InFocus · Begriff

DSGVO

Aktualisiert Juli 2026 ca. 8Minuten Norm-Anker: Verordnung (EU) 2016/679 (DSGVO), BDSG

AppCore IntelligenceUnit Redaktion, AppCore

Die AppCore IntelligenceUnit beobachtet die Entwicklung der einschlägigen Regulierung laufend und bereitet sie redaktionell auf.

  • Content-Compliance
  • Markenkommunikation

Die DSGVO ist das EU-weite Datenschutzrecht: Sie regelt seit 2018 verbindlich, wie personenbezogene Daten verarbeitet werden dürfen, und betrifft praktisch jede Website, die Besucherdaten erhebt.

In Kürze Verordnung (EU) 2016/679, gilt seit 25. Mai 2018Unmittelbar geltendes Recht in allen EU-MitgliedstaatenIn Deutschland ergänzt durch das BDSGBetrifft jede Verarbeitung personenbezogener DatenBußgelder bis 20 Mio. € oder 4 % des weltweiten Jahresumsatzes

Was die DSGVO regelt

Die Datenschutz-Grundverordnung (DSGVO) ist das zentrale Datenschutzgesetz der Europäischen Union. Sie legt fest, unter welchen Bedingungen personenbezogene Daten erhoben, gespeichert, genutzt und weitergegeben werden dürfen. Personenbezogen ist dabei jede Information, die sich einer bestimmten oder bestimmbaren Person zuordnen lässt, vom Namen über die E-Mail-Adresse bis zur IP-Adresse.

Der Grundgedanke ist eine Umkehr der Logik: Nicht die betroffene Person muss einer Datenverarbeitung erst widersprechen, sondern das Unternehmen muss für jede Verarbeitung eine Rechtsgrundlage vorweisen und sie dokumentieren können. Ohne eine solche Grundlage ist die Verarbeitung unzulässig.

Für Websites heißt das konkret: Kontaktformulare, Newsletter, Analyse-Werkzeuge, eingebettete Karten oder Videos und jedes Cookie, das mehr tut als technisch nötig, berühren die DSGVO. Sie ist damit kein Sonderthema für Konzerne, sondern betrifft die Website jedes kleinen Betriebs.

Woher die DSGVO kommt und seit wann sie gilt

Die DSGVO wurde 2016 verabschiedet und gilt nach einer zweijährigen Übergangsfrist seit dem 25. Mai 2018. Sie löste die alte EU-Datenschutzrichtlinie 95/46/EG ab, die jedes Land unterschiedlich umgesetzt hatte. Als Verordnung gilt die DSGVO unmittelbar und einheitlich in allen Mitgliedstaaten, ohne dass sie erst in nationales Recht übertragen werden muss.

In Deutschland wird sie durch das Bundesdatenschutzgesetz (BDSG) ergänzt, das die Öffnungsklauseln der Verordnung ausfüllt, etwa beim Beschäftigtendatenschutz. Für den Alltag einer Website ist jedoch fast immer die DSGVO selbst der Maßstab.

Personenbezogene Daten: worum es geht

Der Anwendungsbereich der DSGVO hängt an einem einzigen Begriff: den personenbezogenen Daten. Dazu zählt jede Angabe über eine identifizierbare Person, auch wenn sich die Identität erst über Umwege herstellen lässt. Eine IP-Adresse, eine Cookie-Kennung oder ein Standort können bereits ausreichen.

Eine besondere Kategorie bilden sensible Daten nach Artikel 9, etwa Angaben zu Gesundheit, Religion oder sexueller Orientierung. Für sie gelten strengere Regeln, weil ihr Missbrauch besonders schwer wiegt. Wer solche Daten verarbeitet, etwa eine Arztpraxis, braucht in der Regel eine ausdrückliche Einwilligung.

Trifft dich die DSGVO?

Schalte ein, was auf deine Website zutrifft. Der Wert ist ein Anhaltspunkt, keine Rechtsprüfung.

Trifft mich das?

Schalte mindestens ein Kriterium ein, um eine Einschätzung zu sehen.

Die Grundsätze der Datenverarbeitung

Was Artikel 5 der DSGVO von jeder Datenverarbeitung verlangt, in vier Prinzipien.

Vier Grundsätze, zum Durchtippen

Jede Verarbeitung braucht eine Rechtsgrundlage.

Personenbezogene Daten dürfen nur verarbeitet werden, wenn eine der in Artikel 6 genannten Rechtsgrundlagen vorliegt, etwa Einwilligung, Vertrag oder berechtigtes Interesse. Fehlt sie, ist die Verarbeitung unzulässig.

Hilft Newsletter nur mit ausdrücklicher Einwilligung (Double Opt-in).

Stolperfalle Newsletter-Anmeldung mit vorangekreuztem Kästchen.

Daten nur für den angegebenen Zweck nutzen.

Daten, die für einen bestimmten Zweck erhoben wurden, dürfen nicht ohne Weiteres für einen anderen Zweck weiterverwendet werden. Jeder neue Zweck braucht eine eigene Grundlage.

Hilft Adresse aus der Bestellung nur für den Versand verwenden.

Stolperfalle Bestelladressen ohne Einwilligung für Werbung nutzen.

Nur erheben, was wirklich nötig ist.

Es dürfen nur so viele Daten erhoben werden, wie für den Zweck erforderlich sind. Jedes zusätzliche Pflichtfeld muss sich begründen lassen.

Hilft Im Kontaktformular nur Name und Nachricht abfragen.

Stolperfalle Pflichtfeld Geburtsdatum ohne erkennbaren Grund.

Nutzer müssen wissen, was mit ihren Daten geschieht.

Betroffene müssen in klarer, einfacher Sprache erfahren, wer welche Daten zu welchem Zweck verarbeitet. Die Datenschutzerklärung ist dafür das zentrale Werkzeug.

Hilft Verständliche Datenschutzerklärung, von jeder Seite verlinkt.

Stolperfalle Keine oder veraltete Datenschutzerklärung.

Betroffenenrechte: welche Rechte Nutzer haben

Die DSGVO gibt jeder Person durchsetzbare Rechte gegenüber Stellen, die ihre Daten verarbeiten. Dazu gehören das Recht auf Auskunft über die gespeicherten Daten, das Recht auf Berichtigung falscher Angaben, das Recht auf Löschung (oft „Recht auf Vergessenwerden“ genannt) und das Recht, einer Verarbeitung zu widersprechen.

Hinzu kommen das Recht auf Einschränkung der Verarbeitung und das Recht auf Datenübertragbarkeit, mit dem sich Daten zu einem anderen Anbieter mitnehmen lassen. Wer eine Website betreibt, muss auf solche Anfragen reagieren können, in der Regel innerhalb eines Monats.

Auftragsverarbeitung und Drittdienste

Sobald ein externer Dienst personenbezogene Daten im Auftrag verarbeitet, etwa ein Hosting-Anbieter, ein Newsletter-Tool oder ein Analyse-Dienst, verlangt Artikel 28 einen Auftragsverarbeitungsvertrag (AVV). Damit bleibt die Verantwortung nachvollziehbar geregelt. Werden Daten in Länder außerhalb der EU übertragen, etwa in die USA, sind zusätzliche Garantien nötig.

Wie steht es um den Datenschutz deiner Website?

Wähle die Situation, die deiner aktuellen Website am nächsten kommt.

Trifft eine der folgenden Situationen auf dich zu?

Wähle eine Situation, um die Einordnung zu sehen.

Zeitleiste

Von der Richtlinie 95/46 zur DSGVO

Wie aus einem Flickenteppich nationaler Regeln ein einheitliches EU-Datenschutzrecht wurde.

  1. 1995

    EU-Datenschutzrichtlinie 95/46/EG

    Die EU setzt erstmals gemeinsame Datenschutz-Grundsätze, überlässt die Umsetzung aber den Mitgliedstaaten. Das Ergebnis ist ein Flickenteppich unterschiedlicher Regeln.

  2. 2016

    Die DSGVO wird verabschiedet

    Die EU beschließt eine einheitliche Verordnung und setzt eine zweijährige Übergangsfrist, in der sich Unternehmen vorbereiten sollen.

  3. 25. Mai 2018

    Die DSGVO gilt unmittelbar

    Die Verordnung wird in allen Mitgliedstaaten wirksam. Datenschutz wird vom Randthema zur Pflicht für jede Website.

  4. seit 2018

    Bußgelder und Abmahnungen nehmen zu

    Aufsichtsbehörden verhängen Bußgelder, Abmahnungen wegen Drittdiensten und fehlender Einwilligung werden zum realen Risiko, auch für kleine Betriebe.

Die Rechtslage: Verordnung (EU) 2016/679 und BDSG

Rechtlich stützt sich der Datenschutz auf zwei Ebenen: Die Verordnung (EU) 2016/679 (DSGVO) gilt unmittelbar in der gesamten EU, das Bundesdatenschutzgesetz (BDSG) füllt in Deutschland die nationalen Spielräume aus. Für Websites kommt das Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG) hinzu, das den Einsatz von Cookies und ähnlichen Techniken regelt.

Für die Praxis heißt das: Jede Datenerhebung auf einer Website braucht eine dokumentierte Rechtsgrundlage, jede Einbindung eines Drittdienstes eine saubere Grundlage und, wo nötig, eine vorherige Einwilligung. Die Datenschutzerklärung muss all das vollständig und verständlich abbilden.

So findet der AppCore Audit Datenschutz-Lücken

Der AppCore Audit prüft mit der Lösung PrivacyScanner automatisiert, welche personenbezogenen Daten eine Website erhebt, welche Drittdienste eingebunden sind und ob die Datenschutzerklärung dazu passt. Wo eine Grundlage fehlt oder eine Angabe unvollständig ist, macht der Befund die Lücke sichtbar und benennbar.

Abmahnung, Bußgeld und Aufsichtsbehörde: die Folgen

Verstöße gegen die DSGVO können auf mehreren Wegen teuer werden. Die Aufsichtsbehörden der Länder können Bußgelder verhängen, die in schweren Fällen bis zu 20 Mio. € oder 4 % des weltweiten Jahresumsatzes reichen. Für kleine und mittlere Unternehmen ist jedoch meist ein anderer Weg relevanter: die Abmahnung durch Mitbewerber oder Verbände, etwa wegen ohne Einwilligung nachgeladener Drittdienste.

Hinzu kommt der Schadensersatz: Betroffene können nach Artikel 82 auch immateriellen Schadensersatz verlangen. Das Hauptrisiko für den Mittelstand ist deshalb weniger das einzelne Höchst-Bußgeld als die Summe aus Abmahnkosten, Anwaltsgebühren und gebundener Zeit. Wer seine Website vorab prüft, nimmt dieser Kette den Anlass.

DSGVO auf der eigenen Website umsetzen

Die meisten DSGVO-Risiken entstehen nicht aus bösem Willen, sondern aus beiläufigen technischen Details: ein Analyse-Skript, das vor der Einwilligung lädt, eine Schriftart, die von einem externen Server kommt, ein Kontaktformular ohne Hinweis auf die Datenverarbeitung. Drei Fragen helfen, die eigene Website einzuordnen. Erstens: Gibt es für jede Datenerhebung eine dokumentierte Rechtsgrundlage? Zweitens: Laden Drittdienste erst nach einer Einwilligung? Drittens: Bildet die Datenschutzerklärung tatsächlich alles ab, was passiert?

Wer diese Fragen ehrlich beantwortet, findet die meisten Stolperfallen selbst. Ohne Einwilligung nachgeladene Drittdienste, eine unvollständige Datenschutzerklärung und fehlende Auftragsverarbeitungsverträge gehören zu den häufigsten Fundstellen.

Für Websites mit vielen Seiten wird diese Prüfung schnell aufwendig. Genau hier setzt der AppCore Audit an: Er liest systematisch aus, welche Daten eine Website erhebt und welche Dienste sie einbindet, ordnet jeden Fund nach Risiko ein und macht sichtbar, wo eine Grundlage fehlt. Aus einer diffusen Sorge wird eine konkrete, abarbeitbare Liste.

Datenschutz umzusetzen heißt nicht, auf nützliche Werkzeuge zu verzichten. Es heißt, für jede Datenverarbeitung eine saubere Grundlage zu haben und transparent zu zeigen, was geschieht. Wer so vorgeht, senkt nicht nur sein Compliance-Risiko, sondern schafft auch Vertrauen bei den eigenen Besuchern.

Wo stehst du gerade?

Dein Weg zu mehr Sicherheit

Vom Befund zur laufenden Prüfung

Drei Schritte, jeder für sich nutzbar.

Schritt 1 · Diagnose

AppCore Audit

kostenfreieinmalige Diagnose

Wir prüfen deine Seite über alle 20 Lösungen und zeigen dir, was offen ist.

Kostenfrei starten
Schritt 3 · Dauerpflege

Plan

ab 99,- €pro Monat

Deine Seite bleibt dauerhaft sauber, mit laufender Prüfung.

Pläne ansehen

Audit BluePrint / CMS Plan

Nächster Schritt

Compliance-Risiko einschätzen

Der AppCore-Erstaudit zeigt dir in 10 Minuten, wo deine Website steht.