Datenschutz für Websites (DSGVO)

Datenschutz für Websites bezeichnet die rechtlichen Anforderungen nach der Datenschutz-Grundverordnung (DSGVO) an Betreiber von Websites, insbesondere Datenschutzerklärung, Cookie-Einwilligungen und den datenschutzkonformen Einsatz von Tools.

Rubrik: Recht & Wirtschaft · Unterrubrik: Medienrecht · Niveau: Einsteiger Synonyme / Auch bekannt als: Website-Datenschutz, DSGVO-Compliance für Websites, Datenschutzrecht Online

Was ist Datenschutz für Websites?

Jede Website, die personenbezogene Daten verarbeitet – und das betrifft praktisch jede Website, die Zugriffslogs speichert, Kontaktformulare anbietet oder Analysetools einsetzt – muss die Anforderungen der Datenschutz-Grundverordnung (DSGVO, auch GDPR) einhalten. Diese gilt seit dem 25. Mai 2018 in der gesamten EU unmittelbar.

Für Medienschaffende, Journalisten, Blogger, Content Creator und Unternehmen mit Online-Präsenz ist die DSGVO-Konformität eine tägliche Praxis, kein einmaliges Projekt. Die häufigsten Fehler liegen bei der Datenschutzerklärung, beim Cookie-Consent und beim Einsatz von Drittanbieter-Tools wie Google Analytics oder YouTube-Einbettungen.

Erklärung

Grundprinzipien der DSGVO

Die DSGVO folgt einigen Kernprinzipien, die für jeden Website-Betrieb relevant sind:

• Rechtmäßigkeit: Für jede Datenverarbeitung muss eine Rechtsgrundlage vorliegen (Art. 6 DSGVO): Einwilligung, Vertragserfüllung, rechtliche Verpflichtung, berechtigtes Interesse etc.
• Zweckbindung: Daten dürfen nur für den angegebenen Zweck verarbeitet werden.
• Datensparsamkeit: Es dürfen nur so viele Daten erhoben werden, wie für den Zweck erforderlich.
• Transparenz: Betroffene müssen über die Verarbeitung informiert werden.
• Datensicherheit: Technische und organisatorische Maßnahmen (TOMs) müssen die Daten schützen.

Datenschutzerklärung

Die Datenschutzerklärung (auch Privacy Policy) ist Pflicht für jeden Website-Betreiber. Sie muss leicht zugänglich, verständlich und vollständig sein. Folgende Informationen sind gemäß Art. 13 DSGVO erforderlich:

• Name und Kontakt des Verantwortlichen (und ggf. des Datenschutzbeauftragten)
• Welche Daten zu welchem Zweck verarbeitet werden
• Rechtsgrundlage der Verarbeitung
• Empfänger oder Kategorien von Empfängern
• Übermittlung in Drittländer (z. B. USA) und deren Absicherung
• Dauer der Datenspeicherung
• Betroffenenrechte (Auskunft, Berichtigung, Löschung, Widerspruch, Datenportabilität)
• Beschwerderecht bei der Aufsichtsbehörde

Die Datenschutzerklärung muss von jeder Unterseite der Website erreichbar sein – typischerweise im Footer.

Cookie-Consent

Cookies, die nicht technisch notwendig sind (z. B. Analyse- oder Marketing-Cookies), dürfen nur mit vorheriger, freiwilliger, informierter und aktiver Einwilligung gesetzt werden. Dies ergibt sich aus der DSGVO in Verbindung mit dem Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG, ehemals TTDSG).

Anforderungen an einen rechtssicheren Cookie-Consent:

• Kein Pre-Ticking: Checkboxen dürfen nicht vorausgefüllt sein
• Gleichwertige Opt-in/Opt-out-Optionen: Ablehnen muss genauso einfach sein wie Annehmen
• Granularität: Nutzer müssen für verschiedene Cookie-Kategorien einzeln einwilligen können
• Widerrufsbarkeit: Die Einwilligung muss jederzeit widerrufbar sein
• Nachweis: Einwilligungen müssen dokumentiert werden (Consent Management Platform, CMP)

Drittanbieter-Tools und deren Risiken

Der Einsatz externer Dienste ist auf nahezu jeder Website Realität – aber datenschutzrechtlich heikel:

Google Analytics / GA4: Erfordert nach aktueller Rechtslage eine aktive Cookie-Einwilligung. Eine Datenverarbeitung in den USA ist nur mit geeigneten Garantien (z. B. EU-Standardvertragsklauseln) zulässig. Das EU-US Data Privacy Framework (seit 2023) ermöglicht die Übermittlung in die USA unter bestimmten Bedingungen.

Google Fonts: Das Einbinden von Google Fonts über externe Server überträgt die IP-Adresse der Besucher an Google. Das LG München I untersagte dies 2022 ohne Einwilligung. Lösung: Fonts lokal einbinden.

YouTube-Einbettungen: Normale iFrame-Einbettungen setzen sofort Tracking-Cookies. Lösung: "erweiterten Datenschutzmodus" von YouTube nutzen oder Zwei-Klick-Lösung implementieren.

Social-Media-Buttons: Share-Buttons, die direkt eingebunden werden, übertragen sofort Daten an soziale Netzwerke. Auch hier ist eine Zwei-Klick-Lösung oder ein lokales Hosting der Icons empfehlenswert.

Kontaktformulare: Daten aus Kontaktformularen müssen verschlüsselt übertragen werden (HTTPS) und es muss ein Datenschutzhinweis beim Formular stehen.

Beispiele

• Blogger mit Google Analytics: Wer Google Analytics ohne Cookie-Consent-Banner einsetzt, verstößt gegen die DSGVO. Lösung: CMP implementieren, Analytics erst nach Einwilligung laden.
• Medien-Start-up mit Newsletter: Newsletter-Versand ist nur mit doppelter Einwilligung (Double-Opt-in) rechtssicher möglich. Jede Abbestellung muss sofort umgesetzt werden.
• Fotograf-Website mit Kontaktformular: Das Formular muss einen Link zur Datenschutzerklärung enthalten; die übermittelten Daten dürfen nur für die Kontaktaufnahme genutzt werden.
• Podcast-Plattform mit Spotify-Einbettung: Spotify-Embeds können Tracking-Daten übermitteln. Ein datenschutzkonformes Laden erst nach Einwilligung ist empfehlenswert.

In der Praxis

Checkliste für DSGVO-konforme Websites:

1. Datenschutzerklärung vorhanden, aktuell und vollständig?
2. HTTPS auf der gesamten Website aktiviert?
3. Cookie-Consent-Banner vorhanden, das technisch notwendige von nicht notwendigen Cookies trennt?
4. Google Fonts lokal eingebunden?
5. Social-Share-Buttons ohne sofortiges Tracking implementiert?
6. Externe Dienste (Analytics, Maps, Videos) erst nach Einwilligung geladen?
7. Kontaktformulare mit Datenschutzhinweis versehen?
8. Datenschutzbeauftragter bestellt (falls erforderlich – ab 20 Personen mit regelmäßiger Datenverarbeitung)?
9. Auftragsverarbeitungsverträge (AVV) mit allen Dienstleistern geschlossen, die Daten im Auftrag verarbeiten?
10. Verarbeitungsverzeichnis geführt?

Vergleich & Abgrenzung

Die DSGVO und das TDDDG ergänzen sich: Die DSGVO definiert die allgemeinen Datenschutzprinzipien, das TDDDG regelt spezifisch die Einwilligungspflicht für Cookies und ähnliche Technologien.

Häufige Fragen (FAQ)

Brauche ich als Einzelperson mit einem Blog eine Datenschutzerklärung? Ja, wenn Sie personenbezogene Daten verarbeiten (z. B. durch Zugriffsstatistiken, Kommentare oder Kontaktformulare). Die DSGVO gilt auch für natürliche Personen, sofern keine rein persönliche oder familiäre Tätigkeit vorliegt.

Reicht ein Cookie-Banner mit "OK"-Button? Nein. Nutzer müssen auch einfach ablehnen können. Ein Banner, das nur eine Zustimmungsmöglichkeit bietet, entspricht nicht den Anforderungen an eine freiwillige Einwilligung.

Muss ich für Bestandsdaten eine neue Einwilligung einholen? Wenn früher erhobene Einwilligungen nicht den DSGVO-Anforderungen entsprechen, ja. Einwilligungen müssen nachweisbar, informiert und freiwillig sein.

Was kostet ein Datenschutzverstoß? Bußgelder bis 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes sind möglich. In der Praxis werden bei kleineren Websites häufig zunächst Abmahnungen durch Mitbewerber oder Verbände ausgesprochen.

Verwandte Einträge

• DSGVO für Medienschaffende
• DSGVO in der Fotografie und Videografie
• Impressumspflicht für Websites & Social Media
• Telemediengesetz & Digitale-Dienste-Gesetz
• Abmahnung im Medienrecht

Weiterführend

• Roßnagel, A. (Hrsg.): Das neue Datenschutzrecht. Europäische Datenschutz-Grundverordnung und deutsche Datenschutzgesetze, 2. Aufl., 2019
• Schwartmann, R. / Weiß, S.: Praxisleitfaden zur DSGVO, 2018
• Gesellschaft für Datenschutz und Datensicherheit (GDD): Praxishilfen DSGVO, 2023
• LG München I, Urteil vom 20.01.2022, Az. 3 O 17493/20 (Google Fonts)
• Datenschutzkonferenz (DSK): Orientierungshilfe für Anbieter von Telemedien, 2021

Haftungsausschluss: Dieser Artikel dient ausschließlich der allgemeinen Information und stellt keine Rechtsberatung dar. Für konkrete rechtliche Fragen wenden Sie sich bitte an eine qualifizierte Rechtsanwältin oder einen qualifizierten Rechtsanwalt.