Von Josef Held 3. März 2026 Aktualisiert: März 2026 Lesezeit: 10 Min.
Inhalt
  1. Warum DSGVO-Compliance kein Optional ist
  2. Die vollständige Checkliste (10 Punkte)
  3. Die Google-Fonts-Falle
  4. Kostenlose Tools für die DSGVO-Umsetzung
  5. Häufig gestellte Fragen
Datenschutz und Website-Compliance
DSGVO-Compliance: Datenschutz als Pflicht

Warum DSGVO-Compliance kein Optional ist

Die Datenschutz-Grundverordnung (DSGVO) gilt seit Mai 2018 in der gesamten EU — und damit auch in Österreich. Für Websitebetreiber bedeutet das: Jede Website, die personenbezogene Daten verarbeitet, muss bestimmte rechtliche Anforderungen erfüllen. Und personenbezogene Daten verarbeitet praktisch jede Website — sei es durch Server-Logfiles, Kontaktformulare, Analytics oder Cookies.

Die Konsequenzen bei Verstößen sind erheblich:

  • Bußgelder bis zu €20 Millionen oder 4 % des weltweiten Jahresumsatzes — je nachdem, welcher Betrag höher ist. Auch die österreichische Datenschutzbehörde (DSB) verhängt zunehmend Strafen gegen KMU.
  • Abmahnrisiko: Seit der Google-Fonts-Abmahnwelle 2022/2023 ist klar, dass DSGVO-Verstöße systematisch abgemahnt werden. Ein einzelner Verstoß kann €100–€500 Schadenersatz pro Besucher bedeuten.
  • Vertrauensverlust: Kunden achten zunehmend auf Datenschutz. Eine Website ohne ordentliches Impressum, ohne SSL oder mit einem manipulativen Cookie-Banner signalisiert Unprofessionalität.
  • Wettbewerbsrecht: Mitbewerber können DSGVO-Verstöße als unlauteren Wettbewerb abmahnen — ein Risiko, das besonders in umkämpften Branchen real ist.

Gut zu wissen: In Österreich ist neben der DSGVO auch das E-Commerce-Gesetz (ECG), das Mediengesetz (MedienG) und das Telekommunikationsgesetz (TKG 2021) relevant. Diese Gesetze regeln unter anderem die Impressumspflicht und die Cookie-Einwilligung.

Die vollständige Checkliste

Die folgenden zehn Punkte decken die wesentlichen DSGVO-Anforderungen für österreichische Websites ab. Gehen Sie die Liste Punkt für Punkt durch — jeder nicht erfüllte Punkt ist ein potenzielles Risiko.

  1. Impressum (ECG- und MedienG-Pflicht)
    Jede geschäftliche Website in Österreich braucht ein vollständiges Impressum. Pflichtangaben nach ECG §5: Firmenname, Unternehmensgegenstand, Postadresse, E-Mail-Adresse, UID-Nummer, Firmenbuchnummer und Firmenbuchgericht, zuständige Aufsichtsbehörde (falls zutreffend) sowie Mitgliedschaft in der Wirtschaftskammer. Bei redaktionellen Inhalten greift zusätzlich die Offenlegungspflicht nach MedienG §25.
  2. SSL-Zertifikat (HTTPS)
    Eine verschlüsselte Verbindung via HTTPS ist seit der DSGVO faktisch Pflicht — denn Art. 32 DSGVO fordert „geeignete technische Maßnahmen" zum Schutz personenbezogener Daten. Ohne SSL werden zudem Kontaktformulare unverschlüsselt übertragen, was einen klaren Verstoß darstellt. Die gute Nachricht: Mit Let's Encrypt gibt es kostenlose SSL-Zertifikate, die von allen gängigen Hostern unterstützt werden.
  3. Datenschutzerklärung
    Die Datenschutzerklärung muss transparent darlegen: Welche Daten Sie erheben, warum (Zweck), auf welcher Rechtsgrundlage (Art. 6 DSGVO), wie lange Sie die Daten speichern und welche Betroffenenrechte bestehen (Auskunft, Löschung, Widerspruch, Datenportabilität). Sie muss leicht auffindbar sein — idealerweise im Footer jeder Seite verlinkt. Der WKO Datenschutz-Generator erstellt eine rechtskonforme Erklärung kostenlos und speziell für österreichische Unternehmen.
  4. Cookie-Banner mit echtem Opt-in
    Ein bloßer Hinweis „Diese Website verwendet Cookies" reicht nicht. Seit dem EuGH-Urteil Planet49 (2019) und der Umsetzung im österreichischen TKG 2021 (§165) gilt: Opt-in für nicht-technisch notwendige Cookies. Das bedeutet: Analytics-, Marketing- und Tracking-Cookies dürfen erst nach aktiver Einwilligung gesetzt werden. Der Ablehnen-Button muss gleichwertig sichtbar sein wie der Akzeptieren-Button. Keine vorausgewählten Checkboxen. Dark Patterns — etwa ein übergroßer „Alle akzeptieren"-Button neben einem kaum sichtbaren „Ablehnen"-Link — sind verboten.
  5. Kontaktformulare
    Jedes Formular, das personenbezogene Daten erhebt, braucht: eine Einwilligungserklärung (Checkbox, nicht vorausgewählt), einen Hinweis auf die Datenschutzerklärung mit direktem Link und eine verschlüsselte Übertragung (HTTPS). Erheben Sie nur die Daten, die Sie tatsächlich benötigen (Datensparsamkeit nach Art. 5 DSGVO). Ein Kontaktformular, das Geburtsdatum oder Telefonnummer als Pflichtfeld verlangt, obwohl eine E-Mail-Anfrage genügt, verstößt gegen das Minimierungsgebot.
  6. Newsletter (Double-Opt-in)
    Für den Versand von Newslettern ist in Österreich ein Double-Opt-in-Verfahren Pflicht: Der Nutzer trägt seine E-Mail-Adresse ein und bestätigt die Anmeldung über einen Link in einer Bestätigungsmail. Jede Newsletter-E-Mail muss einen Abmeldelink enthalten. Die Einwilligung muss dokumentiert und jederzeit nachweisbar sein. Speichern Sie Zeitpunkt, IP-Adresse und den bestätigten Opt-in-Link.
  7. Google Analytics und Tracking
    Wenn Sie Google Analytics oder vergleichbare Tracking-Tools einsetzen: Schließen Sie einen Auftragsverarbeitungsvertrag (AVV) mit Google ab (in der Analytics-Oberfläche möglich). Aktivieren Sie die IP-Anonymisierung (bei GA4 standardmäßig aktiv). Analytics darf erst nach Cookie-Consent geladen werden — nicht vorher. Ohne Einwilligung des Nutzers ist kein Tracking erlaubt.
  8. Social-Media-Plugins
    Direkte Einbettungen von Facebook-Like-Buttons, Instagram-Feeds oder Twitter-Widgets übertragen Besucherdaten an US-Server — ohne Einwilligung ein DSGVO-Verstoß. Lösungen: Verwenden Sie die Shariff-Lösung (datenschutzfreundliche Share-Buttons, die erst bei Klick eine Verbindung herstellen) oder eine 2-Klick-Lösung (Platzhalter mit Hinweis, der erst nach Bestätigung das Plugin lädt).
  9. Hosting und Auftragsverarbeitung
    Schließen Sie mit Ihrem Hoster einen Auftragsverarbeitungsvertrag (AVV) ab — die meisten österreichischen und deutschen Hoster bieten diesen standardmäßig an. Bevorzugen Sie EU-Serverstandorte. Bei Hosting außerhalb der EU (z. B. USA) sind zusätzliche Maßnahmen erforderlich: Standardvertragsklauseln, Transfer Impact Assessment und ggf. ergänzende technische Schutzmaßnahmen.
  10. Externe Dienste: Google Fonts, YouTube und Co.
    Jeder externe Dienst, der beim Seitenaufruf Daten an Drittserver überträgt, ist potenziell problematisch. Google Fonts lokal einbinden — nicht über die Google-CDN laden (siehe nächster Abschnitt). YouTube-Videos über den no-cookie-Embed einbinden (youtube-nocookie.com statt youtube.com). Google Maps, reCAPTCHA und ähnliche Dienste nur nach Consent laden oder datenschutzfreundliche Alternativen verwenden.
10-Punkte DSGVO-Checkliste
10 Checkpunkte für eine DSGVO-konforme Website

Die Google-Fonts-Falle

Achtung — Abmahnwelle: 2022/2023 gab es eine massive Abmahnwelle wegen extern eingebundener Google Fonts. Das Landgericht München entschied (Az. 3 O 17493/20), dass die Einbindung über Google-Server ohne Einwilligung die IP-Adresse des Besuchers an Google (USA) übermittelt — ein Verstoß gegen die DSGVO. In Österreich folgten hunderte Abmahnschreiben, die jeweils €100–€190 Schadenersatz pro Besucher forderten.

Die Lösung ist einfach und kostenlos: Fonts lokal hosten. Laden Sie die benötigten Schriftarten als .woff2-Dateien herunter und legen Sie diese auf Ihrem eigenen Webserver ab. Damit wird keine Verbindung zu Google-Servern hergestellt und keine IP-Adresse übertragen.

Kigazon.com macht es vor — alle Fonts (Fraunces, DM Mono, DM Sans) liegen als .woff2-Dateien auf dem eigenen Server. Keine externen Requests, keine Datenübertragung, kein Abmahnrisiko.

So binden Sie Google Fonts lokal ein:

  1. Gewünschte Fonts auf google-webfonts-helper herunterladen (.woff2-Format)
  2. Dateien in einen /fonts/-Ordner auf Ihrem Webserver hochladen
  3. In Ihrem CSS die @font-face-Deklarationen auf den lokalen Pfad ändern
  4. Alle Verweise auf fonts.googleapis.com und fonts.gstatic.com aus dem HTML entfernen
  5. Mit den Browser-Entwicklertools prüfen, ob keine externen Font-Requests mehr stattfinden

Kostenlose Tools für die DSGVO-Umsetzung

DSGVO-Konformität muss nicht teuer sein. Diese vier Tools helfen Ihnen, die wichtigsten Anforderungen ohne Kosten umzusetzen:

WKO Datenschutz-Generator

Erstellt eine rechtskonforme Datenschutzerklärung speziell für österreichische Unternehmen. Schritt für Schritt geführt, kostenlos nutzbar.

wko.at/datenschutz

Cookiebot (Free Tier)

Cookie-Consent-Manager mit automatischem Cookie-Scan. Kostenlos für Websites mit bis zu 100 Unterseiten. DSGVO- und TKG-konformes Opt-in.

cookiebot.com

Let's Encrypt

Kostenlose SSL-Zertifikate für HTTPS. Wird von allen großen Hostern unterstützt und automatisch erneuert. Kein Grund mehr für unverschlüsselte Websites.

letsencrypt.org

Matomo Analytics

Datenschutzfreundliche Alternative zu Google Analytics. Selbst gehostet bleiben alle Daten auf Ihrem Server. In der Grundkonfiguration ohne Cookie-Consent einsetzbar.

matomo.org