EU-DSGVO: Checkliste für Website und Webshop

09.11.2021 • aktualisiert am 25.04.2022

Mit 9 Punkten DSGVO-konform werden.
Die DSGVO-Änderungen auf Website und Webshop sind zwar unerlässlich, aber doch auch sehr überschaubar. In unseren bisherigen Beratungen zur DSGVO haben wir festgestellt, dass viele Unternehmen bereits vieles richtig machen. Zumeist sind es nur noch ein paar To-Do’s, die getan werden müssen, damit Website / Webshop DSGVO-konform werden.

Grundsätze der EU-DSGVO


Die Datenverarbeitung folgt bestimmten Grundsätzen. Diese geben den Rahmen vor, wie Unternehmen personenbezogene Daten verarbeiten dürfen. (Quelle eur-lex.europa.eu)
  • 1 Rechtmäßigkeit Die Datenverarbeitung erfolgt nach den Grundsätzen der Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz. Das bedeutet gemäß dem Gesetzestext, dass die Daten auf (für KonsumentInnen) „nachvollziehbare Weise“ verarbeitet werden.
  • 2 Zweckbindung Die personenbezogenen Daten, die erhoben wurden, werden für einen festgelegten, eindeutigen und legitimen Zweck erhoben und werden nur hinsichtlich dieser Vereinbarung verarbeitet.
  • 3 Datenminimierung In zweckgebundener Weise werden nur so viele personenbezogenen Daten erhoben, wie notwendig ist.
  • 4 Richtigkeit Sofern unrichtige Daten bekannt werden, werden diese unverzüglich gelöscht oder berichtigt.
  • 5 Speicher-Begrenzung Die personenbezogenen Daten werden nur so lange gespeichert, wie es zur zweckorientierten Verarbeitung erforderlich ist.
  • 6 Integrität und Vertraulichkeit Der Grundsatz der Integrität und Vertraulichkeit stellt sicher, dass die Daten vor Verlust, Zerstörung oder Schädigung bewahrt und durch technische Maßnahmen geschützt werden.
Die Übergangsfrist der EU-DSGVO endete am 25. Mai 2018 und brachte ein neues Bewusstsein für Daten und Datenschutz mit sich. Die Verordnung gilt für die Verarbeitung personenbezogener Daten in Standorten / Niederlassungen in der Europäischen Union. Die DSGVO gilt auch für Unternehmen, die die Verarbeitung personenbezogener Daten in Europa betreiben, wenngleich deren Marktniederlassungen außerhalb der EU zu finden ist.

#1 Datenschutzerklärung einbinden


Auf Ihrer Website bzw. in Ihrem Webshop sollte es eine eigene Detailseite „Datenschutz“ geben mit aktuellen Informationen darüber, wie Sie im Unternehmen mit personenbezogenen Daten umgehen. Sprich: Wie diese einlangen können, wie und wofür diese gespeichert und nach welcher Zeit auch wieder gelöscht werden. Zusätzlich sollten Informationen gegeben werden zu u.a.:
  • Cookies
  • Server-Logfiles
  • Trackingtools wie Google Analytics oder Piwik
  • Informationen zur/m DatenschutzkoordinatorIn/-beauftragten
  • Social Media-Plugins
  • Youtube, Google Maps, Web Fonts
  • gegebenenfalls Newsletter und Remarketing
  • Informationen zu Beschwerderecht und Auskunftsrecht
Die Informationen zu den Tools wie Google Analytics braucht man dann, wenn diese auf Website/Webshop eingebunden sind. Es sollte auch unbedingt ein Link integriert werden, um die Verwendung von Google Analytics zu deaktivieren. Beispielhaft finden Sie hier unsere Datenschutzerklärung.

Die Wirtschaftskammer Österreich bietet Vorlagen zur Datenschutz-Erklärung, idealerweise lassen Sie diese aber zusätzlich juristisch abklären. > Zur Informationsbroschüre der WKO

#2 Auf Cookies hinweisen

Machen Sie BesucherInnen beim erstmaligen Besuch Ihres Webshops/Ihrer Website darauf aufmerksam, dass Cookies gesetzt werden. Cookies sind kleine Textdateien, die auf dem Gerät (z.B. Smartphone, Tablet) gespeichert werden. Einige Cookies werden nach dem Besuch wieder gelöscht, andere bleiben gespeichert. Zeigen Sie Ihren BesucherInnen, dass Ihnen der Umgang mit Daten und Cookies am Herzen liegt und verlinken Sie den Cookie-Hinweis zusätzlich mit Ihrer DSGVO-konformen Datenschutzerklärung.

#3 SSL-Zertifizierung

Haben Sie bereits ein SSL-Zertifikat für Website und Webshop erstellen lassen und damit Ihren KundInnen gezeigt, dass Ihnen Sicherheit im Umgang mit den Kundendaten am Herzen liegt? Gerade bei einem Online-Shop ist die Zertifizierung unerlässlich. Auch, wenn Sie auf Ihrer Webseite Anfrageformulare / Kontaktformulare eingerichtet haben.

Erkennbar ist das SSL-Zertifikat am grünen Schloss in der Adresszeile links neben der Domain. Der Hinweis "Die Verbindung ist sicher" zeugt ebenso von einer erfolgreichen Zertifizierung. Dieses ist heute Standard und wird in Zusammenarbeit zwischen Hoster und Agentur eingerichtet und auf der Website angezeigt.

#4 Bei Anfrage-Formular Zustimmung einholen

Wenn Sie die Anfrage-Daten aus Online-Formularen für weitere Marketingzwecke verwenden: Informieren Sie Personen über die Verwendung, bevor diese eine Anfrage absenden. Setzen Sie beispielsweise ein Zustimmungs-Pflichtfeld bei Ihren Anfrage-Formularen ein und verlinken Sie diese mit der Datenschutzerklärung Ihrer Website / Ihres Webshops.

#5 Newsletter-Anbindung anpassen

Eine Newsletter-Anmeldung DSGVO-konform zu gestalten bedeutet eine Lösung mit „Double-Opt-In“ einzubauen. Das heißt, nach der Anmeldung im Online-Formular (auf der Website / im Webshop) erhält der/die Newsletter-AbonnentIn eine werbefreie E-Mail mit einem Bestätigungslink zur Anmeldung zum Newsletter. Mit diesem Link bestätigt der/die AbonnentIn die Anmeldung zum Newsletter.

Mit solch einer Lösung können Sie in jedem Fall nachweisen, dass Sie die explizite Einwilligung der Person hatten, der Sie Newsletter-Mailings zusenden und dass nicht jemand anderes eine fremde Mailadresse zum Newsletter angemeldet hat (Single-Opt-In).

Und übrigens: Versenden Sie Newsletter aktiv selbst? Oder lassen Sie welche über eine Agentur versenden? Vergessen Sie nicht darauf: Erstellen Sie für EDV-Betreuer, Newsletter-System-Anbieter und Webagentur eine aktuelle Auftragsverarbeitungs-Vereinbarung, die DSGVO-konform ist. Viele Newsletter-Mailingsysteme wie RapidMailDialogmail oder Newsletter2Go bieten Auftragsverarbeitungs-Vereinbarungen auf deren Website oder über den Support an. Ansonsten finden Sie hier auch eine Vorlage der Wirtschaftskammer Österreich > Zur Vorlage der WKO Österreich

#6 Aktualisierung der PHP-Version

Im Sinne der DSGVO sollte die Datensicherheit der Systeme gewährleistet sein. Das betrifft auch Ihren Server, auf dem Website oder Webshop liegen. Am besten Sie fragen bei Ihrer Agentur oder Ihrem Hoster nach, welche PHP-Version derzeit auf Ihrem Server eingesetzt wird und vergleichen diese mit den Versionen, die gegenwärtig Sicherheitsupdates erhalten > http://php.net/supported-versions.php

Wenn Ihre Version Sicherheitsupdates erhält, ist alles in bester Ordnung. Wenn Ihre PHP-Version nicht mehr aktuell ist, sollte eine Aktualisierung erfolgen. Diese geben Sie entweder direkt beim Hoster in Auftrag oder Sie sagen Ihrer Webagentur Bescheid, denn bei einem erfolgreichen PHP-Update müssen Webspace und Website mit der neuesten PHP-Version kompatibel gemacht werden.

#7 Datensicherheit der Websysteme

Ist Datensicherheit bei Ihren Systemen gegeben? Befindet sich Ihr Server versperrt in einem eigenen Raum? Damit haben Sie einen wichtigen ersten Schritt getan. Denn denken Sie nur daran, was passieren kann, wenn Server frei zugänglich herumstehen oder gar mitgenommen werden könnten.
  • Schützen Sie Ihre Systeme vor fremdem Zutritt: Versperren Sie diese in einem Raum oder Aktenschrank.
  • Schützen Sie Ihre Systeme vor fremder Benutzung: Vergeben Sie sichere Kennwörter oder richten Sie automatische Sperrmechanismen ein. Beachten Sie auch, dass jede Person einen eigenen Benutzer im System hat – "geteilte" Zugänge könnten unsicher sein.
  • Schützen Sie Ihre Systeme vor fremdem Zugriffen: Stellen Sie sicher, dass niemand die Inhalte des Systems verändern, kopieren oder entfernen kann. Protokollieren Sie am besten Ihre Zugriffe, dann haben Sie immer Klarheit, was in den Systemen passiert.
  • Machen Sie Ihre Systeme belastbar und verfügbar: Stellen Sie ein laufendes Backup sicher und schützen Sie die Systeme mit Virenschutz und Firewall.
  • Pseudonymisierung / Verschlüsselung der Daten: Achten Sie auch darauf, dass Daten in Backups oder Speicherungen pseudonymisiert bzw. verschlüsselt sind.
  • Evaluieren Sie laufend: Überprüfen Sie die Datensicherheit von Zeit zu Zeit und dokumentieren Sie diese Überprüfungen. Denken Sie auch daran, Ihre MitarbeiterInnen regelmäßig auf Datensicherheit zu schulen.

#8 Speicherfristen bei Anfrage-Daten im Websystem berücksichtigen

Gemäß dem Grundsatz der Speicherbegrenzung gilt: Anfrage-Daten (aus Online-Formularen) werden im Websystem laut definierten Speicherfristen entfernt. Idealerweise haben Sie im Websystem ein Backup aller Ihrer Anfragen, sodass Sie im Falle von entgangenen E-Mails auf die Anfrage-Daten im Websystem zurückgreifen können. Diese Anfrage-Daten dürfen jedoch – genauso wenig wie auf einem Blatt Papier im Unternehmen beispielsweise – „ewig“ gespeichert werden. Nach einer gewissen Zeit müssen diese gelöscht werden. Am besten passiert dies automatisch im System, sodass Sie sich keine weiteren Sorgen mehr machen müssen. Sprechen Sie am besten mit Ihrer Agentur darüber.

#9 IP-Adressen anonymisieren

Eine IP-Adresse gilt als personenbezogenes Datum, weshalb dieses anonymisiert werden muss. Jene unserer Kunden, die unser CMS verwenden, haben Glück. Denn: Bei unseren Systemen werden IP-Adressen standardmäßig anonymisiert. Erwähnen Sie das am besten auch in Ihrer DSGVO-konformen Datenschutzerklärung.


Gibt's dazu noch mehr zu erfahren? – Ja, klar!

Wir geben gerne unser Wissen und unsere Erfahrungen weiter. Maßgeschneiderte Empfehlungen und Lösungen für die individuelle Online-Strategie gibt′s natürlich für alle unsere KundInnen (und alle, die es noch werden wollen) im Rahmen einer persönlichen Beratung in St. Pölten und Amstetten.
Anton Mayringer blickt in die Kamera und lächelt.
Über den Autor · Anton Mayringer
Mit seiner Kompetenz und langjährigen Erfahrung durchschaut Anton technische und organisatorische Prozesse mit spielerischer Leichtigkeit und hat in jeder Situation eine sinnvolle und effiziente Lösung. Er sieht Möglichkeiten wie kein Zweiter und eröffnet seinen Kunden Perspektiven, die Sinn machen. Anton ist Gründer und Agentur-Geschäftsführer (seit 2007), geprüfter Datenschutzexperte, Certified E-Commerce Expert – und seit langem engagiert in der Jungen Wirtschaft St. Pölten.

Anton kennenlernen