Welche Gesetze regeln Datenschutz auf Websites in Deutschland?

Maßgeblich sind die DSGVO als EU-Verordnung, das BDSG als nationale Ergänzung, das TTDSG für Cookies und Tracking sowie das seit Mai 2024 geltende Digitale-Dienste-Gesetz. Hinzu kommen Branchen-Sondergesetze, etwa im Gesundheits- oder Finanzsektor, sowie wettbewerbsrechtliche Regelungen aus dem UWG.

Reicht ein Cookie-Banner-Plugin für DSGVO-Compliance?

Nein, ein Plugin allein genügt nicht. Entscheidend ist die korrekte technische Verdrahtung: Skripte dürfen erst nach aktiver Einwilligung laden, die Ablehnung muss gleichwertig möglich sein, und Entscheidungen müssen dokumentiert werden. Maßstab ist § 25 TTDSG plus die Orientierungshilfe Telemedien der DSK. Ein falsch konfiguriertes Plugin lädt Tracking-Pixel trotz Banner.

Wie hoch sind die Bußgelder bei DSGVO-Verstößen?

Nach Art. 83 Abs. 5 DSGVO sind Bußgelder bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes des Vorjahres möglich, je nachdem, welcher Betrag höher ist. Der Enforcement Tracker von CMS dokumentiert mehrere tausend Verfahren in Europa. Mittelständische Unternehmen treffen meist Bußgelder im vier- bis sechsstelligen Bereich.

Wie oft sollte eine Website rechtlich geprüft werden?

Empfehlenswert ist ein gestuftes Vorgehen: monatliche Sicherheits- und Software-Updates, quartalsweise Compliance-Checks (Cookies, AVV, Datenschutzerklärung, Impressum) und ein jährlicher umfassender Audit inklusive Penetration-Test und Review der TOM nach Art. 32 DSGVO. Bei größeren Änderungen, etwa neuen Tools oder Relaunches, muss zusätzlich anlassbezogen geprüft werden.

Brauche ich eine Agentur oder reicht ein juristischer Generator?

Generatoren liefern brauchbare Textbausteine, ersetzen aber keine technische Umsetzung. Eine Datenschutzerklärung muss zur tatsächlichen Verarbeitung passen, das Cookie-Banner muss technisch korrekt verdrahtet sein, und TOM müssen geprüft werden. Für ein paar Unterseiten reicht oft ein Generator plus DSB. Für geschäftlich relevante Auftritte ist eine spezialisierte Website-Agentur die nüchterne Wahl.

Rechtssichere Website: Der praktische Leitfaden | Rechtssichere Website: Leitfaden & Checkliste

Das Wichtigste in Kürze

Rechtssicherheit ist ein System, kein Häkchen: Datenschutz, Pflichtangaben, technische Schutzmaßnahmen und laufende Wartung müssen zusammenspielen. Eine isolierte Datenschutzerklärung allein schützt nicht.
Cookie-Banner brauchen aktive Einwilligung: Schon der EuGH "Planet49" und § 25 TTDSG verlangen eine echte Opt-in-Entscheidung, bevor Tracking-Skripte laden.
Cyberrisiken sind real: Laut Bitkom Wirtschaftsschutz 2024 waren 81 % der deutschen Unternehmen in den letzten zwölf Monaten betroffen. Schaden: 266,6 Mrd. Euro.
Bußgelder treffen auch den Mittelstand: Nach Art. 83 DSGVO sind bis zu 20 Mio. Euro oder 4 % des weltweiten Jahresumsatzes möglich.

Eine rechtssichere Website ist keine einmalige Konfiguration, sondern ein laufender Zustand. Sie ist erreicht, wenn Datenschutz, Pflichtangaben, technische Sicherheit und Wartung sauber ineinandergreifen. Wie ernst die Lage ist, zeigt der Bitkom-Wirtschaftsschutz 2024: 81 % der deutschen Unternehmen waren binnen zwölf Monaten von Datendiebstahl, Spionage oder Sabotage betroffen. Dieser Leitfaden zeigt, was wirklich zählt: die rechtlichen Grundlagen, die typischen Stolpersteine beim Cookie-Banner, die technischen Pflichten aus Art. 32 DSGVO und die laufenden Aufgaben einer guten Website-Agentur.

Was macht eine Website rechtssicher?

Rechtssicher ist eine Website dann, wenn alle relevanten Vorgaben gleichzeitig erfüllt sind: DSGVO, TTDSG, das neue Digitale-Dienste-Gesetz (DDG) sowie wettbewerbsrechtliche Pflichten. Die DSGVO Art. 5 verankert sechs Grundsätze, von Rechtmäßigkeit über Zweckbindung bis Datenminimierung. Wer auch nur einen Baustein auslässt, hat ein Problem.

Viele Internetauftritte erfüllen einzelne Punkte mustergültig und scheitern am Rest. Eine perfekt formulierte Datenschutzerklärung schützt nicht, wenn ein Tracking-Skript schon beim Seitenaufruf Daten an einen US-Server überträgt. Ein vollbildiges Cookie-Banner nützt nichts, wenn die Ablehnung technisch ignoriert wird. Compliance ist kein Häkchen, sondern ein Zustand, der überprüft werden kann.

Pflichtangaben als Fundament

Hinzu kommen formale Pflichten. § 5 des Digitale-Dienste-Gesetzes (DDG), das seit Mai 2024 § 5 TMG abgelöst hat, verlangt ein vollständiges Impressum für jeden geschäftsmäßigen Online-Auftritt. Daneben braucht jede Website eine Datenschutzerklärung nach Art. 13 DSGVO. Beides muss auffindbar, aktuell und korrekt sein.

In B2B-Projekten bei Evelan sehe ich immer wieder dasselbe Muster: Zwei Pflichten sitzen sauber, drei kippen. Das Impressum stimmt, die Datenschutzerklärung ist generisch. Oder die Texte sind perfekt, aber die Server-Konfiguration verliert beim Pen-Test in zwanzig Minuten. Rechtssicherheit ist daher kein juristisches Thema allein. Sie ist eine Querschnittsdisziplin zwischen Recht, Technik und Prozess.

Dazu zählen unter anderem:

DSGVO-konformer Umgang mit personenbezogenen Daten
rechtssicheres Cookie Consent Management
technisch abgesicherte Server- und Website-Strukturen
transparente Nutzerinformationen
laufende Kontrolle und Wartung

Welche Datenschutz-Pflichten gelten für jede Website?

Sobald eine Web-Präsenz personenbezogene Daten verarbeitet, greift die DSGVO, und das geschieht praktisch immer. Schon eine IP-Adresse im Server-Log ist ein personenbezogenes Datum. Art. 13 DSGVO listet 13 Pflichtangaben, die jede Datenschutzerklärung enthalten muss, vom Verantwortlichen über die Rechtsgrundlage bis zu den Betroffenenrechten.

Rechtsgrundlage und Einwilligung

Die wichtigste Frage lautet immer: Auf welcher Rechtsgrundlage werden Daten verarbeitet? Art. 6 Abs. 1 DSGVO nennt sechs Optionen, in der Praxis sind drei dominant. Einwilligung (lit. a), Vertrag (lit. b) und berechtigtes Interesse (lit. f). Für Kontaktformulare reicht oft das berechtigte Interesse plus Information. Für Tracking-Cookies, Newsletter und Webfonts von Dritten braucht es eine aktive Einwilligung, sonst ist die Verarbeitung schlicht rechtswidrig.

Auftragsverarbeitung und Bußgelder

Auch die Auftragsverarbeitung wird gerne übersehen. Wer Tools wie Mailchimp, HubSpot oder einen externen Hoster einsetzt, schließt einen Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO ab. Ohne AVV fehlt die Grundlage. Die Tätigkeitsberichte der BfDI zeigen Jahr für Jahr, dass fehlende oder veraltete AVVs zu den häufigsten Beanstandungen gehören.

Der Bußgeldrahmen ist hart. Art. 83 Abs. 5 DSGVO erlaubt Geldbußen bis 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres, je nachdem, was höher ist. Der Enforcement Tracker von CMS Hasche Sigle sammelt öffentlich bekannte Verfahren in Europa und zählt mittlerweile mehrere tausend Fälle. Mittelständler liegen meist im vier- bis sechsstelligen Bereich. Es trifft also nicht nur Konzerne.

Ein häufig übersehenes Risiko ist der internationale Datentransfer. Sobald eine Website Google Analytics, Google Fonts via CDN, YouTube-Embeds, Meta-Pixel, Calendly oder ein US-CRM einbindet, verlassen personenbezogene Daten potenziell die EU. Nach dem EuGH-Urteil C-311/18 Schrems II vom 16. Juli 2020 ist der Privacy Shield ungültig, der Nachfolger EU-US Data Privacy Framework gilt seit Juli 2023, ist aber juristisch nicht unumstritten. Praktisch heißt das: Standardvertragsklauseln, Transfer-Folgenabschätzung und im Zweifel Verzicht auf den Dienst. Wer hier nichts dokumentiert, fällt im ersten Aufsichtsverfahren durch.

Ihre aktuelle Website ist nicht mehr zeitgemäß?

Wir erstellen Ihnen eine moderne und sichere Website

Jetzt unverbindlich anfragen

Wann ist ein Cookie Banner DSGVO-konform?

Ein Cookie-Banner ist DSGVO-konform, wenn es eine echte, freie und informierte Einwilligung einholt, bevor irgendein nicht zwingend notwendiges Skript lädt. Maßstab ist § 25 TTDSG in Verbindung mit Art. 7 DSGVO. Das TTDSG § 25 verlangt seit Dezember 2021 eine aktive Einwilligung für jeden Zugriff auf Informationen im Endgerät des Nutzers. Voreingestellte Häkchen sind unwirksam.

Diese Linie ist höchstrichterlich bestätigt. Der EuGH hat in der Rechtssache Planet49 (C-673/17) am 1. Oktober 2019 entschieden, dass vorausgewählte Auswahlkästchen keine wirksame Einwilligung darstellen. Der BGH zog mit dem Urteil Cookie-Einwilligung II (I ZR 7/16) am 28. Mai 2020 nach. Wer 2026 noch mit Opt-out-Bannern arbeitet, ignoriert sieben Jahre Rechtsprechung.

Die Aufsichtsbehörden haben den Maßstab konkretisiert. Die Orientierungshilfe der Datenschutzkonferenz für Telemedien vom 20.12.2021 verlangt einen "Ablehnen"-Button auf der ersten Banner-Ebene, gleichwertig gestaltet wie der "Akzeptieren"-Button. Dark Patterns, etwa grüne Akzeptanz und graue Ablehnung, gelten als unzulässige Beeinflussung. Pre-Ticked Checkboxes in der Detailansicht sind unwirksam.

Typische Schwachpunkte in der Praxis

Konkret heißt das: kein Tracking-Pixel vor Klick. Keine Google-Fonts via CDN ohne Consent. Kein YouTube-Embed im "öffentlichen" Modus, wenn schon der Trailer eine Verbindung zu doubleclick.net aufbaut. In rund 60 Mittelstandsprojekten, die wir bei Evelan in den letzten Jahren auditiert haben, war fehlerhaftes Consent-Handling der mit Abstand häufigste Compliance-Bruch, häufiger als fehlerhafte Datenschutzerklärungen.

Sechs Kriterien einer belastbaren Consent-Lösung

Eine technisch belastbare Consent-Lösung erfüllt sechs Kriterien gleichzeitig. Erstens lädt sie selbst ohne Tracker. Zweitens bietet sie "Akzeptieren", "Ablehnen" und "Einstellungen" auf gleicher Hierarchie an. Drittens differenziert sie nach Kategorien wie technisch notwendig, Statistik, Marketing und externe Inhalte. Viertens dokumentiert sie jede Entscheidung mit Zeitstempel und Banner-Version. Fünftens lädt sie Skripte serverseitig erst nach Einwilligung nach. Sechstens lässt sie sich jederzeit über einen sichtbaren "Cookie-Einstellungen"-Link widerrufen. Wer diese sechs Punkte abhaken kann, ist im Cookie-Thema vorne dabei.

Welche technischen Schutzmaßnahmen schreibt die DSGVO vor?

Die DSGVO verpflichtet jeden Verantwortlichen zu "geeigneten technischen und organisatorischen Maßnahmen", den sogenannten TOM. Art. 32 DSGVO nennt vier konkrete Schutzziele: Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme. Verschlüsselung und Pseudonymisierung werden ausdrücklich aufgeführt. Bei einem Verstoß droht nicht nur ein Bußgeld, sondern auch eine Meldepflicht nach Art. 33 DSGVO.

Die Bedrohungslage ist objektiv hoch. Laut Bitkom-Studie Wirtschaftsschutz 2024 waren 81 % der deutschen Unternehmen in den vergangenen zwölf Monaten von Datendiebstahl, Spionage oder Sabotage betroffen. Der Schaden für die deutsche Wirtschaft summiert sich laut Bitkom auf 266,6 Milliarden Euro. Der BSI-Lagebericht zur IT-Sicherheit bewertet die Gesamtsituation seit 2022 durchgängig als "so hoch wie nie zuvor". Ransomware bleibt das dominante Angriffsmuster.

Minimalstandard für Websites

Was heißt das praktisch für eine Website? Ein Minimalstandard umfasst sechs Bausteine. Erstens: TLS 1.3 mit gültigem Zertifikat und HSTS-Header. Zweitens: aktuelle Software-Stände, also CMS, Plugins, Bibliotheken, Server-OS, ohne nennenswerten Patch-Rückstand. Drittens: rollenbasierte Zugriffe mit starken Passwörtern und Zwei-Faktor-Authentifizierung im Backend. Viertens: ein Backup-Konzept, das mindestens täglich greift und regelmäßig getestet wird. Fünftens: Logging, das Angriffsversuche erkennbar macht. Sechstens: eine Web Application Firewall oder ein vergleichbarer Schutz vor automatisierten Attacken.

Wer Orientierung sucht, findet sie kostenfrei bei der Allianz für Cyber-Sicherheit des BSI. Dort liegen Mindeststandards für Web-Anwendungen, Checklisten zu sicheren Konfigurationen und Empfehlungen zum Patch-Management. Diese Quellen sind frei verfügbar und ersetzen kein Audit, aber sie liefern eine belastbare Diskussionsgrundlage zwischen Geschäftsführung, IT und Datenschutzbeauftragten.

Datenschutz-Folgenabschätzung

Erwähnenswert ist auch die Pflicht zur Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 DSGVO. Sie greift bei Verarbeitungen mit voraussichtlich hohem Risiko für Betroffene, etwa bei umfangreichem Tracking, Profiling oder sensiblen Branchendaten. Viele Mittelständler unterschätzen, dass eine Website mit personalisierter Werbung, Lead-Scoring und CRM-Anbindung diese Schwelle schnell erreicht. Eine DSFA ist nicht trivial, aber sie schützt vor Bußgeldern und liefert nebenbei eine vollständige Inventur der eingesetzten Tools. Wer sie einmal sauber durchgeführt hat, hat 80 % der späteren Compliance-Arbeit bereits erledigt.

Wann lohnt sich eine Website-Agentur?

Eine professionelle Agentur lohnt sich überall dort, wo Recht, Technik und Wartung dauerhaft zusammenspielen müssen, also bei praktisch jedem geschäftlichen Internetauftritt. Die Anforderungen aus DSGVO, TTDSG, DDG und der Rechtsprechung sind nicht statisch. Wer sie isoliert betrachtet, übersieht die Wechselwirkungen. Aus rund 60 Mittelstandsprojekten bei Evelan sehe ich: Compliance-Lücken entstehen fast nie aus bösem Willen, sondern aus Zuständigkeitsdiffusion.

Typische Anlässe, an denen Agenturarbeit messbaren Mehrwert bringt, sind Relaunches, neue Tracking- oder Marketing-Tools, Integrationen mit Drittsystemen, internationale Skalierung und jeder Audit oder Auftragsverarbeitungsvertrag, der frisch geprüft wird. Auch bei Behördenanfragen oder Beschwerden ist es hilfreich, einen technischen Partner zu haben, der die Verarbeitungsverzeichnisse aus dem Code rekonstruieren kann. Niemand will im Krisenfall erst recherchieren, was die Website eigentlich an wen sendet.

Laufende Pflege als Erfolgsfaktor

Die laufende Pflege ist der Teil, der intern am häufigsten unterschätzt wird. Sicherheitsupdates erscheinen wöchentlich, Browser ändern Cookie-Richtlinien, der EDSA veröffentlicht neue Leitlinien, das ePrivacy-Dossier bewegt sich. Eine spezialisierte Agentur monitort diese Ströme, übersetzt sie in konkrete Tickets und priorisiert. Ohne diese kontinuierliche Verzahnung verliert auch der beste Internetauftritt nach 12 bis 24 Monaten an Rechtssicherheit.

Wirtschaftlichkeit gegenüber dem Risiko

Wirtschaftlich rechnet sich das schnell. Ein einzelner DSGVO-Vorfall, der zu einem Bußgeld nach Art. 83 DSGVO oder einer Abmahnung führt, kostet im Mittelstand häufig deutlich mehr als drei Jahre Wartungsvertrag. Hinzu kommt der Reputationsschaden, der schwerer wiegt als das Bußgeld selbst. Bei sensiblen Branchen, Gesundheit, Finanzen, Steuerberatung, kann ein einziger Vorfall die Kundenbindung dauerhaft beschädigen.

Eine gute Agentur agiert deshalb als langfristiger Partner, nicht als Projektdienstleister. Sie übernimmt die laufende Website-Pflege, aktualisiert rechtliche Texte bei neuer Rechtsprechung und führt vierteljährliche Sicherheits-Reviews durch. Das ist nüchterne Industriearbeit, kein Glanzthema. Es entscheidet aber, ob Compliance nach 18 Monaten noch steht oder still erodiert.

Wie bleibt eine Website dauerhaft rechtssicher?

Eine Website bleibt dauerhaft rechtssicher, wenn sie als Prozess geführt wird, nicht als fertiges Projekt. Konkret heißt das: ein Wartungsplan mit fixen Intervallen, dokumentierte Verantwortlichkeiten und ein Monitoring von Rechtsprechung und Behörden-Leitlinien. Schon das Aussetzen eines einzigen Quartals reicht aus, um Lücken zu öffnen, wenn parallel neue Tools eingebunden oder Marketing-Skripte aktiviert werden.

Dreistufiger Wartungsrhythmus

In der Praxis bewährt sich ein dreistufiger Rhythmus. Monatlich laufen automatisierte Sicherheits- und Verfügbarkeits-Checks plus Updates für CMS, Plugins und Bibliotheken. Quartalsweise wird eine vollständige Compliance-Prüfung durchgeführt: Cookie-Verhalten, AVV-Bestand, Datenschutzerklärung gegen aktuelle Rechtslage, Impressum, Pen-Test-Light. Jährlich folgt ein größerer Audit-Block mit externem Penetration-Test, Review der TOM nach Art. 32 DSGVO und Aktualisierung des Verarbeitungsverzeichnisses.

Frühwarnsystem für Rechtsänderungen

Genauso wichtig: das Frühwarnsystem für Rechtsänderungen. Wer 2024 die Umstellung von TMG auf DDG verschlafen hat, hat ein veraltetes Impressum. Wer das nächste EuGH-Urteil zu internationalen Datentransfers ignoriert, riskiert die nächste Schrems-Welle. Eine spezialisierte Website-Agentur, ein externer Datenschutzbeauftragter oder ein Branchen-Newsletter wie der der BfDI sind hier kein Luxus, sondern Pflicht der Sorgfalt.

Praktisch belastbare Quellen für dieses Monitoring sind die Pressemitteilungen der Landesdatenschutzbehörden, die Leitlinien des Europäischen Datenschutzausschusses (EDSA), das Verbraucherrecht-Forum der Wettbewerbszentrale sowie spezialisierte Fachmedien wie Legal Tribune Online oder heise online. Wer ein einziges Quartal verpasst, übersieht in der Regel zwei bis drei für Websites relevante Entscheidungen. Empfehlenswert ist eine kleine Routine: ein fester Termin pro Monat, eine Stunde, Zusammenfassung in einem internen Wiki. Das genügt, um nicht überrascht zu werden, und ersetzt jede teure Notfall-Beratung im Nachhinein.

Klare Verantwortlichkeiten

Verantwortlichkeiten gehören schriftlich fixiert. Wer ist Verantwortlicher im Sinn der DSGVO, wer ist Datenschutzbeauftragter, wer ist technischer Ansprechpartner für die Agentur, wer entscheidet bei Behördenanfragen? In vielen Mittelstandsprojekten finden wir diese Rollen mündlich vereinbart. Das funktioniert genau so lange, bis der Geschäftsführer wechselt oder die externe IT den Vertrag kündigt. Eine Seite Dokumentation in der Verfahrensübersicht schützt mehr als jede teure Software-Lizenz.

Aus dem Evelan-Alltag

Ein Mandant aus dem Bereich digitale Steuerberatung in Norddeutschland kam mit klassischen Wachstumsschmerzen zu uns. Die Plattform verarbeitete hochsensible Mandantendaten, gleichzeitig waren externe Tools für Termin-Booking, Newsletter und Schnittstellen zu DATEV unkontrolliert eingebunden. Das Cookie-Setup war ein altes Banner ohne echte Ablehnen-Option, die Datenschutzerklärung war seit zwei Jahren nicht überarbeitet.

Wir haben das Consent-Layer mit granularen Kategorien neu aufgebaut, alle Drittanbieter-Skripte hinter Consent verlagert, die Datenschutzerklärung gemeinsam mit dem Datenschutzbeauftragten der Kanzlei überarbeitet und ein monatliches Sicherheits-Audit eingerichtet. Ergebnis nach zwölf Monaten: null datenschutzbezogene Beschwerden, klare Audit-Trails für interne Prüfungen, Mandantenanfragen plus 24 Prozent. Kein Relaunch nötig, nur eine saubere Compliance-Architektur auf bestehender technischer Basis.

Wir bauen Websites, die Kunden überzeugen,

rechtlich abgesichert sind und langfristig funktionieren.

Vereinbaren Sie jetzt ein kostenloses Erstgespräch

Häufig gestellte Fragen

Eine rechtssichere Website erfüllt gleichzeitig die Vorgaben der DSGVO, des TTDSG, des DDG (vormals TMG) sowie wettbewerbsrechtliche Pflichten. Sie verfügt über ein vollständiges Impressum, eine aktuelle Datenschutzerklärung nach Art. 13 DSGVO, ein wirksames Consent-Management vor jedem Tracking sowie technische Schutzmaßnahmen nach Art. 32 DSGVO.

Rechtssichere Website: Der praktische Leitfaden

Inhaltsverzeichnis