DSGVO & Rechtssicherheit
DSGVO-konforme Website — rechtssicher und abmahnsicher.
Abmahnungen wegen Google Fonts aus den USA, fehlendem Cookie-Banner oder unvollständigem Impressum kosten schnell 1.000 € und aufwärts. Eine von Anfang an sauber gebaute Website vermeidet das Risiko — ohne Banner-Flut, ohne juristischen Overhead. Diese Seite erklärt, worauf es ankommt und wie wir das in jedem Projekt umsetzen.
Grundlagen
Was DSGVO für Ihre Website bedeutet
Die Datenschutz-Grundverordnung ist kein Cookie-Banner-Gesetz, sondern ein Prinzipien-Katalog. Sechs Punkte, die jede moderne Website betreffen:
Datenminimierung
Nur die Daten erheben und speichern, die für den Zweck wirklich nötig sind — nicht mehr, nicht länger.
Verschlüsselung ab Werk
HTTPS für alle Seiten, verschlüsselte Datenbank-Verbindungen, sichere Passwort-Speicherung.
Informationspflicht
Nutzer müssen wissen, welche Daten erhoben werden und wozu. Klar formuliert, nicht in AGB-Prosa.
Hosting in der EU
Daten verlassen den EU-Raum nicht. Kein US-Provider, kein heimliches CDN, kein Schrems-II-Problem.
Einwilligung statt Default
Tracker, Analytics, externe Fonts — nur nach aktiver Zustimmung. Kein Opt-out-Trick, kein Dark Pattern.
Auskunft & Löschung
Nutzer können ihre Daten anfordern oder löschen lassen — technisch vorbereitet, nicht nur als AGB-Satz.
Cookie-Banner
Cookie-Banner richtig einsetzen
Nicht jede Website braucht ein Banner. Und wenn eines nötig ist, muss es Opt-in sein — nicht Opt-out, nicht Dark-Pattern, nicht „Alle akzeptieren“ knallrot und „Ablehnen“ als graue Fussnote.
Typische Fehler
Das führt zur Abmahnung
- Google Analytics lädt ohne Einwilligung
- „Ablehnen“ ist optisch versteckt oder nur über Umweg
- Banner lädt Tracker schon beim Öffnen der Seite
- Fehlende Widerrufs-Möglichkeit auf Folgeseiten
- Kein Hinweis auf die Folgen der Einwilligung
Sauberer Ansatz
Oft geht es ganz ohne Banner
- Plausible oder Matomo self-hosted statt Google Analytics
- Lokale Google Fonts statt CDN-Einbindung
- Keine externen Embed-Scripts (YouTube, Facebook)
- Maps per iframe erst nach Klick laden
- Falls Banner nötig: Opt-in mit gleichwertigen Buttons
Impressum
Impressum-Pflichtangaben
Das Impressum ist kein Deko-Element, sondern gesetzliche Pflicht nach §5 TMG und §18 MStV. Was rein muss — abhängig von Rechtsform und Branche:
Vollständiger Name (Vor- und Nachname, bei Unternehmen Firma + Rechtsform)
Postanschrift (keine Postfach-Adresse)
E-Mail-Adresse und Telefonnummer
Umsatzsteuer-ID oder Steuernummer (sofern vorhanden)
Handelsregister-Eintrag mit Nummer und Amtsgericht (bei GmbH/UG/AG)
Berufsbezeichnung, zuständige Kammer und Aufsichtsbehörde (bei reglementierten Berufen)
Verantwortlicher i.S.d. §18 MStV bei journalistischen Angeboten
Link zur OS-Plattform der EU (bei B2C)
Hinweis: Diese Liste ist allgemein gehalten und ersetzt keine Rechtsberatung. Für spezifische Konstellationen (Vereine, GbR, journalistische Angebote, Plattform-Betrieb) lassen Sie das Impressum durch einen Anwalt prüfen.
Datenschutzerklärung
Was in die Datenschutzerklärung gehört
Eine Datenschutzerklärung muss zu Ihrer tatsächlichen Website passen — nicht zu einer Generator-Vorlage. Diese sechs Blöcke sind die Basis:
Verantwortlicher
Wer betreibt die Website, wer ist Ansprechpartner für Datenschutz.
Erhobene Daten
Welche Daten werden bei Nutzung automatisch erfasst (IP, Browser, Referrer) — und warum.
Kontaktformular
Welche Felder, welche Rechtsgrundlage (Art. 6 Abs. 1 lit. b DSGVO).
Cookies & Tracking
Welche Cookies gesetzt werden, technisch notwendig vs. Marketing, mit Opt-in.
Externe Dienste
Schriften, Maps, Analytics, Embed-Videos — jeweils Zweck und Datenweitergabe.
Rechte der Betroffenen
Auskunft, Berichtigung, Löschung, Widerspruch, Beschwerde bei Aufsichtsbehörde.
Hosting-Standort
Hosting in Frankfurt vs. USA
Seit dem Schrems-II-Urteil des EuGH ist die Datenübermittlung in die USA nur noch mit zusätzlichen Schutzmassnahmen zulässig. Wer nicht lange prüfen will, hostet in der EU.
US-Hosting
Rechtsrisiko & Zusatzaufwand
- CLOUD Act: US-Behörden können auf Daten zugreifen
- Schrems-II-Klauseln nötig, vom Gericht kritisch bewertet
- Prüfauflage pro Dienst, oft unklare Rechtslage
- Typische US-Anbieter: Vercel (ohne EU-Region), Netlify, AWS-US
- Bei Abmahnung: Darlegungslast beim Website-Betreiber
EU-Hosting (Frankfurt)
Rechtssicher by Default
- DSGVO voll anwendbar, kein Drittland-Transfer
- Keine Standardvertragsklauseln nötig
- Typische Anbieter: DigitalOcean FRA, Hetzner, IONOS
- Backups, Logs und Datenbanken verlassen die EU nicht
- AV-Vertrag mit EU-Anbieter einfach abschliessbar
Unser Vorgehen
Wie wir das bei jedem Projekt garantieren
DSGVO-Konformität ist bei Appgenau keine Option, sondern Standard — in jedem Paket, bei jeder Website.
Hosting Frankfurt
Alle Websites laufen bei DigitalOcean Frankfurt. Keine US-Server, kein CDN-Umweg über Cloudflare-US.
Cookies nur wenn nötig
Technisch notwendige Cookies ohne Banner. Analytics nur mit Plausible oder selbst-gehostet — oder gar nicht.
Keine Google Fonts aus USA
Schriften werden lokal vom eigenen Server ausgeliefert. Keine Schrems-II-Falle über fonts.googleapis.com.
SSL & Security-Header
HTTPS erzwungen, moderne Security-Header (HSTS, CSP, X-Frame), automatische Zertifikats-Erneuerung.
Vorlagen für Impressum & DSE
Sie bekommen strukturierte Textbausteine, die wir gemeinsam auf Ihre Praxis anpassen.
AV-Vertrag auf Wunsch
Wenn Sie Auftragsverarbeitung brauchen, bekommen Sie einen sauberen AV-Vertrag — keine Überraschung.
Häufige Fragen zu DSGVO und Websites
Was ist eine DSGVO-konforme Website?+
Brauche ich ein Cookie-Banner auf meiner Website?+
Was muss im Impressum stehen?+
Wo finde ich eine rechtssichere Datenschutzerklärung?+
Was droht bei einer DSGVO-Abmahnung?+
Ist Google Analytics DSGVO-konform?+
Darf ich Google Fonts auf meiner Website einbinden?+
Wie finde ich heraus, ob meine Website DSGVO-konform ist?+
Was kostet eine DSGVO-konforme Website?+
Nächster Schritt
Neue Website oder Bestand DSGVO-fest machen?
Für neue Projekte sind Website-Pakete ab 490 € der Einstieg — mit DSGVO-Grundlagen ab Werk. Für bestehende Seiten gibt es ein Audit mit konkreter Umsetzungs-Liste.
Rechtssichere Website besprechen?
Schreiben Sie mir kurz, welche Situation Sie haben: neues Projekt, Relaunch oder Bestand mit Risiko. In 1–2 E-Mails klären wir den Rahmen.