9 einfache Schritte, mit denen Sie Ihre Website DSGVO-konform machen (2022)

In 9 Schritten alle Anforderungen der DSGVO auf Ihrer Website umsetzen

Sie sind sich nicht sicher, ob Ihre Website DSGVO-konform ist? Wir zeigen Ihnen, wie’s geht: Folgen Sie unseren 9 einfachen Schritten aus diesem Blogbeitrag und machen Sie Ihre Website fit für den Datenschutz.

Wie Sie außerdem mit einem kostenlosen DSGVO-Website-Check prüfen können, ob Ihre Website datenschutzkonform ist, erklären wir Ihnen zum Schluss dieses Beitrags.

Hintergrund: DSGVO für Website-Betreibende

Eine Website zu erstellen und ohne weitere Absicherung zu veröffentlichen, kann aufgrund der geltenden Datenschutzbestimmungen in Deutschland zu Abmahnungen und der Verhängung von Bußgeldern führen. Denn mit dem Geltungsbereich der europäischen Datenschutzgrundverordnung (DSGVO) kommen zahlreiche Anforderungen einher. Als Website-Betreiber*in verpflichten Sie sich, die DSGVO umzusetzen und den Datenschutz auf Ihrer Website sicherzustellen.

Auf den ersten Blick können die Bestimmungen der DSGVO für Webseiten überwältigen – und hinterlassen für viele offene Fragen. Mit dem richtigen Plan und schon durch kleine Maßnahmen lassen sich die Anforderungen der DSGVO für Internetseiten aber einfach und gut umsetzen.

Begriffe im Überblick: DSGVO für Websites

 Ziel der seit 2018 eingeführten neuen Datenschutzgrundverordnung (DSGVO) ist es, den Datenschutz europaweit zu vereinheitlichen und die Rechte von Betroffenen zu stärken. Die größte Herausforderung für das Online-Geschäft ist es dabei, die Verarbeitung von Massendaten so zu gestalten, dass keine Persönlichkeitsrechte verletzt werden.

Welche Pflichten gelten gemäß DSGVO für Website-Betreibende?

In den meisten Fällen werden auf Webseiten personenbezogene Daten erhoben und damit auch verarbeitet. Sobald personenbezogene Daten verarbeitet werden, müssen die Datenschutzbestimmungen für Webseiten eingehalten werden. Personenbezogene Daten entstehen z. B. bei der Übermittlung einer E-Mail-Adresse für einen Newsletter oder bei der Website-Analyse mit Tools wie Google Analytics. Verstöße gegen die Vorgaben der DSGVO können mit hohen Bußgeldern bestraft werden und zu Abmahnungen führen.

Häufige Verstöße, die zu Abmahnungen führen, sind:

Häufigste Verstöße gegen die DSGVO auf Webseiten

Nicht betroffen von der DSGVO sind private Websites, die z. B. für familiäre Zwecke genutzt werden. Ein Anwendungsfall stellt hier beispielsweise die Bereitstellung von Urlaubsfotos im Freundeskreis dar. Ausschließlich privat genutzte Websites sind auch von der Impressumspflicht ausgenommen. Hierbei ist jedoch Vorsicht geboten: Die Einordnung zur ausschließlich privat genutzten Website unterliegt sehr strengen Vorgaben.

Für alle anderen Websites gilt: DSGVO beachten! Erfahren Sie, wie Sie die Anforderungen so umsetzen, dass der Datenschutz auf Ihrer Website oder Homepage sichergestellt ist. Lesen Sie dazu unsere 9 Schritte zu einer DSGVO-konformen Website nach.

Datenschutz für Mitarbeitende online schulen
Beugen Sie Datenpannen vor und reduzieren Sie das Risiko von DSGVO-Verstößen: mit VINYAs interaktivem E-Learning-Kurs.
Datenschutz-Schulung für Mitarbeiter

9 Schritte: Website DSGVO-konform einrichten

Mit den folgenden 9 Schritten sichern Sie sich gegen Datenschutzmängel ab. Erfüllen Sie die Anforderungen der DSGVO an den Datenschutz von Internetseiten ganz einfach mit unserer Checkliste:

DSGVO-konforme Website in 9 Schritten

Dieser Blogbeitrag bietet Ihnen eine detaillierte Schritt-für-Schritt-Anleitung mit den wichtigsten Infos zur DSGVO-konformen Website. Wir haben für Sie zu jedem Schritt To-dos für Ihre Checkliste zusammengestellt, mit denen Sie die Datenschutzverordnung sicher und einfach auf Ihrer Website umsetzen.

Schritt 1: Technischen Datenschutz für Ihre Website gemäß DSGVO gewährleisten

Unter technischem Datenschutz verstehen sich alle Maßnahmen, die den Datenschutz durch technische Lösungen sicherstellen – wie z. B. die Verschlüsselung der Website. Maßnahmen wie diese sind in der Regel schriftlich in den sogenannten TOMs (den technischen und organisatorischen Maßnahmen) festzuhalten.

Die Verschlüsselung der Website ist eine der wichtigsten Anforderungen der DSGVO. Hierzu zählt die HTTPS-Verschlüsselung: Sie erkennen eine HTTPS-Verschlüsselung daran, dass die Browserzeile mit dem Kürzel „https“ beginnt. Erscheint in der Browserzeile nur ein „http“ (ohne kleines s), wissen Sie, dass die Website nicht verschlüsselt ist. Die Technik, die sich hinter der Verschlüsselung verbirgt, heißt TLS (Transport Layer Security). Sie sorgt dafür, dass die Datenübertragung abgesichert ist.

Verschlüsselung mit https: DSGVO-konforme Website

Wichtige Voraussetzung für den technischen Datenschutz sind außerdem diese beiden Konzepte:

Privacy by Design

Durch die Anforderung Privacy by Design (Datenschutz durch Design) gilt für jeden Websitebetreibenden: Richten Sie die Website so ein, dass nur jene Daten erhoben werden, die auch wirklich benötigt werden und zulässig sind. Alle weiteren Datenerhebungen sollten Sie unterbinden. Achten Sie beim Einsatz von Software (z. B. Chat-Tools) darauf, dass diese keine willkürlichen Daten ohne Zweck und Legitimation erheben. Den Zweck der Datenverarbeitung müssen Sie in jedem Fall dokumentieren und sollten überlegen, ob dieser geschäftsnotwendig oder optional ist.

Privacy by Default

Unter der Anforderung Privacy by Default (Datenschutz durch datenschutzfreundliche Voreinstellungen) versteht man die standardisierte Vorgabe, dass nur notwendige Daten erhoben werden. Erst die explizite Einwilligung der Nutzenden berechtigt Sie dazu, zusätzliche Daten auf Ihrer Website DSGVO-konform zu verarbeiten. Dies gilt beispielsweise beim Einsatz von Cookies (s. Schritt 4). Gemäß der Anforderung Privacy by Default dürfen nur notwendige Cookies bereits vorausgewählt sein.

Schritt 2: Impressum DSGVO-konform einrichten

Sobald Sie Ihre Website nicht ausschließlich privat betreiben, unterliegen Sie der Impressumspflicht. Wenn Sie kein Impressum nach DSGVO auf Ihrer Website einrichten, machen Sie sich zu einem einfachen Ziel für Abmahnungen. Ein Impressum verfolgt den Zweck, die verantwortliche Person der Website öffentlich zu machen. So bieten Sie Besucher*innen die Möglichkeit, mit Ihnen Kontakt aufzunehmen. Aus Sicht der DSGVO ist das Impressum Ihrer Website daher wichtig, um dem Recht auf Auskunft gerecht zu werden.

Damit Besucher*innen Ihr Impressum barrierefrei aufrufen können, stehen Sie in der Pflicht, dieses „leicht erkennbar, unmittelbar erreichbar und ständig verfügbar“ zu platzieren. Verlinken Sie dazu z. B. die Informationsseite über einen entsprechenden Menüpunkt oder im Footer mit der Kennzeichnung „Impressum“ oder „Anbieterkennzeichnung“. Ein DSGVO-konformes Impressum muss folgende Informationen beinhalten:

Angaben zur verantwortlichen Person

  • Name der/des Website-Betreibenden
  • Anschrift

Kontaktdaten der/des Website-Betreibenden

  • E-Mail-Adresse
  • Telefonnummer
  • Fax (bei Bedarf) 

Rechtliche Pflichtangaben bei Unternehmen

  • Rechtsform
  • Registereintrag (sofern vorhanden)
  • Umsatzsteuer-Identifikationsnummer (sofern vorhanden)
Anforderungen an ein DSGVO-konformes Impressum

Sofern Sie einen Onlineshop betreiben, verpflichten Sie sich außerdem dazu, eine Verlinkung auf Ihre Online-Streitbeilegungsplattform unterzubringen. In einigen Fällen bedarf es noch weiterer Pflichtangaben, die individuell zu prüfen sind.

Sie sind sich unsicher, wie Ihr Impressum aussehen solll? Dann greifen Sie doch auf einen der vielen Generatoren für ein kostenloses Impressum zurück. Hier können Sie Muster für ein DSGVO-konformes Impressum herunterladen oder Ihre Daten eingeben und ein vollständiges Impressum erhalten. In der Regel wird auch ein Disclaimer, also ein Haftungsausschluss für Ihr datenschutzgerechtes Impressum mitgeliefert. Wir empfehlen diese beiden Seiten für einen Impressum-Generator nach DSGVO:

Schritt 3: Widerrufsrecht und Datenschutzerklärung auf der Website platzieren

Nächster Punkt auf der Liste: die Datenschutzerklärung. Gemäß DSGVO verpflichten sich Betreiber*innen von Websites zur Veröffentlichung einer Datenschutzerklärung. Damit kommen sie ihren Informationspflichten nach. Dabei gilt es Besucher*innen der Website über folgende Punkte zu informieren:

  • Umfang und Zweck der Datenverarbeitung
  • Betroffenenrechte
  • Plugins von Drittanbietenden (z. B. Google Analytics oder Social-Media-Plugins)
  • eingesetzte Auftragsdienstleistende

Beinhaltet Ihre Website Seiten in englischer Sprache, sollte auch eine englische Version der Datenschutzerklärung eingebunden werden. Ähnlich wie beim Impressum, zählt eine fehlende Datenschutzerklärung als Verstoß im Datenschutz auf Webseiten gemäß DSGVO und kann abgemahnt werden. Die Datenschutzerklärung Ihrer Website muss von allen Seiten aus zugänglich und erreichbar sein. Es bietet sich daher an, den Link zur Datenschutzerklärung auf Ihrer Internetseite neben der Verknüpfung zum Impressum zu platzieren. Doch aufgepasst: Sie dürfen den Link nicht ausschließlich im Impressum oder in die AGBs einbinden, sondern müssen ihn gesondert ausweisen.

Damit die Datenschutzerklärung Ihrer Website DSGVO-konform ist, müssen Sie darin außerdem die Bestimmungen zum Widerruf erläutern.

Schritt 4: Cookie-Hinweis nach DSGVO auf Ihrer Website einbinden

Um dem Datenschutz nach DSGVO auf Ihrer Website gerecht zu werden, müssen Sie sich auch mit Cookies beschäftigen. Ein Cookie ist eine kleine Textdatei, die lokal auf dem Computer der Websitebesuchenden gespeichert wird. Darin wird in der Regel das Verhalten der Nutzenden protokolliert, beispielsweise individuelle Einstellungen, die für die Website oder Anwendung getroffen werden. Ein Cookie kann darüber hinaus auch Informationen eigenständig, ohne eine direkte Interaktion mit den Nutzenden, speichern (z. B. den Warenkorb-Inhalt).

Cookies verfolgen das Ziel, Webseiten-Besucher*innen einfach wiederzuerkennen. Dies geschieht, indem ein Cookie von einer Website ausgelesen wird. Die Website erkennt dadurch individuelle Einstellungen und die Historie der Besuchenden. Aus diesem Grund unterliegen Cookies den Regularien der DSGVO und Nutzende müssen über die Erhebung sowie den Zweck von Cookies (z. B. für Marketing- oder Statistikzwecke) vollständig informiert werden.

Die Information der Besuchenden geschieht in der Regel über einen Cookie-Hinweis (Cookie Banner). Diesen Datenschutzhinweis sollten Sie auf Ihrer Website einbauen.

Cookie-Hinweis auf Website

Durch den Cookie-Hinweis haben Website-Besuchende die Möglichkeit, der Cookie-Verwendung zuzustimmen oder diese abzulehnen. Im Rahmen der Anforderungen an Websites durch die DSGVO sind Consent Management Systeme eine gute Option, die Einwilligung in Cookies auf Ihrer Website datenschutzkonform umzusetzen.

Ein Consent Management System ist eine Lösung für das Zustimmungsmanagement. Websitebetreibende können darüber – neben der Einwilligung für einzelne Cookies – auch die Einwilligung für Tracking-Technologien nach DSGVO einholen. Dabei gilt es jedoch den Nutzenden zu ermöglichen, ihre Einwilligung zu verweigern, ohne dass hieraus Nachteile für sie entstehen.

Zustimmungsmanagement durch Consent Management

Schritt 5: DSGVO-konformes Kontaktformular einfügen

Nahezu jede Website stellt ein Kontaktformular zur Verfügung, über das Besuchende Anfragen hinterlassen können. Mit der Übermittlung einer Anfrage werden personenbezogene Daten verarbeitet. Somit stehen Sie nach DSGVO in der Pflicht, das Kontaktformular datenschutzkonform zu gestalten.
Da Nutzende des Kontaktformulars aktiv Kontakt zu Ihnen suchen und entscheiden, welche Daten sie angeben, bedarf es hier keiner expliziten Einwilligung. Es überwiegt das berechtigte Interesse an der Datenverarbeitung, denn: Sie haben ein berechtigtes Interesse daran, das Anliegen der Interessierten zu beantworten und sie zu diesem Zwecke zu kontaktieren.

Die Voraussetzung hierfür ist allerdings, dass Sie einen Datenschutzhinweis gemäß DSGVO in das Kontaktformular auf Ihrer Website einbinden. Klären Sie Besucher*innen über folgende Punkte auf:

  • Wie werden die Daten verarbeitet?
  • Für wie lange werden die Daten gespeichert?
  • Was sind die Betroffenenrechte?
  • Wie lautet die Datenschutzerklärung?

Wenn Sie bei der Datenverarbeitung Lösungen von Drittanbietenden nutzen, müssen Sie darüber ebenfalls aufklären. Das Kontaktformular ist datenschutzkonform zu verschlüsseln. Für Sie gilt nach Rückmeldung auf die Kontaktanfrage außerdem: Nach Zweckerfüllung der Anfrage sollten Sie alle personenbezogenen Daten löschen.

Kontaktformular DSGVO konform gestalten

Schritt 6: DSGVO-konformen Newsletter versenden

Anders als beim Kontaktformular verhält es sich mit einem werblichen Newsletter. Für diesen ist die Einwilligung Interessierter zur Datenverarbeitung nach der DSGVO zwingend notwendig. Das bedeutet für Sie: Ein Newsletter darf nur verschickt werden, wenn die/der Interessierte dies explizit fordert. So steht es im Gesetz gegen Unlauteren Wettbewerb (UWG) festgeschrieben. Ziel des Gesetzes ist es, Empfänger*innen vor der Belästigung durch zu viele Werbemails zu schützen. Eine Ausnahme macht das UWG aber für Bestandskund*innen: Anbieter*innen ist es erlaubt ihre Bestandskundschaft zu kontaktieren und für ähnliche Waren oder Dienstleistungen zu werben. Hier ist keine Einwilligung nötig.

Nach DSGVO stehen Sie als Website-Betreiber*in in der Nachweispflicht für die Einwilligung. Sie müssen vor Gericht beweisen können, dass die Interessierten der Verarbeitung zustimmen. Dazu wird in der Regel das Double-Opt-In-Verfahren genutzt, da es Ihnen ermöglicht, einen Nachweis für die Einwilligung zu erhalten. Beim Double-Opt-In-Verfahren können Interessierte einen Newsletter anfordern, indem sie E-Mailadresse und ggf. Namen angeben. In einer ersten E-Mail muss die Einwilligung anschließend mit Klick auf einen Link bestätigt werden. Sofern die Einwilligung nicht bestätigt wird, ist der Newsletter-Versand nicht zulässig, da die Einwilligung nicht nachgewiesen werden kann.

Opt-in und Doppel-Opt-in für Newsletter-Anmeldung

Die Empfänger*innen von Newslettern können jederzeit von ihren Betroffenenrechten Gebrauch machen und die gespeicherten Daten bei Ihnen erfragen. Zwingend erforderlich ist die Option, den Newsletter jederzeit wieder abbestellen zu können. Hierfür können Sie z. B. am Ende des Newsletters einen entsprechenden Link zum Widerruf des Newsletters einbinden. Wenn Sie diese Maßnahmen umgesetzt haben, steht dem DSGVO-konformen Newsletterversand von Ihrer Website nichts mehr im Wege!

Schritt 7: Trackingtools nach DSGVO einbinden

Trackingtools (z. B. Google Analytics) bieten die Möglichkeit, das Nutzerverhalten über längere Zeiträume hinweg zu verfolgen und Website-Besuchende zu identifizieren. In der Regel werden diese Daten für statistische Erhebungen der Website genutzt. Über Trackingtools können Daten von Website-Besuchenden, wie beispielsweise Verweildauer, verwendetes Endgerät, Bildschirmauflösung, Spracheinstellungen oder Nutzerinteraktionen erfasst werden. Der Einsatz von Trackingtechnologien auf Ihrer Website unterliegt dabei den Bestimmungen der DSGVO.

Ziel des Trackings ist in der Regel die Analyse der eigenen Website. Mit den erhobenen Informationen können Website-Betreibende datengetrieben z. B. über Verbesserungen der Nutzerführung entscheiden oder Ihre Zielgruppen analysieren.

Ein weiterer Anwendungsfall von Trackingtools ist das Retargeting bzw. Remarketing.
Hierzu werden Cookies oder Trackingpixel verwendet. Das Tracking erfolgt dabei geräteübergreifend.
Beim Remarketing geht es darum, identifizierten Nutzenden über alle Geräte hinweg zielgerichtete und personalisierte Werbebotschaften anzuzeigen. Die Werbebotschaften können dabei auf unterschiedlichen Seiten im Internet angezeigt werden, die Empfänger*innen im Anschluss an Ihre Seite aufrufen.

Beispiel: Eine Person schaut sich in einem Onlineshop Produkte an. Auf im Anschluss besuchten Webseiten erscheint dank Trackingdaten Werbung zu den entsprechenden Produkten.

Für diese Art der Verarbeitung personenbezogener Daten ist in der Regel eine Einwilligung erforderlich. Denn die Frage nach einem berechtigten Interesse wird hier überwiegend mit einem „Nein“ beantwortet. Auf Trackingtools muss in der Datenschutzerklärung mit einer genauen Auflistung der eingesetzten Tools hingewiesen werden.

Schritt 8: Datenschutz nach DSGVO für Social-Media-Plugins und eingebettete Videos

Social-Plugins (alternativ: Social-Media-Plugins), wie z. B. der „Gefällt mir“-Button von Facebook oder der „Twittern“-Button, verbinden Webseiten mit Sozialen Netzwerken. Eine Besonderheit von Social-Plugins liegt darin, dass sie bereits personenbezogene Daten erheben, ohne dass Websitebesuchende direkt mit ihnen interagieren. Die Daten werden von den Anbieter*innen der Plugins (z. B. Facebook) selbst erhoben. Dies geschieht bereits beim Websitebesuch, ohne Registrierung oder Login im entsprechenden sozialen Netzwerk.

Für den Einsatz von Social-Plugins bestehen keine gesetzliche Grundlage und kein berechtigtes Interesse. Die Einwilligungen der Betroffenen sind daher zwingend erforderlich.

Eine Alternative zur einfachen Einbindung der Buttons bieten die 2-Klick-Lösung oder die Shariff-Button-Lösung. Bei der 2-Klick-Lösung wird zunächst nur ein Bild eingebunden. Erst mit dem Klick auf das Bild wird der richtige Button aktiviert. Ein Nachteil an dieser Variante ist, dass im Standard-Zustand (ohne Klick) keine Anzahl der Likes dargestellt wird. Bei der Shariff-Lösung wird hingegen nur ein einziger Klick benötigt. Erst mit diesem Klick wird der Dienst aktiviert, zuvor findet keine Datenverarbeitung statt.

Schritt 9: Auftragsverarbeitung gemäß DSGVO

Beim Einsatz von Software-Lösungen oder Dienstleistungen von Drittanbietenden liegt eine Auftragsverarbeitung vor. Werden personenbezogene Daten verarbeitet, müssen die Parteien einen Vertrag zur Auftragsverarbeitung abschließen. Der Vertrag ist notwendig, um den Anforderungen der DSGVO für Webseiten gerecht zu werden. Häufig genutzte Dienste der Auftragsverarbeitung sind z. B. Google Analytics oder Mailchimp. Als Betreiber*in einer Website sind Sie verpflichtet sicherzustellen, dass auch Ihre Auftragsverarbeitenden die DSGVO vollständig umsetzen. Daher ist es wichtig, den Umfang der Datenverarbeitung sowie die Maßnahmen zum Datenschutz vertraglich festzuhalten.
Jetzt Mitarbeitende für den Datenschutz sensibilisieren
Mit VINYA Flexibel per E-Learning unterweisen. Hier gehts zu unseren interaktiven Online-Kursen:

Ist Ihre Website DSGVO-konform? Machen Sie einen kostenlosen DSGVO-Website-Check

Die DSGVO-Konformität Ihrer Website können Sie einfach mithilfe von unterschiedlichen Software-Lösungen testen. Prüfen Sie z. B., ob Ihre Website gemäß Datenschutzanforderungen verschlüsselt ist oder sicherheitskritische Add-ons verwendet (wie Content-Management-Systeme, Web-Frameworks und Plugins). Zwei praktische kostenlose Tools, mit denen Sie die Einhaltung der DSGVO auf Ihrer Website checken können, sind:

Wichtig: Tools zum Check der DSGVO sind keine rechtssichere Instanz zur Prüfung Ihrer Website auf die Einhaltung der Vorgaben zum Datenschutz. Vielmehr geben sie Hinweise auf mögliche Fehler in der Konfiguration Ihrer Website. Sie ersetzen keinesfalls eine DSGVO-Zertifizierung Ihrer Website oder eigene Prüfungen.

Tools zum DSGVO Check für Ihre Website

Fazit

Mit der DSGVO werden die Rechte von Website-Besuchenden gestärkt, um diese unter anderem vor unzumutbarer Werbung zu schützen. Als Website-Betreiber*in stehen Sie in der Pflicht, die Anforderungen an den Datenschutz nach DSGVO umzusetzen. Dazu zählt vor allem, dass Sie eine Rechtsgrundlage für die Datenverarbeitung vorweisen können. Bei Websites ist die Rechtmäßigkeit häufig durch eine Einwilligung einzuholen. Darüber hinaus müssen Sie über Umfang und Zweck der Datenverarbeitung informieren.

Trotz DSGVO ist der Betrieb einer Website aber weiterhin ohne große Einschränkungen möglich. Also: Packen Sie’s an und gewährleisten Sie jetzt, dass Ihre Website alle Anforderungen an den Datenschutz erfüllt!

Hinweis: Unsere Autoren und Autorinnen arbeiten mit größter Sorgfalt an den Inhalten dieser Website und des Magazins. Die gewissenhafte Recherche ist dabei selbstverständlich. Dennoch übernehmen wir (sowohl interne als auch externe Autoren und Autorinnen) keine Haftung für die Aktualität, Richtigkeit oder Vollständigkeit der hier dargestellten Inhalte. Die Inhalte stellen keine Rechtsberatung dar und ersetzen diese nicht. Bitte lassen Sie sich bei rechtlichen Fragen zusätzlich anwaltlich beraten. Wir übernehmen keine Haftung durch mittelbare oder unmittelbare Schäden, die sich durch jedweden Rechtsgrund aus der Nutzung dieser Inhalte oder der Website ergeben. 

  • Weitere spannende Beiträge
    Über den Autor
    Manuel Schrenk VINYA

    Manuel Schrenk

    Manuel ist Gründer und Geschäftsführer von VINYA. Mit mehrjähriger Erfahrung im Management und strategischem Produktmanagement in der Softwareentwicklung beschäftigt Manuel sich mit den Chancen und Herausforderungen digitaler Arbeit. Ganz vorne stehen für ihn dabei die Themen Datenschutz und IT-Sicherheit.

    Manuel finden Sie auch hier:

    Jetzt zum Newsletter anmelden!
    Ihre Anmeldung konnte nicht gespeichert werden. Bitte versuchen Sie es erneut.
    Vielen Dank! Wir senden Ihnen eine E-Mail, mit der Sie Ihre Anmeldung bestätigen können.