Alle Blogbeiträge

Datenschutz-Grundverordnung (DSGVO): Was sie für Ihre Website bedeutet

Close
Lesedauer
10 Minuten
Veröffentlicht
Jul 15, 2026
Teilen
  • Die DSGVO gilt für jede Website, die personenbezogene Daten von Personen in der EU verarbeitet – unabhängig davon, wo das Unternehmen seinen Sitz hat.
  • Websitebetreiber:innen benötigen für jede Verarbeitung personenbezogener Daten eine gültige Rechtsgrundlage und müssen transparent darüber informieren.
  • In Deutschland ergänzt das TDDDG die DSGVO und regelt insbesondere den Einsatz von Cookies sowie ähnlichen Tracking-Technologien.
  • Betroffene Personen verfügen über umfangreiche Rechte – unter anderem auf Auskunft, Löschung und Datenübertragbarkeit.
  • Verstöße gegen die DSGVO können mit Bußgeldern von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes geahndet werden.
  • Eine Consent Management Platform (CMP) wie Cookiebot unterstützt Unternehmen dabei, Cookie-Einwilligungen einzuholen, zu dokumentieren und ihre Website regelmäßig auf Cookies und Tracker zu prüfen.

Ob Unternehmenswebsite, Onlineshop oder Blog – sobald personenbezogene Daten verarbeitet werden, spielt die Datenschutz-Grundverordnung (DSGVO) eine zentrale Rolle. Seit ihrem Inkrafttreten im Jahr 2018 hat sie den Datenschutz in Europa grundlegend verändert und beeinflusst heute auch zahlreiche Datenschutzgesetze außerhalb der Europäischen Union.

Für Websitebetreiber:innen bedeutet die DSGVO weit mehr als nur einen Cookie-Banner. Sie legt fest, unter welchen Voraussetzungen personenbezogene Daten erhoben, gespeichert und verarbeitet werden dürfen, welche Rechte Nutzer:innen haben und welche organisatorischen und technischen Maßnahmen Unternehmen ergreifen müssen.

In Deutschland gelten zusätzlich nationale Regelungen, insbesondere für Cookies und vergleichbare Technologien. Deshalb reicht es nicht aus, lediglich die europäischen Vorgaben zu kennen. Auch die deutschen Datenschutzbestimmungen sollten berücksichtigt werden.

In diesem Artikel erfahren Sie, was die DSGVO, welche Pflichten sich daraus für Unternehmen ergeben und welche Besonderheiten in Deutschland – insbesondere durch das Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG, ehemals TTDSG) – zu beachten sind.

Was ist die Datenschutz-Grundverordnung (DSGVO)?

Die DSGVO ist die zentrale Datenschutzverordnung der Europäischen Union. Sie bildet den rechtlichen Rahmen für die Verarbeitung personenbezogener Daten innerhalb der EU und des Europäischen Wirtschaftsraums (EWR).

Verabschiedet wurde die DSGVO am 27. April 2016. Nach einer zweijährigen Übergangsfrist gilt sie seit dem 25. Mai 2018 unmittelbar in allen EU-Mitgliedstaaten. Ziel war es, das Datenschutzrecht europaweit zu vereinheitlichen und den Schutz personenbezogener Daten an die Anforderungen einer zunehmend digitalen Welt anzupassen.

Die DSGVO verfolgt zwei wesentliche Ziele:

  • den Schutz der Grundrechte und Freiheiten natürlicher Personen beim Umgang mit ihren personenbezogenen Daten,
  • den freien Datenverkehr innerhalb der Europäischen Union durch ein einheitliches Datenschutzrecht.

Im Mittelpunkt steht dabei die Frage, wie Unternehmen, Behörden und andere Organisationen personenbezogene Daten verantwortungsvoll und transparent verarbeiten.

Warum ist die DSGVO für Websitebetreiber:innen relevant?

Viele Websitebetreiber:innen gehen davon aus, dass die DSGVO nur für große Unternehmen oder Onlineshops gilt. Tatsächlich betrifft sie jedoch nahezu jede Website.

Bereits das Einbinden eines Kontaktformulars, eines Webanalyse-Tools oder eines YouTube-Videos kann zur Verarbeitung personenbezogener Daten führen. Dazu gehören beispielsweise:

  • IP-Adressen
  • Cookie-IDs
  • Geräteinformationen
  • Standortdaten
  • Formulareingaben
  • E-Mail-Adressen
  • Online-Kennungen

Darüber hinaus verarbeiten häufig auch Drittanbieter personenbezogene Daten, etwa Analyse-Tools, Werbenetzwerke, Social-Media-Plattformen oder Zahlungsdienstleister.

Websitebetreiber:innen bleiben dabei in vielen Fällen für die rechtmäßige Verarbeitung verantwortlich – auch wenn die Daten von externen Dienstleistern verarbeitet werden.

Warum wurde die DSGVO eingeführt?

Die Digitalisierung hat dazu geführt, dass Unternehmen heute deutlich mehr Daten sammeln und auswerten als noch vor wenigen Jahren. Gleichzeitig wissen viele Nutzer:innen nicht, welche Informationen über sie erhoben werden oder wie diese verwendet werden.

Mit der DSGVO wollte die Europäische Union deshalb einen einheitlichen Rechtsrahmen schaffen, der sowohl Verbraucher als auch Unternehmen mehr Rechtssicherheit bietet.

Die Verordnung verfolgt unter anderem folgende Ziele:

  • mehr Transparenz über die Verarbeitung personenbezogener Daten,
  • stärkere Kontrolle der betroffenen Personen über ihre Daten,
  • einheitliche Datenschutzstandards innerhalb der EU,
  • klare Verantwortlichkeiten für Unternehmen,
  • wirksame Sanktionen bei Datenschutzverstößen.

Ein zentrales Prinzip der DSGVO lautet: Personen sollen jederzeit nachvollziehen können, welche Daten über sie verarbeitet werden, zu welchem Zweck dies geschieht und welche Möglichkeiten sie haben, Einfluss auf diese Verarbeitung zu nehmen.

Gerade für Websitebetreiber:innen bedeutet dies, dass Datenverarbeitungen verständlich erklärt, rechtlich abgesichert und dokumentiert werden müssen.

Für wen gilt die DSGVO?

Ein weit verbreiteter Irrtum lautet, dass die DSGVO nur für europäische Unternehmen gilt. Tatsächlich ist ihr Anwendungsbereich deutlich weiter.

Die DSGVO gilt für alle Unternehmen und Organisationen, die personenbezogene Daten von Personen in der Europäischen Union verarbeiten – unabhängig davon, wo sich der Unternehmenssitz befindet.

Das bedeutet beispielsweise:

  • Unternehmen mit Sitz in Deutschland, Österreich oder einem anderen EU-Mitgliedstaat
  • Unternehmen außerhalb der EU, die Waren oder Dienstleistungen für Personen in der EU anbieten
  • Internationale SaaS-Anbieter
  • Online-Shops
  • Behörden
  • Vereine
  • Freiberufler:innen
  • Selbstständige

Bereits eine Website, die sich an Nutzer:innen in der EU richtet und personenbezogene Daten verarbeitet, kann unter den Anwendungsbereich der DSGVO fallen.

Was sind personenbezogene Daten?

Die DSGVO definiert personenbezogene Daten als alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.

Dazu gehören unter anderem:

  • Name
  • Anschrift
  • E-Mail-Adresse
  • Telefonnummer
  • Geburtsdatum
  • Kundennummer
  • Standortdaten
  • IP-Adresse
  • Cookie-IDs
  • Gerätekennungen
  • Online-Identifier

Nicht nur direkt identifizierende Informationen fallen unter die DSGVO. Auch Daten, die eine Person nur indirekt identifizierbar machen, können personenbezogene Daten sein.

Ebenso unterliegt pseudonymisierte Datenverarbeitung der DSGVO, solange eine spätere Zuordnung zu einer Person grundsätzlich möglich bleibt.

Die wichtigsten Grundsätze der DSGVO

Die DSGVO basiert auf sieben Grundsätzen, die jede Datenverarbeitung erfüllen muss (Art. 5 DSGVO):

Rechtmäßigkeit, Verarbeitung nach Treu und Glauben sowie Transparenz

Personenbezogene Daten dürfen nur auf einer gültigen Rechtsgrundlage verarbeitet werden. Betroffene müssen klar und verständlich darüber informiert werden, welche Daten erhoben werden und zu welchem Zweck.

Zweckbindung

Daten dürfen nur für den Zweck verwendet werden, für den sie ursprünglich erhoben wurden. Eine spätere Nutzung für andere Zwecke ist nur unter bestimmten Voraussetzungen zulässig.

Datenminimierung

Unternehmen sollten nur diejenigen personenbezogenen Daten erheben, die tatsächlich erforderlich sind. Das Prinzip lautet: so viele Daten wie nötig, so wenige wie möglich.

Richtigkeit

Personenbezogene Daten müssen korrekt und aktuell sein. Unrichtige Daten sind zu berichtigen oder zu löschen.

Speicherbegrenzung

Personenbezogene Daten dürfen nicht länger gespeichert werden, als es für den jeweiligen Zweck erforderlich ist.

Integrität und Vertraulichkeit

Unternehmen müssen geeignete technische und organisatorische Maßnahmen treffen, um personenbezogene Daten vor Verlust, Missbrauch oder unbefugtem Zugriff zu schützen.

Rechenschaftspflicht

Die Einhaltung der DSGVO muss nicht nur erfolgen – sie muss auch nachgewiesen werden können. Unternehmen sollten deshalb ihre Datenschutzmaßnahmen dokumentieren und regelmäßig überprüfen.

Die Rechtsgrundlagen der Datenverarbeitung

Nicht jede Verarbeitung personenbezogener Daten ist automatisch zulässig. Artikel 6 DSGVO nennt sechs mögliche Rechtsgrundlagen, auf denen eine Datenverarbeitung beruhen kann.

1

Einwilligung (Art. 6 Abs. 1 lit. a) — Die betroffene Person hat ausdrücklich zugestimmt. Für Cookies und Tracking ist das in der Regel die relevante Grundlage.

2

Vertragserfüllung (Art. 6 Abs. 1 lit. b) — Die Verarbeitung ist für die Durchführung eines Vertrags erforderlich, etwa die Verarbeitung einer Lieferadresse.

3

Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c) — Die Verarbeitung ist zur Erfüllung einer gesetzlichen Pflicht erforderlich.

4

Schutz lebenswichtiger Interessen (Art. 6 Abs. 1 lit. d) — Relevant nur in Ausnahmesituationen, etwa Notfällen.

5

Öffentliches Interesse (Art. 6 Abs. 1 lit. e) — Primär relevant für Behörden und öffentliche Stellen.

6

Berechtigte Interessen (Art. 6 Abs. 1 lit. f) — Die Verarbeitung dient einem berechtigten Interesse des Verantwortlichen, sofern die Interessen der betroffenen Person nicht überwiegen. Für Tracking und Marketing reicht diese Grundlage in der Regel nicht aus.

Für Website-Betreiber:innen ist die Einwilligung die häufigste und wichtigste Rechtsgrundlage – insbesondere für alle nicht technisch notwendigen Cookies und Tracking-Technologien.

Rechte betroffener Personen

Ein zentrales Ziel der DSGVO besteht darin, Menschen mehr Kontrolle über ihre personenbezogenen Daten zu geben. Deshalb räumt die Verordnung betroffenen Personen umfangreiche Rechte ein.

Zu den wichtigsten gehören:

  • Auskunftsrecht: Nutzer:innen können erfahren, welche personenbezogenen Daten über sie verarbeitet werden.
  • Recht auf Berichtigung: Fehlerhafte oder unvollständige Daten müssen korrigiert werden.
  • Recht auf Löschung ("Recht auf Vergessenwerden"): Unter bestimmten Voraussetzungen können Betroffene die Löschung ihrer Daten verlangen.
  • Recht auf Einschränkung der Verarbeitung: Die Verarbeitung kann vorübergehend eingeschränkt werden.
  • Recht auf Datenübertragbarkeit: Personen können ihre Daten in einem strukturierten Format erhalten oder an einen anderen Anbieter übertragen lassen.
  • Widerspruchsrecht: Gegen bestimmte Verarbeitungen – insbesondere Direktmarketing – kann jederzeit Widerspruch eingelegt werden.
  • Widerruf einer Einwilligung: Eine erteilte Einwilligung kann jederzeit mit Wirkung für die Zukunft widerrufen werden.
  • Beschwerderecht: Betroffene können sich bei einer Datenschutzaufsichtsbehörde beschweren, wenn sie Verstöße gegen die DSGVO vermuten.

In der Praxis heißt das: Ihr Cookie-Banner oder Ihr Präferenzzentrum muss nicht nur die Einwilligung einholen, sondern auch einen einfachen Weg bieten, diese jederzeit zu widerrufen.

DSGVO und Cookies: Was Website-Betreiber:innen wissen müssen

Cookies und Tracking-Technologien sind eines der häufigsten Compliance-Themen für Website-Betreiber:innen. Die DSGVO allein regelt Cookies nicht explizit – dafür ist in Europa die ePrivacy-Richtlinie zuständig, die in Deutschland durch das TDDDG umgesetzt wurde.

Der entscheidende Punkt: Sobald Cookies oder Tracking-Technologien personenbezogene Daten verarbeiten – und das tun sie in den meisten Fällen –, greift die DSGVO. Das betrifft insbesondere:

  • Analyse-Cookies (z. B. Google Analytics), die Nutzungsverhalten erfassen
  • Marketing-Cookies, die für Remarketing und personalisierte Werbung verwendet werden
  • Social-Media-Pixel (z. B. Meta Pixel), die Conversion-Daten übermitteln
  • Drittanbieter-Skripte, die beim Laden der Seite automatisch Daten senden

Für all diese Technologien ist in der Regel eine aktive Einwilligung erforderlich, bevor sie geladen werden. Ein Banner, das Cookies erst nach dem Klick auf „Ablehnen" blockiert oder bei dem die Ablehnung schwieriger ist als die Zustimmung, verstößt gegen die DSGVO.

TDDDG: Die deutsche Ergänzung zur DSGVO

Neben der DSGVO spielt in Deutschland das Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG) (bis Mai 2024: TTDSG) eine wichtige Rolle. Für Websitebetreiber:innen ist insbesondere § 25 TDDDG relevant.

Während die DSGVO regelt, wann personenbezogene Daten verarbeitet werden dürfen, bestimmt § 25 TDDDG, wann Informationen auf Endgeräten gespeichert oder ausgelesen werden dürfen – beispielsweise Cookies, Local Storage oder ähnliche Tracking-Technologien.

Wann ist eine Einwilligung erforderlich?

Eine Einwilligung ist grundsätzlich notwendig, wenn:

  • Analyse-Cookies eingesetzt werden
  • Marketing- und Werbe-Cookies verwendet werden
  • Tracking-Technologien von Drittanbietern eingebunden sind
  • Social-Media-Plugins personenbezogene Daten verarbeiten

DSGVO-Verstöße und Bußgelder in Deutschland

Die DSGVO sieht bei Verstößen empfindliche Sanktionen vor. Je nach Schwere des Verstoßes können Bußgelder verhängt werden von:

  • bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes bei Verstößen gegen organisatorische Pflichten (z. B. fehlende Auftragsverarbeitungsverträge)
  • bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes bei schwerwiegenden Verstößen, etwa gegen die Grundsätze der Verarbeitung oder die Rechte der betroffenen Personen

In Deutschland ist die Durchsetzung der DSGVO auf zwei Ebenen organisiert: Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) ist für Bundesbehörden und bestimmte Branchen zuständig. Daneben gibt es 16 Landesdatenschutzbehörden, die für Unternehmen und private Stellen in ihrem jeweiligen Bundesland zuständig sind. Die Konferenz der Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) koordiniert die Zusammenarbeit.

Einige bekannte Bußgelder aus Deutschland und Europa:

  • H&M (Hamburg, 2020): 35,3 Millionen Euro wegen unzulässiger Überwachung von Mitarbeitenden
  • Deutsche Wohnen (Berlin): ursprünglich 14,5 Millionen Euro wegen unzulässiger Datenspeicherung, später auf 900.000 Euro reduziert
  • Meta/Facebook: Milliardenschwere Bußgelder europäischer Behörden wegen verschiedener Datenschutzverstöße

Auch in den Jahren 2024 und 2025 verhängten deutsche Datenschutzbehörden zahlreiche Bußgelder wegen unzureichender Einwilligungen, mangelnder Transparenz oder unzulässiger Datenverarbeitungen. Für Websitebetreiber:innen bedeutet das: Datenschutz sollte nicht erst dann zum Thema werden, wenn eine Prüfung ansteht.

So machen Sie Ihre Website DSGVO-konform: Erste Schritte

DSGVO-Konformität ist kein einmaliges Projekt, sondern ein fortlaufender Prozess. Mit diesen Schritten schaffen Sie eine solide Grundlage.

1

Verschaffen Sie sich einen Überblick über Ihre Datenverarbeitung

Welche Daten erheben Sie? Über welche Tools? Werden Daten an Dritte weitergegeben? Ein Verzeichnis der Verarbeitungstätigkeiten (Art. 30 DSGVO) ist Pflicht für die meisten Organisationen und ein guter Ausgangspunkt.

2

Prüfen Sie Ihre Rechtsgrundlagen

Für jede Datenverarbeitungsaktivität muss eine gültige Rechtsgrundlage vorliegen. Besonderes Augenmerk: Tracking, Analytics und Marketing erfordern in der Regel eine aktive Einwilligung.

3

Implementieren Sie ein rechtssicheres Cookie-Banner

Ihr Cookie-Banner muss vor dem Laden nicht notwendiger Cookies erscheinen, eine echte Wahlmöglichkeit bieten (Akzeptieren und Ablehnen müssen gleichwertig sein) und die Einwilligung dokumentieren. Cookiebot scannt Ihre Website automatisch auf Cookies und Tracker, blockiert diese vor einer Einwilligung und protokolliert jede Einwilligungsentscheidung revisionssicher.

4

Aktualisieren Sie Ihre Datenschutzerklärung

Ihre Datenschutzerklärung muss alle Verarbeitungsaktivitäten, die verwendeten Drittanbieter, die Rechtsgrundlagen und die Rechte der betroffenen Personen verständlich beschreiben.

5

Schließen Sie Auftragsverarbeitungsverträge ab

Für alle Dienstleister:innen, die in Ihrem Auftrag personenbezogene Daten verarbeiten – Analytics-Anbieter, E-Mail-Marketing-Tools, Hosting-Dienstleister –, ist ein AVV erforderlich.

6

Prüfen Sie Drittlandübermittlungen

Falls Daten außerhalb der EU verarbeitet werden – etwa durch US-amerikanische Dienste wie Google Analytics oder Meta –, müssen geeignete Schutzmaßnahmen vorhanden sein (z. B. Standardvertragsklauseln).

7

Überprüfen Sie Ihren Datenschutz regelmäßig

DSGVO-Konformität ist kein einmaliger Zustand, sondern ein fortlaufender Prozess. Neue Plugins, Drittanbieter-Skripte oder geänderte Geschäftsprozesse können neue Datenverarbeitungsaktivitäten einführen. Überprüfen Sie Ihre Datenschutzerklärung, Ihr Verzeichnis der Verarbeitungstätigkeiten und Ihr Cookie-Banner regelmäßig.

So unterstützt Cookiebot CMP bei der DSGVO-Compliance

Die Einhaltung der DSGVO kann insbesondere bei modernen Websites mit zahlreichen Drittanbieter-Diensten schnell komplex werden.

Cookiebot™ CMP von Usercentrics unterstützt Websitebetreiber:innen dabei, Consent Management zu automatisieren und die Anforderungen der DSGVO sowie des TDDDG effizient umzusetzen.

Mit Cookiebot CMP können Sie unter anderem:

  • Ihre Website automatisch nach Cookies und Trackern scannen
  • eingesetzte Cookies dokumentieren
  • Einwilligungen rechtskonform einholen
  • Einwilligungsnachweise sicher speichern
  • Cookies bis zur Zustimmung automatisch blockieren
  • Besuchern transparente Informationen bereitstellen
  • Änderungen durch regelmäßige Website-Scans erkennen

Dadurch reduzieren Sie den manuellen Aufwand und schaffen eine bessere Grundlage für datenschutzkonforme Prozesse.