DSGVO in der Webentwicklung
Praxis-Guide für rechtssichere Websites. So setzt du DSGVO einfach um: Rechtsgrundlagen, Cookies/Consent, Verträge, Datenübermittlungen & Checkliste. Mit Beispielen und Tabelle.
Warum dich das Thema angeht
Sobald du Kontaktformulare, Tracking, eingebettete Medien, Newsletter oder Shop-Funktionen nutzt, verarbeitest du personenbezogene Daten. Damit gelten DSGVO-Pflichten: Rechtsgrundlage, Transparenz, Sicherheit, Verträge mit Dienstleistern und ggf. besondere Regeln für Cookies/Tracker. Wer das sauber umsetzt, reduziert Abmahn-Risiken, steigert Vertrauen – und schafft eine stabile Basis für Marketing & Wachstum.
Die wichtigsten DSGVO-Bausteine
Rollen klären:
Verantwortlicher (Controller): Du entscheidest Zwecke und Mittel der Verarbeitung.
Auftragsverarbeiter (Processor):
Dienstleister, die in deinem Auftrag Daten verarbeiten (z. B. Hosting, E-Mail-Versand). Mit ihnen brauchst du einen Vertrag nach Art. 28 DSGVO (u. a. Weisungsbindung, TOMs, Löschung, Audit-Rechte).
Rechtsgrundlagen (Art. 6 DSGVO):
Typisch sind Vertragserfüllung (z. B. Bestellung), Einwilligung (z. B. Newsletter, nicht notwendige Cookies) und berechtigte Interessen (z. B. Server-Logs mit IP-Kürzung).
Verzeichnis & Risiko-Check:
Verzeichnis von Verarbeitungstätigkeiten (Art. 30): Was, warum, wie lange, mit wem? Pflicht für praktisch alle Unternehmen.
DSFA/DPIA (Art. 35):
Datenschutz-Folgenabschätzung bei hohem Risiko (z. B. umfangreiches Tracking, besondere Kategorien).
Betroffenenrechte & Transparenz:
Recht auf Auskunft, Löschung, Widerspruch etc.; klar verständliche Datenschutzerklärung mit allen Tools, Empfängern, Zwecken, Rechtsgrundlagen und Speicherdauern.
Technische & organisatorische Maßnahmen (TOMs):
TLS/HTTPS, Rollen-/Rechtekonzept, Pseudonymisierung, Protokollierung, Updates/Backups, Aufbewahrungs- & Löschkonzept.
Cookies & Consent: Was gilt wirklich?
Für Speichern/Lesen auf Endgeräten (z. B. Cookies, LocalStorage) brauchst du in Deutschland grundsätzlich vorherige Einwilligung, wenn es nicht unbedingt erforderlich ist (z. B. für Warenkorb-Funktion). Das regelt § 25 TDDDG (früher TTDSG).
Wichtig: „Weiter-Scrollen = Zustimmung“ ist keine gültige Einwilligung. Ein Consent braucht eine klare, aktive Handlung (z. B. Button).
Praxis-Tipp: Setze einen CMP mit sauberer Voreinstellung (alles aus bis Zustimmungs-Klick), granularen Zwecken, Protokollierung und jederzeit widerrufbarer Einwilligung.
Internationale Datentransfers (USA & Co.)
Übermittelst du Daten in Drittländer, brauchst du eine Rechtsgrundlage nach Kapitel V DSGVO. Optionen:
-
Angemessenheitsbeschluss (z. B. EU-US Data Privacy Framework – für zertifizierte US-Unternehmen).
-
Standardvertragsklauseln (SCCs) + ggf. zusätzliche Maßnahmen laut EDPB-Empfehlungen (Verschlüsselung, Minimierung, Prüfungen).
(Stand: Der DPF wurde 2023 beschlossen und 2025 gerichtlich bestätigt; Rechtsmittel sind möglich – also Transfers regelmäßig prüfen.)
Beispiele aus dem Alltag – so setzt du’s richtig um
| Use Case | Rechtsgrundlage + Tools | Must-Haves |
|---|---|---|
| Kontaktformular | Vertrag/ vorvertragliche Massnahmen (Art. 6 (1)(b)); optional berecht. Interesse (Logs/Spam-Schutz) | SSL, Felder-Minimierung, Speicherdauer definieren, AV-Vertrag mit Mail-/Hosting-Provider, Hinweis in Datenschutzerklaerung |
| Newsletter | Einwilligung (Double-Opt-In) | DOI-Protokoll, Abmeldelink, Listen-Hygiene, AV-Vertrag mit Versanddienst, Zweckbindung |
| Analytics | Einwilligung, vorher kein Laden nicht notwendiger Cookies | IP-Kuerzung, Server-Side/Proxy erwaegen, Datenuebermittlung (SCC/DPF) pruefen, Opt-out/Widerruf |
| Eingebettete Videos (YouTube/Vimeo) | i. d. R. Einwilligung (denn Cookies/Tracking) | No-Cookie/Privatsphaere-Modi, Consent-Gate (Placeholders), lokale Vorschaubilder |
| reCAPTCHA + Spam-Schutz | oft Einwilligung oder berecht. Interesse + TTDSG/TDDDG § 25 beachten | Consent-Loesung oder Alternative (z. B. hCaptcha, Fragen/Time-Based-Checks), Transparenz |
| Shop-Checkout | Vertrag, gesetzliche Pflichten (Steuer/Beleg) | DSGVO-konformes Payment, minimal noetige Daten, Aufbewahrungsfristen, Zugriffs-/Rollen |
| Bewerbungsformular | Einwilligung/vertragliche Anbahnung, besondere Kategorien vermeiden | HTTPS, Verschluesselung at rest, Loeschfristen (z. B. 6 Monate), gesonderter Zweck |
Auftragsverarbeitung (Art. 28 DSGVO) – dein Vertrags-Pflichtenhefter
Schließe AV-Verträge mit Hosting, E-Mail, Newsletter, Analytik, Chat, CRM, CDP, Support-Tools. Prüfe: Unterauftragsverarbeiter, TOMs, Ort der Verarbeitung, Löschkonzept, Audit-Rechte.
Entwickler-To-dos (TOMs) für eine „privacy-first“ Website
-
Security by Default: HTTPS, HSTS, aktuelle Server/Frameworks, Geheimnisse in Vaults.
-
Datenminimierung: nur nötige Felder, IP-Kürzung, Logs rotieren/anonymisieren.
-
Privacy by Design: Consent-Gate vor Trackern, Lazy-Load externer Inhalte erst nach Zustimmung, Self-Hosting (z. B. Fonts, JS-Libs).
-
Rechenschaft: Events, Consent-Logs, Prozess-Doku (Art. 30), regelmäßige Audits.
Mini-Checkliste vor dem Go-Live
-
Datenlandkarte/Verzeichnis (Art. 30) gepflegt?
-
Rechtsgrundlagen je Feature dokumentiert (Formular, Shop, Tracking)?
-
Consent-Banner korrekt (Opt-in, granular, Widerruf)?
-
AV-Verträge mit allen Dienstleistern?
-
Drittlandtransfers geprüft (DPF/SCCs, zusätzliche Maßnahmen)?
-
DSFA nötig? (z. B. umfangreiches Tracking/Profiling)
-
Betroffenenrechte & Datenschutzerklärung vollständig und verständlich?
-
Lösch- & Aufbewahrungsfristen technisch umgesetzt?
Kurzes Praxisbeispiel: „Vom Bauchladen zur sauberen Basis“
Du betreibst einen WooCommerce-Shop mit Kontaktformular, GA4, YouTube-Produktvideos und Newsletter.
-
Dateninventur & Verzeichnis: Formulare, Bestellungen, Versand, Zahlungen, Support, Newsletter, Analytics.
-
Rechtsgrundlagen je Verarbeitung: Checkout = Vertrag; Newsletter = Einwilligung; Logs = berecht. Interesse.
-
Consent-Setup: CMP blockt GA4 & YouTube bis Opt-in; Server-Side-Tagging ohne Marketing-IDs vor Einwilligung.
-
AV-Verträge: Hoster, Payment-Provider, E-Mail/Newsletter, Analytics.
-
Drittländer: Prüfen, ob US-Dienste DPF-zertifiziert sind; sonst SCCs + Zusatzmaßnahmen.
-
Transparenz & Löschung: Datenschutzerklärung aktualisieren; Löschfristen im Shop/CRM automatisieren.
Ergebnis: Rechtssichere Basis, weniger Risiko – und ein Consent-Setup, das fair ist und messbar funktioniert.
Häufige Missverständnisse
-
„Analytics immer ohne Einwilligung erlaubt.“ – Nur, wenn unbedingt erforderlich und ohne Endgerätezugriff/Tracking-IDs; praktisch brauchst du meist Consent.
-
„Scroll-Zustimmung reicht.“ – Nein. Aktive, informierte Einwilligung ist Pflicht.
-
„USA sind wieder komplett unproblematisch.“ – Nur für DPF-zertifizierte Organisationen; sonst SCCs + Prüfung.
DSGVO Audit To-do-Liste für deine Website
1) Scope & Datenlandkarte
-
Systeme & Datenflüsse erfassen (Website, Shop, CMS, Tag Manager, CRM, Newsletter, Hosting, CDN)
-
Personenbezogene Daten je Feature notieren (Formulare, Checkout, Login, Tracking, Chat, eingebettete Medien)
-
Empfänger/Dienstleister auflisten (inkl. Standort/Land)
-
Datenkategorien, Speicherorte, Speicherdauern festhalten
2) Rechtsgrundlagen je Verarbeitung
-
Pro Verarbeitung Zweck + Rechtsgrundlage (Art. 6 DSGVO) bestimmen
-
„Unbedingt erforderliche“ vs. „einwilligungspflichtige“ Endgerätezugriffe (Cookies/LocalStorage) trennen
-
Berechtigtes Interesse dokumentieren (Interessenabwägung)
-
Double-Opt-In für Newsletter prüfen (Nachweis/Protokoll)
3) Verzeichnis & ggf. DSFA
-
Verzeichnis von Verarbeitungstätigkeiten (Art. 30) aktualisieren
-
Risiko bewerten: braucht es eine DSFA (Art. 35)? Falls ja: durchführen & Maßnahmen beschließen
-
Lösch- & Aufbewahrungskonzept je Datenart dokumentieren
4) Auftragsverarbeitung (Art. 28)
-
AV-Verträge mit allen Prozessoren (Hosting, Mail, Newsletter, Analytics, Chat, Support, CDP/CRM)
-
Unterauftragsverarbeiter, TOMs, Speicherorte, Löschfristen geprüft
-
Kündigungs-/Rückgabe-/Löschregelungen verifizieren
5) Drittlandtransfers
-
Prüfen, ob Empfänger außerhalb EU/EWR (z. B. USA) Daten erhalten
-
Rechtsgrundlage wählen (z. B. EU-US DPF-Zertifizierung oder SCCs + Zusatzmaßnahmen)
-
Dokumentation & regelmäßige Re-Evaluation einplanen
6) Consent & Cookies (TDDDG/TTDSG)
-
Consent Management Platform (CMP) korrekt konfiguriert (Opt-in, granular, Widerruf jederzeit)
-
Tag Manager: Blocken vor Einwilligung (keine Marketing-/Komfort-Skripte ohne Consent)
-
Cookie-Scan: Kategorien, Zwecke, Laufzeiten, Anbieter sauber ausweisen
-
Einbettungen (YouTube, Maps, reCAPTCHA): 2-Klick-Lösung/Placeholders + Consent
7) Transparenz & Nutzerrechte
-
Datenschutzerklärung aktualisiert (Tools, Zwecke, Rechtsgrundlagen, Empfänger, Speicherdauern, Drittlandtransfers)
-
Impressum & Kontaktwege vollständig
-
Prozesse für Betroffenenrechte (Auskunft, Löschung, Widerspruch, Datenübertragbarkeit) definiert
-
Interne SLA/Fristen (i. d. R. 1 Monat) und Verantwortliche festlegen
8) Technische & organisatorische Maßnahmen (TOMs)
-
HTTPS/HSTS aktiv, aktuelle TLS-Konfiguration
-
Rollen-/Rechtemanagement, MFA für Admins, Least-Privilege
-
Updates/Patches (CMS, Plugins, Server), Backups (verschlüsselt, getestet)
-
Protokollierung/Monitoring (Security-Logs, Admin-Aktionen)
-
Datenminimierung: nur notwendige Felder; IP-Kürzung, Log-Retention
-
Content Security Policy (CSP), Subresource Integrity (SRI) für externe Skripte (sofern möglich)
9) Spezialfälle Website/Shop
-
Kontaktformulare: Felder minimieren, Spam-Schutz ohne Tracking oder mit Consent
-
Checkout: nur notwendige Daten, Zahlungs-/Versand-Empfänger dokumentiert, Aufbewahrungsfristen im Shop/ERP
-
Webfonts/JS: wenn möglich selbst hosten
-
Server-Side Tagging/Proxy: datensparsam konfiguriert, keine IDs ohne Einwilligung
10) Incident & Governance
-
Prozess Datenpannen (Erkennung, Bewertung, Meldung Aufsicht/Betroffene, Fristen)
-
Interne Richtlinien/Schulungen (Marketing, Redaktion, IT)
-
Jährlicher Privacy-Audit + Quartals-Consent-Check einplanen
-
Change-Management: neue Tools nur nach Datenschutz-Vorprüfung einführen
11) Go-Live-/Re-Launch-Check (Finale Abnahme)
-
Staging-Scan: keine Tracker ohne Consent, Cookies stimmen, Banner rechtssicher
-
Datenschutzerklärung/Impressum final, Links in Footer sichtbar
-
Sitemaps/Robots.txt ok; keine sensiblen Staging-Reste öffentlich
-
Redirects & Caching prüfen (keine Leaks von personenbezogenen Testdaten)
Bonus: Zuständigkeiten & Artefakte
-
Owner Datenschutz (intern/extern) benannt
-
Ablage: Verzeichnis nach Art. 30, AV-Verträge, Transfer-Doku, DSFA, TOMs-Übersicht, Löschkonzept, Incident-Prozess
-
CMP-Protokolle & DOI-Nachweise versioniert
Fazit
DSGVO-Konformität ist kein Bremsklotz, sondern ein Qualitätsmerkmal. Mit klaren Rollen, dokumentierten Rechtsgrundlagen, sauberem Consent, robusten TOMs und geprüften Transfers baust du Vertrauen auf – und bekommst zugleich eine Mess- und Marketingbasis, die langfristig trägt. Wenn du willst, setzen wir das gemeinsam auf: von Audit & Consent-Setup bis Technik-Umsetzung.
