Wer braucht DSGVO — auch wenn Sie nicht in der EU sind
Verbreiteter Irrtum: «Meine Website ist in Deutschland, DSGVO betrifft nur Konzerne». Das ist falsch.
DSGVO gilt für jede Website, die:
• Daten europäischer Kunden sammelt (Kontaktformular, Registrierung, Newsletter)
• Google Analytics, Facebook Pixel oder andere Dienste verwendet, die Daten an die EU/USA übertragen
• Zahlungen von europäischen Nutzern annimmt
• Cookies für Tracking verwendet
Wenn Sie in Deutschland sind und mit Kunden arbeiten — DSGVO gilt automatisch. Punkt. Keine Größenausnahme.
Plus — nationale Gesetze. In Deutschland gilt zusätzlich BDSG (Bundesdatenschutzgesetz). In Österreich — DSG. In der Schweiz — DSG (revidiert). Alle harmonisiert mit DSGVO.
7 Pflichtelemente auf der Website
1. Cookie-Consent-Banner
Pop-up-Fenster mit ausdrücklicher Einwilligung zur Cookie-Nutzung. Nicht «durch Weitersurfen stimmen Sie zu» (funktioniert nicht mit DSGVO), sondern separate Buttons «Alle akzeptieren» / «Nur notwendige» / «Einstellungen». Ohne kann man Google Analytics und andere Tracking-Cookies nicht nutzen.
2. Datenschutzerklärung
Seite mit Beschreibung:
• Welche Daten gesammelt werden (Name, E-Mail, Telefon, IP, Cookies)
• Wofür (Anfragen-Bearbeitung, Marketing, Analytics)
• An wen weitergegeben (Google, Resend, Hosting-Provider, CRM)
• Wie lange gespeichert
• Wie der Nutzer Löschung, Zugriff, Übertragung anfordern kann
• Kontakte des Datenschutzbeauftragten
Vorlagen gibt es auf e-recht24.de und iubenda.com, aber die finale Version sollte ein Anwalt prüfen.
3. Einwilligung in Formularen (Checkbox)
Jedes Formular, das Daten sammelt, muss eine Pflicht-Checkbox mit explizitem Text haben: «Ich stimme der Verarbeitung meiner personenbezogenen Daten gemäß Datenschutzerklärung zu» mit Link zur Datenschutzerklärung. Die Checkbox darf NICHT standardmäßig aktiviert sein.
4. Impressum (Pflicht in DE/AT/CH)
In Deutschland nach §5 TMG Pflicht für jede gewerbliche Website. Inhalt: Firmenname, Anschrift, Telefon, E-Mail, Handelsregisternummer, USt-ID, verantwortliche Person. Fehlt das Impressum oder ist unvollständig — Abmahnungen bis €5000+ sind realistisch.
5. Schutz vor Spam und Angriffen
reCAPTCHA oder Äquivalent in Formularen. Ohne werden 70% der Mails von der Website Spam-Bots sein. Das ist auch DSGVO-Anforderung — das Unternehmen muss Datensicherheit gegen unbefugten Zugriff gewährleisten.
6. HTTPS Pflicht
SSL-Zertifikat muss aktiviert sein. 2026 nicht mehr diskutabel — ohne HTTPS markiert Google die Website als «nicht sicher», und Nutzer gehen weg. Kostenloses Let's-Encrypt-Zertifikat ist in jedem modernen Hosting integriert.
7. Recht auf Löschung, Zugriff, Datenübertragbarkeit
Der Nutzer muss Ihnen per E-Mail schreiben können und folgendes anfordern:
• Welche seiner Daten Sie haben
• Datenlöschung
• Übertragung (Export im CSV/JSON-Format)
• Berichtigung
Auf der Website muss ein sichtbarer Link zur «Datenschutzerklärung» (oft im Footer) mit Beschreibung des Verfahrens stehen.
Reale Bußgelder — keine Drohung
2024-2025 haben europäische Regulierer Bußgelder von €5+ Milliarden ausgestellt. Einige Beispiele:
• Meta — €1.2 Mrd für Datenübertragung in die USA
• Amazon — €746 Mio für Cookie-Verletzung
• Marriott — €18.4 Mio für Datenleck
• Carrefour — €2.25 Mio für Marketing-Spam
Auch kleine Unternehmen werden bestraft. Café in Österreich — €4 800 für Überwachungskamera ohne Hinweisschild. Friseur in Deutschland — €2 500 für Newsletter ohne Einwilligung.
In Deutschland steigen die Bußgelder: 2024 wurden über €30 Mio gegen kleine und mittlere Unternehmen verhängt. Durchschnittlich €5 000-50 000 pro Verstoß.
Hauptproblem ist nicht die Strafe, sondern die Reputation. Ein Skandal mit Datenleck oder Beschwerde beim Regulierer — und Ihre Firma ist «die mit dem Datenleck». Vertrauen wiederherzustellen kostet viel mehr als DSGVO von Anfang an einzurichten.
Mythen — was NICHT nötig ist
Mythos 1: «Wer Cookies ablehnt, hat keine Analytics und Werbung».
Stimmt nur, wenn man Google Consent Mode v2 nicht nutzt. Mit Consent Mode sammelt Analytics anonymisierte Daten auch bei Ablehnung — ausreichend für Basis-Metriken.
Mythos 2: «Man muss sich in der EU als Datenverarbeiter registrieren».
Nur wenn Ihr Geschäft eine bestimmte Größe überschreitet oder spezielle Datenkategorien verarbeitet. Für eine typische Agentur in DE — nicht nötig, aber DSB (Datenschutzbeauftragter) intern muss benannt sein, wenn 20+ Mitarbeiter mit Daten arbeiten.
Mythos 3: «Privacy ist nur für große Projekte wichtig».
DSGVO gilt gleich für ein Landing mit einem Formular und für Amazon. Größe befreit nicht von Pflichten.
Mythos 4: «Ich habe keine EU-Kunden, DSGVO betrifft mich nicht».
Wenn ein europäischer Nutzer auf Ihre Website kommen und eine Anfrage hinterlassen kann (passiert automatisch — die Website ist offen), gilt DSGVO für diese Anfrage. Geo-Check des Besuchers lokal — noch mehr Risiko (das ist bereits Datenverarbeitung ohne Einwilligung).
Mythos 5: «DSGVO ist nur ein Cookie-Banner».
Cookie-Banner ist der sichtbare Teil. Darunter — Datenschutzerklärung, Einwilligung in Formularen, sichere Speicherung, Recht auf Löschung. Ohne ist der Banner eine Fassade ohne Gebäude.
Schnell-Checkliste «DSGVO-Bereitschaft»
Öffnen Sie Ihre Website und prüfen Sie:
✓ Beim ersten Besuch erscheint Cookie-Banner mit Ablehnungsmöglichkeit
✓ Im Footer ein sichtbarer Link «Datenschutzerklärung»
✓ In jedem Formular eine Pflicht-Einwilligungs-Checkbox (NICHT vorausgewählt)
✓ Datenschutzerklärung beschreibt alle genutzten Dienste (Google, Analytics, Formulare)
✓ Website läuft über HTTPS (grünes Schloss in der Adressleiste)
✓ In Formularen reCAPTCHA oder Äquivalent
✓ E-Mail oder Formular für Datenlöschungsanfragen
✓ Impressum vorhanden und vollständig (Pflicht in DE/AT/CH)
✓ Analytics über Consent Mode v2 angebunden (für Google)
Wenn 1-2 Punkte fehlen — juristisches Risiko, das früher oder später zünden wird. Besser einen Tag in Konfiguration investieren als einen Monat in Bußgeld-Abwicklung.