Abmahnungen wegen DSGVO-Verstößen sind in Deutschland kein seltenes Schicksal mehr – sie treffen auch kleine Unternehmen, die einfach nur eine ordentliche Webseite betreiben wollen. Das Gemeine daran: Die meisten Fehler entstehen nicht aus Gleichgültigkeit, sondern weil niemand einem erklärt hat, wo die echten Stolpersteine liegen.
Das Missverständnis mit der DSGVO
Viele Entwickler – und erst recht ihre Kunden – denken, DSGVO bedeutet: irgendein Cookie-Banner draufklatschen und fertig. Die Realität ist etwas nuancierter, aber auch nicht so kompliziert, wie sie oft dargestellt wird.
Der Kern ist eigentlich simpel: Wer personenbezogene Daten verarbeitet, braucht dafür eine Rechtsgrundlage und muss transparent darüber informieren. Und personenbezogene Daten entstehen schneller als man denkt – IP-Adressen, Cookie-IDs, Formulareinträge. Selbst ein schlichter Server-Log zählt dazu.
Die drei relevantesten Rechtsgrundlagen im Web-Kontext: Einwilligung (für Tracking und Marketing), Vertragserfüllung (für Kontaktanfragen) und berechtigtes Interesse (für technisch notwendige Dinge wie Sicherheitslogs). Wer das einmal verstanden hat, kann die meisten Entscheidungen selbst treffen.
Impressum: Unterschätzter Klassiker
Das Impressum ist die häufigste Abmahnfalle – und das, obwohl die Anforderungen eigentlich klar definiert sind. Vollständiger Name mit korrekter Rechtsform, ladungsfähige Anschrift (kein Postfach!), funktionierende E-Mail-Adresse und Telefonnummer, Handelsregisternummer falls vorhanden.
Zwei Fehler sieht man besonders oft: Die Rechtsform stimmt nicht exakt ("GmbH" statt "GmbH & Co. KG"), oder die Daten sind schlicht veraltet. Außerdem gilt die 2-Klick-Regel – das Impressum muss von jeder Unterseite aus mit maximal zwei Klicks erreichbar sein. Ein Footer-Link reicht dafür völlig.
Wichtig für Entwickler, die Webseiten für Kunden bauen: Impressum und Datenschutzerklärung sind zwei separate Dokumente mit unterschiedlichen Zwecken. Eine Vermischung ist nicht zulässig. Wer das von Anfang an sauber trennt – so wie es blackforest-webcraft.de als Standard für alle Kundenprojekte beschreibt – spart sich später Ärger.
Datenschutzerklärung: Kein "Set and Forget"
Die Datenschutzerklärung ist das Dokument, das am häufigsten veraltet – und das am häufigsten unterschätzt wird. Jedes eingebundene Tool muss dort auftauchen: Name, Anbieter, Zweck, Rechtsgrundlage, Speicherdauer, eventuelle Drittlandübermittlung.
Bei Google Analytics 4 bedeutet das konkret: IP-Anonymisierung erwähnen (in GA4 standardmäßig aktiv), Auftragsverarbeitungsvertrag mit Google abschließen (in den GA4-Einstellungen, einmal klicken), Datenaufbewahrung auf zwei Monate reduzieren, Google-Signale deaktivieren.
Ein halbjährlicher Review-Termin im Kalender ist kein Overkill, sondern Minimum. Neues Plugin eingebunden? Datenschutzerklärung aktualisieren. Hoster gewechselt? Datenschutzerklärung aktualisieren. Das klingt mühsam, ist aber mit einem internen Änderungslog gut handhabbar.
Cookie-Banner: Wo die meisten Fehler passieren
Technisch notwendige Cookies brauchen keine Einwilligung. Alles andere – Tracking, Marketing, Social Media – schon, und zwar bevor die Cookies gesetzt werden.
Ein rechtssicherer Banner hat einen gleichwertigen "Ablehnen"-Button. Nicht versteckt in den Einstellungen, nicht als kleiner grauer Link unter dem großen grünen "Akzeptieren"-Knopf. Gleichwertig. Außerdem dürfen Tracking-Skripte nicht laden, bevor der Nutzer eine Wahl getroffen hat – das lässt sich im Inkognito-Modus mit den Browser-DevTools schnell überprüfen.
Seit März 2024 ist der Google Consent Mode V2 Pflicht, wenn Google Ads im Spiel ist. Ohne korrekte CMP-Integration verliert man Conversion-Daten von ablehnenden Nutzern komplett.
Kontaktformulare und Hosting: Die technischen Basics
Datensparsamkeit beim Kontaktformular: Name und E-Mail reichen in den meisten Fällen. SSL ist Pflicht – ohne HTTPS ist jedes Formular ein Verstoß. Beim Spam-Schutz lieber auf Honeypot-Felder setzen als auf Google reCAPTCHA, das seinerseits Einwilligung benötigt.
Beim Hosting gilt: Deutschland oder EU ist unkompliziert. Außerhalb der EU wird es aufwendiger – Standardvertragsklauseln, Drittlandtransfer in der Datenschutzerklärung erwähnen, Datenschutz-Folgenabschätzung. Und der E-Mail-Provider ist ebenfalls Auftragsverarbeiter – auch das wird oft vergessen.
Was bleibt?
DSGVO-Konformität ist kein einmaliges Projekt, sondern ein laufender Prozess. Aber der Aufwand hält sich in Grenzen, wenn man die Grundlagen einmal sauber aufgesetzt hat: vollständiges Impressum, gepflegte Datenschutzerklärung, ehrlicher Cookie-Banner, verschlüsselte Formulare, sauberes Hosting.
Na ja, und regelmäßig draufschauen. Das ist eigentlich alles.
Wie handhabt ihr das in euren Projekten – erklärt ihr euren Kunden die DSGVO-Anforderungen aktiv, oder setzt ihr einfach um und hofft, dass niemand fragt?
Top comments (0)