Inhaltsverzeichnis
DSGVO-Compliance Checkliste für deutsche Websites
| ✅ Maßnahme | Priorität | Rechtliche Grundlage | Umsetzungshinweis |
|---|---|---|---|
| Datenschutzerklärung erstellen | 🔴 Hoch | Art. 13, 14 DSGVO | Verantwortlicher, Zwecke, Speicherdauer, Empfänger, Betroffenenrechte vollständig auflisten |
| Cookie-Banner mit Opt-in | 🔴 Hoch | Art. 6 Abs. 1 lit. a DSGVO, ePrivacy | Granulare Einwilligung für Marketing-Cookies, Essential immer aktiv, Third-Party blocken |
| Verzeichnis Verarbeitungstätigkeiten (VwV) | 🔴 Hoch | Art. 30 DSGVO | Alle Verarbeitungen dokumentieren: Kontaktformulare, Logs, Newsletter, Analytics |
| Impressum ergänzen | 🔴 Hoch | § 5 TMG, Art. 13 DSGVO | Verantwortlicher mit Kontaktdaten, ggf. Datenschutzbeauftragter benennen |
| SSL-Verschlüsselung aktivieren | 🔴 Hoch | Art. 32 DSGVO (TOM) | HTTPS für gesamte Website, Zertifikat aktuell halten |
| Auftragsverarbeitungsverträge (AVV) | 🟠 Mittel | Art. 28 DSGVO | Mit Hosting, Newsletter-Tool, Analytics-Anbietern abschließen |
| Consent-Management-System (CMS) | 🟠 Mittel | Art. 7 DSGVO | Einwilligungen protokollieren, widerrufbar gestalten, 14 Monate speichern |
| Betroffenenrechte umsetzen | 🟠 Mittel | Art. 15-22 DSGVO | Prozesse für Auskunft, Löschung, Berichtigung, Widerspruch etablieren |
| Löschkonzept implementieren | 🟠 Mittel | Art. 17 DSGVO | Automatische Löschfristen für Logs, Formulare, Newsletter-Daten festlegen |
| Datenschutz-Folgenabschätzung (DPIA) | 🟡 Niedrig | Art. 35 DSGVO | Nur bei Hochrisiko-Verarbeitung (z. B. umfangreiches Profiling, sensible Daten) |
| Mitarbeiter schulen | 🟡 Niedrig | Art. 32 DSGVO | Jährliche Trainings zu Datenschutz, sichere Passwörter, Phishing-Schutz |
| Backup-Strategie sichern | 🟡 Niedrig | Art. 32 DSGVO (Verfügbarkeit) | Verschlüsselte Backups, Wiederherstellungstest quartalsweise durchführen |
Die Datenschutzbehörde (DSB) in Wien kontrolliert strenger. Bußgelder bis 20 Millionen Euro oder 4 % vom Umsatz sind möglich. Ich sehe in meinen Schulungen: Die meisten Website-Betreiber haben Lücken. Unklare Cookie-Banner, fehlende AVVs, lückenhafte Datenschutzerklärungen. Diese Checkliste zeigt Ihnen, was zu tun ist.
Wer Datenschutz von Anfang an mitdenkt – Privacy by Design – spart sich später Nachbesserungen. Und gewinnt das Vertrauen der Nutzer.
Die wichtigsten Erkenntnisse
Privacy by Design als Grundprinzip
Nur Daten verarbeiten, die nötig sind. Weniger Daten bedeutet weniger Risiko. Österreichische Websites profitieren durch geringeres Bußgeldrisiko und höhere Nutzerbindung.
Cookie-Banner mit Opt-in-Pflicht
Tracking-Cookies dürfen erst nach aktiver Einwilligung laden. Kein Pre-Ticking. Das schützt vor EuGH-konformen Strafen.
Datenschutzerklärung vollständig halten
Zwecke, Rechtsgrundlagen, Empfänger – alles muss drin stehen. Fehlt etwas, drohen Abmahnungen.
AVV mit allen Dienstleistern abschliessen
Hosting, Analytics, Fonts – für jeden Dienstleister brauchen Sie einen Auftragsverarbeitungsvertrag. Bei USA-Transfers zusätzlich SCCs.
Betroffenenrechte schnell bearbeiten
Löschungs- oder Auskunftsanfragen müssen innerhalb von 30 Tagen beantwortet werden. Wer das zügig erledigt, vermeidet Eskalationen zur DSB.
Warum dieser Ansatz funktioniert
Prävention statt Nachbesserung. DSGVO-Compliance schützt vor Bußgeldern und verbessert die Conversion-Rate durch Nutzervertrauen.
ROI durch Risikominimierung
1–2 Tage Arbeit für die Checkliste. Das spart Abmahnkosten (bis 50.000 Euro nach TKG) und steigert Conversion-Rates um bis zu 20 % durch Vertrauen.
Zukunftssicher statt Plugin-abhängig
Generische Datenschutz-Generatoren sind riskant. Individuelle Anpassung an WKO-Vorlagen hält auch bei Rechtsänderungen stand.
Vergleich der Ansätze
| Ansatz | Vorteile | Nachteile |
|---|---|---|
| Diese Checkliste | Vollständig, österreich-spezifisch, skalierbar | Braucht Initialaufwand |
| Kostenlose Generatoren | Schnell | Abmahngefahr, ungenau |
| Agentur | Expertenwissen | Hohe Kosten (ab 2.000 Euro) |
Schritt-für-Schritt-Anleitung
Schritt 1: Website analysieren
Prüfen Sie, welche Daten Ihre Website sammelt. Öffnen Sie die Seite im Inkognito-Modus. Nutzen Sie uMatrix oder Ghostery, um Tracker zu finden. Google Fonts, Analytics, Facebook Pixel – alles auflisten.
- Das ergibt die Basis für Ihr Verzeichnis der Verarbeitungstätigkeiten.
Schritt 2: Datenschutzerklärung erstellen
Nutzen Sie die WKO-Vorlagen als Ausgangspunkt. Passen Sie an: Verantwortlicher, Zwecke, Rechte, Speicherdauern. Verlinken Sie im Footer.
- Art. 13 DSGVO vollständig abdecken.
- Kontaktdaten und DSB (falls vorhanden) einfügen.
Schritt 3: Cookie-Banner einrichten
Installieren Sie ein CMP-Plugin wie Complianz oder Consent Manager. Kein Pre-Ticking. Third-Party-Skripte erst nach Zustimmung laden.
- Essentiell: berechtigtes Interesse. Marketing: nur mit Einwilligung.
- Testen: Keine Tracking-Skripte vor dem Banner.
Schritt 4: AVV und SSL prüfen
Laden Sie AVV-Vorlagen von der WKO. Schliessen Sie Verträge mit allen Dienstleistern ab (Hosting, Google, Newsletter-Tool). Aktivieren Sie HTTPS via Let’s Encrypt.
- Bei USA-Transfers: SCCs prüfen.
Schritt 5: Prozesse dokumentieren
Erstellen Sie das Verarbeitungsverzeichnis in Excel. Definieren Sie einen Workflow für Betroffenenanfragen. Schulen Sie Ihr Team in 30 Minuten.
Häufig gestellte Fragen (FAQ)
Brauche ich einen Datenschutzbeauftragten (DSB)?
Nur bei systematischer Überwachung oder sensiblen Daten (Art. 37 DSGVO). Für Standard-Websites reicht Selbstprüfung.
Welche Cookies sind ohne Einwilligung erlaubt?
Nur technische Cookies, z. B. Session-Cookies für den Warenkorb (§ 165 TKG). Google Analytics braucht Opt-in.
Was tun bei USA-Tools wie Google Analytics?
AVV und SCCs abschliessen. IP anonymisieren. Oder auf EU-gehöstete Alternativen umsteigen.
Wie oft muss ich die Checkliste aktualisieren?
Jährlich oder bei Änderungen. Neues Plugin? Sofort prüfen.
Was kostet Non-Compliance?
Bis 20 Mio. Euro (DSGVO) plus 50.000 Euro (TKG). Prävention kostet einen Bruchteil davon.
Hilft WordPress dabei?
Ja. Plugins wie Complianz decken den technischen Teil ab. Den rechtlichen Teil müssen Sie selbst anpassen.
Häufig gestellte Fragen
Welche DSGVO-Anforderungen gelten für österreichische Websites?
Österreichische Websites unterliegen der EU-DSGVO und dem österreichischen DSG. Impressum, Datenschutzerklärung, Cookie-Banner mit Opt-in und AVVs sind Pflicht.
Gibt es Unterschiede zur deutschen DSGVO-Umsetzung?
Die EU-DSGVO gilt gleich. Österreich hat mit dem DSG eigene Ergänzungen. Die Datenschutzbehörde in Wien ist zuständig.
Welches Cookie-Consent-Tool ist für österreichische Websites empfehlenswert?
Borlabs Cookie, Complianz oder CookieYes. Alle bieten DSGVO- und DSG-konforme Lösungen mit Opt-in und Cookie-Kategorisierung.