DSGVO-Checkliste für Websites

Jede Website, die personenbezogene Daten verarbeitet, braucht eine Datenschutzerklärung (Art. 13 DSGVO). Das gilt auch für eine einfache Firmenwebsite mit Kontaktformular, denn schon die IP-Adresse eines Besuchers ist ein personenbezogenes Datum.

Was darin stehen muss:

• Name und Kontaktdaten des Verantwortlichen (Firma, Adresse, E-Mail)
• Datenschutzbeauftragter, falls einer bestellt ist (Kontaktdaten)
• Welche Daten verarbeitet werden (IP-Adresse, Formulardaten, Cookies, Tracking)
• Zweck und Rechtsgrundlage jeder Verarbeitung (z.B. Art. 6 Abs. 1 lit. a für Einwilligung, lit. b für Vertragserfüllung, lit. f für berechtigtes Interesse)
• Empfänger der Daten (Hosting-Anbieter, Zahlungsdienstleister, Analyse-Tools)
• Speicherdauer oder Kriterien für die Festlegung
• Betroffenenrechte (Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch)
• Beschwerderecht bei der Datenschutzbehörde
• Drittlandtransfers (wenn Daten außerhalb der EU verarbeitet werden, z.B. bei US-Diensten)

Wo sie stehen muss: Von jeder Seite aus erreichbar, in der Regel als Link im Footer. Übliche Bezeichnung: „Datenschutz" oder „Datenschutzerklärung".

Häufiger Fehler: Viele Datenschutzerklärungen sind mit Generatoren erstellt und nicht an die tatsächliche Website angepasst. Sie listen Dienste auf, die gar nicht verwendet werden, oder verschweigen solche, die eingebunden sind. Prüfen Sie, ob Ihre Erklärung den tatsächlichen Stand Ihrer Website widerspiegelt.

Cookies und vergleichbare Technologien (Local Storage, Fingerprinting) unterliegen in Österreich dem § 165 TKG 2021 und der DSGVO.

Die Grundregel:

• Technisch notwendige Cookies (Session, Warenkorb, Login) dürfen ohne Einwilligung gesetzt werden.
• Alle anderen Cookies (Tracking, Marketing, Analyse, Social Media) erfordern eine aktive Einwilligung vor dem Setzen.

Was ein korrekter Cookie-Banner können muss:

• Cookies werden erst nach Einwilligung gesetzt, nicht vorher
• Gleichwertige Buttons für „Akzeptieren" und „Ablehnen" (kein farblich hervorgehobener Akzeptieren-Button, der die Zustimmung manipuliert)
• Möglichkeit, einzelne Cookie-Kategorien auszuwählen
• Widerrufsmöglichkeit (z.B. über einen „Cookie-Einstellungen"-Link im Footer)
• Dokumentation der Einwilligung (wer hat wann was akzeptiert)

Wann Sie keinen Cookie-Banner brauchen: Wenn Ihre Website ausschließlich technisch notwendige Cookies verwendet und kein Tracking einsetzt. Ein Analyse-Tool wie Matomo im Cookieless-Modus mit IP-Anonymisierung kann ohne Banner betrieben werden.

Mehr zur Rechtslage bei Cookies: Rechtslage für Websites in Österreich, Abschnitt TKG 2021

Jedes Kontaktformular verarbeitet personenbezogene Daten (Name, E-Mail, Nachricht). Das erfordert:

• Hinweis auf die Datenverarbeitung beim Formular, nicht nur in der Datenschutzerklärung. Ein kurzer Satz reicht: „Ihre Daten werden zur Bearbeitung Ihrer Anfrage verarbeitet. Details in unserer Datenschutzerklärung."
• Keine unnötigen Pflichtfelder. Fragen Sie nur ab, was Sie wirklich brauchen. Telefonnummer, Firmenname oder Adresse sind bei einer einfachen Kontaktanfrage selten notwendig.
• Verschlüsselte Übertragung über HTTPS.
• Löschkonzept. Kontaktanfragen müssen nach Erledigung innerhalb einer angemessenen Frist gelöscht werden, sofern keine Aufbewahrungspflichten bestehen.

Häufiger Fehler: Newsletter-Checkbox, die bereits vorausgewählt ist. Einwilligungen müssen aktiv erfolgen (Opt-in). Vorausgewählte Checkboxen sind unzulässig.

Viele Websites laden Ressourcen von externen Servern. Jeder dieser Aufrufe überträgt die IP-Adresse des Besuchers an den Drittanbieter. Bei US-amerikanischen Diensten bedeutet das einen Drittlandtransfer, der besondere Anforderungen an die Rechtsgrundlage stellt.

Die häufigsten Drittanbieter-Einbindungen:

Faustregel: Prüfen Sie mit den Entwicklertools Ihres Browsers (F12, Tab „Netzwerk"), welche externen Server beim Laden Ihrer Website kontaktiert werden. Jede externe Verbindung muss in der Datenschutzerklärung dokumentiert und rechtlich abgesichert sein.

HTTPS ist seit Jahren Standard und wird von der DSGVO indirekt gefordert (Art. 32: „Sicherheit der Verarbeitung"). Ohne HTTPS werden Formulardaten unverschlüsselt übertragen.

Prüfen Sie:

• Ist ein gültiges SSL-Zertifikat installiert?
• Leitet die HTTP-Version automatisch auf HTTPS weiter?
• Werden alle Ressourcen (Bilder, Scripts, Fonts) über HTTPS geladen? Gemischte Inhalte (Mixed Content) erzeugen Browserwarnungen.
• Ist HSTS aktiviert? (Strict-Transport-Security Header, der den Browser anweist, nur HTTPS zu verwenden)

Diese Probleme sehen wir bei Website-Analysen regelmäßig:

Veraltete Datenschutzerklärung. Die Website verwendet längst andere Tools als in der Erklärung beschrieben. Google Analytics wurde durch Matomo ersetzt, steht aber noch in der DSE. Oder umgekehrt: Ein Chatbot wurde eingebaut, taucht in der DSE aber nicht auf.

Google Fonts extern geladen. Seit dem Urteil des LG München I (Januar 2022) ein bekanntes Risiko. Wird immer noch auf zahlreichen Websites gefunden. Die Lösung ist einfach: Schriften herunterladen und vom eigenen Server laden. Mehr dazu im Artikel Google Fonts und DSGVO.

Cookie-Banner ohne Funktion. Der Banner wird angezeigt, aber Tracking-Cookies werden trotz Ablehnung gesetzt. Testen Sie das, indem Sie „Ablehnen" klicken und danach die gesetzten Cookies im Browser kontrollieren.

Kein Impressum oder Impressum nur als Bild. Das Impressum muss als Text vorhanden sein (ECG § 5). Ein Bild oder PDF ist nicht ausreichend, weil es von Screenreadern nicht erfasst wird und auf Mobilgeräten schlecht lesbar ist.

Kontaktformular ohne SSL. Selten geworden, aber auf älteren Websites noch anzutreffen. Formulardaten werden im Klartext übertragen. Seit HTTPS kostenlos verfügbar ist (Let's Encrypt), gibt es keine Ausrede mehr.