DSGVO-Checkliste für Websites in Österreich

Ihre Website DSGVO-konform zu gestalten, ist nicht nur eine rechtliche Pflicht, sondern schützt Sie auch vor hohen Strafen und stärkt das Vertrauen Ihrer Besucher. Seit 2018 gelten in Österreich klare Vorgaben für den Umgang mit personenbezogenen Daten, die Sie als Website-Betreiber unbedingt einhalten sollten. Hier finden Sie die wichtigsten Maßnahmen, die Sie umsetzen müssen, um rechtlich auf der sicheren Seite zu sein.

Wichtige Schritte auf einen Blick:

• Datenschutzerklärung und Impressum: Diese Pflichtseiten müssen vollständig, leicht zugänglich und aktuell sein. Besonders wichtig sind Angaben zu Verantwortlichen, erhobenen Daten und genutzten Drittanbietern.

• Cookie-Banner: Cookies dürfen nur nach aktiver Zustimmung gesetzt werden. Das Opt-in-Verfahren ist Pflicht – eine Ablehnungsoption muss genauso sichtbar sein wie die Zustimmung.

• Kontaktformulare: Fragen Sie nur wirklich notwendige Daten ab und holen Sie die Einwilligung der Nutzer ein. Verweisen Sie klar auf Ihre Datenschutzerklärung.

• SSL-Verschlüsselung: Eine Website ohne HTTPS ist nicht mehr zeitgemäß und verstößt gegen die DSGVO. Aktivieren Sie ein SSL-Zertifikat, um Daten sicher zu übertragen.

• Tracking-Tools: Nutzen Sie Analyse-Tools wie Google Analytics? Dann benötigen Sie einen Auftragsverarbeitungsvertrag und müssen die Datenverarbeitung in Ihrer Datenschutzerklärung offenlegen.

Setzen Sie diese Maßnahmen konsequent um, um Abmahnungen zu vermeiden und das Vertrauen Ihrer Nutzer zu stärken. Im Folgenden finden Sie weitere Details zu den einzelnen Punkten.

DSGVO-Grundlagen für österreichische Websites

Die DSGVO bildet die rechtliche Basis für den Umgang mit personenbezogenen Daten in Österreich. Betreiber von Websites müssen sicherstellen, dass jede Datenverarbeitung – sei es über Kontaktformulare, Newsletter oder Tracking-Tools – den gesetzlichen Vorgaben entspricht. Wer die Grundprinzipien kennt, kann den Datenschutz direkt in die Gestaltung der Website einfließen lassen. Im Folgenden werden die zentralen Aspekte der DSGVO erläutert.

Zentrale DSGVO-Prinzipien

Die DSGVO stützt sich auf sechs Grundprinzipien, die für jede Datenverarbeitung auf Ihrer Website gelten. Diese Prinzipien sind keine bloßen Theorien, sondern haben konkrete Auswirkungen auf die Praxis.

Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz: Personenbezogene Daten dürfen nur verarbeitet werden, wenn eine rechtliche Grundlage vorliegt – etwa eine Einwilligung der Nutzer oder ein berechtigtes Interesse. Gleichzeitig müssen Sie klar kommunizieren, welche Daten zu welchem Zweck erhoben werden. Unklare Formulierungen in der Datenschutzerklärung oder ein undurchsichtiger Cookie-Banner sind hier ein No-Go.

Zweckbindung: Die Nutzung der erhobenen Daten muss sich auf den angegebenen Zweck beschränken. Sammeln Sie beispielsweise E-Mail-Adressen für Bestellbestätigungen, dürfen diese nicht ohne ausdrückliche Zustimmung für Marketingzwecke verwendet werden.

Datenminimierung: Erheben Sie nur die Daten, die wirklich notwendig sind. Ein typisches Problem auf österreichischen Websites sind Kontaktformulare, die unnötige Angaben wie Geburtsdatum oder Telefonnummer verlangen, obwohl Name und E-Mail-Adresse ausreichen würden. Solche zusätzlichen Felder erhöhen nicht nur das rechtliche Risiko, sondern können auch Besucher abschrecken.

Richtigkeit: Gespeicherte Daten müssen stets korrekt und aktuell sein. Nutzer sollten die Möglichkeit haben, ihre Angaben zu korrigieren, etwa über ein Kundenkonto oder per Kontaktaufnahme. Veraltete Daten, wie alte Newsletter-Abonnements, sollten regelmäßig bereinigt werden.

Speicherbegrenzung: Daten dürfen nur so lange aufbewahrt werden, wie es nötig ist. Legen Sie klare Löschfristen fest: Kontaktanfragen können nach Abschluss der Kommunikation gelöscht werden, während Rechnungsdaten aufgrund steuerlicher Vorschriften sieben Jahre aufbewahrt werden müssen. Diese Fristen sollten in Ihrer Datenschutzerklärung dokumentiert sein.

Integrität und Vertraulichkeit: Schützen Sie die Daten Ihrer Nutzer durch Maßnahmen wie SSL-Verschlüsselung, starke Passwörter und regelmäßige Backups. Ein Webshop ohne HTTPS ist ein klarer Verstoß gegen diesen Grundsatz.

Privacy by Design und Privacy by Default

Die Prinzipien „Privacy by Design“ und „Privacy by Default“ betonen, dass Datenschutz von Anfang an in die Planung und Entwicklung Ihrer Website einfließen muss. Für Betreiber in Österreich bedeutet dies: Datenschutz ist keine nachträgliche Pflicht, sondern ein integraler Bestandteil jedes Projekts.

Privacy by Design bedeutet, dass Datenschutzmaßnahmen bereits in der Planungsphase berücksichtigt werden. Wenn Sie beispielsweise ein neues Kontaktformular erstellen, sollten Sie direkt festlegen: Welche Felder sind notwendig? Wo werden die Daten gespeichert? Wer hat Zugriff darauf? Und wie lange bleiben sie gespeichert? Ein Beispiel: Anstatt Formulardaten in einer offenen Datenbank zu speichern, nutzen Sie verschlüsselte Verbindungen und beschränken den Zugriff auf autorisierte Personen.

Privacy by Default stellt sicher, dass die datenschutzfreundlichste Einstellung standardmäßig aktiv ist. Das heißt: Tracking-Cookies dürfen erst nach einer ausdrücklichen Zustimmung gesetzt werden. Ein vorab angekreuztes Kästchen für den Newsletter ist unzulässig – Nutzer müssen aktiv zustimmen. Auch bei Cookie-Bannern gilt: Die Option „Alle ablehnen“ muss genauso sichtbar sein wie „Alle akzeptieren“.

Viele Content-Management-Systeme wie WordPress bieten inzwischen Voreinstellungen, die den Datenschutz berücksichtigen. Dennoch sollten Sie diese kritisch prüfen und gegebenenfalls anpassen.

Praktischer Tipp: Überprüfen Sie Ihre Kontaktformulare und entfernen Sie alle Pflichtfelder, die nicht unbedingt erforderlich sind. Fragen Sie nur die Informationen ab, die Sie wirklich benötigen. Diese einfache Maßnahme sorgt nicht nur für mehr DSGVO-Konformität, sondern erhöht auch die Wahrscheinlichkeit, dass Besucher das Formular ausfüllen.

Diese Grundprinzipien bilden die Basis für weitere Maßnahmen, um Ihre Website datenschutzkonform zu gestalten.

Pflichtseiten für rechtskonforme Websites

Nach der Umsetzung grundlegender DSGVO-Maßnahmen ist es entscheidend, auch die Pflichtseiten Ihrer Website rechtssicher zu gestalten. In Österreich müssen Websites – sei es ein Onlineshop, ein Blog oder eine Unternehmensseite – bestimmte rechtliche Informationen enthalten. Diese Seiten sorgen nicht nur für Transparenz, sondern stärken auch das Vertrauen Ihrer Besucher und helfen, rechtliche Risiken zu vermeiden. Die beiden wichtigsten Seiten sind dabei die Datenschutzerklärung und das Impressum.

Platzieren Sie diese Seiten idealerweise im Footer Ihrer Website, damit Nutzer sie mit maximal zwei Klicks erreichen können. Im Folgenden erfahren Sie, welche Angaben in Ihrer Datenschutzerklärung und Ihrem Impressum enthalten sein müssen.

Anforderungen an die Datenschutzerklärung

Die Datenschutzerklärung ist ein zentraler Bestandteil der DSGVO-Compliance. Sie informiert Ihre Besucher klar und verständlich darüber, welche personenbezogenen Daten erhoben werden, warum diese verarbeitet werden und welche Rechte die Nutzer haben.

Wichtige Inhalte der Datenschutzerklärung:

• Verantwortliche benennen: Geben Sie den Namen und die Kontaktdaten des Verantwortlichen an. Wenn ein Datenschutzbeauftragter bestellt wurde, sollten dessen Kontaktdaten ebenfalls aufgeführt werden.

• Erhobene Daten auflisten: Beschreiben Sie genau, welche Daten gesammelt werden. Nutzen Sie ein Kontaktformular, sollten Sie z. B. angeben, dass Name, E-Mail-Adresse und die Nachricht gespeichert werden. Erläutern Sie auch, wie lange diese Daten aufbewahrt werden – etwa bis die Anfrage bearbeitet wurde, danach werden die Daten gelöscht.

• Newsletter-Informationen: Falls Sie Newsletter versenden, erklären Sie, dass die E-Mail-Adresse für diesen Zweck genutzt wird und wie sich Nutzer abmelden können.

Rechtsgrundlagen klar formulieren: Jede Datenverarbeitung benötigt eine rechtliche Grundlage. Häufig sind dies Einwilligung, Vertragserfüllung oder berechtigtes Interesse. Erläutern Sie diese Grundlagen so, dass sie für Ihre Besucher nachvollziehbar sind.

Drittanbieter und Tracking-Tools angeben: Nutzen Sie Tools wie Google Analytics, Facebook Pixel oder eingebettete YouTube-Videos, müssen diese in der Datenschutzerklärung genannt werden. Beschreiben Sie, welche Daten an diese Anbieter übermittelt werden und ob dabei Daten außerhalb der EU verarbeitet werden.

Rechte der Nutzer erläutern: Besucher Ihrer Website haben das Recht auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung und Datenübertragbarkeit. Erklären Sie, wie diese Rechte ausgeübt werden können, z. B. durch eine E-Mail an die angegebene Kontaktadresse. Weisen Sie auch auf das Beschwerderecht bei der österreichischen Datenschutzbehörde hin.

Viele Website-Betreiber verwenden Generatoren, um ihre Datenschutzerklärung zu erstellen. Diese sollten jedoch regelmäßig überprüft und aktualisiert werden, um sicherzustellen, dass sie vollständig und korrekt bleiben.

Anforderungen an das Impressum

Das Impressum ist in Österreich gesetzlich vorgeschrieben und unabhängig von der DSGVO verpflichtend. Es dient dazu, den Betreiber der Website eindeutig zu identifizieren und Transparenz zu schaffen. Besonders Websites, die Produkte oder Dienstleistungen anbieten, müssen ein Impressum bereitstellen.

Pflichtangaben im Impressum:

• Name des Betreibers: Bei Einzelunternehmen Vor- und Nachname, bei Unternehmen der Firmenname.

• Adresse: Geben Sie die vollständige Adresse an (Straße, Hausnummer, Postleitzahl und Ort). Eine Postfachadresse reicht nicht aus.

• Kontaktmöglichkeiten: Fügen Sie eine Telefonnummer und eine E-Mail-Adresse hinzu.

Für Unternehmen sind zusätzliche Angaben notwendig, wie die UID-Nummer (Umsatzsteuer-Identifikationsnummer), die Firmenbuchnummer und das zuständige Firmenbuchgericht. Bei einer GmbH muss auch der Geschäftsführer namentlich genannt werden. Freiberufler, wie Ärzte, Anwälte oder Architekten, sollten außerdem ihre Berufsbezeichnung, die zuständige Aufsichtsbehörde und die Kammer angeben.

Sichtbarkeit und Zugänglichkeit: Das Impressum sollte leicht auffindbar sein, am besten im Footer jeder Seite. Der Link sollte klar als „Impressum“ gekennzeichnet sein, um Missverständnisse zu vermeiden. Achten Sie darauf, dass das Impressum auch auf mobilen Geräten vollständig und gut lesbar ist. Testen Sie Ihre Website auf verschiedenen Endgeräten, um sicherzustellen, dass alle Angaben korrekt angezeigt werden.

Typische Fehler vermeiden: Ein häufiges Problem ist ein unvollständiges Impressum, z. B. wenn die Telefonnummer fehlt oder nur eine allgemeine E-Mail-Adresse angegeben wird. Ebenso können veraltete Informationen, etwa nach einem Umzug oder einer Änderung der Rechtsform, zu rechtlichen Problemen führen. Überprüfen Sie Ihr Impressum regelmäßig, um sicherzustellen, dass alle Angaben aktuell und korrekt sind.

Einwilligung und Transparenz bei der Datenerhebung

Sobald Sie die notwendigen Pflichtseiten eingerichtet haben, ist es entscheidend, die ausdrückliche Zustimmung Ihrer Besucher einzuholen. Laut DSGVO dürfen personenbezogene Daten erst verarbeitet werden, nachdem Nutzer aktiv zugestimmt haben. Diese Regelung dient nicht nur der rechtlichen Absicherung, sondern stärkt auch das Vertrauen Ihrer Besucher in Ihre Website. Ohne eine korrekte Einwilligung riskieren Sie Abmahnungen und mögliche Strafen durch die österreichische Datenschutzbehörde.

Im Folgenden erfahren Sie, wie Sie Cookie-Banner und Formular-Einwilligungen DSGVO-konform gestalten können.

Cookie-Banner und Consent-Management

Cookie-Banner gehören inzwischen zum Standard auf österreichischen Websites, doch viele Betreiber setzen sie nicht korrekt um. Laut DSGVO und ePrivacy-Richtlinie müssen Nutzer vor dem Einsatz von Cookies aktiv zustimmen. Das bedeutet: Cookies dürfen erst gespeichert werden, nachdem der Besucher seine Zustimmung gegeben hat.

Opt-in statt Opt-out: Cookie-Banner, die bereits beim Laden der Seite Cookies aktivieren, sind nicht zulässig. Stattdessen ist ein Opt-in-Verfahren erforderlich, bei dem Nutzer aktiv zustimmen müssen. Ein vorausgewähltes Häkchen oder Formulierungen wie „Mit der Nutzung dieser Website stimmen Sie zu“ reichen nicht aus. Die Zustimmung muss durch einen klaren Klick auf eine Schaltfläche wie „Akzeptieren“ erfolgen.

Welche Cookies benötigen eine Zustimmung? Nicht alle Cookies sind zustimmungspflichtig. Technisch notwendige Cookies, wie jene für den Warenkorb in einem Onlineshop oder die Sitzungsverwaltung, dürfen ohne Zustimmung gesetzt werden. Cookies für Tracking, Analyse und Marketing hingegen erfordern immer eine aktive Einwilligung. Dazu zählen Tools wie Google Analytics, Facebook Pixel oder eingebettete YouTube-Videos mit Tracking-Funktionen.

Granulare Auswahlmöglichkeiten: Ein gutes Cookie-Banner bietet Nutzern die Möglichkeit, zwischen verschiedenen Cookie-Kategorien zu wählen. Typische Kategorien sind „Notwendig“, „Statistik“, „Marketing“ und „Externe Medien“. Besucher sollten einzelne Kategorien ablehnen können, ohne die Funktionalität der Website einzuschränken. Wichtig ist, dass die Ablehnungsoption genauso leicht zugänglich ist wie die Akzeptanzoption.

Dokumentation der Einwilligung: Die Zustimmung der Nutzer (inklusive Zeitpunkt und IP-Adresse) sollte durch ein Consent-Management-Tool dokumentiert werden. Solche Tools protokollieren automatisch, welche Cookies ein Nutzer akzeptiert hat. Diese Daten sind wichtig, falls es zu rechtlichen Fragen kommt. Beliebte Tools in Österreich sind Cookiebot, Usercentrics oder Borlabs Cookie.

Widerruf ermöglichen: Fügen Sie einen gut sichtbaren Link, z. B. „Cookie-Einstellungen“, im Footer Ihrer Website ein. So können Besucher ihre Einwilligung jederzeit ändern oder widerrufen.

Einwilligung bei Formularen und Newslettern

Nicht nur Cookies, auch Formulare auf Ihrer Website erfordern eine klare und nachweisbare Einwilligung. Dies gilt besonders für Kontaktformulare, Newsletter-Anmeldungen und Download-Formulare.

Kontaktformulare DSGVO-konform gestalten: Wenn Sie ein Kontaktformular verwenden, sollten Sie transparent darlegen, welche Daten erhoben und wie diese verarbeitet werden. Direkt unter dem Formular sollte ein Hinweis auf Ihre Datenschutzerklärung stehen, z. B.: „Mit dem Absenden dieses Formulars stimmen Sie der Verarbeitung Ihrer Daten gemäß unserer Datenschutzerklärung zu.“

Eine Checkbox als Pflichtfeld ist sinnvoll, um die Zustimmung aktiv einzuholen. Diese Checkbox darf nicht vorausgewählt sein. Die Formulierung sollte klar und verständlich sein, etwa: „Ich stimme zu, dass meine Angaben zur Bearbeitung meiner Anfrage gespeichert werden.“

Double-Opt-in für Newsletter: Bei Newsletter-Anmeldungen ist das Double-Opt-in-Verfahren unverzichtbar. Der Nutzer erhält nach der Anmeldung eine E-Mail mit einem Bestätigungslink. Erst nach dem Klick auf diesen Link dürfen Sie Newsletter versenden. Dieses Verfahren schützt vor missbräuchlichen Anmeldungen und stellt sicher, dass die eingegebene E-Mail-Adresse tatsächlich dem Nutzer gehört.

Viele Newsletter-Tools wie Mailchimp, CleverReach oder Brevo (ehemals Sendinblue) bieten diese Funktion automatisch an. Achten Sie darauf, dass jede Newsletter-E-Mail einen leicht zugänglichen Abmeldelink enthält, der mit einem Klick funktioniert.

Einwilligung bei Drittanbieter-Tools: Wenn Sie Formulare von Drittanbietern wie Typeform, Google Forms oder HubSpot verwenden, müssen auch diese DSGVO-konform sein. Prüfen Sie, ob der Anbieter einen Auftragsverarbeitungsvertrag (AVV) anbietet und ob Daten außerhalb der EU verarbeitet werden. In Ihrer Datenschutzerklärung sollten Sie diese Tools auflisten und erläutern, welche Daten an die Anbieter übermittelt werden.

Praktischer Tipp: Überprüfen Sie Ihre bestehenden Formulare und Newsletter-Anmeldungen. Fehlt eine Checkbox zur Einwilligung oder ein Hinweis auf die Datenschutzerklärung? Ergänzen Sie diese Elemente, um rechtlich auf der sicheren Seite zu sein.

Technische Sicherheitsmaßnahmen

Nachdem Sie die rechtlichen Grundlagen für Einwilligungen geschaffen haben, ist es ebenso wichtig, technische Maßnahmen zu ergreifen, um personenbezogene Daten zu schützen. Die DSGVO verpflichtet Websitebetreiber dazu, geeignete technische und organisatorische Vorkehrungen zu treffen, um Daten vor unbefugtem Zugriff, Verlust oder Manipulation zu sichern. Diese Maßnahmen ergänzen die rechtlichen Vorgaben und stärken das Vertrauen Ihrer Besucher. Werden sie vernachlässigt, drohen nicht nur Bußgelder, sondern auch ein erheblicher Vertrauensverlust.

Im Folgenden wird erläutert, wie solche Maßnahmen praktisch umgesetzt werden können.

SSL-Zertifikate und Datenverschlüsselung

Ein SSL-Zertifikat (Secure Sockets Layer) ist für jede Website, die mit personenbezogenen Daten arbeitet, unverzichtbar. Websites mit SSL-Verschlüsselung erkennt man an der „https://“-Adresse und dem Schloss-Symbol im Browser. Diese Technik sorgt dafür, dass alle Daten, die zwischen dem Browser des Nutzers und Ihrem Server ausgetauscht werden, vor dem Zugriff Dritter geschützt sind. Die DSGVO schreibt vor, dass Daten während der Übertragung verschlüsselt werden müssen. Ohne diese Verschlüsselung sind sensible Informationen wie Passwörter, Kontaktdaten oder Zahlungsinformationen leicht abzufangen.

Viele Hosting-Anbieter stellen kostenlose SSL-Zertifikate wie „Let’s Encrypt“ oder kostengünstige Alternativen bereit. Überprüfen Sie im Hosting-Dashboard, ob SSL aktiviert ist, und richten Sie eine automatische Weiterleitung von HTTP auf HTTPS ein. Mithilfe eines kostenlosen SSL-Tests, beispielsweise über SSL Labs (ssllabs.com), können Sie sicherstellen, dass Ihr Zertifikat korrekt konfiguriert ist.

Backups und Software-Updates

Neben der Verschlüsselung spielt die regelmäßige Aktualisierung Ihrer Systeme eine zentrale Rolle. Backups und Software-Updates sind essenziell, um die Verfügbarkeit und Sicherheit Ihrer Website langfristig zu gewährleisten. Veraltete Software oder das Fehlen von Backups erhöhen die Gefahr von Datenverlust, Hackerangriffen und Systemausfällen.

Halten Sie Ihr Content-Management-System (z. B. WordPress, Joomla oder Typo3) sowie alle verwendeten Themes und Plugins stets aktuell. Viele Systeme bieten automatische Updates an, die Sicherheitslücken schließen. Achten Sie darauf, nur PHP-Versionen zu verwenden, die mit Sicherheitsupdates versorgt werden. Sollte Ihre Version veraltet sein, ist ein sofortiges Update notwendig.

Regelmäßige Backups aller Website-Daten, einschließlich Formularanfragen, sind unverzichtbar. Automatische tägliche oder wöchentliche Backups, die viele Hosting-Anbieter anbieten, oder spezielle Plugins können Ihnen dabei helfen. Beachten Sie dabei die Grundsätze der Datensparsamkeit: Löschen Sie personenbezogene Daten nach Ablauf der festgelegten Aufbewahrungsfristen und verschlüsseln Sie diese bei Bedarf.

Erhöhen Sie die Sicherheit zusätzlich durch den Einsatz von Antivirensoftware und Firewalls. Planen Sie monatliche oder vierteljährliche Sicherheitschecks ein, um sicherzustellen, dass alle Updates installiert sind und keine ungewöhnlichen Aktivitäten in den Server-Logs auftreten. Schulen Sie Ihre Mitarbeiter regelmäßig im sicheren Umgang mit Zugangsdaten, um Risiken wie Phishing-Angriffe zu minimieren.

Überprüfen Sie Ihre Backups und Updates regelmäßig, richten Sie automatische Sicherungen ein und planen Sie Sicherheitsüberprüfungen, um den Schutz Ihrer Website dauerhaft zu gewährleisten.

Third-Party Tools und Tracking

Nachdem Sie die technischen Sicherheitsmaßnahmen umgesetzt haben, steht die Nutzung externer Dienste und Tracking-Tools im Fokus. Viele Websites greifen auf Tools wie Google Analytics, den Meta Pixel oder Social-Media-Plugins zurück, um das Verhalten der Nutzer zu analysieren oder Marketingstrategien zu optimieren. Dabei werden jedoch personenbezogene Daten verarbeitet, oft auf Servern außerhalb der EU. Hier greift die DSGVO mit klaren Vorgaben: Transparenz, die Einholung der Einwilligung und rechtliche Absicherung durch Auftragsverarbeitungsverträge sind unerlässlich. Im Folgenden wird erklärt, wie Sie diese Anforderungen umsetzen können.

Dokumentation von Analytics- und Tracking-Tools

Alle Tools, die personenbezogene Daten erfassen, müssen in Ihrer Datenschutzerklärung genau beschrieben werden. Das betrifft nicht nur offensichtliche Dienste wie Google Analytics oder Matomo, sondern auch Social-Media-Plugins (Facebook, Instagram, LinkedIn), Chatbots, Newsletter-Tools (z. B. Mailchimp, CleverReach) oder eingebettete Inhalte wie YouTube-Videos.

Führen Sie eine vollständige Liste aller genutzten Drittanbieter-Tools. Diese sollte Angaben zum Anbieter, Verwendungszweck, den erfassten Daten sowie dem Speicherort enthalten. Bei Google Analytics werden beispielsweise Daten wie IP-Adressen, Browserinformationen und Seitenaufrufe erfasst. Da diese Daten häufig in die USA übertragen werden, müssen Standardvertragsklauseln berücksichtigt werden. Seit dem Schrems-II-Urteil des Europäischen Gerichtshofs ist die Übermittlung personenbezogener Daten in die USA besonders kritisch zu prüfen.

Datenschutzfreundliche Alternativen wie Matomo (mit On-Premise-Hosting) oder Plausible Analytics bieten sich an. Diese speichern Daten ausschließlich auf europäischen Servern und kommen ohne Cookies aus. Neben der Transparenz bei der Nutzung solcher Tools müssen auch die vertraglichen Grundlagen beachtet werden, worauf im nächsten Abschnitt eingegangen wird.

Auftragsverarbeitungsverträge

Wenn externe Dienstleister personenbezogene Daten in Ihrem Auftrag verarbeiten, ist ein Auftragsverarbeitungsvertrag (AVV) erforderlich. Artikel 28 der DSGVO schreibt vor, dass solche Verträge schriftlich abgeschlossen werden müssen und bestimmte Mindestinhalte enthalten. Dazu zählen Angaben zum Verarbeitungszweck, zur Dauer, zu den verarbeiteten Datenarten sowie zu den Pflichten und Rechten der Verantwortlichen.

Große Anbieter wie Google, Microsoft oder Mailchimp stellen in der Regel standardisierte AVVs bereit, die Sie direkt in Ihren Kontoeinstellungen aktivieren oder herunterladen können. Bei Google Analytics finden Sie den AVV beispielsweise unter „Verwaltung" → „Kontoeinstellungen" → „Nachtrag zur Datenverarbeitung". Stellen Sie sicher, dass der Vertrag DSGVO-konform ist und Standardvertragsklauseln für Datenübermittlungen außerhalb der EU enthält.

Kleinere Anbieter oder spezialisierte Tools bieten nicht immer vorgefertigte AVVs an. In solchen Fällen sollten Sie den Anbieter direkt kontaktieren und einen individuellen Vertrag aushandeln. Ohne einen gültigen AVV ist die Nutzung des Dienstes nicht DSGVO-konform.

Dokumentieren Sie alle abgeschlossenen AVVs in Ihrem Verzeichnis der Verarbeitungstätigkeiten. Überprüfen Sie regelmäßig, ob die Verträge noch aktuell sind und ob neue Tools hinzugekommen sind, für die ein AVV erforderlich ist. Eine Checkliste aller genutzten externen Dienstleister kann helfen, den Überblick zu behalten. Wenn Sie unsicher sind, welche Tools einen AVV erfordern, ziehen Sie am besten einen auf Datenschutz spezialisierten Anwalt hinzu.

Nächste Schritte zur Compliance

Die Einhaltung der DSGVO ist kein einmaliges Vorhaben, sondern ein kontinuierlicher Prozess, der regelmäßige Aufmerksamkeit erfordert. Auch wenn Sie Ihre Website technisch und rechtlich auf den neuesten Stand gebracht haben, bleibt die regelmäßige Überprüfung unerlässlich. Datenschutzerklärungen, Cookie-Banner und Auftragsverarbeitungsverträge (AVVs) müssen stets aktuell gehalten werden, da Änderungen in der Gesetzgebung, neue Tools oder Anpassungen Ihrer Website Anpassungen erfordern können.

Ein guter Ausgangspunkt ist eine gründliche Bestandsaufnahme Ihrer Website. Gehen Sie dabei systematisch vor und prüfen Sie, ob alle rechtlich vorgeschriebenen Seiten vorhanden und aktuell sind. Funktioniert Ihr Cookie-Banner korrekt und holt es die Einwilligung ein, bevor Cookies gesetzt werden? Haben Sie für alle externen Dienste gültige Auftragsverarbeitungsverträge abgeschlossen? Diese Punkte sollten auf Ihrer Checkliste stehen.

Planen Sie regelmäßige Überprüfungen, mindestens einmal jährlich, oder sofort, wenn Änderungen vorgenommen werden. Dazu gehören die Datenschutzerklärung, das Impressum und technische Maßnahmen. Dokumentieren Sie jede Überprüfung sorgfältig, damit Sie bei einer Kontrolle nachweisen können, dass Sie Ihre Pflichten erfüllt haben.

Gerade bei komplexeren Websites, die umfangreiche Datenverarbeitungen oder internationale Datenübermittlungen beinhalten, empfiehlt sich die Unterstützung durch Experten. Ein auf Datenschutzrecht spezialisierter Anwalt oder ein zertifizierter Datenschutzbeauftragter kann helfen, mögliche Schwachstellen zu identifizieren. Die Kosten für eine solche Beratung sind in der Regel deutlich geringer als die Strafen, die bei Verstößen drohen – diese können bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes betragen.

Schulen Sie zudem alle Mitarbeitenden, die mit Kundendaten arbeiten, in den Grundsätzen der DSGVO. Stellen Sie sicher, dass klare Prozesse für Betroffenenanfragen definiert sind. Wenn ein Kunde beispielsweise Auskunft über seine Daten verlangt oder deren Löschung fordert, müssen Sie innerhalb eines Monats reagieren können.

Zur Unterstützung gibt es praktische Tools und Vorlagen. Plattformen wie eRecht24 oder Datenschutz-Generator.de bieten Vorlagen für Datenschutzerklärungen, die speziell auf Österreich abgestimmt sind. Für das Verzeichnis der Verarbeitungstätigkeiten stellt die österreichische Datenschutzbehörde kostenlose Mustervorlagen zur Verfügung. Dokumentieren Sie jeden Schritt, den Sie unternehmen, um Ihre Sorgfaltspflichten nachweisen zu können.

Indem Sie diese Maßnahmen umsetzen, sichern Sie nicht nur die langfristige DSGVO-Konformität Ihrer Website, sondern stärken auch das Vertrauen Ihrer Nutzer. Weitere technische Tipps finden Sie in unseren Artikeln zu Website-Sicherheit und professioneller Webentwicklung.

FAQs

Welche Folgen hat es, wenn meine Website in Österreich nicht DSGVO-konform ist?

Wenn Ihre Website in Österreich nicht den Anforderungen der DSGVO entspricht, riskieren Sie hohe Bußgelder, rechtliche Konsequenzen und Abmahnungen. Typische Verstöße umfassen unzureichende Datenschutzerklärungen, das Fehlen eines korrekt implementierten Cookie-Banners oder unsichere Datenübertragungen. Solche Versäumnisse können nicht nur finanzielle Strafen nach sich ziehen, sondern auch das Vertrauen Ihrer Nutzer nachhaltig beeinträchtigen.

Für österreichische Unternehmen ist es daher unverzichtbar, die DSGVO-Vorgaben strikt einzuhalten. So minimieren Sie rechtliche Risiken und stärken gleichzeitig das Vertrauen Ihrer Website-Besucher.

Wie stelle ich sicher, dass mein Cookie-Banner DSGVO-konform ist?

Um sicherzugehen, dass Ihr Cookie-Banner den Vorgaben der DSGVO entspricht, sollten Sie auf folgende Aspekte besonders achten:

• Freiwillige Zustimmung: Nutzer müssen aktiv entscheiden können, ob sie Cookies akzeptieren möchten. Voreingestellte Häkchen bei optionalen Cookies sind dabei nicht zulässig.

• Klare Kommunikation: Das Banner sollte verständlich und transparent erläutern, welche Cookies eingesetzt werden und warum.

• Auswahlmöglichkeiten: Neben der Option, alle Cookies zu akzeptieren, muss auch die Möglichkeit bestehen, nur technisch notwendige Cookies zuzulassen.

Wichtig ist, dass Cookies erst nach der ausdrücklichen Zustimmung des Nutzers gesetzt werden. Zudem darf der Zugriff auf Ihre Website nicht davon abhängen, ob der Nutzer Cookies akzeptiert. Eine übersichtliche und gut formulierte Datenschutzerklärung, die im Cookie-Banner verlinkt ist, ist ebenfalls unverzichtbar.

Wie kann ich die Datensicherheit meiner Website verbessern?

Um die Sicherheit Ihrer Website zu stärken, sollten Sie einige grundlegende Maßnahmen umsetzen. Aktivieren Sie eine SSL-Verschlüsselung, um Daten während der Übertragung zu schützen. Halten Sie Ihre Website aktuell, indem Sie regelmäßig PHP-Versionen und Plugins auf den neuesten Stand bringen. Verwenden Sie zudem starke Passwörter und schränken Sie den Zugriff auf sensible Bereiche ein. Ergänzend dazu sind regelmäßige Backups sowie der Einsatz von Firewalls und Monitoring-Tools unerlässlich, um Angriffe frühzeitig zu erkennen und abzuwehren.

Vergessen Sie nicht, auch physische Sicherheitsmaßnahmen in Betracht zu ziehen, und schulen Sie Ihr Team regelmäßig in den Bereichen Datenschutz und IT-Sicherheit. Mit diesen Schritten senken Sie das Risiko von Datenverlust und schützen sich besser vor Cyberangriffen.

Verwandte Blogbeiträge

• Impressum-Pflicht in Österreich: Was gehört rein?

• Website für Arztpraxis oder Ordination – Darauf kommt es an

• Checkliste: Was jede moderne Unternehmenswebsite enthalten muss

• Wie Ihre Website mehr Anfragen bringt – 5 einfache Tricks