DSGVO für deine Website: Was du wirklich tun musst (ohne Panik)

Du hörst DSGVO und denkst sofort an Strafen, Anwälte und 1000 Seiten Gesetzestext. Entspann dich -- es ist einfacher als du denkst. Die DSGVO klingt bedrohlich, aber für eine normale Unternehmenswebsite ist sie absolut machbar. Hier erfährst du, was du wirklich brauchst und was du dir sparen kannst.

Die 4 Dinge die Pflicht sind

Fangen wir mit dem Wichtigsten an. Wenn deine Website diese 4 Punkte hat, bist du auf der sicheren Seite:

1. Impressum

Jede gewerbliche Website in Österreich braucht ein Impressum. Das ist keine DSGVO-Sache, sondern das E-Commerce-Gesetz und die Gewerbeordnung. Was rein muss: Dein Name, Firmenadresse, UID-Nummer, Kontaktdaten, Unternehmensgegenstand, zuständige Aufsichtsbehörde (falls relevant). Das Impressum muss mit maximal 2 Klicks erreichbar sein -- am besten im Footer auf jeder Seite.

2. Datenschutzerklärung

Die Datenschutzerklärung informiert deine Besucher darüber, welche Daten du sammelst und was du damit machst. Jede Website sammelt Daten -- selbst wenn du denkst, du tust es nicht. Dein Server speichert IP-Adressen, dein Kontaktformular speichert Namen und E-Mails, dein Analytics-Tool trackt Besucherverhalten.

Die Datenschutzerklärung muss verständlich sein (kein Juristen-Deutsch), vollständig und aktuell. Es gibt gute Generatoren dafür -- aber sie sollte trotzdem auf dein Unternehmen angepasst sein.

3. Cookie-Banner

Wenn deine Website Cookies setzt -- und das tut sie fast sicher, sobald du Google Analytics, Facebook Pixel oder auch nur eingebettete YouTube-Videos verwendest -- brauchst du einen Cookie-Banner. Nicht so ein winziger Hinweis am unteren Rand, den man wegklickt. Sondern ein echtes Consent-Tool, das erst die Zustimmung einholt, bevor Cookies gesetzt werden.

Das heißt: Kein Tracking, bevor der Besucher aktiv „Ja" sagt. Und der Besucher muss genauso einfach ablehnen können wie zustimmen.

4. SSL-Verschlüsselung

HTTPS ist nicht optional. Sobald deine Website ein Kontaktformular hat oder irgendwelche persönlichen Daten überträgt, ist eine verschlüsselte Verbindung Pflicht. Aber auch ohne Formulare: Google straft Websites ohne SSL ab, und Browser zeigen eine „Nicht sicher"-Warnung an. Es gibt keinen Grund, kein SSL zu haben -- bei den meisten Hostern ist es gratis.

Was ich automatisch für dich einrichte

Bei jeder Website die ich baue, sind diese Punkte selbstverständlich dabei:

• Impressum und Datenschutzerklärung -- angepasst auf dein Unternehmen
• Cookie-Banner -- DSGVO-konform, mit echtem Opt-in
• SSL-Zertifikat -- eingerichtet und aktiv
• Kontaktformulare mit Datenschutz-Checkbox -- der Nutzer bestätigt, dass er die Datenschutzerklärung gelesen hat
• Kein unnötiges Tracking -- nur was wirklich Sinn macht und DSGVO-konform eingebunden ist

Das ist kein Extra. Das ist Standard. Du musst dich darum nicht kümmern.

Die 3 größten DSGVO-Mythen

Mythos 1: „Ich brauche einen Datenschutzbeauftragten"

Nein. Als Einzelunternehmer oder kleines KMU in Österreich brauchst du in den allermeisten Fällen keinen Datenschutzbeauftragten. Einen brauchst du erst, wenn du in großem Stil sensible Daten verarbeitest -- zum Beispiel als Krankenhaus oder Marktforschungsunternehmen. Eine normale Firmenwebsite fällt da nicht drunter.

Mythos 2: „Google Analytics ist verboten"

Nicht ganz. Google Analytics ist nicht per se verboten. Aber du musst es korrekt einbinden -- mit Consent-Banner, IP-Anonymisierung und einem Auftragsverarbeitungsvertrag mit Google. Das klingt kompliziert, ist es in der Praxis aber nicht. Es gibt fertige Lösungen dafür.

Mythos 3: „Wenn ich mich nicht auskenne, werde ich sofort abgemahnt"

Unwahrscheinlich. Die österreichische Datenschutzbehörde hat nicht die Ressourcen, jede kleine Website zu prüfen. Das heißt nicht, dass du es ignorieren solltest -- aber es heißt, dass du nicht in Panik verfallen musst. Mach die Basics richtig und du bist zu 95% auf der sicheren Seite.

Die DSGVO ist kein Monster unter dem Bett. Sie ist ein Regelwerk, das im Kern sagt: Geh respektvoll mit den Daten deiner Kunden um. Und das solltest du sowieso tun.

Was du NICHT brauchst

Lass dich nicht verrückt machen. Für eine normale Unternehmenswebsite brauchst du:

• Keinen Datenschutzbeauftragten (als Einzelunternehmer/kleines KMU)
• Kein Verarbeitungsverzeichnis (außer du verarbeitest regelmäßig besondere Kategorien personenbezogener Daten)
• Keine teure Rechtsberatung (für die Basics reicht gesunder Menschenverstand + ein guter Generator)
• Keine Angst (die meisten Unternehmer machen sich mehr Sorgen als nötig)

Der vernünftige Weg

Mach die Basics. Impressum, Datenschutz, Cookie-Banner, SSL. Dokumentiere, welche Daten du sammelst und warum. Lösche Daten, die du nicht mehr brauchst. Und wenn du dir unsicher bist -- frag jemanden, der sich auskennt.

Bei mir ist der DSGVO-Grundschutz Teil jeder Website. Du bekommst keine Seite ohne Impressum, ohne Datenschutzerklärung und ohne Cookie-Banner. Weil das keine Extras sind, sondern das absolute Minimum für jede professionelle Internetpräsenz.