DSGVO-Checkliste für Unternehmenswebsites in Österreich 2026

DSGVO wird in Österreich oft als bürokratischer Albtraum dargestellt — zu Unrecht. Die meisten Anforderungen lassen sich mit sauberem Setup in wenigen Stunden erledigen. Hier die ehrliche Checkliste, die bei jedem meiner Kunden-Projekte zum Einsatz kommt.

1. Cookie-Banner: Mehr als ein Klick-Hindernis

Ein gesetzeskonformer Cookie-Banner erfüllt drei Bedingungen: (1) keine nicht-essenziellen Cookies vor der Zustimmung, (2) gleichwertige Buttons für "Alle akzeptieren" und "Alle ablehnen", (3) granularität bei der Zustimmung (Marketing/Analytics/ Funktional einzeln wählbar). Wenn der Banner nur einen "OK"-Button hat, ist er nach Entscheidung des österreichischen Bundesverwaltungsgerichts vom 31.07.2024 (GZ W108 2284491-1/15E) nicht rechtskonform.

Empfehlung: Cookiebot, Usercentrics oder (günstiger) eine eigene Implementierung mit Cookie-Consent-Logik. Kosten: €0–€12/Monat.

2. Server-Standort: EU-Hosting ist Pflicht

Daten europäischer Nutzer sollen auf EU-Servern liegen. Hetzner (Deutschland/Finnland), IONOS (Deutschland), Netcup (Deutschland) oder Scaleway (Frankreich) erfüllen das problemlos. US-Cloud-Anbieter wie AWS oder Google Cloud sind theoretisch über EU-Regionen möglich, unterliegen aber dem US CLOUD Act — was Gerichte als DSGVO-Risiko einstufen.

Praxis-Tipp: Im Impressum und in der Datenschutzerklärung den Hoster namentlich nennen. Transparenz schützt — und kostet nichts.

3. Auftragsverarbeitungsvertrag (AVV)

Jeder externe Dienst, der personenbezogene Daten verarbeitet, braucht einen AVV. Das gilt für Hoster, Newsletter-Tools (Mailchimp, Brevo), Analytics-Dienste, CRM-Systeme. Die AVVs sind meist Standard-Templates, die man nur unterschreiben muss — aber dokumentieren muss man sie im Verarbeitungsverzeichnis.

4. Analytics: Google Analytics ist problematisch

Die österreichische Datenschutzbehörde hat Google Analytics 2022 in mehreren Fällen als DSGVO-widrig eingestuft. Seitdem ist die Rechtslage zwar etwas aufgeweicht, aber die pragmatische Lösung ist eindeutig: Plausible Analytics oder Matomo. Beide sind cookie-frei (brauchen also keinen Consent), selbst-hostbar und EU-basiert. Für 95% der Websites liefern sie alle nötigen Insights.

5. Schriftarten: Google Fonts nur lokal

Das LG München hat 2022 entschieden (Az. 3 O 17493/20): Wer Google Fonts via CDN einbindet, verstößt gegen die DSGVO, weil IP-Adressen an Google übertragen werden. Lösung: Google Fonts lokal hosten. In Next.js geht das mit next/font/google automatisch — die Fonts werden beim Build heruntergeladen und vom eigenen Server ausgeliefert.

6. Externe Einbettungen: YouTube, Maps, Social

YouTube-Videos, Google Maps, Facebook-Plugins setzen Tracking-Cookies — ohne Consent also illegal. Zwei Lösungen: (1) Consent-Wall davorschalten ("Klicken Sie hier, um das Video von YouTube zu laden"), (2) Privacy-Modus verwenden (youtube-nocookie.comstatt youtube.com).

7. Kontaktformulare und Datenspeicherung

Jedes Formular braucht: (a) einen Hinweis, wofür die Daten verwendet werden, (b) eine Checkbox mit Link zur Datenschutzerklärung, (c) eine Löschfrist (typisch: 6 Monate nach Kontakt). Keine reCAPTCHA von Google verwenden — stattdessen Cloudflare Turnstile oder HCaptcha.

8. Verarbeitungsverzeichnis (Art. 30 DSGVO)

Jedes Unternehmen mit Mitarbeitern (auch KMU) muss ein Verzeichnis aller Datenverarbeitungen führen. Das klingt nach Overhead, ist aber in einer Tabelle erledigt: Zweck, Kategorien von Daten, Empfänger, Löschfrist, technische Maßnahmen. Vorlage von der WKO kostenlos.

9. Was wirklich zählt — und was Mythos ist

Wahr: IP-Adressen sind personenbezogene Daten. Tracking braucht Einwilligung. Datenschutzerklärung muss vollständig und verständlich sein.

Mythos: Jeder Cookie-Banner braucht eine Anwaltskanzlei. Abmahnwelle durch Privatpersonen. 2500€-Strafen für kleine Shops. In der Realität werden KMUs selten aktiv abgemahnt, wenn sie die Grundregeln einhalten. Die DSB prüft schwerpunktmäßig nach Beschwerden.

10. Mein pragmatisches Setup

Für Kunden-Websites setze ich folgendes Setup ein, das die DSGVO sauber erfüllt und trotzdem gute Insights liefert: Hetzner-Hosting in Deutschland, Plausible Analytics (kein Consent nötig), Google Fonts lokal via next/font, Cloudflare Turnstile für Formulare, YouTube im Privacy-Modus, Cookie-Banner nur wenn Marketing-Cookies aktiv — und die sind bei 80% der KMU-Websites nicht nötig.

Zeitaufwand einmalig: 4–6 Stunden. Laufende Kosten: €0. Rechtssicherheit: hoch. Hab Fragen zur eigenen Umsetzung? Schreib mir.