DSGVO & Rechtssicherheit

DSGVO-konforme Website — rechtssicher und abmahnsicher.

Abmahnungen wegen Google Fonts aus den USA, fehlendem Cookie-Banner oder unvollständigem Impressum kosten schnell 1.000 € und aufwärts. Eine von Anfang an sauber gebaute Website vermeidet das Risiko — ohne Banner-Flut, ohne juristischen Overhead. Diese Seite erklärt, worauf es ankommt und wie wir das in jedem Projekt umsetzen.

Website besprechenWebsite-Pakete ab 490 €

Grundlagen

Was DSGVO für Ihre Website bedeutet

Die Datenschutz-Grundverordnung ist kein Cookie-Banner-Gesetz, sondern ein Prinzipien-Katalog. Sechs Punkte, die jede moderne Website betreffen:

Datenminimierung

Nur die Daten erheben und speichern, die für den Zweck wirklich nötig sind — nicht mehr, nicht länger.

Verschlüsselung ab Werk

HTTPS für alle Seiten, verschlüsselte Datenbank-Verbindungen, sichere Passwort-Speicherung.

Informationspflicht

Nutzer müssen wissen, welche Daten erhoben werden und wozu. Klar formuliert, nicht in AGB-Prosa.

Hosting in der EU

Daten verlassen den EU-Raum nicht. Kein US-Provider, kein heimliches CDN, kein Schrems-II-Problem.

Einwilligung statt Default

Tracker, Analytics, externe Fonts — nur nach aktiver Zustimmung. Kein Opt-out-Trick, kein Dark Pattern.

Auskunft & Löschung

Nutzer können ihre Daten anfordern oder löschen lassen — technisch vorbereitet, nicht nur als AGB-Satz.

Cookie-Banner

Cookie-Banner richtig einsetzen

Nicht jede Website braucht ein Banner. Und wenn eines nötig ist, muss es Opt-in sein — nicht Opt-out, nicht Dark-Pattern, nicht „Alle akzeptieren“ knallrot und „Ablehnen“ als graue Fussnote.

Typische Fehler

Das führt zur Abmahnung

  • Google Analytics lädt ohne Einwilligung
  • „Ablehnen“ ist optisch versteckt oder nur über Umweg
  • Banner lädt Tracker schon beim Öffnen der Seite
  • Fehlende Widerrufs-Möglichkeit auf Folgeseiten
  • Kein Hinweis auf die Folgen der Einwilligung

Sauberer Ansatz

Oft geht es ganz ohne Banner

  • Plausible oder Matomo self-hosted statt Google Analytics
  • Lokale Google Fonts statt CDN-Einbindung
  • Keine externen Embed-Scripts (YouTube, Facebook)
  • Maps per iframe erst nach Klick laden
  • Falls Banner nötig: Opt-in mit gleichwertigen Buttons

Impressum

Impressum-Pflichtangaben

Das Impressum ist kein Deko-Element, sondern gesetzliche Pflicht nach §5 TMG und §18 MStV. Was rein muss — abhängig von Rechtsform und Branche:

Vollständiger Name (Vor- und Nachname, bei Unternehmen Firma + Rechtsform)

Postanschrift (keine Postfach-Adresse)

E-Mail-Adresse und Telefonnummer

Umsatzsteuer-ID oder Steuernummer (sofern vorhanden)

Handelsregister-Eintrag mit Nummer und Amtsgericht (bei GmbH/UG/AG)

Berufsbezeichnung, zuständige Kammer und Aufsichtsbehörde (bei reglementierten Berufen)

Verantwortlicher i.S.d. §18 MStV bei journalistischen Angeboten

Link zur OS-Plattform der EU (bei B2C)

Hinweis: Diese Liste ist allgemein gehalten und ersetzt keine Rechtsberatung. Für spezifische Konstellationen (Vereine, GbR, journalistische Angebote, Plattform-Betrieb) lassen Sie das Impressum durch einen Anwalt prüfen.

Datenschutzerklärung

Was in die Datenschutzerklärung gehört

Eine Datenschutzerklärung muss zu Ihrer tatsächlichen Website passen — nicht zu einer Generator-Vorlage. Diese sechs Blöcke sind die Basis:

Verantwortlicher

Wer betreibt die Website, wer ist Ansprechpartner für Datenschutz.

Erhobene Daten

Welche Daten werden bei Nutzung automatisch erfasst (IP, Browser, Referrer) — und warum.

Kontaktformular

Welche Felder, welche Rechtsgrundlage (Art. 6 Abs. 1 lit. b DSGVO).

Cookies & Tracking

Welche Cookies gesetzt werden, technisch notwendig vs. Marketing, mit Opt-in.

Externe Dienste

Schriften, Maps, Analytics, Embed-Videos — jeweils Zweck und Datenweitergabe.

Rechte der Betroffenen

Auskunft, Berichtigung, Löschung, Widerspruch, Beschwerde bei Aufsichtsbehörde.

Hosting-Standort

Hosting in Frankfurt vs. USA

Seit dem Schrems-II-Urteil des EuGH ist die Datenübermittlung in die USA nur noch mit zusätzlichen Schutzmassnahmen zulässig. Wer nicht lange prüfen will, hostet in der EU.

US-Hosting

Rechtsrisiko & Zusatzaufwand

  • CLOUD Act: US-Behörden können auf Daten zugreifen
  • Schrems-II-Klauseln nötig, vom Gericht kritisch bewertet
  • Prüfauflage pro Dienst, oft unklare Rechtslage
  • Typische US-Anbieter: Vercel (ohne EU-Region), Netlify, AWS-US
  • Bei Abmahnung: Darlegungslast beim Website-Betreiber

EU-Hosting (Frankfurt)

Rechtssicher by Default

  • DSGVO voll anwendbar, kein Drittland-Transfer
  • Keine Standardvertragsklauseln nötig
  • Typische Anbieter: DigitalOcean FRA, Hetzner, IONOS
  • Backups, Logs und Datenbanken verlassen die EU nicht
  • AV-Vertrag mit EU-Anbieter einfach abschliessbar

Unser Vorgehen

Wie wir das bei jedem Projekt garantieren

DSGVO-Konformität ist bei Appgenau keine Option, sondern Standard — in jedem Paket, bei jeder Website.

Hosting Frankfurt

Alle Websites laufen bei DigitalOcean Frankfurt. Keine US-Server, kein CDN-Umweg über Cloudflare-US.

Cookies nur wenn nötig

Technisch notwendige Cookies ohne Banner. Analytics nur mit Plausible oder selbst-gehostet — oder gar nicht.

Keine Google Fonts aus USA

Schriften werden lokal vom eigenen Server ausgeliefert. Keine Schrems-II-Falle über fonts.googleapis.com.

SSL & Security-Header

HTTPS erzwungen, moderne Security-Header (HSTS, CSP, X-Frame), automatische Zertifikats-Erneuerung.

Vorlagen für Impressum & DSE

Sie bekommen strukturierte Textbausteine, die wir gemeinsam auf Ihre Praxis anpassen.

AV-Vertrag auf Wunsch

Wenn Sie Auftragsverarbeitung brauchen, bekommen Sie einen sauberen AV-Vertrag — keine Überraschung.

Häufige Fragen zu DSGVO und Websites

Was ist eine DSGVO-konforme Website?+
Eine Website, die die europäische Datenschutz-Grundverordnung einhält: Nutzer werden transparent über die Datenverarbeitung informiert, es werden nur notwendige Daten erhoben, Cookies oder Tracker laufen nur mit ausdrücklicher Einwilligung, das Hosting erfolgt in der EU oder mit Standardvertragsklauseln, und Nutzer können ihre Daten jederzeit anfordern oder löschen lassen.
Brauche ich ein Cookie-Banner auf meiner Website?+
Nur wenn Sie Cookies setzen, die nicht technisch zwingend nötig sind — also alles, was mit Marketing, Tracking oder externem Einbindung zu tun hat. Reine HTML-Seiten ohne Analytics brauchen oft gar keinen Banner. Wenn Sie Plausible, Matomo selbst-gehostet oder gar kein Analytics nutzen, reicht ein kurzer Hinweis. Nur bei Google Analytics, Facebook Pixel und Co. wird das Banner mit Opt-in-Logik zwingend.
Was muss im Impressum stehen?+
Vollständiger Name, Postanschrift (keine Postfach-Adresse), E-Mail-Adresse und Telefonnummer sind Pflicht. Bei Unternehmen zusätzlich Rechtsform, Handelsregister mit Amtsgericht und Geschäftsführer. Bei reglementierten Berufen die Berufsbezeichnung und zuständige Kammer. Bei B2C-Shops zusätzlich der Link zur OS-Plattform der EU-Kommission. Die Umsatzsteuer-ID ist anzugeben, sofern vorhanden.
Wo finde ich eine rechtssichere Datenschutzerklärung?+
Generatoren wie eRecht24 oder das Modell der Datenschutzkonferenz sind gute Ausgangspunkte — aber keine Komplettlösung. Eine Datenschutzerklärung muss exakt zu Ihrer Website passen: welche Formulare, welche Tools, welche Einbindungen. Bei neuen Projekten bekommen Sie von mir einen strukturierten Textbaustein, den wir gemeinsam auf Ihre tatsächlichen Datenflüsse anpassen.
Was droht bei einer DSGVO-Abmahnung?+
Die Kosten einer Abmahnung liegen typischerweise zwischen 600 und 1.500 €, in komplexeren Fällen deutlich mehr. Häufigste Gründe: fehlerhaftes Impressum, fehlende oder unvollständige Datenschutzerklärung, Google Fonts aus den USA ohne Einwilligung, fehlendes Cookie-Consent oder Google-Analytics ohne Opt-in. Die Abmahnung kommt meist per Anwalt und fordert Unterlassung plus Kostenerstattung.
Ist Google Analytics DSGVO-konform?+
Google Analytics 4 lässt sich DSGVO-konform betreiben, aber nur mit IP-Anonymisierung, Opt-in über ein Consent-Banner und Auftragsverarbeitungsvertrag mit Google. Seit Schrems II bleibt ein Restrisiko durch die US-Datenübermittlung. Eine pragmatische Alternative ist Plausible (EU-Hosting, ohne Personenbezug) oder Matomo selbst-gehostet — beides ohne Banner möglich.
Darf ich Google Fonts auf meiner Website einbinden?+
Ja, aber nur lokal gehostet, nicht über fonts.googleapis.com. Die direkte Einbindung von Google Fonts überträgt IP-Adressen in die USA und wurde 2022 vom Landgericht München als DSGVO-Verstoss bewertet. Download der Schriften, Speicherung auf dem eigenen Server, Einbindung per lokalem Pfad — so sind Google Fonts unbedenklich.
Wie finde ich heraus, ob meine Website DSGVO-konform ist?+
Erste Prüfung: In den Browser-Entwicklertools den Netzwerk-Reiter öffnen und die Seite laden. Welche Domains werden im Hintergrund kontaktiert? Alles ausserhalb Ihrer eigenen Domain, das nicht technisch nötig ist, braucht eine Rechtsgrundlage. Tiefer prüfen lassen sich Cookies, Tracker und Fonts mit Tools wie webbkoll.dataskydd.net oder durch einen Datenschutz-Audit.
Was kostet eine DSGVO-konforme Website?+
Bei Appgenau sind DSGVO-Grundlagen in jedem Website-Paket enthalten — ab 490 € für eine Landing Page. Hosting in Frankfurt, lokale Fonts, kein US-Tracker, saubere Impressum- und Datenschutz-Textbausteine sind Standard. Wer bestehende Seiten DSGVO-fest machen lassen will, bekommt ein Audit ab 290 € mit konkreter Umsetzungs-Liste.

Nächster Schritt

Neue Website oder Bestand DSGVO-fest machen?

Für neue Projekte sind Website-Pakete ab 490 € der Einstieg — mit DSGVO-Grundlagen ab Werk. Für bestehende Seiten gibt es ein Audit mit konkreter Umsetzungs-Liste.

Website-PaketeAudit anfragen

Rechtssichere Website besprechen?

Schreiben Sie mir kurz, welche Situation Sie haben: neues Projekt, Relaunch oder Bestand mit Risiko. In 1–2 E-Mails klären wir den Rahmen.

Projekt besprechenAlle Preise ansehen