Darum geht’s in diesem Artikel:
Datenschutz ist kein Randthema mehr – vor allem nicht im Internet. Seit Inkrafttreten der DSGVO sind Website-Betreiber verpflichtet, personenbezogene Daten zu schützen, transparent zu informieren und technische sowie organisatorische Maßnahmen zu ergreifen. Doch viele Websites verstoßen täglich gegen diese Vorgaben – ob bewusst oder aus Unwissen. Das kann teuer werden: Abmahnungen, Bußgelder und Vertrauensverlust drohen. Dieser Artikel zeigt dir, was du als Betreiber konkret tun musst, um deine Website datenschutzkonform aufzustellen. Wir klären, welche Infos in deine Datenschutzerklärung gehören, wie du mit Cookies umgehen musst, welche Tools besonders kritisch sind – und worauf du bei Hosting, Kontaktformularen, Tracking und Plugins achten musst.
Wer ist verantwortlich für den Datenschutz auf einer Website?
Jeder Betreiber einer Website – egal ob Einzelunternehmer, Freiberufler, Firma, Verein oder Blogger – ist für die Einhaltung der Datenschutzregeln verantwortlich. Wer personenbezogene Daten verarbeitet, muss:
- den Datenschutz transparent gestalten
- eine konforme Datenschutzerklärung bereitstellen
- Zustimmungen korrekt einholen
- Verträge zur Auftragsverarbeitung (AVV) abschließen
- Technische und organisatorische Maßnahmen (TOM) einführen
Auch bei kleineren Seiten ohne Shop oder Login-Bereich gilt: Datenschutzpflichten treffen alle, die personenbezogene Daten verarbeiten – und das beginnt schon beim Hosting.
Was sind personenbezogene Daten?
Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare Person beziehen. Dazu gehören z. B.:
- IP-Adressen
- Name, E-Mail-Adresse
- Standortdaten
- Nutzerverhalten
- Login-Daten
- Bilder mit erkennbarem Gesicht
- Social-Media-Profilinformationen
Sobald du diese Daten erhebst, musst du DSGVO-Vorgaben beachten.
Was muss die Datenschutzerklärung enthalten?
Eine DSGVO-konforme Datenschutzerklärung muss leicht zugänglich und verständlich sein. Sie muss folgende Punkte enthalten:
- Name und Kontaktdaten des Verantwortlichen
- Zwecke und Rechtsgrundlagen der Datenverarbeitung
- Kategorien der verarbeiteten Daten
- Dauer der Speicherung
- Hinweis auf Betroffenenrechte (Auskunft, Löschung etc.)
- Cookies und Trackingdienste (Google Analytics, Meta Pixel etc.)
- Hinweise auf Drittstaatentransfers (z. B. USA)
- Information über AV-Verträge mit externen Dienstleistern
- Kontakt für Datenschutzanfragen
Die Erklärung muss individuell auf deine Website zugeschnitten sein – Mustertexte reichen nicht aus.
Was gilt für Cookies und Tracking?
Seit der Cookie-Rechtsprechung des EuGH (Planet49, Urteil vom 01.10.2019, C-673/17) gilt: Du brauchst für alle nicht-technisch notwendigen Cookies eine aktive, informierte und freiwillige Einwilligung.
Das bedeutet:
- Kein Cookie-Banner mit „Nur OK“-Button
- Kein automatisches Setzen von Tracking-Cookies vor Zustimmung
- Detaillierte Auflistung aller Cookies mit Zweck und Anbieter
- Möglichkeit zur Auswahl und Ablehnung
- Nachweis der Einwilligungspflicht (z. B. durch Consent-Tool)
Besonders kritisch: Google Analytics, Meta Pixel, Hotjar, YouTube-Einbindungen, Google Fonts – hier drohen bei Verstößen empfindliche Konsequenzen.
Muss ich einen AV-Vertrag abschließen?
Ja – immer dann, wenn du externe Dienstleister nutzt, die personenbezogene Daten in deinem Auftrag verarbeiten. Typische Fälle:
- Webhoster
- E-Mail-Provider
- Newsletter-Tools (z. B. Mailchimp)
- Cloud-Dienste
- Statistik- oder Trackinganbieter
Der Vertrag zur Auftragsverarbeitung (AVV) muss schriftlich oder elektronisch abgeschlossen und DSGVO-konform gestaltet sein.
Was sind technische und organisatorische Maßnahmen (TOM)?
Die DSGVO verpflichtet Website-Betreiber, für die Sicherheit der verarbeiteten Daten zu sorgen. Dazu gehören z. B.:
- SSL-Verschlüsselung
- sichere Passwörter und Zugänge
- Zugriffsbeschränkungen für Admins
- regelmäßige Backups
- Firewall- und Antivirenlösungen
- Schutz vor unbefugtem Zugriff auf Kontaktformulare oder Adminbereiche
Wer TOMs ignoriert, riskiert Bußgelder – auch bei „kleinen“ Verstößen.
Tipps der Redaktion
Wenn du eine Website betreibst, solltest du den Datenschutz nicht dem Zufall überlassen. Die DSGVO gilt für alle – unabhängig vom Umsatz oder der Besucherzahl. Vor allem Cookie-Banner, Trackingtools, Formulare und externe Dienste bergen erhebliche Risiken. Lass deine Website regelmäßig prüfen, passe die Datenschutzerklärung an und dokumentiere alle Prozesse. So schützt du nicht nur dich vor Abmahnungen, sondern auch das Vertrauen deiner Nutzer.
Wenn du Fragen hast, kannst du jederzeit unsere Hauptseite besuchen.
https://lexpilot.onepage.me
Dort kannst du deine rechtlichen Fragen und Dokumente DSGVO-konform übermitteln. Wir weisen dich gleichsam darauf hin, dass LexPilot keine Rechtsberatung anbietet, sondern lediglich deine Anfrage an Partnerkanzleien weitervermittelt, die dir unmittelbar auf deine Frage kostenfrei Antwort erteilen.
Eine kurze rechtliche Einschätzung durch die Expertenbrille
„Viele Website-Betreiber unterschätzen die Reichweite der DSGVO – oft mit erheblichen Folgen. Wer eine fehlerhafte Datenschutzerklärung verwendet, Cookie-Einwilligungen missachtet oder keine AV-Verträge abschließt, riskiert Abmahnungen oder hohe Bußgelder. Dabei lassen sich die Pflichten meist mit überschaubarem Aufwand erfüllen. Wer seine Website ernst nimmt, muss den Datenschutz ebenso ernst nehmen.“
Björn Kasper, Rechtsanwalt
