Datenschutz für Webseiten: Was Sie wirklich beachten müssen.

„DSGVO" — dieses Wort macht vielen Webseitenbetreibern Angst. Zu Recht, denn die Strafen bei Verstößen sind real. Aber die gute Nachricht: Für einen kleinen Unternehmer mit einer einfachen Webseite ist Datenschutz kein Monster. Es sind ein paar klare Pflichten, die man einmal richtig umsetzt.

Hinweis vorab: Ich bin kein Rechtsanwalt. Dieser Artikel ersetzt keine rechtliche Beratung. Er ist mein praktisches Wissen als Entwickler, der Datenschutz in jedes Projekt einbaut — und der die häufigsten Fehler kennt.

Was die DSGVO für Webseiten bedeutet

Die DSGVO (Datenschutz-Grundverordnung) gilt für jede Webseite, die von EU-Bürgern besucht werden kann — also für fast alle deutschen Webseiten. Sie regelt, welche Daten gesammelt werden dürfen, wie sie gespeichert werden müssen, und welche Rechte Nutzer haben.

Die absoluten Pflichten

1. Impressum

Jede gewerbliche Webseite braucht ein Impressum mit Name, Anschrift, E-Mail-Adresse und bei Unternehmern auch der USt-IdNr. Es muss von jeder Seite leicht erreichbar sein — üblicherweise im Footer.

2. Datenschutzerklärung

Sie müssen transparent erklären, welche Daten Sie sammeln und warum. Dazu zählen: Kontaktformular-Daten, Analyse-Tools (Google Analytics), externe Fonts (Google Fonts), Zahlungsdienstleister, Newsletter-Tools.

Wichtig: Jeder externe Dienst muss genannt werden. Wer Google Analytics einbindet und das nicht in der Datenschutzerklärung erwähnt, verstößt gegen die DSGVO.

3. Cookie-Banner (nicht immer nötig!)

Cookies, die für die Funktion der Seite nötig sind, brauchen keine Einwilligung. Tracking-Cookies (Google Analytics, Facebook Pixel) aber schon. Wer keine Tracking-Cookies verwendet, braucht keinen aufwendigen Cookie-Banner.

Typische Stolperfallen

Google Fonts — Achtung bei Online-Einbindung

Wer Google Fonts über einen CDN-Link einbindet, überträgt beim Besuch automatisch die IP-Adresse des Nutzers an Google. Das ist datenschutzrechtlich problematisch. Lösung: Fonts lokal hosten (direkt auf dem eigenen Server) oder auf datenschutzkonforme Alternativen setzen.

Kontaktformulare

Wer ein Kontaktformular betreibt, verarbeitet personenbezogene Daten. Das muss in der Datenschutzerklärung stehen, inklusive welcher Dienst die Daten verarbeitet (z.B. Web3Forms, Formspree).

Eingebettete Inhalte

YouTube-Videos, Google Maps, Social-Media-Buttons — all das lädt Inhalte von externen Servern. Dabei werden Nutzerdaten übertragen. Entweder Einbettung mit Einwilligung oder 2-Klick-Lösungen verwenden.

Was bei Verstößen passiert

Bußgelder bis zu 20 Millionen Euro oder 4% des weltweiten Jahresumsatzes — das klingt erschreckend, ist aber für kleine Unternehmen meist nicht realistisch. Was öfter vorkommt: Abmahnungen von Mitbewerbern oder Datenschutzorganisationen.

Ein fehlendes Impressum oder eine veraltete Datenschutzerklärung sind die häufigsten Ansatzpunkte.

Mein Ansatz bei Projekten

Bei jedem Projekt schreibe ich die Datenschutzerklärung passend zu den eingesetzten Diensten. Keine Copy-Paste-Vorlage aus dem Internet, sondern eine auf das Projekt zugeschnittene Erklärung. Das ist Teil jedes Projekts — kein Extra.

„Datenschutz ist keine Bremse für gute Webseiten. Er ist ein Zeichen von Respekt gegenüber Ihren Nutzern."