Was bedeutet die DSGVO konkret für meine Unternehmens-Website?
Die DSGVO verlangt von jeder Website, die personenbezogene Daten verarbeitet – und das tun praktisch alle –, klare Transparenz und eine Rechtsgrundlage für jede Verarbeitung. Konkret heißt das: vollständige Datenschutzerklärung, rechtssicheres Cookie-Banner, verschlüsselte Datenübertragung und dokumentierte Einwilligungen. ProXWorks® setzt diese Anforderungen strukturiert um, ohne dass die Website dadurch unbrauchbar wird.
Was die DSGVO für Website-Betreiber bedeutet
Seit Mai 2018 regelt die Datenschutz-Grundverordnung, wie Unternehmen personenbezogene Daten in Europa verarbeiten dürfen. Websites sind fast immer betroffen – sobald ein Besucher eine Seite aufruft, werden Daten wie IP-Adresse, Browser-Informationen und oft auch Verhaltensdaten verarbeitet. Diese Verarbeitung muss rechtskonform ablaufen, dokumentiert sein und an bestimmten Stellen eine aktive Einwilligung einholen.
Was als "personenbezogene Daten" gilt
Der Begriff ist bewusst weit gefasst. Jede Information, die sich direkt oder indirekt einer Person zuordnen lässt, ist geschützt. Dazu zählen nicht nur Name, E-Mail und Adresse, sondern auch IP-Adressen, Cookie-IDs, Geräteinformationen, Standortdaten und sogar das Klick- und Scroll-Verhalten. Für eine durchschnittliche Unternehmens-Website bedeutet das: Praktisch jeder Besuch löst eine Verarbeitung personenbezogener Daten aus.
Die vier Kernpflichten im Überblick
| Bereich | Kernpflicht |
|---|---|
| Information | Vollständige Datenschutzerklärung mit allen Verarbeitungen und Rechtsgrundlagen |
| Einwilligung | Aktive Zustimmung vor nicht-notwendigen Cookies und externen Diensten |
| Sicherheit | Technische Maßnahmen wie HTTPS, aktuelle Updates, geschützte Administration |
| Rechenschaft | Dokumentation aller Verarbeitungstätigkeiten und der getroffenen Maßnahmen |
1. Informationspflicht: die Datenschutzerklärung
Jede Website braucht eine vollständige, gut auffindbare Datenschutzerklärung. Sie muss in verständlicher Sprache erklären, welche Daten wofür verarbeitet werden, auf welcher Rechtsgrundlage das geschieht und welche Rechte Besucher haben. Generator-Texte sind eine Grundlage, reichen aber nicht aus – sie kennen Ihre individuellen Tools, Schnittstellen und Drittanbieter nicht. Wie eine individuelle Datenschutzerklärung konkret aufgebaut sein muss, beschreiben wir gesondert.
2. Einwilligungspflicht: Cookie-Banner und Consent
Sobald Ihre Website Cookies oder Dienste einsetzt, die nicht für den Betrieb zwingend nötig sind – etwa Google Analytics, Marketing-Pixel, YouTube-Videos, externe Schriftarten –, muss der Besucher aktiv zustimmen, bevor diese geladen werden. Ein passives Banner mit "durch Weitersurfen stimmen Sie zu" ist seit Jahren nicht mehr rechtmäßig. Für die konkrete Umsetzung haben wir die Details im Beitrag zum rechtssicheren Cookie-Banner ohne Besucherverlust zusammengestellt.
3. Datensicherheit: die technischen Grundlagen
Zu den technischen Maßnahmen gehören eine verschlüsselte Datenübertragung per HTTPS, regelmäßige Sicherheitsupdates des CMS und seiner Erweiterungen, ein abgesicherter Administrationsbereich und geprüfte Formulare. Ohne HTTPS ist Ihre Website nach heutigem Stand bereits DSGVO-widrig – unabhängig vom restlichen Inhalt. Die technischen Hintergründe dazu beschreibt unser FAQ zum SSL-Zertifikat als Grundlage für Website-Sicherheit.
4. Rechenschaftspflicht: Dokumentation
Unternehmen müssen nachweisen können, dass sie die DSGVO einhalten. Dazu gehört das Verzeichnis der Verarbeitungstätigkeiten, in dem aufgeführt ist, welche Daten zu welchem Zweck verarbeitet werden. Bei Datenschutzverletzungen besteht eine Meldepflicht binnen 72 Stunden. Das klingt bürokratisch, ist aber für kleinere Unternehmen mit einer pragmatisch geführten Übersicht lösbar.
Typische Risiken, die KMU übersehen
Die meisten Datenschutz-Risiken auf Mittelstands-Websites entstehen nicht aus böser Absicht, sondern aus Unkenntnis. Die folgenden Punkte sind die häufigsten Ursachen für Abmahnungen:
- Extern geladene Google Fonts – seit dem Landgerichts-Urteil München 2022 abmahnfähig
- Kontaktformulare ohne klaren Hinweis auf die Datenverarbeitung
- Newsletter-Anmeldungen ohne Double-Opt-In-Verfahren
- Eingebettete YouTube-Videos ohne vorherige Einwilligung
- Bewerbungsformulare ohne ausreichende Löschroutinen
- Analyse-Tools wie Google Analytics ohne funktionierendes Consent-Management
So strukturieren Sie die Umsetzung
Die DSGVO ist organisatorisch aufwendig, aber handwerklich lösbar. ProXWorks® arbeitet mit einem vierstufigen Vorgehen, das den Aufwand überschaubar hält:
- Bestandsaufnahme – Welche Daten werden auf Ihrer Website verarbeitet, welche externen Dienste laufen mit, wo fließen personenbezogene Daten hin?
- Rechtliche Einordnung – Wofür haben Sie eine klare Rechtsgrundlage (Vertrag, berechtigtes Interesse), wofür brauchen Sie aktive Einwilligung?
- Technische Umsetzung – HTTPS-Zertifikat, Consent-System, Sicherheitsaktualisierungen, interne Zugriffsschutzrechte
- Dokumentation – Verzeichnis der Verarbeitungen, Datenschutzerklärung, Impressum, interne Prozesse
Gerade der erste Schritt überrascht die meisten Unternehmer: Die Liste der tatsächlich eingesetzten externen Dienste ist oft doppelt so lang wie gedacht. Jede Schriftart von Google, jeder eingebundene Kartendienst, jeder Marketing-Tag zählt mit – und muss entweder abgelöst oder sauber eingeholt werden.
Wann professionelle Unterstützung sinnvoll ist
Die DSGVO lässt sich mit Bordmitteln umsetzen, solange die Website überschaubar ist und keine externen Marketing-Tools im Einsatz sind. Sobald Tracking, Retargeting, Video-Einbindungen oder komplexe Formulare ins Spiel kommen, steigt der Aufwand deutlich. ProXWorks® übernimmt für mittelständische Unternehmen die komplette technische und organisatorische Umsetzung – inklusive Bestandsaufnahme, Konfiguration, Dokumentation und laufender Pflege bei neuen Tools.