TL;DR -- Die 10-Punkte-Checkliste

Bevor Sie den ganzen Artikel lesen: Hier die zehn Punkte, die Ihre Website erfüllen muss. Wenn Sie bei einem Punkt unsicher sind, lesen Sie den zugehörigen Abschnitt weiter unten.

Wenn Sie mehr als zwei Punkte nicht abhaken können, sollten Sie handeln. Nicht irgendwann, sondern diese Woche. Die österreichische Datenschutzbehörde (DSB) verhängt seit 2024 regelmäßig Bußgelder, und die Beschwerden steigen.

---

Datenschutzerklärung: Was rein muss

Die Datenschutzerklärung ist das Fundament Ihrer DSGVO-Compliance. Eine generische Vorlage von 2018 reicht nicht mehr. Die DSB prüft konkret, ob Ihre Erklärung die tatsächlichen Verarbeitungsvorgänge abbildet.

Pflichtinhalte nach Art. 13 und 14 DSGVO

Folgende Angaben müssen in jeder Datenschutzerklärung stehen:

• Name und Kontaktdaten des Verantwortlichen: Firmenname, Adresse, E-Mail. Bei einer GmbH der vertretungsbefugte Geschäftsführer.
• Kontaktdaten des Datenschutzbeauftragten (falls einer bestellt ist -- bei unter 250 Mitarbeitern in Österreich meist nicht verpflichtend, aber empfohlen ab 20 Mitarbeitern).
• Zweck und Rechtsgrundlage jeder Verarbeitung: Nicht „Wir verarbeiten Ihre Daten zur Vertragserfüllung", sondern konkret: „Wir speichern Ihre E-Mail-Adresse zur Beantwortung Ihrer Kontaktanfrage (Art. 6 Abs. 1 lit. b DSGVO)."
• Berechtigte Interessen (falls Art. 6 Abs. 1 lit. f als Rechtsgrundlage dient): Was genau ist das berechtigte Interesse? Und warum überwiegt es die Interessen des Betroffenen?
• Empfänger oder Kategorien von Empfängern: Hosting-Provider, E-Mail-Dienst, Analytics-Tool, Newsletter-Tool -- alles benennen.
• Drittlandübermittlung: Werden Daten in die USA oder andere Drittländer übertragen? Seit dem Angemessenheitsbeschluss für die USA (Data Privacy Framework, Juli 2023) ist die Übermittlung an DPF-zertifizierte Unternehmen rechtlich abgesichert. Prüfen Sie aber, ob Ihre Dienstleister tatsächlich zertifiziert sind.
• Speicherdauer: Konkrete Fristen oder Kriterien. „So lange wie nötig" ist nicht ausreichend.
• Betroffenenrechte: Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch.
• Beschwerderecht bei der DSB: Österreichische Datenschutzbehörde, Barichgasse 40-42, 1030 Wien, dsb.gv.at.
• Ob die Bereitstellung der Daten gesetzlich oder vertraglich vorgeschrieben ist und welche Folgen die Nichtbereitstellung hat.

Österreich-spezifische Besonderheiten

Das österreichische Datenschutzgesetz (DSG) ergänzt die DSGVO in einigen Punkten:

• Section 2 DSG definiert zusätzliche Strafbestimmungen. Die DSB kann Verwaltungsstrafen bis zu 50.000 EUR bei Verletzung des Grundrechts auf Datenschutz verhängen -- das kommt auf die DSGVO-Bußgelder obendrauf.
• Bildverarbeitung (Section 12 und 13 DSG): Wenn Sie auf Ihrer Website Fotos von Personen zeigen (Teamseite, Events), brauchen Sie eine Einwilligung oder ein berechtigtes Interesse. Stockfotos sind unkritisch, echte Mitarbeiterfotos erfordern dokumentierte Zustimmung.
• DSB-Beschwerden sind kostenlos: Jeder kann formlos bei der DSB Beschwerde einlegen. Das macht Beschwerden niedrigschwellig und häufig.

Praxis-Tipp

Schreiben Sie die Datenschutzerklärung nicht selbst zusammen, wenn Sie kein Jurist sind. Nutzen Sie einen Generator wie den der WKO oder den Datenschutz-Generator von Dr. Schwenke -- aber passen Sie das Ergebnis an. Generatoren decken die Basics ab, aber nicht Ihre individuellen Tools und Datenflüsse.

---

Cookie-Consent: Die richtige Lösung wählen

Seit dem EuGH-Urteil „Planet49" (2019) und der konsequenten Linie der österreichischen DSB ist klar: Cookies, die nicht technisch notwendig sind, brauchen eine aktive Einwilligung. Kein vorausgefülltes Häkchen, kein „Durch Weitersurfen stimmen Sie zu", kein Cookie-Wall ohne echte Alternative.

Was technisch notwendig ist (und was nicht)

Technisch notwendig (kein Consent erforderlich):

• Session-Cookies für Login/Warenkorb
• CSRF-Token
• Load-Balancer-Cookies
• Cookie-Consent-Cookie selbst (speichert die Entscheidung)

Nicht technisch notwendig (Consent erforderlich):

• Google Analytics / GA4
• Facebook Pixel
• Hotjar, Clarity, Mouseflow
• Google Ads Remarketing
• YouTube-Embeds (setzen Cookies)
• Google Maps-Embeds
• Social-Media-Plugins mit Tracking
• A/B-Testing-Tools (Optimizely, VWO)

Consent-Manager im Vergleich

Drei Tools dominieren den österreichischen Markt. Hier der Vergleich:

Unsere Empfehlung: Für die meisten KMU-Websites ist Cookiebot oder Consentmanager die pragmatische Wahl. Die automatische Cookie-Erkennung erspart Ihnen manuelle Pflege. Klaro ist die bessere Option, wenn Sie volle Kontrolle wollen und ein Entwicklerteam haben, das die Konfiguration pflegt.

Häufige Consent-Fehler

1. „Alle akzeptieren" ist prominenter als „Ablehnen": Die DSB und der EDPB haben klargestellt, dass Ablehnen genauso einfach sein muss wie Akzeptieren. Gleiche Ebene, gleiche Sichtbarkeit.
2. Dark Patterns: Grauer Text auf grauem Hintergrund für „Ablehnen" ist nicht DSGVO-konform. Punkt.
3. Consent Wall ohne Alternative: Sie dürfen den Zugang zur Website nicht davon abhängig machen, dass der Nutzer Tracking akzeptiert -- es sei denn, Sie bieten eine echte Abo-Alternative (Paywall-Modell).
4. Kein Widerruf möglich: Der Nutzer muss seine Einwilligung jederzeit widerrufen können. Ein Link im Footer „Cookie-Einstellungen" reicht. Fehlt er, ist das ein Verstoß.

---

Google Analytics 4 und DSGVO: Geht das noch?

Die kurze Antwort: Ja, aber nur unter bestimmten Bedingungen. Die lange Antwort ist komplizierter.

Die Rechtslage 2026

Nach dem Schrems-II-Urteil (2020) war Google Analytics in der EU praktisch illegal. Seit dem EU-US Data Privacy Framework (DPF, Juli 2023) gibt es wieder eine Rechtsgrundlage für die Datenübermittlung an US-Unternehmen, die am DPF teilnehmen. Google LLC ist DPF-zertifiziert.

Das bedeutet: Die reine Datenübermittlung in die USA ist rechtlich abgesichert -- solange Google seine DPF-Zertifizierung behält. Aber es bleiben Pflichten:

• Einwilligung einholen: GA4 ist kein „berechtigtes Interesse". Sie brauchen eine aktive Einwilligung via Cookie-Consent.
• IP-Anonymisierung: GA4 anonymisiert IP-Adressen standardmäßig, bevor sie an Google-Server gesendet werden. Gut, aber prüfen Sie, ob das wirklich aktiv ist.
• Google Signals deaktivieren: Wenn Google Signals aktiv ist, verknüpft Google Analytics-Daten mit dem Google-Konto des Nutzers. Das erfordert eine besonders informierte Einwilligung.
• Datenspeicherdauer begrenzen: Stellen Sie die Aufbewahrungsdauer auf 2 Monate (Minimum).
• AVV abschließen: Google bietet einen Auftragsverarbeitungsvertrag in den Admin-Einstellungen. Aktivieren Sie ihn.
• Datenschutzerklärung aktualisieren: GA4, Zweck, Rechtsgrundlage, Speicherdauer, Opt-out-Möglichkeit.

Alternativen zu Google Analytics

Wenn Sie den rechtlichen Aufwand mit GA4 nicht wollen -- oder wenn Sie ein Analytics-Tool suchen, das ohne Consent-Banner funktioniert -- gibt es drei ernstzunehmende Alternativen:

Matomo ist die umfassendste Alternative. Bei Self-Hosting bleiben alle Daten auf Ihrem Server. Wenn Sie Matomo ohne Cookies konfigurieren (fingerprint-basiert), brauchen Sie in der Regel keine Einwilligung -- die österreichische DSB hat das allerdings nicht explizit bestätigt. Sicherer ist es, auch bei Matomo einen kurzen Consent-Hinweis einzubauen.

Plausible und Fathom sind leichtgewichtig und datenschutzfreundlich by Design. Kein Cookie, kein Fingerprinting, kein Consent nötig. Dafür fehlen tiefere Analysen wie Funnels, Segmente oder User-Flows.

Unsere Empfehlung: Wenn Sie detaillierte Daten brauchen, nehmen Sie Matomo Self-Hosted. Wenn Ihnen Pageviews, Referrer und Top-Seiten reichen, ist Plausible die sauberste Lösung.

---

Kontaktformulare, Newsletter und Bewerbungsformulare

Formulare sind die häufigste Stelle, an der personenbezogene Daten direkt eingegeben werden. Und damit eine der häufigsten Fehlerquellen.

Kontaktformulare

Mindestanforderungen:

• Datenschutz-Hinweis direkt am Formular: Ein Satz wie „Ihre Daten werden nur zur Bearbeitung Ihrer Anfrage verwendet. Mehr dazu in unserer [Datenschutzerklärung]." reicht.
• Checkbox für die Einwilligung: Nicht vorausgefüllt. Der Nutzer muss aktiv bestätigen, dass er die Datenschutzerklärung gelesen hat. Technisch: required-Attribut setzen.
• Keine unnötigen Pflichtfelder: Fragen Sie nur ab, was Sie wirklich brauchen. Telefonnummer als Pflichtfeld bei einer E-Mail-Anfrage ist nicht verhältnismäßig.
• Verschlüsselte Übertragung: HTTPS ist Pflicht, aber auch die E-Mail-Weiterleitung sollte über TLS laufen.
• Speicherdauer definieren: Wie lange speichern Sie die Anfrage? 6 Monate? 12 Monate? Dokumentieren und in der Datenschutzerklärung angeben.

Newsletter

Newsletter fallen unter die DSGVO und das österreichische Telekommunikationsgesetz 2021 (TKG 2021, Section 174):

• Double Opt-in ist Pflicht: Der Nutzer meldet sich an, erhält eine Bestätigungs-E-Mail, klickt den Link. Erst dann darf der Newsletter versendet werden.
• Dokumentation der Einwilligung: Speichern Sie Zeitpunkt, IP-Adresse und den genauen Text der Einwilligung.
• Abmeldelink in jeder E-Mail: Jeder Newsletter muss einen funktionierenden Abmeldelink enthalten.
• Kein Kopplungsverbot umgehen: „Newsletter abonnieren, um das Whitepaper herunterzuladen" ist problematisch, wenn der Newsletter nichts mit dem Whitepaper zu tun hat.
• AVV mit dem Versanddienstleister: Mailchimp, Brevo (ehemals Sendinblue), CleverReach -- mit jedem brauchen Sie einen AVV.

Bewerbungsformulare

Bewerberdaten sind besonders sensibel:

• Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen). Keine separate Einwilligung nötig, aber ein klarer Hinweis.
• Speicherdauer nach Absage: In Österreich empfiehlt die DSB eine Aufbewahrung von maximal 7 Monaten nach Absage (wegen möglicher Gleichbehandlungsklagen nach GlBG, die innerhalb von 6 Monaten eingebracht werden müssen).
• Talentpool nur mit Einwilligung: Wenn Sie Bewerberdaten für künftige Stellen speichern wollen, brauchen Sie eine separate, freiwillige Einwilligung.
• Keine Weiterleitung an Dritte ohne Information und Rechtsgrundlage.

---

Auftragsverarbeitungsverträge: Die AVV-Pflicht

Jedes Mal, wenn ein externer Dienstleister personenbezogene Daten in Ihrem Auftrag verarbeitet, brauchen Sie einen Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO. Das klingt bürokratisch, ist aber in der Praxis schnell erledigt -- die meisten SaaS-Anbieter haben fertige AVVs.

Wo Sie AVVs brauchen

Wie Sie an die AVVs kommen

• Google: In der Admin-Konsole unter „Konto" > „Rechtliches" den Zusatz zur Datenverarbeitung aktivieren.
• Microsoft 365: Der Data Protection Addendum (DPA) ist automatisch Teil der Nutzungsbedingungen.
• Hetzner, Strato: AVV als PDF im Kundenbereich zum Download.
• Mailchimp: Data Processing Addendum in den Kontoeinstellungen akzeptieren. Achtung: Mailchimp sitzt in den USA -- DPF-Zertifizierung prüfen.
• Kleinere Anbieter: Schreiben Sie eine E-Mail: „Wir benötigen gemäß Art. 28 DSGVO einen Auftragsverarbeitungsvertrag. Haben Sie eine Vorlage?" Wenn der Anbieter keine hat, ist das ein Warnsignal.

AVV-Checkliste

Ein gültiger AVV muss mindestens enthalten:

• Gegenstand und Dauer der Verarbeitung
• Art und Zweck der Verarbeitung
• Kategorien betroffener Personen und Daten
• Pflichten und Rechte des Verantwortlichen
• Technische und organisatorische Maßnahmen (TOMs)
• Regelungen zu Subunternehmern
• Löschung/Rückgabe nach Vertragsende
• Unterstützung bei Betroffenenanfragen und Datenschutz-Folgenabschätzungen

---

Impressumspflicht in Österreich: ECG, nicht nur DSGVO

Viele verwechseln Impressum und Datenschutzerklärung oder glauben, deutsches Recht gelte auch in Österreich. In Österreich regelt das E-Commerce-Gesetz (ECG) die Impressumspflicht -- nicht das deutsche TMG/DDG.

Pflichtangaben nach Section 5 ECG

• Name oder Firma des Dienstanbieters
• Geografische Adresse der Niederlassung (Postfach reicht nicht)
• Kontaktdaten: E-Mail-Adresse und eine weitere schnelle Kontaktmöglichkeit (Telefon oder Kontaktformular)
• Firmenbuchnummer und Firmenbuchgericht (falls im Firmenbuch eingetragen)
• UID-Nummer (falls vorhanden)
• Zuständige Aufsichtsbehörde (falls eine genehmigungspflichtige Tätigkeit ausgeübt wird)
• Kammer/Berufsverband und Berufsbezeichnung (bei reglementierten Gewerben)
• Verweis auf anwendbare Rechtsvorschriften (bei reglementierten Gewerben)

Unterschiede zur deutschen Regelung

Praxis-Fehler beim Impressum

• Impressum nur als Bild: Muss als Text lesbar und maschinell verarbeitbar sein.
• Impressum versteckt: Muss von jeder Seite aus mit maximal zwei Klicks erreichbar sein. Üblich: Link im Footer.
• Fehlende UID-Nummer: Wenn Sie eine haben, gehört sie ins Impressum. Auch Kleinunternehmer mit UID.
• Veraltete Adresse: Nach einem Umzug vergessen viele, das Impressum zu aktualisieren. Das kann eine Abmahnung nach sich ziehen.

---

Häufige DSGVO-Fehler auf Websites

Diese Fehler finden wir bei fast jedem Website-Audit, das wir durchführen. Prüfen Sie Ihre Seite gezielt auf diese Punkte.

1. Google Fonts extern eingebunden

Das ist der Klassiker. Wenn Ihre Website Google Fonts direkt von fonts.googleapis.com lädt, wird bei jedem Seitenaufruf die IP-Adresse des Nutzers an Google-Server in den USA übertragen -- ohne Einwilligung, ohne Rechtsgrundlage.

Lösung: Laden Sie die Fonts herunter und hosten Sie sie auf Ihrem eigenen Server. Bei Next.js passiert das automatisch über next/font/google. Bei WordPress gibt es Plugins wie „OMGF" (Optimize My Google Fonts).

Das LG München hat 2022 einem Nutzer 100 EUR Schadensersatz zugesprochen -- und danach folgten Tausende Abmahnungen in Deutschland und Österreich. Die Welle ist vorbei, aber der Verstoß bleibt.

2. YouTube-Videos ohne Consent

Ein eingebettetes YouTube-Video setzt Cookies, noch bevor der Nutzer auf Play drückt. Die Standard-Embed-URL youtube.com/embed/... trackt sofort.

Lösungen:

• youtube-nocookie.com: Verwenden Sie https://www.youtube-nocookie.com/embed/.... Das reduziert das Tracking, eliminiert es aber nicht vollständig.
• 2-Klick-Lösung: Zeigen Sie ein Vorschaubild. Erst beim Klick wird das Video geladen -- mit Hinweis auf die Datenübertragung an Google.
• Consent-gesteuert: Laden Sie das YouTube-Embed nur, wenn der Nutzer im Cookie-Banner dem Kategorie „Marketing" oder „Externe Medien" zugestimmt hat.

3. Google Maps ohne Consent

Gleiches Problem wie bei YouTube. Google Maps lädt Tracking-Cookies und überträgt die IP-Adresse an Google.

Lösungen:

• Statisches Kartenbild mit Link zu Google Maps: Kein Tracking, kein Consent nötig.
• 2-Klick-Lösung: Karte wird erst nach Klick und Hinweis geladen.
• OpenStreetMap als Alternative: Keine Datenübertragung an Google. Leaflet.js als JavaScript-Bibliothek ist kostenlos und DSGVO-freundlich.

4. Social-Media-Plugins mit direktem Tracking

Der Facebook-Like-Button, der Twitter-Share-Button, das LinkedIn-Widget -- all diese Plugins übertragen Nutzerdaten an die jeweiligen Plattformen, sobald die Seite geladen wird.

Lösung: Verwenden Sie einfache Links (Share-URLs) statt eingebetteter Plugins. https://www.facebook.com/sharer/sharer.php?u=IHRE-URL funktioniert ohne jedes Tracking.

5. Kontaktformulare ohne Datenschutz-Hinweis

Kein Hinweis auf die Datenverarbeitung, keine Checkbox, keine Verlinkung zur Datenschutzerklärung. Ein häufiger Fehler, besonders bei WordPress-Formularen mit Contact Form 7 oder WPForms.

6. Fehlende oder fehlerhafte SSL-Verschlüsselung

Jede Website, die personenbezogene Daten verarbeitet (und das tut jede Website mit Kontaktformular oder Analytics), muss verschlüsselt sein. Let's Encrypt ist kostenlos. Es gibt keine Ausrede.

Prüfen Sie auch: Leitet Ihre Website konsequent von HTTP auf HTTPS um? Mixed Content (HTTP-Ressourcen auf HTTPS-Seiten) ist ebenfalls ein Problem.

7. Veraltete WordPress-Plugins

Alte Plugins können Sicherheitslücken haben, die personenbezogene Daten gefährden. Das ist nicht nur ein Sicherheits-, sondern auch ein DSGVO-Problem -- Sie sind verpflichtet, angemessene technische Maßnahmen zu treffen (Art. 32 DSGVO).

---

Was passiert bei Verstoß? Strafen der österreichischen DSB

Die DSGVO sieht Bußgelder bis zu 20 Millionen EUR oder 4 % des weltweiten Jahresumsatzes vor. Das sind Maximalwerte, die in der Praxis fast nur Konzerne treffen. Aber auch für KMU sind die Konsequenzen real.

Bußgeldpraxis der DSB

Die österreichische Datenschutzbehörde verhängt seit 2024 deutlich mehr Bußgelder als in den Vorjahren. Einige Beispiele:

• Fehlendes Cookie-Consent: 5.000 bis 15.000 EUR für KMU-Websites ohne korrektes Opt-in.
• Unvollständige Datenschutzerklärung: 3.000 bis 10.000 EUR.
• Fehlender AVV: 5.000 bis 20.000 EUR, je nach Umfang der Verarbeitung.
• Unzulässige Datenübermittlung in Drittländer: 10.000 bis 50.000 EUR.
• Verstoß gegen Auskunftsrecht (Art. 15 DSGVO): Wenn ein Betroffener sein Auskunftsrecht ausübt und Sie nicht innerhalb eines Monats antworten, drohen Bußgelder ab 5.000 EUR.

Dazu kommt: Betroffene können Schadensersatz nach Art. 82 DSGVO geltend machen. Das Google-Fonts-Urteil hat gezeigt, dass auch immaterielle Schäden (Kontrollverlust über Daten) entschädigungsfähig sind.

Abmahnungen

In Österreich gibt es kein dem deutschen Wettbewerbsrecht vergleichbares Abmahnwesen bei DSGVO-Verstößen. Aber: Verbraucherschutzvereine und die WKO können durchaus Unterlassungsklagen einbringen. Und Mitbewerber können bei wettbewerbsrelevanten Verstößen über das UWG vorgehen.

Was die DSB tatsächlich prüft

Die DSB handelt primär auf Beschwerden. Proaktive Prüfungen sind selten, aber sie kommen vor -- besonders bei:

• Websites mit hohem Traffic
• Websites, die sensible Daten verarbeiten (Gesundheit, Finanzen)
• Wiederholten Beschwerden gegen denselben Verantwortlichen
• Offensichtlichen Verstößen (kein Cookie-Banner, kein Impressum)

Der häufigste Auslöser für ein Verfahren ist eine Einzelpersonenbeschwerde. Und die ist, wie gesagt, kostenlos und formlos möglich.

---

DSGVO und Website-Relaunch

Wenn Sie ohnehin einen Website-Relaunch planen, ist das der ideale Zeitpunkt, alle DSGVO-Themen sauber aufzusetzen. Nachträgliches Flicken ist immer aufwändiger als es gleich richtig zu machen.

Was in den Relaunch-Plan gehört

• Datenschutz-Folgenabschätzung (DSFA): Bei Websites mit umfangreichem Tracking oder Profiling empfohlen. Für eine Standard-KMU-Website in der Regel nicht nötig.
• Privacy by Design: Datenminimierung von Anfang an. Fragen Sie sich bei jedem Feature: Brauche ich diese Daten wirklich?
• Cookie-Consent-Integration: Den Consent-Manager frühzeitig in die Architektur einbauen, nicht als Nachgedanken.
• Content-Audit: Welche externen Ressourcen lädt die Website? Google Fonts, YouTube, Maps, Social Plugins -- alles erfassen und DSGVO-konform einbinden.
• Verarbeitungsverzeichnis aktualisieren: Art. 30 DSGVO verlangt ein Verzeichnis aller Verarbeitungstätigkeiten. Ein Relaunch ändert fast immer die Verarbeitungen.

Bei einer modernen Webentwicklung achten wir darauf, dass DSGVO-Konformität kein Afterthought ist, sondern Teil des technischen Fundaments.

---

Technische Umsetzung: Schnellreferenz für Entwickler

Falls Sie selbst entwickeln oder Ihren Dienstleister briefen wollen -- hier die wichtigsten technischen Maßnahmen:

Google Fonts lokal hosten

# Fonts herunterladen
# google-webfonts-helper.herokuapp.com oder fontsource.org nutzen
npm install @fontsource/inter

In Next.js:

import { Inter } from 'next/font/google'
const inter = Inter({ subsets: ['latin'] })

Next.js lädt Fonts automatisch zur Build-Zeit herunter und hostet sie lokal. Kein externer Request.

YouTube 2-Klick-Lösung

<!-- Vorschaubild statt direktem Embed -->
<div class="video-placeholder" data-video-id="VIDEO_ID">
  <img src="/thumbnails/video.jpg" alt="Video-Vorschau" />
  <p>Mit Klick auf Play wird eine Verbindung zu YouTube hergestellt.
     <a href="/datenschutz">Datenschutzerklärung</a>.</p>
  <button onclick="loadVideo(this)">Video laden</button>
</div>

Consent-gesteuerte Script-Ladung

<!-- Script wird erst nach Consent geladen -->
<script type="text/plain" data-cookieconsent="statistics">
  // Google Analytics Code hier
</script>

Bei Cookiebot oder Consentmanager wird der type automatisch von text/plain auf text/javascript geändert, sobald der Nutzer zustimmt.

---

DSGVO-Checkliste zum Abhaken

Drucken Sie diese Liste aus oder speichern Sie sie. Gehen Sie jeden Punkt durch.

Datenschutzerklärung:

• Vollständig nach Art. 13/14 DSGVO
• Alle tatsächlichen Verarbeitungen beschrieben
• Aktuelle Dienstleister mit Namen genannt
• Speicherdauer für jeden Zweck angegeben
• Rechte der Betroffenen aufgeführt
• DSB als Beschwerdestelle genannt

Cookie-Consent:

• Banner vorhanden mit echtem Opt-in
• „Ablehnen" genauso sichtbar wie „Akzeptieren"
• Keine Cookies vor Einwilligung gesetzt
• Widerruf jederzeit möglich (Link im Footer)
• Google Consent Mode v2 konfiguriert (falls GA4)

Externe Dienste:

• Google Fonts lokal gehostet
• YouTube/Vimeo mit 2-Klick oder Consent
• Google Maps mit 2-Klick oder Alternative
• Social-Media-Buttons als einfache Links
• Keine externen Ressourcen ohne Consent

Formulare:

• Datenschutz-Hinweis bei jedem Formular
• Newsletter mit Double Opt-in
• Bewerberdaten-Löschung nach 7 Monaten

Verträge:

• AVV mit Hosting-Provider
• AVV mit E-Mail-Provider
• AVV mit Analytics-Tool
• AVV mit Newsletter-Tool
• AVV mit allen weiteren Auftragsverarbeitern

Technik:

• SSL/TLS auf allen Seiten
• HTTP-zu-HTTPS-Weiterleitung aktiv
• Kein Mixed Content
• Software und Plugins aktuell

Rechtliches:

• Impressum vollständig nach ECG
• Impressum von jeder Seite erreichbar
• Verarbeitungsverzeichnis vorhanden

---

Nächste Schritte

1. Prüfen Sie Ihre Website jetzt: Öffnen Sie Ihre Seite, schauen Sie in die Browser-Konsole (F12 > Network), und prüfen Sie, welche externen Requests beim Laden gesendet werden -- bevor Sie den Cookie-Banner akzeptieren. Alles, was dort lädt und nicht technisch notwendig ist, ist ein potenzieller Verstoß.

2. Tools nutzen: Webbkoll scannt Ihre Website auf Tracker und Cookies. CookieMetrix prüft Ihren Cookie-Banner. Beide kostenlos.

3. Rechtliche Beratung holen: Dieser Artikel gibt Ihnen die technische Richtung. Für die juristische Absicherung -- insbesondere bei der Datenschutzerklärung -- sollten Sie einen auf Datenschutz spezialisierten Anwalt hinzuziehen oder zumindest den WKO-Generator nutzen.

4. Website-Audit beauftragen: Wenn Sie nicht sicher sind, ob Ihre Website DSGVO-konform ist, lassen Sie sie prüfen. Wir machen das im Rahmen unserer Webentwicklung -- als eigenständiges Audit oder als Teil eines Relaunch-Projekts.

Haben Sie Fragen zu einem konkreten Punkt? Schreiben Sie uns.

---

Häufige Fragen

Brauche ich als Kleinunternehmer eine Datenschutzerklärung?

Ja. Die DSGVO gilt unabhängig von der Unternehmensgröße. Jede Website, die personenbezogene Daten verarbeitet -- und das tut jede Website mit Kontaktformular, Analytics oder auch nur Serverlogs -- braucht eine Datenschutzerklärung. Die KMU-Erleichterungen betreffen nur den Datenschutzbeauftragten und das Verarbeitungsverzeichnis (unter 250 Mitarbeitern vereinfacht), nicht die Informationspflichten.

Reicht ein Cookie-Banner mit „OK"-Button?

Nein. Ein einfacher „OK"-Button ohne echte Wahlmöglichkeit ist keine gültige Einwilligung. Der Nutzer muss aktiv zwischen „Akzeptieren" und „Ablehnen" wählen können. Beide Optionen müssen gleich sichtbar und gleich leicht zugänglich sein. Alles andere ist ein DSGVO-Verstoß.

Ist Google Analytics in Österreich noch legal?

Ja, unter Bedingungen. Seit dem EU-US Data Privacy Framework (2023) ist die Datenübermittlung an DPF-zertifizierte US-Unternehmen wieder zulässig. Google ist zertifiziert. Sie brauchen aber: aktive Einwilligung via Cookie-Banner, einen AVV mit Google, IP-Anonymisierung und eine korrekte Datenschutzerklärung. Ohne diese Maßnahmen bleibt GA4 rechtswidrig.

Was kostet es, meine Website DSGVO-konform zu machen?

Das hängt vom aktuellen Zustand ab. Für eine typische KMU-Website mit 10 bis 30 Seiten rechnen Sie mit 500 bis 2.000 EUR für ein Audit plus Umsetzung (Consent-Manager einrichten, Fonts lokal hosten, Datenschutzerklärung erstellen lassen, AVVs zusammenstellen). Bei einem komplexen Shop oder einer Web-App kann es mehr sein. Die Kosten für einen Consent-Manager liegen bei 10 bis 30 EUR pro Monat.

Muss ich einen Datenschutzbeauftragten bestellen?

In Österreich gibt es keine gesetzliche Pflicht zur Bestellung eines Datenschutzbeauftragten für Unternehmen unter 250 Mitarbeitern -- es sei denn, Ihre Kerntätigkeit besteht in der umfangreichen Verarbeitung besonderer Datenkategorien (Gesundheitsdaten, biometrische Daten) oder in der systematischen Überwachung von Personen. Für eine Standard-KMU-Website ist kein DSB erforderlich.

Was ist der Unterschied zwischen Impressum und Datenschutzerklärung?

Das Impressum identifiziert den Website-Betreiber und basiert in Österreich auf dem ECG (E-Commerce-Gesetz). Die Datenschutzerklärung informiert über die Verarbeitung personenbezogener Daten und basiert auf der DSGVO. Beides ist Pflicht, beides muss von jeder Seite erreichbar sein, aber es sind zwei verschiedene Dokumente mit unterschiedlichem Inhalt und unterschiedlicher Rechtsgrundlage.

Wie oft muss ich die Datenschutzerklärung aktualisieren?

Immer dann, wenn sich an Ihren Datenverarbeitungen etwas ändert: neues Analytics-Tool, neuer Newsletter-Dienst, neues Plugin, neuer Hosting-Provider. In der Praxis empfehlen wir eine Überprüfung mindestens einmal pro Jahr und nach jedem Website-Update, das neue externe Dienste einbindet.

Gilt die DSGVO auch für meine Social-Media-Profile?

Teilweise. Wenn Sie eine Facebook-Seite oder ein Instagram-Business-Profil betreiben, sind Sie gemeinsam mit der Plattform verantwortlich (gemeinsame Verantwortlichkeit nach Art. 26 DSGVO). Sie brauchen einen Verweis auf Ihre Datenschutzerklärung auch in den Social-Media-Profilen. Für die reine Nutzung als Privatperson gilt die DSGVO nicht.

Kann ich wegen DSGVO-Verstößen abgemahnt werden?

In Österreich ist das Abmahnrisiko geringer als in Deutschland, weil es kein vergleichbares wettbewerbsrechtliches Abmahnwesen bei Datenschutzverstößen gibt. Aber: Beschwerden bei der DSB sind kostenlos und formlos möglich, und Mitbewerber können über das UWG vorgehen, wenn ein DSGVO-Verstoß zugleich einen Wettbewerbsvorteil verschafft. Das Risiko ist also nicht null.

Brauche ich auch für eine reine Informationsseite ohne Formulare einen Cookie-Banner?

Nur wenn Sie Cookies setzen, die nicht technisch notwendig sind. Wenn Ihre Seite kein Analytics, keine externen Fonts, keine Videos und keine Social-Media-Plugins nutzt, brauchen Sie theoretisch keinen Cookie-Banner. In der Praxis nutzt fast jede Website mindestens ein Tool, das Cookies setzt -- prüfen Sie das mit einem Tool wie Webbkoll. Auch bei Barrierefreiheit gibt es eigene Anforderungen, die Sie beachten sollten.