DSGVO-konforme Website: worauf du bei Datenschutz, Cookies und Formularen achten musst

Die DSGVO klingt nach Buerokratie, ist im Kern aber eine ueberschaubare Liste an Pflichten. Die meisten Verstoesse auf KMU-Webseiten entstehen nicht aus boeser Absicht, sondern aus drei Klassikern: ein Cookie-Banner, der nichts blockiert, Tools, die Daten in die USA schicken, ohne dass es jemand weiss, und eine Datenschutzerklaerung von der Stange, die nicht zur Website passt. Hier bekommst du den ehrlichen Ueberblick, was du wirklich brauchst und was nur gut gemeintes Halbwissen ist.

Wichtig vorweg: Wir bauen Webseiten und Tools, wir sind keine Anwaltskanzlei. Dieser Text ist eine technische und praktische Orientierung, keine Rechtsberatung. Bei heiklen Faellen lohnt der Blick eines Fachanwalts oder Datenschutzbeauftragten. Wir wissen, wo die Stolperfallen liegen, weil wir sieben eigene Marken live in Produktion betreiben und jede einzelne datenschutzkonform aufstellen mussten.

Datenschutzerklaerung: muss zur echten Technik passen

Eine Datenschutzerklaerung ist Pflicht, sobald deine Website irgendwelche personenbezogenen Daten verarbeitet, und das tut praktisch jede Seite, allein durch Server-Logs mit IP-Adressen. Der entscheidende Punkt: Die Erklaerung muss beschreiben, was deine Seite tatsaechlich tut, nicht was ein generischer Generator vermutet.

• Jedes Tool muss rein: Hosting, Schriftarten, Analyse-Tools, Karten, Video-Einbettungen, Newsletter-Dienst, Chat-Widget. Was du einbindest, gehoert genannt.
• Rechtsgrundlage und Zweck: Zu jeder Verarbeitung gehoert eine Begruendung (z. B. berechtigtes Interesse oder Einwilligung).
• Betroffenenrechte: Auskunft, Loeschung, Widerspruch. Diese Standardabsaetze liefern gute Generatoren mit.
• Erreichbarkeit: Verlinkt von jeder Seite, ohne Klick durch ein Menue, idealerweise im Footer.

Ein kostenloser Generator von einer serioesen Anwaltsplattform ist ein guter Startpunkt. Die Pflege danach ist die eigentliche Arbeit: Sobald du ein neues Tool einbaust, muss der Text mit. Genau hier reissen die meisten Erklaerungen mit der Zeit.

Cookies und Consent: der haeufigste Fehler

Der grosse Irrtum: Ein Banner draufkleben und gut ist. Falsch. Entscheidend ist, dass Tracking-Tools erst nach der Einwilligung laden, nicht schon vorher. Ein Banner, der nur fragt, aber im Hintergrund laengst Daten sendet, ist schlimmer als gar keiner, weil er die Verletzung dokumentiert.

• Technisch notwendige Cookies (Login-Session, Warenkorb, Spracheinstellung) brauchen keine Einwilligung.
• Analyse-, Marketing- und Komfort-Tools duerfen erst nach aktivem Klick auf "Akzeptieren" starten.
• Ablehnen muss genauso leicht sein wie Zustimmen. Kein versteckter Link, keine vorausgewaehlten Haekchen. "Nur notwendige" gehoert gleichberechtigt neben "Alle akzeptieren".

Und die gute Nachricht: Wenn deine Website schlank gebaut ist, brauchst du oft gar kein nervendes Banner. Viele unserer Seiten kommen ohne Marketing-Cookies aus, weil wir Schriften lokal hosten, auf datenschutzfreundliche Analyse setzen und externe Einbettungen vermeiden. Kein Banner ist die beste Banner-Loesung.

Google Fonts, Maps und der USA-Transfer

Ein unterschaetzter Punkt: Externe Dienste laden oft Daten von US-Servern, bevor der Nutzer zugestimmt hat. Schriftarten, die direkt von einem fremden Server geladen werden, uebertragen die IP-Adresse des Besuchers, dafuer gab es bereits Abmahnwellen. Die Loesung ist simpel:

• Schriften lokal einbinden statt vom externen Server laden.
• Karten und Videos erst nach Klick laden (Zwei-Klick-Loesung) oder ganz weglassen.
• Bei US-Tools pruefen, ob eine europaeische Alternative existiert. Oft ja.

Formulare: wo Daten konkret entstehen

Kontakt-, Buchungs- und Newsletter-Formulare sind der Ort, an dem du aktiv personenbezogene Daten erhebst. Hier gelten ein paar handfeste Regeln:

• Datensparsamkeit: Frag nur ab, was du wirklich brauchst. Eine Telefonnummer als Pflichtfeld bei einer reinen E-Mail-Anfrage ist zu viel.
• Einwilligungs-Hinweis: Ein kurzer Satz mit Link zur Datenschutzerklaerung direkt am Absende-Button. Eine vorab angekreuzte Checkbox ist nicht erlaubt.
• Verschluesselung: Die Seite braucht zwingend HTTPS (SSL), sonst gehen Eingaben im Klartext durchs Netz.
• Double-Opt-In beim Newsletter: Erst die Bestaetigungsmail klicken, dann Eintrag. Ohne diesen Schritt ist die Anmeldung angreifbar.
• Spam-Schutz datenschutzfreundlich: Wenn ein externer Captcha-Dienst Nutzerdaten in die USA schickt, brauchst du Alternativen oder eine saubere Einwilligung.

Auftragsverarbeitung und Hosting

Sobald ein Dienstleister in deinem Auftrag Daten verarbeitet, also dein Hoster, dein Newsletter-Tool, dein Formular-Backend, brauchst du einen Auftragsverarbeitungsvertrag (AVV). Serioese Anbieter stellen den fertig bereit, meist als PDF zum Download oder per Klick im Kundenkonto. Ein EU-Hosting erspart dir zusaetzlich die Diskussion ueber Drittlandtransfers. Wir hosten unsere Projekte bewusst auf europaeischen Servern, das macht den ganzen Datenschutz-Teil deutlich einfacher.

Was du NICHT brauchst

Ehrlich bleibt ehrlich: Nicht jede Pflicht trifft jede Seite. Ein Datenschutzbeauftragter ist fuer kleine Firmen meist nicht vorgeschrieben, das haengt von Mitarbeiterzahl und Art der Datenverarbeitung ab. Ein Cookie-Banner ist nur noetig, wenn du einwilligungspflichtige Cookies setzt, ohne Tracking entfaellt er. Und teure Consent-Management-Plattformen mit Monatsgebuehr lohnen sich erst, wenn du wirklich viele Marketing-Tools betreibst. Fuer die meisten KMU-Seiten reicht eine schlanke, datensparsame Bauweise, die das Problem an der Wurzel vermeidet, statt es mit Bannern zu verwalten.