Datenschutz Website
AppCore InFocus
Art. 32 DSGVO
Technische Umsetzung
Pflicht seit — Tagen
Datenschutz auf der Website ist mehr als eine Datenschutzerklärung. Die DSGVO verlangt auch die tatsächliche technische und organisatorische Umsetzung, von Verschlüsselung bis zum Vertrag mit dem Hosting-Anbieter.
Was Datenschutz auf der Website praktisch bedeutet
Datenschutz auf der Website umfasst mehr als das Dokument, das die Datenverarbeitung beschreibt. Er umfasst die tatsächliche technische und organisatorische Umsetzung: Wie werden Daten übertragen und gespeichert, wer hat Zugriff, welche Drittanbieter sind eingebunden, und was passiert, wenn ein Formular abgeschickt wird.
Eine korrekte Datenschutzerklärung beschreibt diese Umsetzung, ersetzt sie aber nicht. Eine Seite kann eine vorbildliche Datenschutzerklärung haben und trotzdem technische Lücken aufweisen, etwa eine unverschlüsselte Formularübertragung oder einen Hosting-Vertrag ohne die nötige Auftragsverarbeitungsvereinbarung.
Der Unterschied lässt sich so zusammenfassen: Die Datenschutzerklärung ist die Beschreibung, Datenschutz auf der Website ist die Praxis dahinter. Beides muss zusammenpassen.
Die Rechtsgrundlage: Art. 25 und Art. 32 DSGVO
Artikel 25 DSGVO verlangt Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen, bekannt als Privacy by Design und Privacy by Default. Das bedeutet: Datenschutz soll von Anfang an mitgeplant werden, nicht nachträglich aufgesetzt, und Voreinstellungen sollen so gewählt sein, dass möglichst wenige Daten verarbeitet werden.
Artikel 32 DSGVO verlangt geeignete technische und organisatorische Maßnahmen zur Sicherheit der Verarbeitung, angepasst an das Risiko. Für Websites zählen dazu insbesondere die verschlüsselte Übertragung, angemessene Zugriffsbeschränkungen und ein Verfahren, um Sicherheitsvorfälle zu erkennen und zu behandeln.
Auftragsverarbeitung: der oft übersehene Baustein
Fast jede Website nutzt externe Dienste, die personenbezogene Daten im Auftrag verarbeiten: Hosting-Anbieter, E-Mail-Versanddienste, Analyse- und Marketing-Tools, Formular- und Chat-Plugins. Für jeden dieser Dienste verlangt Artikel 28 DSGVO einen Auftragsverarbeitungsvertrag, der Umfang, Zweck und Sicherheitsmaßnahmen der Verarbeitung regelt.
Ohne AVV fehlt die Rechtsgrundlage
Fehlt ein solcher Vertrag, fehlt die Rechtsgrundlage für die Weitergabe der Daten an den Dienstleister, selbst wenn die Datenschutzerklärung den Dienst korrekt beschreibt. Diese vertragliche Ebene bleibt für Besucher unsichtbar, ist aber für die Aufsichtsbehörde eine der ersten Fragen bei einer Prüfung.
Wie steht es um deinen technischen Datenschutz?
Schalte ein, was auf deine Website zutrifft. Der Wert ist ein Anhaltspunkt, keine Rechtsprüfung.
Trifft mich das?
Woran sich technischer Datenschutz zeigt
Was Art. 25 und Art. 32 DSGVO praktisch von einer Website verlangen, in vier Prinzipien.
Vier Anforderungen, zum Durchtippen
Übertragung per TLS abgesichert.
Die verschlüsselte Übertragung ist eine der grundlegendsten technischen Maßnahmen nach Art. 32 DSGVO. Ohne sie sind übertragene Daten auf dem Weg abfangbar.
Hilft Gesamte Seite inklusive Formulare über HTTPS.
Stolperfalle Formular überträgt Daten unverschlüsselt per HTTP.
AVV mit jedem Auftragsverarbeiter.
Art. 28 DSGVO verlangt einen Auftragsverarbeitungsvertrag für jeden Dienst, der im Auftrag personenbezogene Daten verarbeitet. Ohne ihn fehlt die Rechtsgrundlage für die Weitergabe.
Hilft Auftragsverarbeitungsvertrag mit Hosting- und Tool-Anbietern abgeschlossen.
Stolperfalle Externe Dienste eingebunden, aber nie ein AVV geprüft oder abgeschlossen.
Nur erheben, was nötig ist.
Privacy by Default nach Art. 25 DSGVO verlangt, dass ohne aktives Zutun nur die für den Zweck nötigen Daten verarbeitet werden. Überschüssige Datenfelder erhöhen unnötig das Risiko.
Hilft Kontaktformular fragt nur Name, E-Mail und Anliegen ab.
Stolperfalle Formular verlangt Geburtsdatum und Adresse ohne erkennbaren Zweck.
Nur befugte Personen haben Zugang.
Angemessene Zugriffsbeschränkungen gehören zu den technischen und organisatorischen Maßnahmen nach Art. 32 DSGVO. Wer Zugriff auf welche Daten hat, sollte klar geregelt und nachvollziehbar sein.
Hilft Rollenbasierte Zugriffsrechte im CMS und Hosting-Backend.
Stolperfalle Ein geteiltes Admin-Passwort für alle Mitarbeiter.
Der häufigste Irrtum: „Die Erklärung ist doch korrekt“
Ein verbreiteter Irrtum ist, sich mit einer vollständigen Datenschutzerklärung ausreichend abgesichert zu fühlen. Die Erklärung beschreibt die Verarbeitung, sie bewirkt sie aber nicht rechtmäßig. Wenn hinter der korrekt beschriebenen Verarbeitung ein fehlender Auftragsverarbeitungsvertrag oder eine unverschlüsselte Übertragung steckt, bleibt die Verarbeitung selbst angreifbar, unabhängig davon, wie gut die Erklärung formuliert ist.
Ein zweiter Irrtum betrifft Datenminimierung: Viele Formulare fragen mehr Daten ab, als für den eigentlichen Zweck nötig sind, „für alle Fälle“ oder aus Marketing-Interesse. Das widerspricht dem Grundsatz der Datenminimierung und vergrößert unnötig die Angriffsfläche im Fall eines Datenlecks.
Wie steht es um den Datenschutz deiner Website?
Wähle die Situation, die deinem aktuellen Stand am nächsten kommt.
Trifft eine der folgenden Situationen auf dich zu?
Zeitleiste
Von der Erklärungspflicht zur technischen Umsetzungspflicht
Wie Datenschutz auf Websites von einer reinen Informationspflicht zu einer technischen Gestaltungspflicht wurde.
- vor 2018
Datenschutz vor allem als Informationspflicht
Vor der DSGVO stand die Information der Nutzer im Vordergrund, technische Vorgaben waren weniger konkret gefasst.
- 2018
Art. 25 und 32 DSGVO machen Technik zur Pflicht
Mit Privacy by Design, Privacy by Default und den Anforderungen an die Sicherheit der Verarbeitung wird die technische Umsetzung explizit Teil der Rechtspflicht.
- seit 2018
Auftragsverarbeitung wird zur Routine-Pflicht
Art. 28 DSGVO etabliert den Auftragsverarbeitungsvertrag als Standard-Baustein für jeden eingebundenen Drittdienst.
- laufend
Technische Lücken bleiben unter dem Radar
Fehlende Verschlüsselung, fehlende AVVs und übermäßige Datenerhebung bleiben häufige, aber für Besucher unsichtbare Lücken.
Die Rechtslage: Art. 25, 28 und 32 DSGVO im Zusammenspiel
Rechtlich bilden drei Artikel der DSGVO das technische Fundament: Art. 25 verlangt Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen, Art. 28 verlangt einen Vertrag mit jedem Auftragsverarbeiter, Art. 32 verlangt angemessene technische und organisatorische Sicherheitsmaßnahmen. Alle drei wirken zusammen und ergänzen die Informationspflichten aus Art. 13 und 14, die in der Datenschutzerklärung münden.
Für die Praxis kommt es auf die Deckung zwischen beschriebener und tatsächlicher Verarbeitung an: Was die Datenschutzerklärung verspricht, muss technisch auch so umgesetzt sein, inklusive Verschlüsselung, Zugriffsbeschränkung und vertraglicher Absicherung der eingebundenen Dienste.
So prüft der AppCore Audit den technischen Datenschutz
Der AppCore Audit prüft mit der Lösung PrivacyScanner, welche Dienste eine Seite tatsächlich lädt, ob die Übertragung verschlüsselt erfolgt und ob typische technische Risikomuster auftreten. Ob für jeden eingebundenen Dienst ein gültiger Auftragsverarbeitungsvertrag vorliegt, lässt sich nur anhand der eigenen Vertragsunterlagen klären.
Bußgeld und Datenlecks: die Folgen
Fehlende technische Maßnahmen können von Aufsichtsbehörden unabhängig von der Datenschutzerklärung als eigenständiger Verstoß gegen Art. 25 oder Art. 32 DSGVO geahndet werden, mit entsprechendem Bußgeld. Kommt es durch eine technische Lücke, etwa unverschlüsselte Übertragung oder unzureichende Zugriffsbeschränkung, zu einem Datenleck, verschärft das die Bewertung zusätzlich.
Ein fehlender Auftragsverarbeitungsvertrag wird oft erst bei einer behördlichen Prüfung oder im Streitfall sichtbar, wenn es zu spät ist, ihn nachzuholen. Deshalb lohnt sich die Prüfung im Vorfeld, nicht erst auf Anfrage einer Behörde.
Den eigenen technischen Datenschutz sauber aufsetzen
Die meisten Lücken beim technischen Datenschutz sind unsichtbar, solange niemand gezielt danach sucht. Drei Fragen helfen bei der Einordnung. Erstens: Läuft die gesamte Seite, insbesondere alle Formulare, verschlüsselt über HTTPS? Zweitens: Liegt für jeden eingebundenen externen Dienst ein gültiger Auftragsverarbeitungsvertrag vor? Drittens: Werden nur die Daten erhoben, die für den jeweiligen Zweck tatsächlich nötig sind?
Wer diese Fragen ehrlich beantwortet, findet die häufigsten Lücken selbst. Fehlende Verschlüsselung einzelner Formulare, nie geprüfte Auftragsverarbeitungsverträge und überdimensionierte Formularfelder gehören zu den klassischen Fundstellen.
Für Seiten mit mehreren eingebundenen Diensten wird der Überblick über technische und vertragliche Bausteine schnell aufwendig. Genau hier setzt der AppCore Audit an: Er prüft die technisch sichtbaren Aspekte und macht sichtbar, wo eine genauere vertragliche Prüfung sinnvoll ist.
Technischer Datenschutz ist die Grundlage, auf der jede Datenschutzerklärung erst wahr wird. Wer Verschlüsselung, Auftragsverarbeitung und Datenminimierung sauber umsetzt, senkt sein Compliance-Risiko spürbar und schafft ein Fundament, das auch einer genaueren Prüfung standhält.
Wo stehst du gerade?
Datenschutz durch Technikgestaltung heißt: Die datensparsame Variante ist die Voreinstellung, nicht die Ausnahme. Beim Bau ist das leicht, im Nachhinein wird es aufwendig.
Eine korrekte Datenschutzerklärung nützt wenig, wenn die Technik darunter etwas anderes tut. Der AppCore Audit prüft, was deine Seite tatsächlich lädt und sendet.
Dein Weg zu mehr Sicherheit
Vom Befund zur laufenden Prüfung
Drei Schritte, jeder für sich nutzbar.
AppCore Audit
Wir prüfen deine Seite über alle 20 Lösungen und zeigen dir, was offen ist.
Kostenfrei startenBluePrint oder CMS
Offene Befunde werden behoben, technisch direkt oder über ExpertSeal.
Plan
Deine Seite bleibt dauerhaft sauber, mit laufender Prüfung.
Pläne ansehenAudit → BluePrint / CMS → Plan
Nächster Schritt
Compliance-Risiko einschätzen
Der AppCore-Erstaudit zeigt dir in 10 Minuten, wo deine Website steht.