DSGVO-Checkliste für Websites in Österreich

14 Min. Lesezeit
DSGVO-Checkliste für Websites in Österreich

Ihre Website DSGVO-konform zu gestalten, ist nicht nur eine rechtliche Pflicht, sondern schützt Sie auch vor hohen Strafen und stärkt das Vertrauen Ihrer Besucher. Seit 2018 gelten in Österreich klare Vorgaben für den Umgang mit personenbezogenen Daten, die Sie als Website-Betreiber unbedingt einhalten sollten. Hier finden Sie die wichtigsten Maßnahmen, die Sie umsetzen müssen, um rechtlich auf der sicheren Seite zu sein.

Wichtige Schritte auf einen Blick:

  • Datenschutzerklärung und Impressum: Diese Pflichtseiten müssen vollständig, leicht zugänglich und aktuell sein. Besonders wichtig sind Angaben zu Verantwortlichen, erhobenen Daten und genutzten Drittanbietern.
  • Cookie-Banner: Cookies dürfen nur nach aktiver Zustimmung gesetzt werden. Das Opt-in-Verfahren ist Pflicht – eine Ablehnungsoption muss genauso sichtbar sein wie die Zustimmung.
  • Kontaktformulare: Fragen Sie nur wirklich notwendige Daten ab und holen Sie die Einwilligung der Nutzer ein. Verweisen Sie klar auf Ihre Datenschutzerklärung.
  • SSL-Verschlüsselung: Eine Website ohne HTTPS ist nicht mehr zeitgemäß und verstößt gegen die DSGVO. Aktivieren Sie ein SSL-Zertifikat, um Daten sicher zu übertragen.
  • Tracking-Tools: Nutzen Sie Analyse-Tools wie Google Analytics? Dann benötigen Sie einen Auftragsverarbeitungsvertrag und müssen die Datenverarbeitung in Ihrer Datenschutzerklärung offenlegen.

Setzen Sie diese Maßnahmen konsequent um, um Abmahnungen zu vermeiden und das Vertrauen Ihrer Nutzer zu stärken. Im Folgenden finden Sie weitere Details zu den einzelnen Punkten.

DSGVO-Grundlagen für österreichische Websites

Die DSGVO bildet die rechtliche Basis für den Umgang mit personenbezogenen Daten in Österreich. Betreiber von Websites müssen sicherstellen, dass jede Datenverarbeitung – sei es über Kontaktformulare, Newsletter oder Tracking-Tools – den gesetzlichen Vorgaben entspricht. Wer die Grundprinzipien kennt, kann den Datenschutz direkt in die Gestaltung der Website einfließen lassen. Im Folgenden werden die zentralen Aspekte der DSGVO erläutert.

Zentrale DSGVO-Prinzipien

Die DSGVO stützt sich auf sechs Grundprinzipien, die für jede Datenverarbeitung auf Ihrer Website gelten. Diese Prinzipien sind keine bloßen Theorien, sondern haben konkrete Auswirkungen auf die Praxis.

Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz: Personenbezogene Daten dürfen nur verarbeitet werden, wenn eine rechtliche Grundlage vorliegt – etwa eine Einwilligung der Nutzer oder ein berechtigtes Interesse. Gleichzeitig müssen Sie klar kommunizieren, welche Daten zu welchem Zweck erhoben werden. Unklare Formulierungen in der Datenschutzerklärung oder ein undurchsichtiger Cookie-Banner sind hier ein No-Go.

Zweckbindung: Die Nutzung der erhobenen Daten muss sich auf den angegebenen Zweck beschränken. Sammeln Sie beispielsweise E-Mail-Adressen für Bestellbestätigungen, dürfen diese nicht ohne ausdrückliche Zustimmung für Marketingzwecke verwendet werden.

Datenminimierung: Erheben Sie nur die Daten, die wirklich notwendig sind. Ein typisches Problem auf österreichischen Websites sind Kontaktformulare, die unnötige Angaben wie Geburtsdatum oder Telefonnummer verlangen, obwohl Name und E-Mail-Adresse ausreichen würden. Solche zusätzlichen Felder erhöhen nicht nur das rechtliche Risiko, sondern können auch Besucher abschrecken.

Richtigkeit: Gespeicherte Daten müssen stets korrekt und aktuell sein. Nutzer sollten die Möglichkeit haben, ihre Angaben zu korrigieren, etwa über ein Kundenkonto oder per Kontaktaufnahme. Veraltete Daten, wie alte Newsletter-Abonnements, sollten regelmäßig bereinigt werden.

Speicherbegrenzung: Daten dürfen nur so lange aufbewahrt werden, wie es nötig ist. Legen Sie klare Löschfristen fest: Kontaktanfragen können nach Abschluss der Kommunikation gelöscht werden, während Rechnungsdaten aufgrund steuerlicher Vorschriften sieben Jahre aufbewahrt werden müssen. Diese Fristen sollten in Ihrer Datenschutzerklärung dokumentiert sein.

Integrität und Vertraulichkeit: Schützen Sie die Daten Ihrer Nutzer durch Maßnahmen wie SSL-Verschlüsselung, starke Passwörter und regelmäßige Backups. Ein Webshop ohne HTTPS ist ein klarer Verstoß gegen diesen Grundsatz.

Privacy by Design und Privacy by Default

Die Prinzipien „Privacy by Design“ und „Privacy by Default“ betonen, dass Datenschutz von Anfang an in die Planung und Entwicklung Ihrer Website einfließen muss. Für Betreiber in Österreich bedeutet dies: Datenschutz ist keine nachträgliche Pflicht, sondern ein integraler Bestandteil jedes Projekts.

Privacy by Design bedeutet, dass Datenschutzmaßnahmen bereits in der Planungsphase berücksichtigt werden. Wenn Sie beispielsweise ein neues Kontaktformular erstellen, sollten Sie direkt festlegen: Welche Felder sind notwendig? Wo werden die Daten gespeichert? Wer hat Zugriff darauf? Und wie lange bleiben sie gespeichert? Ein Beispiel: Anstatt Formulardaten in einer offenen Datenbank zu speichern, nutzen Sie verschlüsselte Verbindungen und beschränken den Zugriff auf autorisierte Personen.

Privacy by Default stellt sicher, dass die datenschutzfreundlichste Einstellung standardmäßig aktiv ist. Das heißt: Tracking-Cookies dürfen erst nach einer ausdrücklichen Zustimmung gesetzt werden. Ein vorab angekreuztes Kästchen für den Newsletter ist unzulässig – Nutzer müssen aktiv zustimmen. Auch bei Cookie-Bannern gilt: Die Option „Alle ablehnen“ muss genauso sichtbar sein wie „Alle akzeptieren“.

Viele Content-Management-Systeme wie WordPress bieten inzwischen Voreinstellungen, die den Datenschutz berücksichtigen. Dennoch sollten Sie diese kritisch prüfen und gegebenenfalls anpassen.

Praktischer Tipp: Überprüfen Sie Ihre Kontaktformulare und entfernen Sie alle Pflichtfelder, die nicht unbedingt erforderlich sind. Fragen Sie nur die Informationen ab, die Sie wirklich benötigen. Diese einfache Maßnahme sorgt nicht nur für mehr DSGVO-Konformität, sondern erhöht auch die Wahrscheinlichkeit, dass Besucher das Formular ausfüllen.

Diese Grundprinzipien bilden die Basis für weitere Maßnahmen, um Ihre Website datenschutzkonform zu gestalten.

Pflichtseiten für rechtskonforme Websites

Nach der Umsetzung grundlegender DSGVO-Maßnahmen ist es entscheidend, auch die Pflichtseiten Ihrer Website rechtssicher zu gestalten. In Österreich müssen Websites – sei es ein Onlineshop, ein Blog oder eine Unternehmensseite – bestimmte rechtliche Informationen enthalten. Diese Seiten sorgen nicht nur für Transparenz, sondern stärken auch das Vertrauen Ihrer Besucher und helfen, rechtliche Risiken zu vermeiden. Die beiden wichtigsten Seiten sind dabei die Datenschutzerklärung und das Impressum.

Platzieren Sie diese Seiten idealerweise im Footer Ihrer Website, damit Nutzer sie mit maximal zwei Klicks erreichen können. Im Folgenden erfahren Sie, welche Angaben in Ihrer Datenschutzerklärung und Ihrem Impressum enthalten sein müssen.

Anforderungen an die Datenschutzerklärung

Die Datenschutzerklärung ist ein zentraler Bestandteil der DSGVO-Compliance. Sie informiert Ihre Besucher klar und verständlich darüber, welche personenbezogenen Daten erhoben werden, warum diese verarbeitet werden und welche Rechte die Nutzer haben.

Wichtige Inhalte der Datenschutzerklärung:

  • Verantwortliche benennen: Geben Sie den Namen und die Kontaktdaten des Verantwortlichen an. Wenn ein Datenschutzbeauftragter bestellt wurde, sollten dessen Kontaktdaten ebenfalls aufgeführt werden.
  • Erhobene Daten auflisten: Beschreiben Sie genau, welche Daten gesammelt werden. Nutzen Sie ein Kontaktformular, sollten Sie z. B. angeben, dass Name, E-Mail-Adresse und die Nachricht gespeichert werden. Erläutern Sie auch, wie lange diese Daten aufbewahrt werden – etwa bis die Anfrage bearbeitet wurde, danach werden die Daten gelöscht.
  • Newsletter-Informationen: Falls Sie Newsletter versenden, erklären Sie, dass die E-Mail-Adresse für diesen Zweck genutzt wird und wie sich Nutzer abmelden können.

Rechtsgrundlagen klar formulieren: Jede Datenverarbeitung benötigt eine rechtliche Grundlage. Häufig sind dies Einwilligung, Vertragserfüllung oder berechtigtes Interesse. Erläutern Sie diese Grundlagen so, dass sie für Ihre Besucher nachvollziehbar sind.

Drittanbieter und Tracking-Tools angeben: Nutzen Sie Tools wie Google Analytics, Facebook Pixel oder eingebettete YouTube-Videos, müssen diese in der Datenschutzerklärung genannt werden. Beschreiben Sie, welche Daten an diese Anbieter übermittelt werden und ob dabei Daten außerhalb der EU verarbeitet werden.

Rechte der Nutzer erläutern: Besucher Ihrer Website haben das Recht auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung und Datenübertragbarkeit. Erklären Sie, wie diese Rechte ausgeübt werden können, z. B. durch eine E-Mail an die angegebene Kontaktadresse. Weisen Sie auch auf das Beschwerderecht bei der österreichischen Datenschutzbehörde hin.

Viele Website-Betreiber verwenden Generatoren, um ihre Datenschutzerklärung zu erstellen. Diese sollten jedoch regelmäßig überprüft und aktualisiert werden, um sicherzustellen, dass sie vollständig und korrekt bleiben.

Anforderungen an das Impressum

Das Impressum ist in Österreich gesetzlich vorgeschrieben und unabhängig von der DSGVO verpflichtend. Es dient dazu, den Betreiber der Website eindeutig zu identifizieren und Transparenz zu schaffen. Besonders Websites, die Produkte oder Dienstleistungen anbieten, müssen ein Impressum bereitstellen.

Pflichtangaben im Impressum:

  • Name des Betreibers: Bei Einzelunternehmen Vor- und Nachname, bei Unternehmen der Firmenname.
  • Adresse: Geben Sie die vollständige Adresse an (Straße, Hausnummer, Postleitzahl und Ort). Eine Postfachadresse reicht nicht aus.
  • Kontaktmöglichkeiten: Fügen Sie eine Telefonnummer und eine E-Mail-Adresse hinzu.

Für Unternehmen sind zusätzliche Angaben notwendig, wie die UID-Nummer (Umsatzsteuer-Identifikationsnummer), die Firmenbuchnummer und das zuständige Firmenbuchgericht. Bei einer GmbH muss auch der Geschäftsführer namentlich genannt werden. Freiberufler, wie Ärzte, Anwälte oder Architekten, sollten außerdem ihre Berufsbezeichnung, die zuständige Aufsichtsbehörde und die Kammer angeben.

Sichtbarkeit und Zugänglichkeit: Das Impressum sollte leicht auffindbar sein, am besten im Footer jeder Seite. Der Link sollte klar als „Impressum“ gekennzeichnet sein, um Missverständnisse zu vermeiden. Achten Sie darauf, dass das Impressum auch auf mobilen Geräten vollständig und gut lesbar ist. Testen Sie Ihre Website auf verschiedenen Endgeräten, um sicherzustellen, dass alle Angaben korrekt angezeigt werden.

Typische Fehler vermeiden: Ein häufiges Problem ist ein unvollständiges Impressum, z. B. wenn die Telefonnummer fehlt oder nur eine allgemeine E-Mail-Adresse angegeben wird. Ebenso können veraltete Informationen, etwa nach einem Umzug oder einer Änderung der Rechtsform, zu rechtlichen Problemen führen. Überprüfen Sie Ihr Impressum regelmäßig, um sicherzustellen, dass alle Angaben aktuell und korrekt sind.

Einwilligung und Transparenz bei der Datenerhebung

Sobald Sie die notwendigen Pflichtseiten eingerichtet haben, ist es entscheidend, die ausdrückliche Zustimmung Ihrer Besucher einzuholen. Laut DSGVO dürfen personenbezogene Daten erst verarbeitet werden, nachdem Nutzer aktiv zugestimmt haben. Diese Regelung dient nicht nur der rechtlichen Absicherung, sondern stärkt auch das Vertrauen Ihrer Besucher in Ihre Website. Ohne eine korrekte Einwilligung riskieren Sie Abmahnungen und mögliche Strafen durch die österreichische Datenschutzbehörde.

Im Folgenden erfahren Sie, wie Sie Cookie-Banner und Formular-Einwilligungen DSGVO-konform gestalten können.

Cookie-Banner und Consent-Management

Cookie-Banner gehören inzwischen zum Standard auf österreichischen Websites, doch viele Betreiber setzen sie nicht korrekt um. Laut DSGVO und ePrivacy-Richtlinie müssen Nutzer vor dem Einsatz von Cookies aktiv zustimmen. Das bedeutet: Cookies dürfen erst gespeichert werden, nachdem der Besucher seine Zustimmung gegeben hat.

Opt-in statt Opt-out: Cookie-Banner, die bereits beim Laden der Seite Cookies aktivieren, sind nicht zulässig. Stattdessen ist ein Opt-in-Verfahren erforderlich, bei dem Nutzer aktiv zustimmen müssen. Ein vorausgewähltes Häkchen oder Formulierungen wie „Mit der Nutzung dieser Website stimmen Sie zu“ reichen nicht aus. Die Zustimmung muss durch einen klaren Klick auf eine Schaltfläche wie „Akzeptieren“ erfolgen.

Welche Cookies benötigen eine Zustimmung? Nicht alle Cookies sind zustimmungspflichtig. Technisch notwendige Cookies, wie jene für den Warenkorb in einem Onlineshop oder die Sitzungsverwaltung, dürfen ohne Zustimmung gesetzt werden. Cookies für Tracking, Analyse und Marketing hingegen erfordern immer eine aktive Einwilligung. Dazu zählen Tools wie Google Analytics, Facebook Pixel oder eingebettete YouTube-Videos mit Tracking-Funktionen.

Granulare Auswahlmöglichkeiten: Ein gutes Cookie-Banner bietet Nutzern die Möglichkeit, zwischen verschiedenen Cookie-Kategorien zu wählen. Typische Kategorien sind „Notwendig“, „Statistik“, „Marketing“ und „Externe Medien“. Besucher sollten einzelne Kategorien ablehnen können, ohne die Funktionalität der Website einzuschränken. Wichtig ist, dass die Ablehnungsoption genauso leicht zugänglich ist wie die Akzeptanzoption.

Dokumentation der Einwilligung: Die Zustimmung der Nutzer (inklusive Zeitpunkt und IP-Adresse) sollte durch ein Consent-Management-Tool dokumentiert werden. Solche Tools protokollieren automatisch, welche Cookies ein Nutzer akzeptiert hat. Diese Daten sind wichtig, falls es zu rechtlichen Fragen kommt. Beliebte Tools in Österreich sind Cookiebot, Usercentrics oder Borlabs Cookie.

Widerruf ermöglichen: Fügen Sie einen gut sichtbaren Link, z. B. „Cookie-Einstellungen“, im Footer Ihrer Website ein. So können Besucher ihre Einwilligung jederzeit ändern oder widerrufen.

Einwilligung bei Formularen und Newslettern

Nicht nur Cookies, auch Formulare auf Ihrer Website erfordern eine klare und nachweisbare Einwilligung. Dies gilt besonders für Kontaktformulare, Newsletter-Anmeldungen und Download-Formulare.

Kontaktformulare DSGVO-konform gestalten: Wenn Sie ein Kontaktformular verwenden, sollten Sie transparent darlegen, welche Daten erhoben und wie diese verarbeitet werden. Direkt unter dem Formular sollte ein Hinweis auf Ihre Datenschutzerklärung stehen, z. B.: „Mit dem Absenden dieses Formulars stimmen Sie der Verarbeitung Ihrer Daten gemäß unserer Datenschutzerklärung zu.“

Eine Checkbox als Pflichtfeld ist sinnvoll, um die Zustimmung aktiv einzuholen. Diese Checkbox darf nicht vorausgewählt sein. Die Formulierung sollte klar und verständlich sein, etwa: „Ich stimme zu, dass meine Angaben zur Bearbeitung meiner Anfrage gespeichert werden.“

Double-Opt-in für Newsletter: Bei Newsletter-Anmeldungen ist das Double-Opt-in-Verfahren unverzichtbar. Der Nutzer erhält nach der Anmeldung eine E-Mail mit einem Bestätigungslink. Erst nach dem Klick auf diesen Link dürfen Sie Newsletter versenden. Dieses Verfahren schützt vor missbräuchlichen Anmeldungen und stellt sicher, dass die eingegebene E-Mail-Adresse tatsächlich dem Nutzer gehört.

Viele Newsletter-Tools wie Mailchimp, CleverReach oder Brevo (ehemals Sendinblue) bieten diese Funktion automatisch an. Achten Sie darauf, dass jede Newsletter-E-Mail einen leicht zugänglichen Abmeldelink enthält, der mit einem Klick funktioniert.

Einwilligung bei Drittanbieter-Tools: Wenn Sie Formulare von Drittanbietern wie Typeform, Google Forms oder HubSpot verwenden, müssen auch diese DSGVO-konform sein. Prüfen Sie, ob der Anbieter einen Auftragsverarbeitungsvertrag (AVV) anbietet und ob Daten außerhalb der EU verarbeitet werden. In Ihrer Datenschutzerklärung sollten Sie diese Tools auflisten und erläutern, welche Daten an die Anbieter übermittelt werden.

Praktischer Tipp: Überprüfen Sie Ihre bestehenden Formulare und Newsletter-Anmeldungen. Fehlt eine Checkbox zur Einwilligung oder ein Hinweis auf die Datenschutzerklärung? Ergänzen Sie diese Elemente, um rechtlich auf der sicheren Seite zu sein.

Technische Sicherheitsmaßnahmen

Nachdem Sie die rechtlichen Grundlagen für Einwilligungen geschaffen haben, ist es ebenso wichtig, technische Maßnahmen zu ergreifen, um personenbezogene Daten zu schützen. Die DSGVO verpflichtet Websitebetreiber dazu, geeignete technische und organisatorische Vorkehrungen zu treffen, um Daten vor unbefugtem Zugriff, Verlust oder Manipulation zu sichern. Diese Maßnahmen ergänzen die rechtlichen Vorgaben und stärken das Vertrauen Ihrer Besucher. Werden sie vernachlässigt, drohen nicht nur Bußgelder, sondern auch ein erheblicher Vertrauensverlust.

Im Folgenden wird erläutert, wie solche Maßnahmen praktisch umgesetzt werden können.

SSL-Zertifikate und Datenverschlüsselung

Ein SSL-Zertifikat (Secure Sockets Layer) ist für jede Website, die mit personenbezogenen Daten arbeitet, unverzichtbar. Websites mit SSL-Verschlüsselung erkennt man an der „https://“-Adresse und dem Schloss-Symbol im Browser. Diese Technik sorgt dafür, dass alle Daten, die zwischen dem Browser des Nutzers und Ihrem Server ausgetauscht werden, vor dem Zugriff Dritter geschützt sind. Die DSGVO schreibt vor, dass Daten während der Übertragung verschlüsselt werden müssen. Ohne diese Verschlüsselung sind sensible Informationen wie Passwörter, Kontaktdaten oder Zahlungsinformationen leicht abzufangen.

Viele Hosting-Anbieter stellen kostenlose SSL-Zertifikate wie „Let’s Encrypt“ oder kostengünstige Alternativen bereit. Überprüfen Sie im Hosting-Dashboard, ob SSL aktiviert ist, und richten Sie eine automatische Weiterleitung von HTTP auf HTTPS ein. Mithilfe eines kostenlosen SSL-Tests, beispielsweise über SSL Labs (ssllabs.com), können Sie sicherstellen, dass Ihr Zertifikat korrekt konfiguriert ist.

Backups und Software-Updates

Neben der Verschlüsselung spielt die regelmäßige Aktualisierung Ihrer Systeme eine zentrale Rolle. Backups und Software-Updates sind essenziell, um die Verfügbarkeit und Sicherheit Ihrer Website langfristig zu gewährleisten. Veraltete Software oder das Fehlen von Backups erhöhen die Gefahr von Datenverlust, Hackerangriffen und Systemausfällen.

Halten Sie Ihr Content-Management-System (z. B. WordPress, Joomla oder Typo3) sowie alle verwendeten Themes und Plugins stets aktuell. Viele Systeme bieten automatische Updates an, die Sicherheitslücken schließen. Achten Sie darauf, nur PHP-Versionen zu verwenden, die mit Sicherheitsupdates versorgt werden. Sollte Ihre Version veraltet sein, ist ein sofortiges Update notwendig.

Das könnte Sie auch interessieren

Online-Shop erstellen lassen in Österreich – Der kompakte Leitfaden

Online-Shop erstellen lassen in Österreich – Der kompakte Leitfaden

Weiterlesen →
Impressum-Pflicht in Österreich: Was gehört rein?

Impressum-Pflicht in Österreich: Was gehört rein?

Weiterlesen →
Website-Sicherheit: 8 Grundlegende Maßnahmen für KMU

Website-Sicherheit: 8 Grundlegende Maßnahmen für KMU

Weiterlesen →