Blog

DSGVO: Was Websitebetreiber heute wissen und umsetzen müssen

DSGVO: Was Websitebetreiber heute wissen und umsetzen müssen

Hinweis: Dieser Artikel ist kein Rechtsrat und ersetzt keine anwaltliche Beratung. Er gibt einen praxisorientierten Überblick über die aktuellen Anforderungen an Websites. Für verbindliche Aussagen wende dich bitte an einen Fachanwalt für IT-Recht.

Die Datenschutz-Grundverordnung gilt seit Mai 2018 – und doch ist sie für viele Websitebetreiber noch immer ein blinder Fleck. Entweder wurde die Website damals hastig angepasst und seitdem nicht mehr angefasst, oder die Anforderungen haben sich weiterentwickelt, ohne dass die Umsetzung mitgezogen hat. Beides ist ein Problem: Die Behörden prüfen aktiver als je zuvor, und die Bußgelder sind real.

Hier ist der aktuelle Stand – was gilt, was sich verändert hat, und wo heute die häufigsten Lücken stecken.

Was die DSGVO grundsätzlich regelt

Die DSGVO schützt personenbezogene Daten – also alle Informationen, die eine natürliche Person direkt oder indirekt identifizierbar machen. Dazu gehören Name, E-Mail-Adresse, IP-Adresse, Standortdaten, aber auch Verhaltens- und Klickdaten. Wer eine Website betreibt, die solche Daten verarbeitet, ist Verantwortlicher im Sinne der DSGVO – unabhängig von der Unternehmensgröße.

Die Grundprinzipien sind dabei unveränderlich: Daten dürfen nur für einen konkreten Zweck erhoben werden, nur so lange gespeichert werden wie nötig, und nur in dem Umfang, der für diesen Zweck erforderlich ist. Wer dagegen verstößt, riskiert Bußgelder von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes.

Cookies und Consent: Was heute gilt

Das Thema Cookies ist 2025 weiterhin komplex – und im Wandel. Aktuell gilt in Deutschland das TDDDG (früher TTDSG): Nicht technisch notwendige Cookies, also insbesondere Tracking- und Analyse-Cookies, dürfen nur mit ausdrücklicher Einwilligung des Nutzers gesetzt werden. Das bedeutet: Ein Cookie-Banner ist für die meisten Websites Pflicht.

Wichtig: Der Europäische Datenschutzausschuss (EDPB) wertet sogenannte Dark Patterns – also manipulative Banner-Designs, die das Ablehnen erschweren – ausdrücklich als DSGVO-Verstoß. Ein datenschutzkonformes Banner muss das Ablehnen genauso einfach machen wie das Akzeptieren.

Hinweis: Die EU-Kommission hat Ende November 2025 einen Reformvorschlag vorgelegt, der die Cookie-Regeln langfristig vereinfachen soll. Bis dieser in Kraft tritt, gelten die bestehenden Regeln unverändert. Mit einer Umsetzung ist frühestens 2027 zu rechnen.

Google Analytics, Matomo und Tracking-Alternativen

Google Analytics ist weiterhin nutzbar – aber nur unter bestimmten Voraussetzungen: Abschluss des Vertrags zur Auftragsverarbeitung mit Google, IP-Anonymisierung, Opt-out-Möglichkeit für Nutzer und eine vollständige Dokumentation in der Datenschutzerklärung.

Viele Unternehmen sind in den letzten Jahren auf datenschutzfreundlichere Alternativen wie Matomo (selbst gehostet) oder Plausible umgestiegen, die ohne Cookies auskommen und keine personenbezogenen Daten an Dritte übertragen. Das vereinfacht die Compliance erheblich.

Google Fonts, Maps und externe Dienste

Ein häufig übersehenes Thema: Externe Dienste, die beim Laden einer Website automatisch Verbindungen zu Drittservern aufbauen, sind problematisch. Konkret:

  • Google Fonts müssen lokal auf dem eigenen Server gehostet werden. Das wurde durch mehrere Gerichtsurteile bestätigt. Wer Fonts noch über Google-Server lädt, riskiert Abmahnungen.
  • Google Maps muss mit einer Zwei-Klick-Lösung eingebunden werden: Die Karte wird erst geladen, wenn der Nutzer aktiv zustimmt. Alternativ können Karten über datenschutzfreundliche Dienste wie OpenStreetMap eingebunden werden.
  • YouTube-Videos sollten im erweiterten Datenschutzmodus eingebunden werden. Ob das allein ausreicht, ist rechtlich nicht abschließend geklärt – eine Zwei-Klick-Lösung ist die sicherere Variante.
  • Social-Media-Plugins (Like- und Share-Buttons, die direkt Daten übertragen) sind ohne Einwilligung nicht zulässig. Einfache Links zu Social-Media-Profilen sind dagegen problemlos.

Datenschutzerklärung: Was sie enthalten muss

Jede Website benötigt eine aktuelle, vollständige Datenschutzerklärung. Sie muss verständlich formuliert sein – Fachjargon ohne Erklärung genügt nicht. Inhaltlich muss sie abdecken:

  • Alle Datenverarbeitungsvorgänge auf der Website (Kontaktformular, Analyse-Tools, Newsletter, Cookies)
  • Die Rechtsgrundlage für jede Verarbeitung
  • Wie lange Daten gespeichert und wann sie gelöscht werden
  • Rechte der Nutzer: Auskunft, Berichtigung, Löschung, Widerspruch, Datenübertragbarkeit
  • Kontaktdaten des Verantwortlichen und ggf. des Datenschutzbeauftragten
  • Informationen zu Drittanbietern und Datenübermittlungen ins Ausland

Empfehlung: Lass deine Datenschutzerklärung von einem Fachanwalt erstellen oder prüfen. Generatoren aus dem Internet sind ein Startpunkt, aber kein Ersatz für eine rechtssichere, auf dein Unternehmen zugeschnittene Erklärung.

Auftragsverarbeitung: Verträge mit Dienstleistern

Wer personenbezogene Daten durch externe Dienstleister verarbeiten lässt – also zum Beispiel Hosting-Anbieter, Newsletter-Tools, CRM-Systeme oder Webagenturen mit Zugriff auf Daten – muss mit diesen einen Vertrag zur Auftragsverarbeitung (AV-Vertrag) abgeschlossen haben. Das ist keine Formalität, sondern Pflicht. Viele Anbieter stellen diese Verträge heute standardmäßig in ihren Accounts bereit.

Newsletter und E-Mail-Marketing

Für den Newsletter-Versand gilt das Double-Opt-in-Prinzip: Wer sich anmeldet, muss seine Einwilligung in einer zweiten E-Mail bestätigen. Diese Einwilligung muss dokumentiert und nachweisbar sein – mit Zeitstempel und IP-Adresse. Die Einwilligung darf nicht an den Erhalt anderer Inhalte geknüpft sein (kein „Newsletter für den Download"). Abmelden muss jederzeit und einfach möglich sein.

Neu 2025: KI-Verordnung und ihr Einfluss auf den Datenschutz

Seit Februar 2025 gelten erste Bestimmungen der EU-KI-Verordnung (AI Act). Wer auf seiner Website KI-gestützte Tools einsetzt – etwa Chatbots, personalisierte Empfehlungen oder automatisierte Entscheidungssysteme – muss prüfen, ob diese den neuen Anforderungen entsprechen. KI-Systeme, die personenbezogene Daten verarbeiten, unterliegen sowohl der DSGVO als auch zunehmend den Transparenz- und Dokumentationspflichten des AI Acts. Die vollständige Regulierung von Hochrisiko-KI tritt 2026 und 2027 in Kraft.

Was du jetzt konkret prüfen solltest

Eine schnelle Checkliste für deinen Webauftritt:

  • SSL-Zertifikat aktiv und aktuell
  • Cookie-Banner vorhanden, datenschutzkonform und mit echtem Opt-out
  • Google Fonts lokal gehostet
  • Google Analytics korrekt eingebunden (AV-Vertrag, IP-Anonymisierung, Opt-out)
  • Google Maps und YouTube mit Zwei-Klick-Lösung
  • Datenschutzerklärung aktuell und vollständig
  • Kontaktformular mit Hinweis auf Datenverarbeitung
  • AV-Verträge mit allen relevanten Dienstleistern abgeschlossen
  • Newsletter mit Double-Opt-in und Abmeldemöglichkeit
  • Keine Social-Media-Plugins ohne Einwilligung

Datenschutz ist kein einmaliges Projekt. Es ist eine laufende Aufgabe – denn Gesetze ändern sich, neue Tools kommen hinzu, und Behörden prüfen aktiver als früher. Wer seinen Webauftritt regelmäßig überprüft, ist auf der sicheren Seite.

Autor des Blogartikels: Marco Müller
Autor
Marco Müller

Webentwickler und Contao-Spezialist aus Hamburg. Seit 2000 baue ich Websites – für Unternehmen und Agenturen.
DSGVO: Was Websitebetreiber heute wissen und umsetzen müssen
Weiter zur Website → ← Zurück zur Übersicht
Vorherige Referenz Die 10 wichtigsten SEO-Trends
Nächste Referenz Website-Check - Ist deine Website fit fürs Netz?

Reden wir.
Über Ihre Website, Ihre Ziele.

Und was ich für Sie tun kann.

Jetzt Projekt anfragen 0177. 6865635