DSGVO
AppCore InFocus
Verordnung (EU) 2016/679
Datenschutz-Grundverordnung
In Kraft seit — Tagen
Die DSGVO ist das EU-weite Datenschutzrecht: Sie regelt seit 2018 verbindlich, wie personenbezogene Daten verarbeitet werden dürfen, und betrifft praktisch jede Website, die Besucherdaten erhebt.
Was die DSGVO regelt
Die Datenschutz-Grundverordnung (DSGVO) ist das zentrale Datenschutzgesetz der Europäischen Union. Sie legt fest, unter welchen Bedingungen personenbezogene Daten erhoben, gespeichert, genutzt und weitergegeben werden dürfen. Personenbezogen ist dabei jede Information, die sich einer bestimmten oder bestimmbaren Person zuordnen lässt, vom Namen über die E-Mail-Adresse bis zur IP-Adresse.
Der Grundgedanke ist eine Umkehr der Logik: Nicht die betroffene Person muss einer Datenverarbeitung erst widersprechen, sondern das Unternehmen muss für jede Verarbeitung eine Rechtsgrundlage vorweisen und sie dokumentieren können. Ohne eine solche Grundlage ist die Verarbeitung unzulässig.
Für Websites heißt das konkret: Kontaktformulare, Newsletter, Analyse-Werkzeuge, eingebettete Karten oder Videos und jedes Cookie, das mehr tut als technisch nötig, berühren die DSGVO. Sie ist damit kein Sonderthema für Konzerne, sondern betrifft die Website jedes kleinen Betriebs.
Woher die DSGVO kommt und seit wann sie gilt
Die DSGVO wurde 2016 verabschiedet und gilt nach einer zweijährigen Übergangsfrist seit dem 25. Mai 2018. Sie löste die alte EU-Datenschutzrichtlinie 95/46/EG ab, die jedes Land unterschiedlich umgesetzt hatte. Als Verordnung gilt die DSGVO unmittelbar und einheitlich in allen Mitgliedstaaten, ohne dass sie erst in nationales Recht übertragen werden muss.
In Deutschland wird sie durch das Bundesdatenschutzgesetz (BDSG) ergänzt, das die Öffnungsklauseln der Verordnung ausfüllt, etwa beim Beschäftigtendatenschutz. Für den Alltag einer Website ist jedoch fast immer die DSGVO selbst der Maßstab.
Personenbezogene Daten: worum es geht
Der Anwendungsbereich der DSGVO hängt an einem einzigen Begriff: den personenbezogenen Daten. Dazu zählt jede Angabe über eine identifizierbare Person, auch wenn sich die Identität erst über Umwege herstellen lässt. Eine IP-Adresse, eine Cookie-Kennung oder ein Standort können bereits ausreichen.
Eine besondere Kategorie bilden sensible Daten nach Artikel 9, etwa Angaben zu Gesundheit, Religion oder sexueller Orientierung. Für sie gelten strengere Regeln, weil ihr Missbrauch besonders schwer wiegt. Wer solche Daten verarbeitet, etwa eine Arztpraxis, braucht in der Regel eine ausdrückliche Einwilligung.
Trifft dich die DSGVO?
Schalte ein, was auf deine Website zutrifft. Der Wert ist ein Anhaltspunkt, keine Rechtsprüfung.
Trifft mich das?
Die Grundsätze der Datenverarbeitung
Was Artikel 5 der DSGVO von jeder Datenverarbeitung verlangt, in vier Prinzipien.
Vier Grundsätze, zum Durchtippen
Jede Verarbeitung braucht eine Rechtsgrundlage.
Personenbezogene Daten dürfen nur verarbeitet werden, wenn eine der in Artikel 6 genannten Rechtsgrundlagen vorliegt, etwa Einwilligung, Vertrag oder berechtigtes Interesse. Fehlt sie, ist die Verarbeitung unzulässig.
Hilft Newsletter nur mit ausdrücklicher Einwilligung (Double Opt-in).
Stolperfalle Newsletter-Anmeldung mit vorangekreuztem Kästchen.
Daten nur für den angegebenen Zweck nutzen.
Daten, die für einen bestimmten Zweck erhoben wurden, dürfen nicht ohne Weiteres für einen anderen Zweck weiterverwendet werden. Jeder neue Zweck braucht eine eigene Grundlage.
Hilft Adresse aus der Bestellung nur für den Versand verwenden.
Stolperfalle Bestelladressen ohne Einwilligung für Werbung nutzen.
Nur erheben, was wirklich nötig ist.
Es dürfen nur so viele Daten erhoben werden, wie für den Zweck erforderlich sind. Jedes zusätzliche Pflichtfeld muss sich begründen lassen.
Hilft Im Kontaktformular nur Name und Nachricht abfragen.
Stolperfalle Pflichtfeld Geburtsdatum ohne erkennbaren Grund.
Nutzer müssen wissen, was mit ihren Daten geschieht.
Betroffene müssen in klarer, einfacher Sprache erfahren, wer welche Daten zu welchem Zweck verarbeitet. Die Datenschutzerklärung ist dafür das zentrale Werkzeug.
Hilft Verständliche Datenschutzerklärung, von jeder Seite verlinkt.
Stolperfalle Keine oder veraltete Datenschutzerklärung.
Betroffenenrechte: welche Rechte Nutzer haben
Die DSGVO gibt jeder Person durchsetzbare Rechte gegenüber Stellen, die ihre Daten verarbeiten. Dazu gehören das Recht auf Auskunft über die gespeicherten Daten, das Recht auf Berichtigung falscher Angaben, das Recht auf Löschung (oft „Recht auf Vergessenwerden“ genannt) und das Recht, einer Verarbeitung zu widersprechen.
Hinzu kommen das Recht auf Einschränkung der Verarbeitung und das Recht auf Datenübertragbarkeit, mit dem sich Daten zu einem anderen Anbieter mitnehmen lassen. Wer eine Website betreibt, muss auf solche Anfragen reagieren können, in der Regel innerhalb eines Monats.
Auftragsverarbeitung und Drittdienste
Sobald ein externer Dienst personenbezogene Daten im Auftrag verarbeitet, etwa ein Hosting-Anbieter, ein Newsletter-Tool oder ein Analyse-Dienst, verlangt Artikel 28 einen Auftragsverarbeitungsvertrag (AVV). Damit bleibt die Verantwortung nachvollziehbar geregelt. Werden Daten in Länder außerhalb der EU übertragen, etwa in die USA, sind zusätzliche Garantien nötig.
Wie steht es um den Datenschutz deiner Website?
Wähle die Situation, die deiner aktuellen Website am nächsten kommt.
Trifft eine der folgenden Situationen auf dich zu?
Zeitleiste
Von der Richtlinie 95/46 zur DSGVO
Wie aus einem Flickenteppich nationaler Regeln ein einheitliches EU-Datenschutzrecht wurde.
- 1995
EU-Datenschutzrichtlinie 95/46/EG
Die EU setzt erstmals gemeinsame Datenschutz-Grundsätze, überlässt die Umsetzung aber den Mitgliedstaaten. Das Ergebnis ist ein Flickenteppich unterschiedlicher Regeln.
- 2016
Die DSGVO wird verabschiedet
Die EU beschließt eine einheitliche Verordnung und setzt eine zweijährige Übergangsfrist, in der sich Unternehmen vorbereiten sollen.
- 25. Mai 2018
Die DSGVO gilt unmittelbar
Die Verordnung wird in allen Mitgliedstaaten wirksam. Datenschutz wird vom Randthema zur Pflicht für jede Website.
- seit 2018
Bußgelder und Abmahnungen nehmen zu
Aufsichtsbehörden verhängen Bußgelder, Abmahnungen wegen Drittdiensten und fehlender Einwilligung werden zum realen Risiko, auch für kleine Betriebe.
Die Rechtslage: Verordnung (EU) 2016/679 und BDSG
Rechtlich stützt sich der Datenschutz auf zwei Ebenen: Die Verordnung (EU) 2016/679 (DSGVO) gilt unmittelbar in der gesamten EU, das Bundesdatenschutzgesetz (BDSG) füllt in Deutschland die nationalen Spielräume aus. Für Websites kommt das Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG) hinzu, das den Einsatz von Cookies und ähnlichen Techniken regelt.
Für die Praxis heißt das: Jede Datenerhebung auf einer Website braucht eine dokumentierte Rechtsgrundlage, jede Einbindung eines Drittdienstes eine saubere Grundlage und, wo nötig, eine vorherige Einwilligung. Die Datenschutzerklärung muss all das vollständig und verständlich abbilden.
So findet der AppCore Audit Datenschutz-Lücken
Der AppCore Audit prüft mit der Lösung PrivacyScanner automatisiert, welche personenbezogenen Daten eine Website erhebt, welche Drittdienste eingebunden sind und ob die Datenschutzerklärung dazu passt. Wo eine Grundlage fehlt oder eine Angabe unvollständig ist, macht der Befund die Lücke sichtbar und benennbar.
Abmahnung, Bußgeld und Aufsichtsbehörde: die Folgen
Verstöße gegen die DSGVO können auf mehreren Wegen teuer werden. Die Aufsichtsbehörden der Länder können Bußgelder verhängen, die in schweren Fällen bis zu 20 Mio. € oder 4 % des weltweiten Jahresumsatzes reichen. Für kleine und mittlere Unternehmen ist jedoch meist ein anderer Weg relevanter: die Abmahnung durch Mitbewerber oder Verbände, etwa wegen ohne Einwilligung nachgeladener Drittdienste.
Hinzu kommt der Schadensersatz: Betroffene können nach Artikel 82 auch immateriellen Schadensersatz verlangen. Das Hauptrisiko für den Mittelstand ist deshalb weniger das einzelne Höchst-Bußgeld als die Summe aus Abmahnkosten, Anwaltsgebühren und gebundener Zeit. Wer seine Website vorab prüft, nimmt dieser Kette den Anlass.
DSGVO auf der eigenen Website umsetzen
Die meisten DSGVO-Risiken entstehen nicht aus bösem Willen, sondern aus beiläufigen technischen Details: ein Analyse-Skript, das vor der Einwilligung lädt, eine Schriftart, die von einem externen Server kommt, ein Kontaktformular ohne Hinweis auf die Datenverarbeitung. Drei Fragen helfen, die eigene Website einzuordnen. Erstens: Gibt es für jede Datenerhebung eine dokumentierte Rechtsgrundlage? Zweitens: Laden Drittdienste erst nach einer Einwilligung? Drittens: Bildet die Datenschutzerklärung tatsächlich alles ab, was passiert?
Wer diese Fragen ehrlich beantwortet, findet die meisten Stolperfallen selbst. Ohne Einwilligung nachgeladene Drittdienste, eine unvollständige Datenschutzerklärung und fehlende Auftragsverarbeitungsverträge gehören zu den häufigsten Fundstellen.
Für Websites mit vielen Seiten wird diese Prüfung schnell aufwendig. Genau hier setzt der AppCore Audit an: Er liest systematisch aus, welche Daten eine Website erhebt und welche Dienste sie einbindet, ordnet jeden Fund nach Risiko ein und macht sichtbar, wo eine Grundlage fehlt. Aus einer diffusen Sorge wird eine konkrete, abarbeitbare Liste.
Datenschutz umzusetzen heißt nicht, auf nützliche Werkzeuge zu verzichten. Es heißt, für jede Datenverarbeitung eine saubere Grundlage zu haben und transparent zu zeigen, was geschieht. Wer so vorgeht, senkt nicht nur sein Compliance-Risiko, sondern schafft auch Vertrauen bei den eigenen Besuchern.
Wo stehst du gerade?
Der günstigste Zeitpunkt für Datenschutz ist vor dem ersten Besucher. Kläre für jedes Formular, jedes Analyse-Werkzeug und jeden eingebundenen Drittdienst die Rechtsgrundlage, bevor du live gehst.
Für eine bestehende Seite lohnt sich die systematische Bestandsaufnahme. Der AppCore Audit liest aus, welche Daten deine Seite erhebt und welche Dienste sie einbindet, und zeigt dir, wo eine Rechtsgrundlage fehlt.
Dein Weg zu mehr Sicherheit
Vom Befund zur laufenden Prüfung
Drei Schritte, jeder für sich nutzbar.
AppCore Audit
Wir prüfen deine Seite über alle 20 Lösungen und zeigen dir, was offen ist.
Kostenfrei startenBluePrint oder CMS
Offene Befunde werden behoben, technisch direkt oder über ExpertSeal.
Plan
Deine Seite bleibt dauerhaft sauber, mit laufender Prüfung.
Pläne ansehenAudit → BluePrint / CMS → Plan
Nächster Schritt
Compliance-Risiko einschätzen
Der AppCore-Erstaudit zeigt dir in 10 Minuten, wo deine Website steht.