Von Josef Held 3. März 2026 Aktualisiert: März 2026 Lesezeit: 10 Min.
Inhalt
  1. Warum DSGVO-Compliance kein Optional ist
  2. Die vollständige Checkliste (10 Punkte)
  3. Die Google-Fonts-Falle
  4. Kostenlose Tools für die DSGVO-Umsetzung
  5. Die 5 häufigsten DSGVO-Fehler
  6. DSGVO-Audit: Website in 30 Minuten prüfen
  7. Häufig gestellte Fragen
Datenschutz und Website-Compliance
DSGVO-Compliance: Datenschutz als Pflicht

Warum DSGVO-Compliance kein Optional ist

Die Datenschutz-Grundverordnung (DSGVO) gilt seit Mai 2018 in der gesamten EU, und damit auch in Österreich. Für Websitebetreiber bedeutet das: Jede Website, die personenbezogene Daten verarbeitet, muss bestimmte rechtliche Anforderungen erfüllen. Und personenbezogene Daten verarbeitet praktisch jede Website, sei es durch Server-Logfiles, Kontaktformulare, Analytics oder Cookies.

Die Konsequenzen bei Verstößen sind erheblich:

  • Bußgelder bis zu €20 Millionen oder 4 % des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist. Auch die österreichische Datenschutzbehörde (DSB) verhängt zunehmend Strafen gegen KMU.
  • Abmahnrisiko: Seit der Google-Fonts-Abmahnwelle 2022/2023 ist klar, dass DSGVO-Verstöße systematisch abgemahnt werden. Ein einzelner Verstoß kann €100-€500 Schadenersatz pro Besucher bedeuten.
  • Vertrauensverlust: Kunden achten zunehmend auf Datenschutz. Eine Website ohne ordentliches Impressum, ohne SSL oder mit einem manipulativen Cookie-Banner signalisiert Unprofessionalität.
  • Wettbewerbsrecht: Mitbewerber können DSGVO-Verstöße als unlauteren Wettbewerb abmahnen, ein Risiko, das besonders in umkämpften Branchen real ist.

Gut zu wissen: In Österreich ist neben der DSGVO auch das E-Commerce-Gesetz (ECG), das Mediengesetz (MedienG) und das Telekommunikationsgesetz (TKG 2021) relevant. Diese Gesetze regeln unter anderem die Impressumspflicht und die Cookie-Einwilligung.

DSGVO-Website-Checkliste: Die 10 Pflichtpunkte für KMU

Die folgenden zehn Punkte decken die wesentlichen DSGVO-Anforderungen für österreichische Websites ab. Gehen Sie die Liste Punkt für Punkt durch - jeder nicht erfüllte Punkt ist ein potenzielles Risiko.

  1. Impressum (ECG- und MedienG-Pflicht)
    Jede geschäftliche Website in Österreich braucht ein vollständiges Impressum. Pflichtangaben nach ECG §5: Firmenname, Unternehmensgegenstand, Postadresse, E-Mail-Adresse, UID-Nummer, Firmenbuchnummer und Firmenbuchgericht, zuständige Aufsichtsbehörde (falls zutreffend) sowie Mitgliedschaft in der Wirtschaftskammer. Bei redaktionellen Inhalten greift zusätzlich die Offenlegungspflicht nach MedienG §25.
  2. SSL-Zertifikat (HTTPS)
    Eine verschlüsselte Verbindung via HTTPS ist seit der DSGVO faktisch Pflicht, denn Art. 32 DSGVO fordert „geeignete technische Maßnahmen" zum Schutz personenbezogener Daten. Ohne SSL werden zudem Kontaktformulare unverschlüsselt übertragen, was einen klaren Verstoß darstellt. Die gute Nachricht: Mit Let's Encrypt gibt es kostenlose SSL-Zertifikate, die von allen gängigen Hostern unterstützt werden.
  3. Datenschutzerklärung
    Die Datenschutzerklärung muss transparent darlegen: Welche Daten Sie erheben, warum (Zweck), auf welcher Rechtsgrundlage (Art. 6 DSGVO), wie lange Sie die Daten speichern und welche Betroffenenrechte bestehen (Auskunft, Löschung, Widerspruch, Datenportabilität). Sie muss leicht auffindbar sein, idealerweise im Footer jeder Seite verlinkt. Der WKO Datenschutz-Generator erstellt eine rechtskonforme Erklärung kostenlos und speziell für österreichische Unternehmen.
  4. Cookie-Banner mit echtem Opt-in
    Ein bloßer Hinweis „Diese Website verwendet Cookies" reicht nicht. Seit dem EuGH-Urteil Planet49 (2019) und der Umsetzung im österreichischen TKG 2021 (§165) gilt: Opt-in für nicht-technisch notwendige Cookies. Das bedeutet: Analytics-, Marketing- und Tracking-Cookies dürfen erst nach aktiver Einwilligung gesetzt werden. Der Ablehnen-Button muss gleichwertig sichtbar sein wie der Akzeptieren-Button. Keine vorausgewählten Checkboxen. Dark Patterns, etwa ein übergroßer „Alle akzeptieren"-Button neben einem kaum sichtbaren „Ablehnen"-Link, sind verboten.
  5. Kontaktformulare
    Jedes Formular, das personenbezogene Daten erhebt, braucht: eine Einwilligungserklärung (Checkbox, nicht vorausgewählt), einen Hinweis auf die Datenschutzerklärung mit direktem Link und eine verschlüsselte Übertragung (HTTPS). Erheben Sie nur die Daten, die Sie tatsächlich benötigen (Datensparsamkeit nach Art. 5 DSGVO). Ein Kontaktformular, das Geburtsdatum oder Telefonnummer als Pflichtfeld verlangt, obwohl eine E-Mail-Anfrage genügt, verstößt gegen das Minimierungsgebot.
  6. Newsletter (Double-Opt-in)
    Für den Versand von Newslettern ist in Österreich ein Double-Opt-in-Verfahren Pflicht: Der Nutzer trägt seine E-Mail-Adresse ein und bestätigt die Anmeldung über einen Link in einer Bestätigungsmail. Jede Newsletter-E-Mail muss einen Abmeldelink enthalten. Die Einwilligung muss dokumentiert und jederzeit nachweisbar sein. Speichern Sie Zeitpunkt, IP-Adresse und den bestätigten Opt-in-Link.
  7. Google Analytics und Tracking
    Wenn Sie Google Analytics oder vergleichbare Tracking-Tools einsetzen: Schließen Sie einen Auftragsverarbeitungsvertrag (AVV) mit Google ab (in der Analytics-Oberfläche möglich). Aktivieren Sie die IP-Anonymisierung (bei GA4 standardmäßig aktiv). Analytics darf erst nach Cookie-Consent geladen werden, nicht vorher. Ohne Einwilligung des Nutzers ist kein Tracking erlaubt.
  8. Social-Media-Plugins
    Direkte Einbettungen von Facebook-Like-Buttons, Instagram-Feeds oder Twitter-Widgets übertragen Besucherdaten an US-Server, ohne Einwilligung ein DSGVO-Verstoß. Lösungen: Verwenden Sie die Shariff-Lösung (datenschutzfreundliche Share-Buttons, die erst bei Klick eine Verbindung herstellen) oder eine 2-Klick-Lösung (Platzhalter mit Hinweis, der erst nach Bestätigung das Plugin lädt).
  9. Hosting und Auftragsverarbeitung
    Schließen Sie mit Ihrem Hoster einen Auftragsverarbeitungsvertrag (AVV) ab, die meisten österreichischen und deutschen Hoster bieten diesen standardmäßig an. Bevorzugen Sie EU-Serverstandorte. Bei Hosting außerhalb der EU (z. B. USA) sind zusätzliche Maßnahmen erforderlich: Standardvertragsklauseln, Transfer Impact Assessment und ggf. ergänzende technische Schutzmaßnahmen.
  10. Externe Dienste: Google Fonts, YouTube und Co.
    Jeder externe Dienst, der beim Seitenaufruf Daten an Drittserver überträgt, ist potenziell problematisch. Google Fonts lokal einbinden, nicht über die Google-CDN laden (siehe nächster Abschnitt). YouTube-Videos über den no-cookie-Embed einbinden (youtube-nocookie.com statt youtube.com). Google Maps, reCAPTCHA und ähnliche Dienste nur nach Consent laden oder datenschutzfreundliche Alternativen verwenden.
10-Punkte DSGVO-Checkliste
10 Checkpunkte für eine DSGVO-konforme Website

Die Google-Fonts-Falle

Achtung, Abmahnwelle: 2022/2023 gab es eine massive Abmahnwelle wegen extern eingebundener Google Fonts. Das Landgericht München entschied (Az. 3 O 17493/20), dass die Einbindung über Google-Server ohne Einwilligung die IP-Adresse des Besuchers an Google (USA) übermittelt, ein Verstoß gegen die DSGVO. In Österreich folgten hunderte Abmahnschreiben, die jeweils €100-€190 Schadenersatz pro Besucher forderten.

Die Lösung ist einfach und kostenlos: Fonts lokal hosten. Laden Sie die benötigten Schriftarten als .woff2-Dateien herunter und legen Sie diese auf Ihrem eigenen Webserver ab. Damit wird keine Verbindung zu Google-Servern hergestellt und keine IP-Adresse übertragen.

Kigazon.com macht es vor, alle Fonts (Fraunces, DM Mono, DM Sans) liegen als .woff2-Dateien auf dem eigenen Server. Keine externen Requests, keine Datenübertragung, kein Abmahnrisiko.

So binden Sie Google Fonts lokal ein:

  1. Gewünschte Fonts auf google-webfonts-helper herunterladen (.woff2-Format)
  2. Dateien in einen /fonts/-Ordner auf Ihrem Webserver hochladen
  3. In Ihrem CSS die @font-face-Deklarationen auf den lokalen Pfad ändern
  4. Alle Verweise auf fonts.googleapis.com und fonts.gstatic.com aus dem HTML entfernen
  5. Mit den Browser-Entwicklertools prüfen, ob keine externen Font-Requests mehr stattfinden

Kostenlose Tools für die DSGVO-Umsetzung

DSGVO-Konformität muss nicht teuer sein. Diese vier Tools helfen Ihnen, die wichtigsten Anforderungen ohne Kosten umzusetzen:

WKO Datenschutz-Generator

Erstellt eine rechtskonforme Datenschutzerklärung speziell für österreichische Unternehmen. Schritt für Schritt geführt, kostenlos nutzbar.

wko.at/datenschutz

Cookiebot (Free Tier)

Cookie-Consent-Manager mit automatischem Cookie-Scan. Kostenlos für Websites mit bis zu 100 Unterseiten. DSGVO- und TKG-konformes Opt-in.

cookiebot.com

Let's Encrypt

Kostenlose SSL-Zertifikate für HTTPS. Wird von allen großen Hostern unterstützt und automatisch erneuert. Kein Grund mehr für unverschlüsselte Websites.

letsencrypt.org

Matomo Analytics

Datenschutzfreundliche Alternative zu Google Analytics. Selbst gehostet bleiben alle Daten auf Ihrem Server. In der Grundkonfiguration ohne Cookie-Consent einsetzbar.

matomo.org

DSGVO-Website-Checkliste: Die 5 häufigsten Fehler

Diese Verstöße tauchen in der Praxis immer wieder auf - oft unbewusst. Sie alle lassen sich innerhalb weniger Stunden beheben:

Fehler 01

Google Fonts noch extern eingebunden

Trotz der Abmahnwelle 2022/2023 lädt ein Großteil der KMU-Websites noch einen Request an fonts.googleapis.com. Oft ohne Wissen des Inhabers, weil das Theme oder der Seitenbuilder die Fonts automatisch extern bezieht. Prüfen: Browser-Entwicklertools → Network → Filter auf „google" → kein Treffer bedeutet: sicher.

Fehler 02

Cookie-Banner ohne gleichwertigen Ablehnen-Button

Der verbreitetste Dark-Pattern-Verstoß: Ein großes „Alle akzeptieren" und irgendwo versteckt ein kaum sichtbares „Ablehnen". Die österreichische Datenschutzbehörde (DSB) wertet das als manipulativ - die so gesammelte Einwilligung ist rechtlich wertlos.

Fehler 03

Datenschutzerklärung nicht aktualisiert

Eine Datenschutzerklärung aus dem Jahr 2019 oder 2020 entspricht selten dem aktuellen Stand. Neue Dienste - Analytics, Chat-Widgets, Social-Media-Einbindungen - müssen darin erfasst sein. Faustregel: einmal jährlich prüfen, bei jeder neuen Tool-Integration sofort nachziehen.

Fehler 04

Kein Auftragsverarbeitungsvertrag mit dem Hoster

Der AVV (Art. 28 DSGVO) ist gesetzlich vorgeschrieben, sobald ein Dritter im Auftrag personenbezogene Daten verarbeitet. Viele KMU haben diesen Vertrag nie aktiv abgeschlossen. Lösung: Im Kundencenter des Hosters unter „Datenschutz" oder „Verträge" suchen - oder formlos beim Support anfordern.

Fehler 05

Tracking-Skripte laden vor dem Cookie-Consent

Google Analytics, Facebook Pixel und ähnliche Skripte dürfen erst nach aktiver Einwilligung laden. Häufiger Fehler: Das Skript steht im <head> und startet beim ersten Seitenaufruf sofort - noch bevor der Nutzer den Banner gesehen hat. Prüfen: Im Inkognito-Tab die Seite öffnen und im Network-Tab beobachten, ob Tracking-Requests vor der Consent-Interaktion erscheinen.

DSGVO-Audit: Ihre Website in 30 Minuten selbst prüfen

Sie können den Großteil der DSGVO-Anforderungen selbst prüfen, ohne externen Berater. Diese strukturierte Vorgehensweise dauert rund 30 Minuten und gibt Ihnen ein klares Bild des Status quo:

  1. Externe Requests prüfen (5 Min.): Homepage im Inkognito-Tab öffnen. F12 → Network → Seite neu laden. Filter auf „google", „facebook", „youtube", „analytics". Jeder externe Request, der ohne vorherigen Consent geladen wird, ist ein potenzieller Verstoß.
  2. Cookie-Banner testen (5 Min.): Cookies löschen, Seite neu laden. Erscheint der Banner? Ist der Ablehnen-Button gleichwertig sichtbar? „Ablehnen" klicken - starten danach noch Tracking-Requests? Wenn ja: Der Banner ist nicht DSGVO-konform.
  3. Datenschutzerklärung kontrollieren (10 Min.): Sind alle eingesetzten Dienste erwähnt - Analytics, Fonts, Formulare, Newsletter, Social Media? Sind Betroffenenrechte und Kontaktdaten für Datenschutzanfragen enthalten? Ist das Aktualisierungsdatum aktuell?
  4. Impressum auf Vollständigkeit prüfen (5 Min.): Firmenname, Adresse, E-Mail, UID-Nummer, Firmenbuchnummer und Firmenbuchgericht vorhanden? Erreichbar von jeder Seite in maximal zwei Klicks?
  5. SSL und Formulare (5 Min.): HTTPS aktiv (Schloss-Symbol in der Adressleiste)? Haben alle Formulare eine Datenschutz-Checkbox (nicht vorausgewählt) mit direktem Link zur Datenschutzerklärung?

Offene Fragen nach dem Selbst-Audit? Im kostenlosen Erstgespräch gehen wir Ihre Website gemeinsam durch und klären konkret, was noch zu tun ist.