Die DSGVO regelt den Umgang mit personenbezogenen Daten von EU-Bürgerinnen und -Bürgern. Sie gilt für jede Organisation, die Daten von EU-Personen verarbeitet – unabhängig vom Sitz des Unternehmens.
- Datenschutzerklärung (Art. 13/14)
- Impressumspflicht mit Verantwortlichem
- Cookie-Einwilligung bei Tracking (Art. 6)
- Keine Google Fonts ohne Einwilligung
- Kein Einbinden externer Ressourcen ohne Consent
- Auftragsverarbeitungsvertrag (AVV) mit Dienstleistern
- Löschkonzept für personenbezogene Daten
- Bis zu 20 Mio. € oder
- 4 % des weltweiten Jahresumsatzes (der höhere Betrag)
- Abmahnungen durch Wettbewerber
- Schadensersatzklagen Betroffener (Art. 82)
Ein Websitebetreiber hat Google Fonts ohne Einwilligung eingebunden. Dabei wurde die IP-Adresse des Besuchers an US-Server von Google übermittelt. Das Gericht verurteilte den Betreiber zu 100 € Schadensersatz – für einen einzigen Seitenbesuch.
Konsequenz: Bereits ein einziger Besucher kann Schadensersatz fordern. Bei tausenden Besuchern droht erhebliches finanzielles Risiko. mywebscan.de erkennt eingebundene Google Fonts automatisch.
Das BFSG verpflichtet private Unternehmen, digitale Produkte und Dienstleistungen barrierefrei zu gestalten. Es betrifft alle Unternehmen, die Verbraucher in der EU beliefern – mit Ausnahme von Kleinstunternehmen (< 10 Mitarbeiter, < 2 Mio. € Jahresumsatz).
- E-Commerce-Websites und -Apps
- Online-Banking und Finanzdienstleistungen
- Ticketverkauf (Bahn, Flug, ÖPNV)
- Streaming-Dienste
- Telekommunikationsdienste
- E-Books und E-Reader-Software
- Alt-Texte für alle Bilder
- Ausreichende Farbkontraste (≥ 4,5:1)
- Tastaturnavigation ohne Maus
- Sprachattribut gesetzt (
lang="de") - Beschriftung aller Formularfelder
- Korrekte Überschriftenstruktur (h1→h2→h3)
lang-Attribut, Formulare ohne Label, falsche Überschriftenstruktur, leere Links.
Das TTDSG regelt den Einsatz von Cookies und ähnlichen Technologien (§ 25). Tracking-Cookies und nicht-technisch-notwendige Cookies erfordern eine ausdrückliche Einwilligung des Nutzers – unabhängig von der DSGVO.
- Analyse-Cookies (Google Analytics, Matomo)
- Marketing- und Retargeting-Cookies
- Social-Media-Pixel (Facebook, LinkedIn)
- Fingerprinting-Technologien
- Session-Cookies für Login
- Warenkorb-Cookies
- Technisch notwendige Cookies
- Sprachpräferenz-Cookies
Sicherheitsheader sind keine gesetzliche Pflicht, aber Teil des technisch-organisatorischen Datenschutzes (Art. 32 DSGVO). Fehlende Schutzmaßnahmen können als DSGVO-Verstoß gewertet werden. Das BSI empfiehlt die Implementierung aller gängigen Sicherheitsheader.
Strict-Transport-Security(HSTS)Content-Security-Policy(CSP)X-Frame-OptionsX-Content-Type-OptionsReferrer-PolicyPermissions-Policy
- Art. 32 DSGVO: „Geeignete technische Maßnahmen"
- BSI IT-Grundschutz: APP.3.1 Webanwendungen
- Fehlender HSTS kann als Verstoß gewertet werden
- CSP schützt vor XSS – relevant für DSGVO-Compliance
Hinweis: Diese Seite dient der Information. Sie ersetzt keine Rechtsberatung. Bei konkreten rechtlichen Fragen wenden Sie sich an einen Fachanwalt für IT-Recht oder Datenschutz.