Inhaltsverzeichnis
DSGVO-Compliance Checkliste für deutsche Websites
| ✅ Maßnahme | Priorität | Rechtliche Grundlage | Umsetzungshinweis |
|---|---|---|---|
| Datenschutzerklärung erstellen | 🔴 Hoch | Art. 13, 14 DSGVO | Verantwortlicher, Zwecke, Speicherdauer, Empfänger, Betroffenenrechte vollständig auflisten |
| Cookie-Banner mit Opt-in | 🔴 Hoch | Art. 6 Abs. 1 lit. a DSGVO, ePrivacy | Granulare Einwilligung für Marketing-Cookies, Essential immer aktiv, Third-Party blocken |
| Verzeichnis Verarbeitungstätigkeiten (VwV) | 🔴 Hoch | Art. 30 DSGVO | Alle Verarbeitungen dokumentieren: Kontaktformulare, Logs, Newsletter, Analytics |
| Impressum ergänzen | 🔴 Hoch | § 5 TMG, Art. 13 DSGVO | Verantwortlicher mit Kontaktdaten, ggf. Datenschutzbeauftragter benennen |
| SSL-Verschlüsselung aktivieren | 🔴 Hoch | Art. 32 DSGVO (TOM) | HTTPS für gesamte Website, Zertifikat aktuell halten |
| Auftragsverarbeitungsverträge (AVV) | 🟠 Mittel | Art. 28 DSGVO | Mit Hosting, Newsletter-Tool, Analytics-Anbietern abschließen |
| Consent-Management-System (CMS) | 🟠 Mittel | Art. 7 DSGVO | Einwilligungen protokollieren, widerrufbar gestalten, 14 Monate speichern |
| Betroffenenrechte umsetzen | 🟠 Mittel | Art. 15-22 DSGVO | Prozesse für Auskunft, Löschung, Berichtigung, Widerspruch etablieren |
| Löschkonzept implementieren | 🟠 Mittel | Art. 17 DSGVO | Automatische Löschfristen für Logs, Formulare, Newsletter-Daten festlegen |
| Datenschutz-Folgenabschätzung (DPIA) | 🟡 Niedrig | Art. 35 DSGVO | Nur bei Hochrisiko-Verarbeitung (z. B. umfangreiches Profiling, sensible Daten) |
| Mitarbeiter schulen | 🟡 Niedrig | Art. 32 DSGVO | Jährliche Trainings zu Datenschutz, sichere Passwörter, Phishing-Schutz |
| Backup-Strategie sichern | 🟡 Niedrig | Art. 32 DSGVO (Verfügbarkeit) | Verschlüsselte Backups, Wiederherstellungstest quartalsweise durchführen |
Österreichische Websites stehen 2025 unter stärkerem Druck durch verschärfte DSGVO-Kontrollen der Datenschutzbehörde (DSB) und Bußgelder bis zu 20 Millionen Euro oder 4 % des Umsatzes. Viele Betreiber kämpfen mit unklaren Cookie-Bannern, fehlenden Auftragsverarbeitungsverträgen (AVV) und unvollständigen Datenschutzerklärungen, was zu Abmahnwellen führt.
Dieser Quick Guide liefert eine präzise Checkliste mit schrittweisen Anweisungen, um Compliance zu erreichen und Bußgelder zu vermeiden.
Experten priorisieren Privacy by Design – also datenschutzfreundliche Voreinstellungen von Anfang an – während Anfänger oft nur reaktiv Plugins nachrüsten. Folgen Sie diesem Leitfaden, sparen Sie Zeit und sichern langfristig Ihr Business vor Risiken.
Die wichtigsten Erkenntnisse
Privacy by Design als Grundprinzip: Minimiert Datenrisiken von vornherein
Privacy by Design stellt sicher, dass nur notwendige Daten verarbeitet werden, was Abhängigkeiten von Drittanbietern reduziert und Skalierbarkeit erhöht. Österreichische Websites profitieren durch geringere Bußgeldrisiken und höhere Nutzerbindung.
Cookie-Banner mit Opt-in-Pflicht: Vermeidet teure Verstöße
Nicht-funktionale Cookies (z. B. Tracking) dürfen erst nach aktiver Einwilligung laden – kein Pre-Ticking erlaubt. Das schützt vor EuGH-konformen Strafen und steigert Vertrauen.
Vollständige Datenschutzerklärung: Erfüllt Informationspflichten
Enthält Zwecke, Rechtsgrundlagen und Empfänger; fehlt sie, drohen Abmahnungen. Transformiert Ihre Site in ein ROI-starkes Asset durch Transparenz.
AVV mit allen Dienstleistern: Sichert Drittland-Transfers
Pflicht für Hosting, Analytics oder Fonts; inklusive SCCs für USA-Transfers. Verhindert Haftungsfallen und optimiert Lieferketten.
Betroffenenrechte managen: Baut Wettbewerbsvorteile auf
Schnelle Reaktion auf Löschungs- oder Auskunftsanfragen innerhalb 30 Tagen stärkt Reputation und vermeidet Eskalationen zur DSB.
Warum dieser Ansatz? Die strategischen Vorteile für Ihr Business
Dieser Quick Guide betont strategische Compliance statt Quick-Fixes: Langfristig schützt er vor Bußgeldern (Österreich: zunehmend durch DSB) und ermöglicht Skalierung ohne Datenschutz-Hürden.
Höhere ROI durch Risikominimierung
Investition in Compliance (ca. 1–2 Tage Arbeit) spart Abmahnkosten (bis 50.000 € nach TKG) und steigert Conversion-Rates um bis zu 20 % durch Nutzervertrauen.
Zukunftssicherheit vs. kurzfristige Plugins
Generische Generatoren bergen Urheberrechtsrisiken; individuelle Anpassung an WKO-Vorlagen sichert gegen Rechtsänderungen (z. B. E-Privacy-Verordnung).
Vergleich zu Alternativen
| Ansatz | Vorteile | Nachteile |
|---|---|---|
| Dieser Guide | Vollständig, österreich-spezifisch, skalierbar | Erfordert Initialaufwand |
| Kostenlose Generatoren | Schnell | Abmahnbedroht, ungenau |
| Agentur-Only | Expertenwissen | Hohe Kosten (ab 2.000 €) |
Schritt-für-Schritt-Anleitung
Schritt 1: Website-Analyse – Identifizieren Sie alle Datenflüsse
Führen Sie eine vollständige Prüfung durch, um Cookies, Plugins und Formulare zu erfassen. Nutzen Sie Tools wie uMatrix oder Ghostery im Browser.
- Öffnen Sie Ihre Site inkognito.
- Blocken Sie Tracker und listen Sie alle (z. B. Google Fonts, Analytics).
Ergebnis: Basis für Verzeichnis der Verarbeitungstätigkeiten (VdV).
Schritt 2: Datenschutzerklärung erstellen – Erfüllen Sie Art. 13 DSGVO
Navigieren Sie zu Einstellungen > Datenschutz oder nutzen Sie WKO-Vorlagen. Integrieren Sie Pflichtangaben (Verantwortlicher, Zwecke, Rechte).
- Fügen Sie Kontaktdaten, DSB (falls vorhanden) und Speicherdauern ein.
- Linken Sie im Footer prominent.
Ergebnis: Transparente Info, Bußgeldschutz.
Schritt 3: Cookie-Banner & Einwilligung – Implementieren Sie Opt-in
Installieren Sie ein CMP-Plugin (z. B. Consent Manager) unter Plugins > Installieren. Konfigurieren Sie keine Pre-Ticking, blocken Sie 3rd-Party bis Consent.
- Kategorisieren: Essentiell (berechtigtes Interesse), Optional (Einwilligung).
- Testen: Keine Tracking-Skripte vor Banner.
Ergebnis: TKG-/DSGVO-konform, Nutzerzentriert.
Schritt 4: AVV & SSL prüfen – Sichern Sie Drittanbieter
Gehen Sie zu Hosting-Panel und laden AVV-Vorlagen herunter (WKO). Unterzeichnen mit allen (z. B. Hetzner, Google). Aktivieren Sie HTTPS via Let’s Encrypt.
- Prüfen Drittland-Transfers (SCCs).
Ergebnis: Rechtssichere Ketten.
Schritt 5: Prozesse dokumentieren – Richten Sie Rechte-Management ein
Erstellen Sie VdV in Excel (Daten, Zweck, Rechtsgrundlage). Definieren Sie Workflow für Anfragen (E-Mail: datenschutz@ihre-domain.at).
- Schulen Sie Team (30 Min.).
Ergebnis: Audit-Ready.
Häufig gestellte Fragen (FAQ)
Brauche ich einen Datenschutzbeauftragten (DSB)?
Nein, nur bei systematischer Überwachung oder sensiblen Daten (Art. 37 DSGVO). Für Standard-Websites reicht Selbstprüfung;
Welche Cookies sind ohne Einwilligung erlaubt?
Nur technische (z. B. Session-Cookies für Warenkorb) nach § 165 TKG. Tracking wie GA erfordert Opt-in. Testen Sie mit Tools.
Was tun bei USA-Tools wie Google Analytics?
Schließen AVV + SCCs; anonymisieren IP. Alternativ: EU-Hosts wählen. Unsere Experten prüfen in Schulungen.
Wie oft muss ich die Checkliste aktualisieren?
Jährlich oder bei Änderungen (neue Plugins). DSB-Kontrollen steigen 2025.
Was kostet Non-Compliance?
Bis 20 Mio. € oder 4 % Umsatz (DSGVO) + 50.000 € (TKG). Prävention lohnt.
Hilft WordPress dabei?
Ja, mit Plugins wie Complianz.