DSGVO für Websites: Alle Anforderungen, Pflichten und häufige Fehler vermeiden

März 5, 2026 admin Datenschutz & Recht

DSGVO-Anforderungen für Websites: Was Betreiber in Deutschland wissen müssen

Die Datenschutz-Grundverordnung (DSGVO) gilt seit Mai 2018 in der gesamten EU und hat die Anforderungen an den Datenschutz im Internet grundlegend verschärft. Jede Website, die personenbezogene Daten verarbeitet — und das tun praktisch alle — muss die DSGVO-Vorgaben einhalten.

Verstöße können mit Bußgeldern von bis zu 20 Millionen Euro oder 4% des weltweiten Jahresumsatzes geahndet werden. Auch wenn die Maximalstrafen selten verhängt werden, sind Abmahnungen durch Mitbewerber und Datenschutzbehörden ein reales Risiko.

Was sind personenbezogene Daten im Web-Kontext?

Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierbare Person beziehen. Im Website-Kontext umfasst das:

  • IP-Adressen: Werden bei jedem Seitenaufruf übertragen
  • Cookies: Besonders Tracking- und Marketing-Cookies
  • Formulardaten: Name, E-Mail, Telefonnummer aus Kontaktformularen
  • Nutzerkonten: Login-Daten und Profilinformationen
  • Analytics-Daten: Nutzungsverhalten, Geräteinfos, Standortdaten
  • Bestelldaten: Adressen und Zahlungsinformationen in Online-Shops

Die sechs Grundsätze der DSGVO

  1. Rechtmäßigkeit und Transparenz: Daten dürfen nur mit Rechtsgrundlage und nach Informierung der Betroffenen verarbeitet werden
  2. Zweckbindung: Daten dürfen nur für den angegebenen Zweck genutzt werden
  3. Datenminimierung: Nur so viele Daten erheben wie unbedingt nötig
  4. Richtigkeit: Daten müssen korrekt und aktuell sein
  5. Speicherbegrenzung: Daten nicht länger als nötig aufbewahren
  6. Integrität und Vertraulichkeit: Angemessene Sicherheitsmaßnahmen treffen

Pflicht-Elemente für jede DSGVO-konforme Website

1. Datenschutzerklärung

Jede Website braucht eine ausführliche Datenschutzerklärung, die erklärt:

  • Welche Daten erhoben werden und warum
  • Die Rechtsgrundlage für jede Datenverarbeitung (Art. 6 DSGVO)
  • Wer die Daten erhält (Auftragsverarbeiter, Drittanbieter)
  • Wie lange die Daten gespeichert werden
  • Die Rechte der Betroffenen (Auskunft, Löschung, Widerruf)
  • Kontaktdaten des Verantwortlichen und ggf. des Datenschutzbeauftragten

Ein Cookie-Banner ist Pflicht, wenn deine Website nicht-essenzielle Cookies setzt. Der Banner muss eine informierte, aktive Einwilligung einholen — vorausgewählte Checkboxen oder reine Hinweis-Banner reichen nicht aus.

3. SSL-Verschlüsselung

HTTPS ist faktisch Pflicht. Die DSGVO verlangt „geeignete technische Maßnahmen“ zum Schutz personenbezogener Daten. Ein SSL-Zertifikat schützt die Datenübertragung zwischen Browser und Server und ist auch ein Ranking-Faktor bei Google.

4. Impressum

Zwar nicht direkt DSGVO, aber nach TMG und DDG in Deutschland Pflicht: Ein vollständiges Impressum mit Name, Adresse, Kontaktdaten und ggf. Handelsregisternummer.

Häufige DSGVO-Fallen bei Websites

Google Fonts lokal einbinden

Das Laden von Google Fonts über die Google-Server überträgt die IP-Adresse des Besuchers an Google in die USA. Seit einem Urteil des LG München (2022) ist das ohne Einwilligung rechtswidrig. Die Lösung: Google Fonts lokal auf dem eigenen Server hosten.

Google Analytics und Tracking-Tools

Google Analytics darf nur mit aktiver Einwilligung via Cookie-Banner eingesetzt werden. Alternativ gibt es datenschutzfreundliche Lösungen wie Matomo (selbst gehostet), Plausible oder Fathom Analytics, die ohne Cookie-Consent auskommen können.

Kontaktformulare

Jedes Kontaktformular muss einen Hinweis auf die Datenschutzerklärung enthalten. Erhebe nur die Daten, die du wirklich brauchst (Datenminimierung). E-Mail-Adressen aus Kontaktformularen dürfen nicht automatisch in Newsletter-Verteiler aufgenommen werden.

Social-Media-Plugins

Direkt eingebundene Social-Media-Buttons (Facebook Like, Twitter Share) übertragen Daten schon beim Laden der Seite. Nutze stattdessen die 2-Click-Lösung oder verlinke einfach auf deine Social-Media-Profile.

Auftragsverarbeitungsverträge (AVV)

Für jeden Drittanbieter, der in deinem Auftrag personenbezogene Daten verarbeitet, brauchst du einen Auftragsverarbeitungsvertrag (AVV). Das betrifft unter anderem:

  • Webhosting-Anbieter
  • E-Mail-Marketing-Dienste (Mailchimp, CleverReach)
  • Analytics-Tools (Google Analytics, Matomo Cloud)
  • CDN-Anbieter (Cloudflare)
  • Payment-Provider in Online-Shops

Die meisten großen Anbieter stellen AVVs mittlerweile automatisch bereit. Prüfe bei der Einrichtung neuer Tools immer, ob ein AVV vorliegt.

Betroffenenrechte umsetzen

Website-Besucher haben nach der DSGVO umfangreiche Rechte:

  • Auskunftsrecht (Art. 15): Welche Daten hast du über mich gespeichert?
  • Recht auf Berichtigung (Art. 16): Falsche Daten korrigieren
  • Recht auf Löschung (Art. 17): „Recht auf Vergessenwerden“
  • Recht auf Datenübertragbarkeit (Art. 20): Daten in maschinenlesbarem Format
  • Widerspruchsrecht (Art. 21): Datenverarbeitung widersprechen

Stelle sicher, dass du auf Anfragen innerhalb eines Monats reagieren kannst. Dokumentiere deine Datenverarbeitungsprozesse in einem Verzeichnis der Verarbeitungstätigkeiten (Art. 30 DSGVO).