CDNs, Tracking-Pixel, eingebettete Karten, Social-Sharing-Buttons mit direkter Plattform-Anbindung. Für jeden dieser Dienste gilt: Entweder er wird lokal gehostet, oder die Verbindung wird erst nach einer Einwilligung aufgebaut.
Konkrete Umsetzung für die häufigsten Fälle:
- Google Fonts: Schriften herunterladen (gwfh.mranftl.com ist eine bewährte Hilfe) und auf dem eigenen Server hosten. In WordPress reicht bei vielen Themes ein Filter oder ein Plugin, das die Google-Einbindung entfernt und durch die lokale Variante ersetzt.
- YouTube-Videos: Den datenschutzfreundlichen Modus über
youtube-nocookie.comnutzen und per Klick-Sperre erst nach aktivem Zustimmen verbinden. - Google Maps: Alternativ OpenStreetMap einbinden oder die Karte nur nach Einwilligung laden.
- Webanalyse: Cookie-pflichtige Tools wie Google Analytics erst nach Einwilligung aktivieren. Datenschutzfreundliche Alternativen wie Matomo (selbst gehostet) oder Plausible kommen teils ohne Einwilligung aus.
Für Cookie-Banner und Consent-Management, also die technische Seite der Einwilligung, gibt es einen eigenen Artikel: Cookie-Banner rechtssicher umsetzen.
Formulare und Einwilligung richtig umsetzen
Ein Kontaktformular fragt typischerweise Name, E-Mail und Nachricht ab. Das ist für den Zweck der Kontaktaufnahme ausreichend. Felder für Telefonnummer, Geburtsdatum oder Adresse in ein allgemeines Kontaktformular aufzunehmen, ist schwer zu begründen, wenn diese Daten nicht tatsächlich für die Bearbeitung der Anfrage gebraucht werden. Das Prinzip der Datenminimierung aus Art. 5 Abs. 1 lit. c DSGVO verlangt, nur das zu erheben, was für den jeweiligen Zweck notwendig ist.
Pflichtcheckbox im Formular mit Text wie „Ich habe die Datenschutzerklärung gelesen“: Diese Checkbox begründet für sich keine Einwilligung zur Datenverarbeitung, sie ist eher eine Informationsbestätigung. Die eigentliche Rechtsgrundlage für ein Kontaktformular ist die vorvertragliche Maßnahme oder das berechtigte Interesse an der Kommunikation, nicht die Einwilligung. Die Checkbox kann trotzdem sinnvoll sein, sie erzeugt Nachweis, dass der Benutzer auf die Erklärung hingewiesen wurde.
Für Newsletter-Anmeldungen gilt eine striktere Regel: Hier ist nach Art. 6 Abs. 1 lit. a DSGVO eine ausdrückliche Einwilligung notwendig. Das Double-Opt-in-Verfahren ist die empfohlene Methode. Zeitpunkt der Einwilligung, verwendeter Formulartext und IP-Adresse müssen protokolliert werden, damit die Einwilligung im Streitfall nachweisbar ist (Art. 7 Abs. 1 DSGVO).
Formulardaten, die per E-Mail an ein Postfach gesendet werden, sollten verschlüsselt übertragen werden. Das erfordert SSL/TLS für die Datenübertragung zum Server und nach Möglichkeit eine gesicherte Übermittlung durch den Mailserver. Unverschlüsselte Formulare, die sensible Anfragen entgegennehmen, sind ein Risiko, das sich einfach beheben lässt.
SSL ist Pflicht, nicht Option
Art. 5 Abs. 1 lit. f DSGVO verlangt, personenbezogene Daten mit angemessenen technischen Maßnahmen gegen unbefugten Zugriff zu schützen. Für jede Website, die Nutzerdaten überträgt, gehört HTTPS mit einem gültigen TLS-Zertifikat dazu. Ohne SSL wird der Datenverkehr zwischen Besucher und Server unverschlüsselt übertragen. Formulardaten, Login-Daten, Bestelldaten: alles im Klartext auf dem Übertragungsweg.
Let’s Encrypt stellt kostenlose Zertifikate aus, und die meisten Hosting-Anbieter aktivieren SSL mittlerweile per Knopfdruck. Es gibt kaum noch einen technischen Grund, auf HTTPS zu verzichten. Browser zeigen HTTP-Seiten mit einem Warnhinweis an, was das Vertrauen der Besucher zusätzlich schädigt.
Über SSL hinaus empfiehlt sich die Prüfung weiterer Sicherheitsheader: Content Security Policy, X-Frame-Options, Strict-Transport-Security. Diese schützen vor bestimmten Angriffsvektoren und sind im Sinne von Art. 25 DSGVO (Datenschutz durch Technikgestaltung) empfehlenswert. Eine ausführliche Erklärung bietet der Artikel SSL, HTTPS und Sicherheitsheader einfach erklärt.
Auftragsverarbeitung: wann ein AVV nötig ist
Ein Auftragsverarbeitungsvertrag ist immer dann nötig, wenn ein externer Dienstleister Daten im Auftrag und auf Weisung des Verantwortlichen verarbeitet. Das trifft für Websites auf viele Konstellationen zu: Webhosting (der Hoster verarbeitet alle Serverlogfiles), Newsletter-Tools (der Anbieter speichert E-Mail-Adressen), Zahlungsdienstleister, Formular-Plugins, die Daten an Drittserver übermitteln.
Wichtig: Der AVV ist kein reines Papierdokument, das man abheften und vergessen kann. Er muss die tatsächliche Verarbeitung abbilden, also Zweck, Art der Daten, betroffene Personen und Pflichten des Auftragsverarbeiters benennen. Viele größere Dienstleister stellen einen standardisierten AVV oder die entsprechenden Klauseln zur Verfügung, etwa Google (für Workspace-Produkte), Mailchimp oder Stripe. Wer ein WordPress-Hosting bei einem deutschen Anbieter betreibt, sollte prüfen, ob dort ein AVV abgeschlossen wurde. Mehr dazu im Artikel Auftragsverarbeitungsvertrag: Pflichten, Inhalt und typische Fehler.
Keine Auftragsverarbeitung liegt vor, wenn ein Dienstleister Daten für eigene Zwecke nutzt oder selbst Verantwortlicher ist. Das trifft zum Beispiel auf Zahlungsdienstleister zu, die eigene Prüfpflichten haben und die Daten auch für eigene Zwecke verarbeiten. Hier liegt eine gemeinsame Verantwortlichkeit oder eine eigenständige Verantwortung des Dienstleisters vor, kein Auftragsverarbeitungsverhältnis.
Betroffenenrechte: was Besucher verlangen können
Die DSGVO räumt betroffenen Personen umfangreiche Rechte ein, die in der Datenschutzerklärung benannt werden müssen:
- Auskunftsrecht (Art. 15): Betroffene können Auskunft verlangen, welche Daten gespeichert sind, zu welchem Zweck, wie lange und an wen sie weitergegeben wurden.
- Berichtigung (Art. 16): Falsche Daten müssen auf Verlangen korrigiert werden.
- Löschung (Art. 17): Das „Recht auf Vergessenwerden“: Unter bestimmten Voraussetzungen, etwa wenn der Zweck entfallen ist, müssen Daten gelöscht werden.
- Einschränkung der Verarbeitung (Art. 18): Betroffene können verlangen, dass Daten nur noch gespeichert, aber nicht weiterverarbeitet werden.
- Datenübertragbarkeit (Art. 20): Bei einwilligungsbasierter oder vertragsbasierter Verarbeitung haben Betroffene das Recht, ihre Daten in einem maschinenlesbaren Format zu erhalten.
- Widerspruch (Art. 21): Gegen auf berechtigtem Interesse gestützte Verarbeitungen kann Widerspruch eingelegt werden. Bei Direktwerbung ist das Widerspruchsrecht absolut, keine Abwägung möglich.
Auf eine Anfrage muss nach Art. 12 Abs. 3 DSGVO grundsätzlich binnen einem Monat geantwortet werden. Die Frist kann in komplexen Fällen um zwei weitere Monate verlängert werden, aber der Betroffene muss darüber informiert werden. Wer auf solche Anfragen nicht reagiert, riskiert neben einem möglichen Bußgeld auch eine Beschwerde bei der zuständigen Aufsichtsbehörde.
Praktisch bedeutet das für Websites: Im Impressum oder in der Datenschutzerklärung muss eine erreichbare Kontaktmöglichkeit für Datenschutzanfragen stehen. Eine eigene E-Mail-Adresse wie datenschutz@domain.de ist sinnvoll und zeigt Sorgfalt.
Übersicht: Pflichten, Grundlagen, Umsetzung
| Bereich | Rechtsgrundlage / Vorschrift | Konkrete Umsetzung |
|---|---|---|
| Datenschutzerklärung | Art. 13 DSGVO | Je Dienst: Zweck, Rechtsgrundlage, Empfänger, Speicherdauer benennen. Bei Änderungen aktualisieren. |
| Rechtsgrundlage für Verarbeitung | Art. 6 DSGVO | Für jeden Verarbeitungszweck konkret angeben (lit. a–f), nicht pauschal. |
| Cookies und Tracking | § 25 TDDDG, Art. 6 Abs. 1 lit. a DSGVO | Nicht-technische Cookies erst nach Einwilligung setzen. Ablehnen muss so einfach sein wie Zustimmen. |
| Google Fonts / externe CDNs | Art. 6 DSGVO, LG München Az. 3 O 17493/20 | Lokal hosten. Keine automatische Verbindung zu Drittservern ohne Einwilligung. |
| Kontaktformular | Art. 6 Abs. 1 lit. b oder f DSGVO, Art. 5 Abs. 1 lit. c (Datenminimierung) | Nur notwendige Felder. Daten verschlüsselt übertragen. In DSE benennen. |
| Newsletter | Art. 6 Abs. 1 lit. a, Art. 7 DSGVO | Double-Opt-in. Einwilligung dokumentieren. Abmeldung jederzeit möglich. |
| SSL/HTTPS | Art. 5 Abs. 1 lit. f, Art. 32 DSGVO | Gültiges TLS-Zertifikat. HTTP konsequent auf HTTPS weiterleiten. |
| Auftragsverarbeitung | Art. 28 DSGVO | AVV mit Hoster, Newsletter-Tool, Formular-Dienst. Standardklauseln nutzen. |
| Betroffenenrechte | Art. 12–22 DSGVO | In DSE beschreiben. Anfragen binnen 1 Monat beantworten. Kontaktadresse sichtbar. |
| Aufbewahrung und Löschung | Art. 5 Abs. 1 lit. e, Art. 17 DSGVO | Löschfristen festlegen. Keine unbegrenzte Speicherung ohne Zweck. |
Aus der Praxis: ein Relaunch, drei Baustellen
Bei einem Relaunch für ein Unternehmen aus dem Gesundheitssektor gab es drei konkrete DSGVO-Baustellen, die vor dem Go-live behoben werden mussten.
Erstens: Google Fonts waren direkt von Googles Servern eingebunden. Der ursprüngliche Entwickler hatte das Standard-Theme verwendet, das Fonts extern lädt. Die Lösung war, alle verwendeten Schriften herunterzuladen und per lokalen @font-face-Deklarationen einzubinden. Aufwand: unter einer Stunde.
Zweitens: Das Kontaktformular fragte neben Name und E-Mail nach Telefonnummer, Geburtsdatum und vollständiger Adresse. Für eine allgemeine Kontaktanfrage sind diese Felder nicht notwendig. Sie wurden entfernt. Das Datenschutzmerkmal der Datenminimierung ist häufig ein Nebenprodukt schlechter Formularplanung, keine böse Absicht.
Drittens: Die Datenschutzerklärung war ein generierter Text von 2019, der weder den eingesetzten Newsletter-Anbieter noch das Buchungstool nannte. Beide übermitteln Daten in die USA. Ein AVV war mit keinem der beiden Anbieter abgeschlossen. Nach der Aktualisierung der Erklärung und dem Abschluss der Standard-AVV der Anbieter war die Situation bereinigt.
Drei Punkte, alle lösbar. Aber alle drei hätten eine Beschwerde bei der Aufsichtsbehörde oder eine Abmahnung begründen können.
Sofort-Checkliste DSGVO-Website
- Datenschutzerklärung benennt alle eingesetzten Dienste mit Zweck, Rechtsgrundlage und Empfänger?
- Für jeden Verarbeitungszweck ist die korrekte Rechtsgrundlage nach Art. 6 DSGVO angegeben?
- Google Fonts und andere externe Ressourcen lokal gehostet oder hinter einer Einwilligung?
- Cookie-Banner aktiv: Nicht-technische Cookies werden erst nach Zustimmung gesetzt?
- Ablehnen im Cookie-Banner ist genauso einfach wie Zustimmen?
- Kontaktformular fragt nur notwendige Felder ab (Datenminimierung)?
- Newsletter-Anmeldung mit Double-Opt-in und Dokumentation der Einwilligung?
- SSL-Zertifikat gültig, HTTP leitet auf HTTPS weiter?
- AVV mit Hoster, Newsletter-Tool, Formulardienst und anderen Auftragsverarbeitern abgeschlossen?
- Betroffenenrechte in der Datenschutzerklärung beschrieben, Kontaktmöglichkeit für Anfragen sichtbar?
- Datenschutzerklärung und Impressum von jeder Seite aus leicht erreichbar?
- Datenschutzerklärung aktuell gehalten: bei jedem neuen Dienst oder Plugin-Wechsel prüfen?
Der kostenlose DSGVO-Check prüft die häufigsten Baustellen auf Ihrer Website und gibt konkrete Hinweise, wo Handlungsbedarf besteht.
Das Wichtigste zum Mitnehmen
- Jede Datenverarbeitung braucht eine Rechtsgrundlage nach Art. 6 DSGVO. Die Datenschutzerklärung muss diese Grundlage für jeden Dienst konkret benennen, nicht pauschal.
- Extern geladene Ressourcen wie Google Fonts übertragen automatisch die IP-Adresse der Besucher. Das ist nach dem LG-München-Urteil (Az. 3 O 17493/20) ein klarer Verstoß. Lösung: lokal hosten.
- Auftragsverarbeitungsverträge nach Art. 28 DSGVO sind Pflicht bei jedem Dienstleister, der personenbezogene Daten im Auftrag verarbeitet. Das betrifft fast jeden Hoster und viele Tools.
- Betroffene haben das Recht auf Auskunft, Löschung und Widerspruch. Anfragen müssen binnen einem Monat beantwortet werden.
Häufige Fragen
Brauche ich als kleine Handwerksfirma eine DSGVO-konforme Website?
Ja. Die DSGVO gilt für jeden Verantwortlichen, der Daten von Personen in der EU verarbeitet, unabhängig von Unternehmensgröße oder Branche. Eine Website, die ein Kontaktformular hat oder Analysetools einsetzt, verarbeitet personenbezogene Daten. Die Pflichten aus Art. 13 DSGVO und die Rechtsgrundlagenpflicht aus Art. 6 gelten damit genauso wie für einen großen Onlineshop.
Reicht ein kostenloser Datenschutzerklärung-Generator?
Als Ausgangspunkt kann ein Generator helfen. Er erzeugt aber generische Texte, die nicht die tatsächlich eingesetzten Dienste abbilden. Wer Gravity Forms, WooCommerce, Matomo und ein deutsches Hosting einsetzt, braucht eine Erklärung, die genau diese Konstellation beschreibt. Eine unvollständige Erklärung bietet keinen Schutz und ist selbst ein möglicher Abmahngrund.
Ist Google Analytics noch erlaubt?
Mit einer vollständigen Einbindung in das Consent-Management, aktivierter IP-Kürzung und einem gültigen AVV ist Google Analytics 4 unter bestimmten Voraussetzungen einsetzbar. Die Anforderungen sind hoch und die Aufsichtsbehörden beobachten das Thema kritisch. Wer auf der sicheren Seite sein will, prüft datenschutzfreundliche Alternativen. Mehr dazu im Artikel Webanalyse ohne Datenschutz-Ärger.
Was ist der Unterschied zwischen DSGVO und TDDDG?
Die DSGVO regelt grundsätzlich die Verarbeitung personenbezogener Daten in der EU. Das TDDDG (Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz, bis 2024 als TTDSG bekannt) regelt ergänzend in Deutschland den Zugriff auf Endgeräte, also das Setzen von Cookies und das Auslesen von Gerätedaten. § 25 TDDDG verlangt für solche Zugriffe eine Einwilligung, sofern sie nicht technisch notwendig sind. Im Alltag wirken DSGVO und TDDDG zusammen: Der Cookie-Banner muss beide Anforderungen erfüllen.
Wie oft muss ich die Datenschutzerklärung aktualisieren?
Die Erklärung muss die tatsächliche Praxis abbilden. Das heißt: Jedes Mal, wenn ein neues Plugin eingebunden wird, ein Analysetool wechselt oder ein Dienstleister ausgetauscht wird, ist eine Aktualisierung nötig. Als Rhythmus empfehlen sich mindestens einmal jährlich eine vollständige Prüfung und sofort bei jeder relevanten Technikänderung.
Was passiert, wenn ich einen Betroffenenrechte-Antrag ignoriere?
Wer auf eine Auskunfts-, Lösch- oder Berichtigungsanfrage nicht innerhalb eines Monats antwortet, verstößt gegen Art. 12 Abs. 3 DSGVO. Betroffene können dann Beschwerde bei der zuständigen Aufsichtsbehörde einlegen. Diese kann ein Verfahren einleiten und im Ergebnis ein Bußgeld verhängen. Zudem ist der fehlende Nachweis der Einhaltung von Betroffenenrechten bei einer Prüfung ein eigenständiges Problem.
Quellen
Die zentralen Pflichten und die Prüfliste kompakt, zum Abhaken im Team.