Website Security

Was verlangt die DSGVO von Websites? Pflichten, Risiken, Praxis

Andreas Straub • 05. Feb. 2026

10 Min. Lesezeit

Was muss der Datenschutz einer Website erfüllen, um DSGVO-konform zu sein? Dieser Artikel erklärt, welche Anforderungen die Datenschutz Grundverordnung stellt und warum ein DSGVO Webseiten Check heute unverzichtbar ist.
Person mit Tablet zeigt DSGVO-Symbol auf einer Website und prüft die Datenschutzkonformität

Inhaltsverzeichnis

Das Wichtigste in Kürze

  • DSGVO greift fast immer: Sobald eine Website eine IP-Adresse, ein Kontaktformular, einen Newsletter oder ein eingebettetes Tracking-Skript verarbeitet, gilt die Verordnung in vollem Umfang.
  • Sechs Pflichten sind nicht verhandelbar: Transparenz, Einwilligung, Auskunfts- und Löschrechte, Datensicherheit, Auftragsverarbeitung und sauberer Drittlandtransfer bilden das Rückgrat jeder rechtssicheren Site.
  • Cookies brauchen aktive Einwilligung: Seit dem EuGH-Urteil Planet49 (1. Oktober 2019) sind vorausgewählte Häkchen keine Zustimmung. Skripte dürfen erst nach Opt-in laden.
  • Bußgelder sind ernst: Der Rahmen laut Art. 83 DSGVO reicht bis 20 Mio. EUR oder 4 % Konzernumsatz. Der GDPR Enforcement Tracker zählt bis März 2026 2.685 Fälle mit rund 6,11 Mrd. EUR Gesamtsumme.
  • Der Webseiten-Check ist Pflichtprogramm: Rechtstexte, Cookie-Logik, Drittanbieter, Verschlüsselung und Datenflüsse müssen als Einheit geprüft werden. Genau dort scheitern die meisten Sites in der Praxis.

Was verlangt die DSGVO konkret von Websites?

Die DSGVO verlangt von jeder Website, dass sie personenbezogene Daten nur mit klarer Rechtsgrundlage verarbeitet, jeden Verarbeitungsvorgang verständlich offenlegt und die Daten technisch absichert. Praktisch bedeutet das eine vollständige Datenschutzerklärung, ein aktives Cookie-Consent vor jedem Drittanbieter-Skript, dokumentierte Einwilligungen, abrufbare Nutzerrechte, eine TLS-verschlüsselte Übertragung und einen Auftragsverarbeitungsvertrag mit jedem externen Dienst.

Wer Websites professionell betreibt, sollte die Verordnung nicht als Hürde lesen, sondern als Pflichtenheft. Sie definiert sechs Säulen, an denen ein Audit jede Site misst. Stimmt eine Säule nicht, droht im besten Fall eine Abmahnung, im schlechtesten ein Bußgeld nach Art. 83 DSGVO von bis zu 20 Mio. EUR oder 4 % des weltweiten Konzernumsatzes. In Deutschland sind die Behörden aktiv: Allein der Hamburgische Datenschutzbeauftragte verzeichnete 2024 über 2.600 Beschwerden und 955 gemeldete Datenpannen. Wer im KMU-Segment unterwegs ist und glaubt, ihn betreffe das nicht, übersieht, dass jede vierte Beschwerde in Hamburg laut Bericht direkt auf Website-Themen entfiel.

Mann hält Tablet mit digitalem Schloss und Netzwerksymbolen in dunkler Umgebung

Welche Daten sind „personenbezogen" und wann greift die DSGVO?

Klassische Identifier auf einer Website

Personenbezogen ist jede Information, die eine natürliche Person identifizierbar macht: Name, E-Mail, Telefonnummer, IP-Adresse, Cookie-IDs, Standortdaten, Klickverhalten in Analytics-Tools. Die DSGVO greift, sobald auch nur eines davon erhoben wird. Eine reine Visitenkartenseite ohne Formular, ohne Tracking, ohne externe Schriften wäre theoretisch außerhalb des Anwendungsbereichs, ist in der Praxis aber kaum noch zu finden.

Besonders sensibel sind die in Art. 9 DSGVO genannten „besonderen Kategorien personenbezogener Daten": Gesundheitsdaten, religiöse oder politische Überzeugung, sexuelle Orientierung, biometrische Daten. Sobald eine Website solche Informationen erhebt, etwa über ein Bewerbungsformular mit Schwerbehinderten-Angabe, eine medizinische Anamnese oder ein Anmeldeformular im Sport- oder Pflegebereich, gelten verschärfte Anforderungen, inklusive ausdrücklicher und gesonderter Einwilligung.

Versteckte Drittland-Transfers durch Standard-Tools

Sobald eine Website Google Fonts vom Drittanbieter-CDN lädt, ein YouTube-Video einbettet, einen Newsletter über Mailchimp ausspielt oder einen Chatbot integriert, verarbeitet sie personenbezogene Daten in Drittländer. Spätestens hier greift die Pflicht, die Datenflüsse zu dokumentieren und abzusichern. Wer Drittland-Transfers in die USA einsetzt, muss seit dem EuGH-Urteil Schrems II vom 16. Juli 2020 zusätzlich prüfen, ob der konkrete Transfer ein gleichwertiges Schutzniveau bietet, und gegebenenfalls Standardvertragsklauseln plus Transfer Impact Assessment einsetzen.

Die häufigste Fehlannahme im Mittelstand lautet: „Wir verarbeiten gar keine US-Daten." Sobald aber eine eingebettete YouTube-Videovorschau, eine Google-Schriftart vom Google-CDN oder ein klassisches Mailchimp-Formular auf der Seite eingebunden ist, fließen IP-Adressen und Browser-Fingerprints schon vor der Einwilligung in die USA. Diese Datentransfers laufen unsichtbar, sind aber regulatorisch genauso behandelt wie ein bewusster Datenexport.

Welche sechs Pflichten erfüllt eine DSGVO-konforme Website?

Sechs Pflichtenfelder bilden das Rückgrat jeder rechtssicheren Site. Wenn auch nur eines davon offene Flanken zeigt, ist das Gesamtsystem nicht konform.

Transparenz und Datenschutzerklärung

Die Datenschutzerklärung muss von jeder Seite aus in zwei Klicks erreichbar sein, jeden eingesetzten Dienst beim Namen nennen, Speicherdauern angeben und alle Betroffenenrechte aufzählen. Generische Vorlagen, die nicht zu den real eingebundenen Tools passen, sind in den meisten Audits der häufigste Mangel. Sie wird zu einem juristischen Papiertiger, der mit der eigentlichen Datenverarbeitung nichts mehr zu tun hat. Eine gute Datenschutzerklärung liest sich wie eine Inventarliste der Datenflüsse, nicht wie ein Mustertext.

Rechtsgrundlage und Einwilligung

Jede Datenverarbeitung braucht eine der sechs Rechtsgrundlagen aus Art. 6 DSGVO. Bei Marketing-Cookies, Analytics, Tracking und Drittanbieter-Skripten ist es fast immer die ausdrückliche Einwilligung. Sie muss freiwillig, informiert und aktiv erteilt sein. Stillschweigen, vorausgewählte Häkchen und „Weiterscrollen heißt Zustimmen" gelten seit dem EuGH-Urteil Planet49 ausdrücklich nicht.

Auskunfts-, Löschungs- und Widerspruchsrechte

Nutzer können nach Art. 15–22 DSGVO ihre Daten einsehen, korrigieren, löschen und der Verarbeitung widersprechen. Eine erreichbare Kontaktstelle und ein dokumentierter Prozess sind Pflicht, nicht optional. In der Praxis reicht eine klare E-Mail-Adresse, hinter der ein tatsächlicher Workflow steht. Anfragen müssen innerhalb eines Monats beantwortet werden. Wer Anträge ignoriert oder hinhaltend behandelt, riskiert nach unserer Erfahrung eine Beschwerde bei der zuständigen Aufsichtsbehörde, die fast immer zu einer formellen Anhörung führt.

Datensicherheit nach Stand der Technik

Art. 32 DSGVO verlangt technische und organisatorische Maßnahmen nach Stand der Technik. Dazu gehören TLS-Verschlüsselung, regelmäßige Updates aller CMS- und Plugin-Komponenten, ein Patch-Management für Drittabhängigkeiten und ein dokumentiertes Backup-Verfahren. Wo Datensicherheit endet, beginnen die in unserem Beitrag zu den größten Sicherheitslücken auf Websites beschriebenen Angriffsflächen.

Auftragsverarbeitung mit jedem Dienstleister

Mit jedem externen Dienstleister, der personenbezogene Daten verarbeitet, also Hoster, Mail-Dienst, Analytics-Anbieter, Cloud-Speicher, braucht es einen Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO. Ohne AVV ist die Verarbeitung von Anfang an rechtswidrig. Die meisten seriösen Anbieter stellen AVVs als PDF zum Download bereit oder lassen sie über die Account-Einstellungen elektronisch abschließen. Wer welche Verträge im Haus hat, gehört in ein einfaches Verzeichnis, das im Zweifel innerhalb von Minuten gegenüber der Aufsichtsbehörde belegbar ist.

Drittlandtransfer korrekt absichern

Datenflüsse außerhalb des EWR sind nur zulässig, wenn ein Angemessenheitsbeschluss vorliegt (aktuell etwa der EU-US Data Privacy Framework seit 2023) oder Standardvertragsklauseln plus Transferprüfung greifen. US-Tools ohne saubere Rechtsgrundlage sind eine der häufigsten Ursachen für Bußgelder gegen europäische Mittelständler. Wer einen klassischen US-Service ersetzen kann, etwa Newsletter-Tool, Analytics oder Form-Anbieter, gewinnt nicht nur Rechtssicherheit, sondern reduziert auch die laufende Dokumentationspflicht erheblich.

Wann brauchen Cookies eine aktive Einwilligung?

Sobald ein Cookie oder ein vergleichbares Tracking-Verfahren nicht technisch zwingend notwendig ist, braucht es eine aktive Einwilligung des Nutzers, bevor es ausgelöst wird. Der EuGH hat das im Urteil Planet49 (Rechtssache C-673/17, 1. Oktober 2019) eindeutig geklärt: Vorausgewählte Häkchen sind keine wirksame Einwilligung. Der Bundesgerichtshof hat das mit BGH I ZR 7/16 unmittelbar nachvollzogen, und in Deutschland setzt § 25 TDDDG (vormals TTDSG) den Standard auf nationaler Ebene um.

Vier Anforderungen an einen rechtssicheren Cookie-Banner

Konkret bedeutet das vier Anforderungen an den Cookie-Banner. Erstens: keine Cookies oder externen Skripte vor der Zustimmung, weder Google Analytics, noch Meta Pixel, noch eingebettete YouTube-Videos. Zweitens: gleichwertige „Ablehnen"- und „Akzeptieren"-Buttons auf der ersten Ebene, ohne Dark Patterns. Drittens: granulare Auswahl nach Kategorie. Viertens: eine jederzeit erreichbare Möglichkeit, die Einwilligung zu widerrufen. Wie diese Vorgaben praktisch umgesetzt werden, beschreibt unser Leitfaden zur Cookie-Banner-Pflicht ausführlich.

Aufsichtsbehörden lesen den Quellcode mittlerweile mit Tools, die Cookie-Banner automatisiert prüfen. Wer ein eingebettetes Skript vor der Einwilligung lädt, fällt sofort auf. Der typische KMU-Reflex „das macht doch jeder so" hilft im Verfahren nicht. Entscheidend ist allein, ob die Cookie-Logik die Zustimmung blockierend auswertet oder nur kosmetisch anzeigt.

Grafik zeigt GDPR-Konzept mit Schloss, Schlüssel, Schild und digitalen Symbolen.

Wie hoch sind die Bußgelder bei DSGVO-Verstößen?

Der gesetzliche Rahmen nach Art. 83 DSGVO

Der Bußgeldrahmen nach Art. 83 DSGVO liegt bei bis zu 20 Mio. EUR oder 4 % des weltweiten Konzernjahresumsatzes, je nachdem, welcher Wert höher ist. Für leichtere Verstöße gilt der halbe Rahmen: 10 Mio. EUR oder 2 % Umsatz.

Was Aufsichtsbehörden tatsächlich verhängen

Wie ernst Aufsichtsbehörden das nehmen, zeigt der GDPR Enforcement Tracker Report 2026 der Kanzlei CMS: 2.685 dokumentierte Bußgelder mit einer Summe von rund 6,11 Mrd. EUR, plus 440 Fälle gegenüber dem Vorjahresbericht. Das höchste Einzelbußgeld liegt bei 1,2 Mrd. EUR gegen Meta Platforms Ireland (Mai 2023) wegen unzulässiger Drittlandtransfers in die USA.

Für kleine und mittelständische Websites kommen Bußgelder selten in dieser Größenordnung, aber 50.000 bis 500.000 EUR sind in der unteren KMU-Skala realistische Werte und treffen oft Cookie-Banner-Mängel, fehlerhafte Datenschutzerklärungen oder unzureichende Verschlüsselung. Hinzu kommen Abmahnkosten und der Reputationsschaden. Wie der Bitkom-Datenschutzreport 2024 auf Basis von 605 befragten Unternehmen zeigt, bewerten 94 % der Unternehmen den DSGVO-Aufwand als hoch, bei 63 % ist er im Vorjahr weiter gestiegen, und 84 % halten ihre Umsetzung für nie vollständig abgeschlossen. Die Compliance-Kurve flacht nicht ab. Sie wird steiler.

Welche DSGVO-Fehler sehe ich im Audit am häufigsten?

In Audits, die ich mit dem Evelan-Team an KMU-Websites zwischen 2020 und 2026 durchgeführt habe, wiederholen sich vier Fehlerklassen so konstant, dass ich sie inzwischen blind erkenne. Die Branche spielt dabei eine erstaunlich kleine Rolle, ob Handwerk, Beratung, Healthcare oder Software, die Muster bleiben gleich.

Cookie-Banner-Theater

Die erste Klasse ist der Cookie-Banner, der nur Theater spielt. Optisch korrekt, technisch wirkungslos: Google Analytics, Meta Pixel und YouTube-iFrames laden, bevor der Nutzer eine Wahl trifft. In jeder zweiten Audit-Site sehe ich das. Die Behebung ist nicht trivial, weil sie an die Reihenfolge der Skript-Injection geht, aber sie ist unumgänglich. Wer das Problem im Detail prüft, findet meist nicht ein, sondern drei oder vier Skripte, die parallel feuern und gemeinsam ein vollständiges Tracking-Profil aufbauen, lange bevor der Banner überhaupt geschlossen ist.

Veraltete Datenschutzerklärungen

Die zweite Klasse ist die Datenschutzerklärung, die nicht zur eingesetzten Technik passt. Generatoren erzeugen 30 Seiten Text, das CMS bindet seit drei Jahren aber neue Dienste ein, ohne dass jemand die Erklärung pflegt. HubSpot, Calendly, ein neuer Chatbot, eine eingebettete Bewertungs-Plattform, nichts davon steht im Dokument. Das ist nach Art. 13 DSGVO ein Transparenzmangel. Wer die Erklärung als lebendiges Dokument behandelt und sie bei jeder Tool-Einführung ein einziges Mal anfasst, hat dieses Problem dauerhaft entschärft.

Unbeabsichtigte Drittland-Transfers

Die dritte Klasse ist der unbeabsichtigte Drittlandtransfer. Google Fonts vom CDN, ein eingebettetes Vimeo-Video, ein US-Newsletter-Tool ohne saubere Rechtsgrundlage. Seit Schrems II ist das einer der teuersten Fehler überhaupt, weil er Datentransfers ohne Schutzgarantien auslöst. Häufig wurden diese Dienste vor Jahren von einer früheren Agentur eingebunden, dokumentiert wurde nichts, und nach dem Personalwechsel weiß niemand mehr, welcher Token in welchem Plugin wohin sendet.

Sicherheitslücken unter der Compliance-Kosmetik

Die vierte Klasse ist die Sicherheitslücke unterhalb der DSGVO-Kosmetik. Veraltete WordPress-Versionen, ungepatchte Plugins, fehlende TLS auf Subdomains. Datensicherheit nach Art. 32 DSGVO ist nicht erst dann verletzt, wenn ein Angriff erfolgreich war, sondern schon, wenn die Maßnahmen nicht „nach Stand der Technik" sind. Wer hier eine zweite Meinung sucht, findet im Beitrag zur rechtssicheren Website eine systematische Checkliste. Eine saubere Datenschutzerklärung schützt nicht vor einem unterschätzten Backend, und ein Bußgeldverfahren bei einem Datenleck nimmt keine Rücksicht darauf, ob die Cookie-Logik im Frontend formell korrekt war.

Wie macht ein DSGVO-Webseiten-Check Ihre Site rechtssicher?

Ein DSGVO-Webseiten-Check verbindet drei Ebenen, die in normalen Audits oft isoliert behandelt werden: Rechtsdokumente, technische Cookie- und Skript-Logik sowie Datenflüsse zu Drittanbietern. Erst die Kombination aus diesen drei Blickwinkeln zeigt, ob die Site tatsächlich konform ist.

Ein professioneller DSGVO Webseiten Check prüft unter anderem:

  • den Einsatz von Cookies und Tracking-Tools
  • die DSGVO-Konformität der Datenschutzerklärung
  • externe Dienste und Drittanbieter
  • Formularfunktionen und Datenspeicherung
  • Sicherheitsmaßnahmen wie SSL und Serverkonfiguration

So entsteht ein realistisches Bild darüber, wie gut der Datenschutz Website tatsächlich umgesetzt ist.

So läuft ein Evelan-Check in der Praxis

In einem typischen Evelan-Check öffnen wir die Site in einer frischen Browser-Session ohne Werbeblocker, protokollieren mit den Browser-Devtools jeden Netzwerk-Request vor und nach der Einwilligung, vergleichen das Ergebnis mit der Datenschutzerklärung und mappen jeden Drittanbieter auf einen vorhandenen oder fehlenden AVV. Findet sich ein Skript, das ohne Consent feuert, oder ein Dienst, der nicht im Erklärungstext auftaucht, ist das Audit-Eintrag Nummer eins. Daraus entsteht ein Maßnahmenplan, der die rechtlichen, technischen und organisatorischen Lücken priorisiert, damit Sie nicht alles auf einmal lösen müssen, sondern Risiken zuerst.

Parallel dazu prüfen wir den Stand der Verschlüsselung, die Aktualität von CMS und Plugins sowie die Backup- und Wiederherstellungs-Routine. So wird aus einem reinen Dokumenten-Audit ein technischer Check, der die Datensicherheit nach Art. 32 DSGVO ebenfalls bewertet. Der schriftliche Bericht enthält für jede Lücke eine Risikoeinschätzung, einen konkreten Umsetzungsweg und einen Zeitaufwand. So entscheidet die Geschäftsführung mit Zahlen, nicht mit Bauchgefühl.

Aus dem Evelan-Alltag

Ein norddeutscher Finanzdienstleister, der seine Kunden in Vermögens- und Finanzierungsfragen berät, wollte den Dokumentenaustausch zwischen Beratern und Mandanten aus dem E-Mail-Postfach holen. Bis dahin liefen Selbstauskünfte, Finanzierungsanfragen, Vertragsunterlagen und Identifikationsnachweise per Anhang über klassische Postfächer. Aus DSGVO-Sicht eine Häufung von Problemen auf engem Raum: unverschlüsselte Übertragung sensibler Vermögens- und Bonitätsdaten, keine Zugriffskontrolle nach dem Versand, keine Löschroutine, keine sauber dokumentierte Auftragsverarbeitung mit dem Mail-Provider. Spätestens beim Versand einer Selbstauskunft mit Familienstand, Einkommen, Vermögen und Kreditverpflichtungen wäre eine Aufsichtsbehörde sofort fündig geworden.

Wir haben gemeinsam eine maßgeschneiderte Cloud-Anwendung konzipiert und umgesetzt, in der Kunden über einen geschützten Zugang Dokumente hochladen, Selbstauskünfte ausfüllen, Finanzierungsanfragen stellen und Verträge digital unterzeichnen können. Drei DSGVO-Bausteine standen dabei im Zentrum: Erstens eine klare Rechtsgrundlage je Datenklasse, mit gestuften Einwilligungen für Bonitäts- und Finanzierungsdaten. Zweitens technische Absicherung nach Art. 32 DSGVO mit Server in Deutschland, Verschlüsselung im Ruhezustand und beim Transport, granularer Zugriffskontrolle pro Berater und pro Kunde, sowie Audit-Logs für jeden Dokumentenzugriff. Drittens ein vollständiger Auftragsverarbeitungsvertrag zwischen Beratungsgesellschaft und Evelan als Betreiber, der Subdienstleister, Speicherorte und Löschfristen ausdrücklich regelt.

Das Ergebnis: Der Finanzdienstleister verzichtet seit dem Rollout vollständig auf E-Mail-Anhänge für sensible Mandantenunterlagen. Berater und Kunden arbeiten in einem auditierbaren Workflow, der DSGVO-Anforderungen technisch erzwingt statt nur abzubilden. Bei Beschwerden oder Anfragen lässt sich jedem Datenfluss in Minuten nachgehen, einschließlich Nachweis, wer wann auf welches Dokument zugegriffen hat. Die Anwendung ist anschlussfähig für künftige Anforderungen, etwa neue Aufbewahrungsfristen oder zusätzliche Authentifizierungs-Stufen, ohne dass die rechtliche Basis neu aufgesetzt werden muss.

Häufig gestellte Fragen

Eine Rechtsgrundlage für jede Datenverarbeitung, eine vollständige und aktuelle Datenschutzerklärung, eine aktive Cookie-Einwilligung vor jedem Tracking-Skript, abrufbare Betroffenenrechte, TLS-Verschlüsselung, einen AVV mit jedem Dienstleister und eine saubere Lösung für Drittlandtransfers. Diese sechs Bereiche bilden den Mindeststandard.

Verwandte Evelan-Artikel

Quellen

Website Security

Neueste Beiträge

Marketing-Manager analysiert Online-Marketing-KPIs am Laptop, daneben Notizen zu Kanal-Mix und Strategie

Online Marketing Leitfaden: Strategie, Website, Daten

Andreas Straub • 10. Mai 2026

Online Marketing

Eine starke Online-Marketing-Strategie funktioniert nur, wenn alle Maßnahmen an einem Ort zusammenlaufen: der eigenen Website. Erfahre, warum eine professionelle Website heute das wichtigste Marketinginstrument ist.

Mehr lesen

Mann und Frau analysieren KPI-Diagramme und Marketing-Kennzahlen gemeinsam an einem Laptop am Schreibtisch.

KPI im Online-Marketing: Die wichtigsten Kennzahlen 2026

Andreas Straub • 10. Mai 2026

Online Marketing

Online Marketing ist nur dann erfolgreich, wenn Ergebnisse messbar sind. Dieser Artikel zeigt, welche KPI im Online Marketing entscheidend sind, warum eine klare Online Marketing Strategie notwendig ist.

Mehr lesen

Mann und Frau in Business-Kleidung diskutieren mit Laptop, Diagramme im Hintergrund

Marketing-Budget richtig planen: Leitfaden für B2B-KMU

Andreas Straub • 05. Mai 2026

Online Marketing

Viele Unternehmen verbrennen Marketing-Budget, weil sie Werbung schalten, ohne ihre Website zu optimieren. Das Ergebnis: viel Traffic, wenig Anfragen. In diesem Blog zeigen wir, wie Sie Ihr Marketing-Budget planen

Mehr lesen