Praxisnaher Leitfaden für Websites, Shops & KI‑Projekte. Mit Checkliste, Consent‑Setup, Barrierefreiheit, sicheren Einbettungen & Vorlagen zum direkten Umsetzen.
Digitale Compliance beschreibt die Gesamtheit aller regulatorischen Anforderungen, die ein Unternehmen beim Betrieb digitaler Dienste einhalten muss. Sie umfasst Datenschutz, IT‑Sicherheit, Barrierefreiheit, Verbraucher‑ und E‑Commerce‑Recht. IT‑Compliance bedeutet laut KPMG, dass alle verbindlichen oder anerkannten Vorschriften nachvollziehbar eingehalten werden. Verstöße können zu Bußgeldern, Abmahnungen, Reputationsschäden oder sogar Betriebsausfällen führen. Daher betrifft digitale Compliance nicht nur große Konzerne, sondern jede Organisation, die personenbezogene Daten verarbeitet oder digitale Produkte anbietet, also auch mittelständische Betriebe, Start‑ups und öffentliche Einrichtungen.
Compliance im digitalen Bereich besteht aus mehreren Elementen: Datenschutz (DSGVO, TTDSG), Barrierefreiheit (BFSG/EAA, WCAG 2.2), IT‑Sicherheit (NIS2, DORA), E‑Commerce‑Recht (UWG, PAngV) sowie KI‑Regulierung (AI Act). Diese Bereiche greifen ineinander: Wer z. B. ein Formular anbietet, muss gleichzeitig die Erhebung von Daten dokumentieren (DSGVO), eine barrierefreie Bedienung ermöglichen (BFSG/EAA), verschlüsseln (IT‑Sicherheit) und die Nutzungsbedingungen klar darlegen (UWG). Je nach Branche kommen branchenspezifische Regelungen hinzu, etwa DORA für Finanzdienstleister.
Viele Compliance‑Pflichten lassen sich mit einem strukturierten Audit abarbeiten. Die folgende Checkliste dient als schneller Selbsttest. Jede Anforderung sollte mit erledigt, in Bearbeitung oder nicht erfüllt markiert werden. Wenn Unsicherheit besteht, empfiehlt sich ein professioneller Audit.
| Nr. | Prüfpunkte und Erläuterung |
|---|---|
| 1 | Impressum & Datenschutzerklärung: Stellen Sie sicher, dass alle Pflichtangaben im Impressum und in der Datenschutzerklärung vorhanden sind. Für Geschäftswebsites besteht eine Impressumspflicht; fehlende Angaben können zu Bußgeldern von bis zu 50 000 € führen. Die Datenschutzerklärung muss leicht zugänglich sein und alle Datenverarbeitungen inkl. Drittlandtransfers erklären. |
| 2 | Cookie‑Banner/CMP (Consent‑Management): Das TTDSG verlangt für das Speichern oder Auslesen von Informationen auf Endgeräten eine Einwilligung. Nicht unbedingt erforderliche Cookies (z. B. Tracking oder Marketing) dürfen erst nach Einwilligung gesetzt werden. Achten Sie auf „Reject‑All“‑Optionen und vermeiden Sie Dark‑Pattern‑Designs. |
| 3 | Consent Mode v2 konfigurieren: Google schreibt für Analytics‑Integrationen ab 2024 den Consent Mode v2 vor. Version 2 übermittelt neben analytics_storage und ad_storage auch die Parameter ad_user_data und ad_personalization und erlaubt dadurch weiterhin Conversion‑Tracking bei fehlender Zustimmung. Ohne die Implementierung gehen remarketing‑Funktionen verloren. |
| 4 | Tracking‑Setup (GA4/Matomo): Prüfen Sie, ob Sie Google Analytics 4 rechtssicher einsetzen. GA4 erfordert eine aktive Einwilligung vor Tracking, weil Daten in die USA übermittelt werden. Matomo (Self‑Hosting) ist datenschutzfreundlicher; hier können Sie ggf. ohne Consent messen. Entscheiden Sie sich basierend auf Datenschutzanforderungen und Ressourcen. |
| 5 | Google Fonts lokal & 2‑Klick‑Einbettungen: Bei dynamischer Einbindung von Google Fonts wird die IP‑Adresse des Website‑Besuchers an Google in die USA übertragen. Das LG München wertete dies 2022 als Verstoß gegen das Recht auf informationelle Selbstbestimmung und sprach Schadensersatz zu. Nutzen Sie deshalb lokal gehostete Schriftarten und 2‑Klick‑Lösungen für YouTube/Maps, bei denen Cookies erst nach dem zweiten Klick gesetzt werden. |
| 6 | AV‑Verträge + Subprozessor‑Liste: Für jeden Dienstleister, der personenbezogene Daten in Ihrem Auftrag verarbeitet (z. B. Hosting‑Provider, Newsletter‑Tool), ist ein Vertrag zur Auftragsverarbeitung (AVV) abzuschließen und die Subprozessoren offen zu legen. |
| 7 | Verarbeitungsverzeichnis (VVT), TOMs & Löschkonzept: Nach Art. 30 DSGVO müssen Unternehmen ein Verzeichnis der Verarbeitungstätigkeiten führen, es sei denn, sie haben weniger als 250 Mitarbeiter und verarbeiten Daten nur gelegentlich. Dennoch ist ein VVT für alle Organisationen sinnvoll, um Compliance nachzuweisen. Ergänzen Sie technische und organisatorische Maßnahmen (TOMs), etwa Verschlüsselung, Firewalls und Schulungen, sowie ein Löschkonzept mit Fristen. |
| 8 | DSFA‑Check (DPIA): Führen Sie eine Datenschutz‑Folgenabschätzung durch, wenn das Risiko für Betroffene hoch ist, etwa bei Profiling, systematischer Überwachung oder Verarbeitung sensibler Daten. Die DSFA umfasst Zweck, Risikoanalyse und Abhilfemaßnahmen. |
| 9 | Barrierefreiheit‑Basics: Prüfen Sie Fokusführungen, ausreichende Kontraste, alternative Texte und Tastaturnavigation. Das BFSG/EAA verpflichtet ab 28. Juni 2025 viele digitale Dienste und E‑Commerce‑Plattformen zu barrierefreien Angeboten. |
| 10 | Backup/Recovery, TLS, Security‑Header: Setzen Sie auf SSL/TLS‑Verschlüsselung, regelmäßige Backups und Security‑Header (z. B. CSP, HSTS). NIS2 verlangt ein Risikomanagement und Meldepflichten für Sicherheitsvorfälle. |
| 11 | Newsletter: Double‑Opt‑In: Obwohl die DSGVO keine ausdrückliche Double‑Opt‑In‑Pflicht enthält, gilt das Verfahren als Stand der Technik; deutsche Gerichte verlangen eine nachvollziehbare Einwilligung. Bestätigungs‑E‑Mails dürfen keine Werbung enthalten. |
| 12 | Barrierefreie Dokumente & Medien: PDFs, Videos und Bilder müssen barrierefrei sein. Verwenden Sie Untertitel, Transkriptionen und strukturiertes HTML. |
| 13 | DSGVO‑konformes Chatbot‑Einsatz: Holen Sie vor der Datenerhebung die ausdrückliche Einwilligung der Nutzer ein, informieren Sie transparent und bieten Sie Widerrufsmöglichkeiten. Für externe Chatbot‑Anbieter ist ein AV‑Vertrag erforderlich. |
| 14 | Technische Innovationen (AI & Machine‑Learning): Prüfen Sie, ob KI‑Anwendungen unter den AI Act fallen. Hochrisiko‑Systeme müssen z. B. Risikomanagement, hochwertige Trainingsdatensätze, Logging und menschliche Kontrolle vorsehen. |
| 15 | Monitoring & Aktualisierungen: Bleiben Sie am Ball. Neue Gesetze wie eIDAS 2.0 (digitale EU‑Wallets ab 2026) oder BFSG/EAA (Barrierefreiheit) treten gestaffelt in Kraft. Passen Sie Ihr Compliance‑Management regelmäßig an. |
Die folgenden Gesetze bilden das „Regelgerüst“ für digitale Dienste. Eine konsequente Umsetzung schafft Rechtssicherheit und minimiert Haftungsrisiken.
Speichern und Auslesen: Nach § 25 TTDSG ist für das Speichern oder Auslesen von Informationen auf dem Endgerät eines Nutzers eine Einwilligung erforderlich. Dazu zählen Cookies, Local‑Storage‑Einträge und Fingerprinting. Ausgenommen sind Cookies, die für den technischen Betrieb unbedingt erforderlich sind. Die DSGVO verlangt in Art. 6 Abs. 1 lit. a eine freiwillige, informierte und eindeutige Einwilligung; vor der Einwilligung dürfen keine Tracking‑Cookies gesetzt werden.
Einwilligung vs. erforderlich: Notwendige Cookies (z. B. für Warenkorb oder Log‑in) benötigen keine Einwilligung. Für Analyse‑ und Marketing‑Cookies muss eine Opt‑in‑Option bereitgestellt werden. Vorinstallierte Auswahlkästchen gelten laut EuGH als unzulässig. A/B‑Tests ohne Tracking können als notwendig gelten, wenn sie nur anonymisierte Daten verwenden.
Das Bundesdatenschutzgesetz (BDSG) ergänzt die DSGVO, insbesondere bei Auskunftsrechten, Beschäftigtendatenschutz und Sanktionen. Für E‑Mail‑Marketing gilt das Gesetz gegen den unlauteren Wettbewerb (UWG). Cold Calls und Werbe‑E‑Mails ohne nachweisbare Einwilligung sind unzulässig. Die Voraussetzungen hierfür sind klar geregelt:
Die Bestandskundenregelung (§ 7 Abs. 3 UWG):
Kunde hat E-Mail-Adresse bei Kauf angegeben
Werbung für eigene, ähnliche Waren/Dienstleistungen
Klarer Hinweis auf Widerspruchsmöglichkeit
Kein Widerspruch erfolgt
Double‑Opt‑In wird als Standard angesehen und von deutschen Gerichten gefordert. Bewahren Sie Einwilligungsnachweise auf und führen Sie Protokolle (z. B. IP‑Adresse, Zeitstempel). Enthält die Bestätigungs‑Mail Werbung, kann dies bereits eine unerlaubte Werbemaßnahme darstellen.
Das Barrierefreiheitsstärkungsgesetz (BFSG) setzt die Richtlinie (EU) 2019/882 um und gilt seit 28. Juni 2025 für digitale Produkte und Dienstleistungen. Es betrifft u. a. E‑Commerce‑Plattformen, Websites, mobile Apps, Ticket‑ und Checkout‑Systeme sowie E‑Books. Micro‑Unternehmen mit weniger als zehn Mitarbeitern und einem Umsatz unter 2 Mio. € sind ausgenommen. Produkte und Dienstleistungen müssen so gestaltet werden, dass Menschen mit Behinderungen sie finden, aufrufen und nutzen können, ohne auf Hilfe angewiesen zu sein. Dazu gehört u. a. eine barrierefreie Navigation, kontrastreiche Darstellung, verständliche Sprache, alternative Texte und Kompatibilität mit Screenreaders.
Der DSA regelt die Verantwortlichkeiten von Online‑Diensten, insbesondere Plattformen. Er verbietet zielgerichtete Werbung auf Basis sensibler Daten und das Profiling von Minderjährigen. Anbieter müssen ihre Empfehlungsalgorithmen offenlegen und mindestens eine Option anbieten, die ohne Profiling funktioniert. Dark Patterns, die Nutzer zu ungewollten Entscheidungen verleiten, sind untersagt. Dienstanbieter müssen illegale Inhalte zügig entfernen, Melde‑ und Beschwerdemechanismen einrichten und Transparenzberichte veröffentlichen. Verstöße können mit Geldbußen von bis zu 6 % des Jahresumsatzes geahndet werden.
Der DMA betrifft „Gatekeeper“ – große Plattformen wie App‑Stores oder Suchmaschinen. Gatekeeper müssen u. a. die Deinstallation von Apps erlauben, Nutzer:innen die Auswahl des Standard‑Browsers erleichtern, die Interoperabilität von Messenger‑Diensten gewährleisten, keine Selbstbevorzugung durchführen und die Europäische Kommission über Übernahmen informieren (s. grantthornton.ie). Für mittelständische Unternehmen sind die DMA‑Regeln wichtig, wenn sie als „Business‑User“ von Gatekeeper‑Plattformen abhängig sind (z. B. App‑Anbieter in App‑Stores); sie können sich auf faire Bedingungen berufen.
Die NIS2‑Richtlinie schafft ein einheitliches Cybersicherheitsniveau für 18 kritische Sektoren (z. B. Energie, Verkehr, Gesundheitswesen, Digitale Dienste). Mittelständische Unternehmen, die zu den „Wesentlichen“ oder „wichtigen“ Einrichtungen zählen, müssen Risikomanagement‑Maßnahmen umsetzen, Vorfälle melden, Lieferkettenrisiken überwachen und ihre Führungsetagen einbeziehen. Bei Verstößen haften auch die Geschäftsleitungen, was die Bedeutung von IT‑Sicherheitsmaßnahmen erhöht.
In Deutschland geht der Gesetzgeber von etwa 30 Tausend betroffenen Unternehmen aus. Die Schwellenwerte:
Besonders wichtige Einrichtungen:
Wichtige Einrichtungen:
Ab 50 Mitarbeiter ODER
Über 10 Mio. EUR Umsatz UND über 10 Mio. EUR Bilanzsumme
Besonders wichtige und wichtige Einrichtungen müssen sich registrieren, erhebliche Sicherheitsvorfälle melden sowie technische und organisatorische Risikomanagement-Maßnahmen implementieren.
Meldepflichten bei Sicherheitsvorfällen:
Frühwarnung: Innerhalb von 24 Stunden
Vorfallmeldung: Innerhalb von 72 Stunden
Abschlussbericht: Innerhalb eines Monats
DORA gilt seit 17. Januar 2025 für Finanzinstitute und versicherungsnahe Unternehmen. Es verpflichtet diese, betriebliche Resilienz gegen IKT‑Störungen sicherzustellen, u. a. durch Risikomanagement, strengere Anforderungen an Drittanbieter (z. B. Cloud‑Provider), regelmäßige Resilienztests, Meldepflichten und Informationsaustausch. Für Fin‑Techs und Zahlungsdienstleister ist DORA ein wesentlicher Pfeiler der Compliance.
Die Revision der Verordnung über elektronische Identifizierung und Vertrauensdienste (eIDAS 2.0) führt ab 2026 eine EU‑weit anerkannte digitale Identitäts‑Wallet ein: Bis November 2026 müssen die Mitgliedstaaten zertifizierte EU‑ID‑Wallets bereitstellen, und Unternehmen müssen diese bis November 2027 akzeptieren. Ziel ist es, einen sicheren digitalen „Ausweis“ zu etablieren, der bei Log‑ins und Checkout‑Prozessen genutzt werden kann. Die Wallet speichert Ausweise, Führerscheine, Zertifikate und ermöglicht die digitale Signatur. Für Online‑Shops reduziert sich dadurch der Aufwand im Onboarding und die Betrugsgefahr.
Bei Datenübermittlungen in Drittstaaten (z. B. USA) müssen Unternehmen einen angemessenen Schutz gewährleisten. Dafür stehen zwei Instrumente bereit:
Standardvertragsklauseln (SCC): Die modernisierten SCC der EU‑Kommission decken vier Szenarien (Controller–Controller, Controller–Processor etc.) ab und enthalten neue Verpflichtungen wie Transparenz, erweiterte Betroffenenrechte, Transfer Impact Assessments und Regeln zum staatlichen Zugriff. Alte SCC sind seit 27. Dezember 2022 ungültig.
EU‑US Data Privacy Framework (DPF): Gilt nur für Übermittlungen in die USA. Unternehmen müssen sich selbst zertifizieren und das Datenschutzniveau regelmäßig überprüfen. Der DPF entbindet nicht von Dokumentationspflichten, ist aber einfacher umzusetzen als SCC; allerdings können nur US‑Unternehmen teilnehmen. Ein Transfer Impact Assessment ist trotzdem ratsam.
Ob SCC oder DPF gewählt werden sollte, hängt von der Zielregion und den Ressourcen ab. Die SCC‑Module bieten höhere Flexibilität, das DPF reduziert den Aufwand für US‑Transfers.
Die DSGVO verlangt ab Art. 30, dass alle Unternehmen, die personenbezogene Daten verarbeiten, ein Verzeichnis der Verarbeitungstätigkeiten führen. Ausnahmen gelten lediglich für Unternehmen mit weniger als 250 Beschäftigten, die Daten nur gelegentlich und risikoarm verarbeiten. Da in der Praxis oft mehrere Datenströme existieren (z. B. Marketing, HR, Support), wird ein VVT dennoch empfohlen.
Inhalt eines VVT:
Verantwortlicher und ggf. Auftragsverarbeiter
Zweck der Verarbeitung
Kategorien von Daten und Betroffenen
Rechtsgrundlagen
Empfänger und Drittlandtransfers
Aufbewahrungsfristen
Beschreibung der technischen und organisatorischen Maßnahmen
Die Dokumentation dient als Nachweis gegenüber Behörden und ist eine Basis für Datenschutz‑Folgenabschätzungen.
Die DSGVO fordert in Art. 24 und 32 geeignete technische und organisatorische Maßnahmen, um ein angemessenes Schutzniveau zu gewährleisten. Technische Maßnahmen umfassen Verschlüsselung, Firewalls, Zugriffs‑ und Backup‑Strategien. Organisatorische Maßnahmen umfassen Schulungen, Sicherheitsrichtlinien, Rollen‑ und Rechtemanagement, Audits und Notfallpläne. TOMs müssen regelmäßig evaluiert und an das Risiko angepasst werden; sie sind nicht nur für Datenschutz, sondern auch für IT‑Security relevant.
Eine DSFA ist erforderlich, wenn eine Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten der Betroffenen mit sich bringt, etwa bei Profiling, umfangreicher Verarbeitung sensibler Daten oder systematischer Überwachung. Die DSFA umfasst:
Beschreibung der Verarbeitung und des Zwecks
Bewertung der Notwendigkeit und Verhältnismäßigkeit
Risikoanalyse (Eintrittswahrscheinlichkeit/Schwere)
Maßnahmen zur Risikominderung (z. B. Pseudonymisierung, Privacy by Design)
Die DSFA sollte vor Beginn der Verarbeitung erfolgen und den Datenschutzbeauftragten einbeziehen.
Erstellen Sie ein Löschkonzept, das regelt, wann personenbezogene Daten gelöscht oder anonymisiert werden. Orientieren Sie sich an gesetzlichen Aufbewahrungsfristen (z. B. Handels- und Steuerrecht) und definieren Sie automatische Löschroutinen. Wichtig ist der Nachweis, dass Daten nicht länger als nötig gespeichert werden (Prinzip der Speicherbegrenzung).
Für jede Verarbeitung im Auftrag ist ein Auftragsverarbeitungsvertrag (AVV) abzuschließen. Achten Sie darauf, dass Subprozessoren, Standorte der Verarbeitung und Sicherheitsmaßnahmen detailliert aufgeführt werden. Bei sensiblen Daten oder umfangreichen Verarbeitungen kann ein externer Datenschutzbeauftragter sinnvoll sein. Nach dem BDSG ist ein Datenschutzbeauftragter ab 20 Mitarbeitern verpflichtend oder wenn Daten besonders sensibel sind.
Google hat den Consent Mode entwickelt, um die Nutzung seiner Dienste datenschutzkonform zu gestalten. Mit Version 2 (seit 2024 verpflichtend) wurden die Parameter ad_user_data und ad_personalization eingeführt. Es gibt zwei Betriebsmodi:
Basic Mode: Google-Tags werden erst ausgelöst, wenn eine Einwilligung vorliegt. Ohne Consent keine Datenverarbeitung – gut für den Datenschutz, aber die Messung leidet.
Advanced Mode: Tags werden sofort ausgelöst, aber ohne Cookies. Google nutzt modellierte Daten, um Conversions auch ohne Einwilligung zu schätzen. So lassen sich Messlücken reduzieren.
Unternehmen sollten den Consent Mode implementieren, um Analytics, Ads und Conversion‑Tracking flexibel zu steuern. Im EWR ist Consent Mode v2 de facto erforderlich, wenn Sie Google Ads/Analytics mit modellierten Conversions oder Remarketing weiter nutzen möchten. Wichtig: Ohne Consent Mode v2 können Remarketing‑Funktionen von Google Ads entfallen.
Das „Transparency and Consent Framework“ (TCF 2.2) wurde 2023 veröffentlicht. Die Änderungen umfassen eine klarere Sprache, verpflichtende Anzeige der Anzahl der Vendoren und längere Speicherdauer; legitime Interessen dürfen nicht mehr als Rechtsgrundlage für Werbung genutzt werden. Cookie-Banner müssen also deutlich machen, welcher Zweck verarbeitet wird, welche Anbieter beteiligt sind und wie lange Daten gespeichert werden. CMP-Anbieter müssen ab Nov 2023 die neuen Vorgaben umsetzen.
Beim serverseitigen Tagging wird der Tracking-Code nicht im Browser, sondern auf dem eigenen Server ausgeführt. Dadurch verbessert sich die Performance, Datenschutz und Sicherheit: Es werden weniger Skripte geladen, Daten können pseudonymisiert und minimiert werden. Die zentrale Kontrolle erleichtert das Löschen und die geografische Steuerung (z. B. EU-Server). Serverseitiges Tagging ermöglicht zudem, Consent-Entscheidungen konsequent durchzusetzen und sogenannte „Leakages“ zu verhindern. Implementieren Sie einen Proxy-Server für alle Tags (z. B. via Google Tag Manager Server Side) und dokumentieren Sie die Datenflüsse.
Die Wahl des Analyse-Tools beeinflusst die Einwilligungs-pflicht. GA4 ist kostenlos und stark mit Google Ads verknüpft, allerdings werden Daten in die USA übertragen und Einwilligungen sind unerlässlich. Matomo (früher Piwik) erlaubt Selbsthosting in der EU; hier können Sie Tracking teilweise ohne Einwilligung durchführen, da keine Drittlandübermittlung stattfindet. Nachteile: geringere Automatisierung und zusätzlicher Wartungsaufwand. Piwik PRO kombiniert Cloud-Hosting in der EU mit professioneller Betreuung. Prüfen Sie, welche Funktionen Sie wirklich benötigen; ein datensparsamer Ansatz reduziert die Abhängigkeit von komplexen Tools.
Anbieter wie Plausible oder Fathom arbeiten komplett ohne Cookies und verarbeiten Daten anonymisiert. Für den Grundtraffic und einfache KPIs kann dies ausreichend sein und reduziert die Einwilligungspflicht. Allerdings sind Marketing-Features wie Retargeting damit nicht möglich.
Wie oben erwähnt, führt die dynamische Einbindung von Google Fonts dazu, dass IP-Adressen an Google übermittelt werden; das LG München wertete dies als Datenschutzverstoß und sprach Schadensersatz zu. Die sicherste Lösung ist das Lokal-Hosting der Fonts. Laden Sie die Schriftarten herunter, hosten Sie sie auf Ihrem Server und ändern Sie die CSS-Verweise. Achten Sie auf passende Lizenzen; Google Fonts sind kostenlos, andere Schriftarten ggf. nicht. Prüfen Sie auch, ob CMS-Themes automatisch externe Fonts nachladen.
Beim Einbinden von YouTube- oder Vimeo-Videos werden bereits beim Laden der Seite Cookies gesetzt, die Tracking ermöglichen. Eine 2-Klick-Lösung schafft Abhilfe: Das Video wird erst geladen, wenn der Nutzer zweimal klickt – zuerst auf das Vorschaubild und dann auf „Video laden“. So wird eine Einwilligung erteilt, bevor die Verbindung zum Drittanbieter hergestellt wird. Alternativ können Sie die „nocookie“-Domain nutzen oder das Video lediglich verlinken.
Für Karten (z. B. Google Maps) gilt dasselbe: Nutzen Sie 2-Klick-Lösungen oder alternative Anbieter wie OpenStreetMap oder Leaflet. Achten Sie darauf, dass keine IP-Übertragung ohne Einwilligung erfolgt.
Google reCAPTCHA schützt vor Bots, aber sammelt personenbezogene Daten und setzt Cookies. Zudem ist unklar, welche Daten Google verarbeitet, wodurch sich Datenschutz-risiken ergeben. Friendly Captcha und hCaptcha bieten privacy-freundliche Alternativen: Sie verwenden keine Tracking-Cookies und lösen kryptographische Rätsel auf dem Benutzergerät. Laut Friendly Captcha ist ihr System vollständig datenschutzkonform , benötigt keine Cookies und ist barrierefrei. Prüfen Sie, welche Lösung sich am besten in Ihre Infrastruktur integrieren lässt.
Wenn Sie ein Content Delivery Network (CDN) oder Cloud-Hosting nutzen, stellen Sie sicher, dass der Anbieter Daten in der EU verarbeitet, Standardvertragsklauseln anbietet und eine Liste aller Subprozessoren führt. Prüfen Sie die Logging-Praxis: In vielen Clouds werden IP-Adressen zu Sicherheitszwecken gespeichert. Auch hier gilt: Minimierung, Pseudonymisierung und strenge Zugriffskontrollen.
Jedes Content-Management-System (CMS) oder Shop-System hat eigene Besonderheiten. Im Folgenden werden gängige Systeme beleuchtet:
DSGVO-Plugins: Nutzen Sie Plugins wie „Real Cookie Banner“ oder „Borlabs Cookie“, um Consent-Banner zu integrieren. Achten Sie auf regelmäßige Updates.
Local Fonts & Scripts: Viele Themes laden externes Material; stellen Sie auf lokale Fonts um und entfernen Sie ungenutzte Skripte.
WooCommerce: Prüfen Sie Double-Opt-In im Checkout und sorgen Sie für eine rechtskonforme Widerrufsbelehrung.
Webflow ist ein US-amerikanischer SaaS-Dienst. Prüfen Sie, ob Ihre Datenverarbeitung in den USA erfolgt; schließen Sie ggf. SCC ab oder nutzen Sie EU-Hosting. Für Tracking können Sie serverseitiges Tagging und externe CMP-Integration einsetzen. Achten Sie auf barrierefreie Templates.
Shopify hostet seine Infrastruktur primär in Kanada und den USA. Prüfen Sie den aktuellen DPF‑Zertifizierungsstatus der relevanten US‑Shopify‑Körperschaften im offiziellen Register; ergänzend sollten Sie Standardvertragsklauseln (SCC) abschließen und ein Transfer‑Impact‑Assessment dokumentieren. Nutzen Sie Apps mit Bedacht und stellen Sie sicher, dass sie DSGVO-konform sind (z. B. Double-Opt-In für Newsletter). Binden Sie den Consent Mode und 2-Klick-Lösungen ein.
Shopware (deutscher Anbieter) bietet DSGVO-Module und EU-Hosting. Achten Sie auf Updates und schalten Sie die Cookie-Banner korrekt. In WooCommerce sind Einwilligungen für Newsletter und Zahlungsanbieter erforderlich; implementieren Sie serverseitiges Tagging und Consent Mode.
Das BFSG verpflichtet ab 28. Juni 2025 Anbieter digitaler Produkte und Dienstleistungen, ihre Angebote barrierefrei zu gestalten. Betroffen sind Websites, mobile Apps, E-Commerce-Shops, Selbstbedienungsterminals, Ticketautomaten und E-Books. Die europäischen Normen EN 301 549 und WCAG 2.2 definieren technische Anforderungen. Für den privaten Bereich gelten Übergangsfristen bis 2025–2027; behördliche Stellen müssen Barrierefreiheit bereits seit 2021 erfüllen.
Die Web Content Accessibility Guidelines (WCAG) 2.2 sind der internationale Standard für Barrierefreiheit. Auch das BFSG verweist indirekt auf diese Standards.
Die vier Prinzipien der WCAG:
Die Umsetzung der Barrierefreiheit kostet – keine Frage. Aber die Nicht-Umsetzung kostet mehr.
Investitionskosten:
Vermiedene Kosten:
Die deutsche Barrierefreie Informationstechnik‑Verordnung (BITV 2.0) setzt die WCAG für Behörden um und verweist auf EN 301 549 für technische Spezifikationen. Die Norm listet Anforderungen an Software, Webinhalte, PDF‑Dokumente und Non‑Web‑Dokumente. Für Unternehmen empfiehlt es sich, die BITV‑Testverfahren als Best‑Practice zu übernehmen. Die EN 301 549 gilt europaweit für barrierefreie Produkte; sie ist insbesondere für Hardware‑Hersteller relevant.
Ein Compliance‑Audit ermittelt Datenflüsse, eingesetzte Tools und Risiken. Das Ergebnis ist ein Ampel‑Report: grün (konform), gelb (Optimierung nötig), rot (akuter Handlungsbedarf). Der Bericht dient als Entscheidungsgrundlage und Priorisierungsliste. Regelmäßige Audits reduzieren Haftungsrisiken und wirken proaktiv gegenüber Behörden.
Die DSGVO sieht Bußgelder von bis zu 20 Mio. € oder 4 % des weltweiten Jahresumsatzes vor. Das LG München sprach wegen unzulässiger Google‑Fonts‑Einbindung 100 € Schadensersatz zu. Massenabmahnungen können besonders kleine Unternehmen treffen. Der beste Schutz ist Prävention: Alle Punkte der Checkliste umzusetzen, Prozessergebnisse zu dokumentieren und bei Unsicherheit rechtlichen Rat einzuholen.
Nutzen Sie geprüfte Tools für Impressum und Datenschutzerklärung (z. B. eRecht24‑Generator), Cookie‑Banner, AV‑Verträge und DSFA‑Vorlagen. Diese reduzieren Fehlerquellen und beschleunigen die Umsetzung. Behalten Sie im Blick, dass generierte Texte dennoch individuell angepasst werden müssen.
Buchen Sie eine ausführliche Compliance‑Sichtung. Wir prüfen Ihre Systeme, erstellen einen Maßnahmenplan und beantworten Fragen zu DSGVO, TTDSG, BFSG oder AI Act. Transparente Festpreisangebote geben Planungssicherheit.
Der AI Act (Verordnung (EU) 2024/1689) ist die weltweit erste umfassende Regulierung für künstliche Intelligenz. Er folgt einem risikobasierten Ansatz:
| Risikokategorie | Beispiele | Pflichten |
|---|---|---|
| Verbotene KI | Manipulative Systeme, Social Scoring, Ausnutzung von Schwächen, Echtzeit‑Gesichtserkennung in der Strafverfolgung | Komplettes Verbot; Einsatz ist untersagt |
| Hochrisiko‑KI | Sicherheitssysteme in kritischer Infrastruktur, Bewerber‑Screening, Kreditwürdigkeitsprüfung, KI im Bildungswesen oder HR | Strenge Pflichten: Risiko‑management, hochwertige Trainingsdaten, technische Dokumentation, Protokollierung, Transparenz, menschliche Aufsicht, Cybersicherheit |
| Begrenztes Risiko | Chatbots, Empfehlungssysteme | Transparente Kennzeichnung; Nutzer müssen wissen, dass sie mit einer KI interagieren; Möglichkeiten zur Deaktivierung |
| Minimales Risiko | Spiele‑KI, Spamfilter | Keine besonderen Anforderungen |
Unternehmen müssen die Risikokategorie ihrer KI‑Systeme bestimmen. Hochrisiko‑Systeme erfordern detaillierte Dokumentation, Daten‑Governance und menschliche Kontrolle.
Die Bestimmungen zu verbotenen Systemen sind seit dem 2. Februar 2025 anwendbar. Die Regeln für General Purpose AI-Modelle werden ab 2. August 2025 anwendbar.
Die wichtigsten Fristen:
2. Februar 2025: Verbot bestimmter KI-Systeme
2. August 2025: Pflichten für GPAI-Modelle
2. August 2026: Vollständige Anwendung
2. August 2027: Hochrisiko-Systeme in regulierten Produkten
Der AI Act verlangt, dass Nutzer erkennen können, wenn sie mit einer KI kommunizieren. Chatbots auf Websites müssen deshalb klar beschriftet werden (z. B. „Virtueller Assistent“). Für KI‑generierte Inhalte empfiehlt der Gesetzgeber Labels (z. B. „AI‑generiert“), um Manipulationen vorzubeugen.
Erstellen Sie eine interne KI‑Policy, die beschreibt, welche Daten verwendet werden, wie sie gespeichert und gelöscht werden und wer Zugriff hat. Berücksichtigen Sie die Datenresidenz: Verwenden Sie Cloud‑Anbieter mit EU‑Standorten und schließen Sie AV‑Verträge ab. Definieren Sie Anweisungen für den Umgang mit Prompt‑Daten, Logs und Retention‑Fristen.
Chatbots verarbeiten in der Regel personenbezogene Daten (z. B. Name, E‑Mail, Anliegen). Bevor Daten gespeichert oder für Marketing genutzt werden, müssen Unternehmen eine ausdrückliche Einwilligung einholen. Nutzer haben Anspruch auf Löschung („Recht auf Vergessenwerden“) und Datenportabilität. Die Einwilligung sollte aktiv über ein Opt‑in erfolgen; das kann über ein Cookie‑Banner oder ein vorgeschaltetes Formular realisiert werden. Bei externen Chatbot‑Anbietern ist ein AV‑Vertrag abzuschließen. Die Datenschutzerklärung muss leicht zugänglich und verständlich sein.
Ein strukturierter Fahrplan hilft, digitale Compliance effizient umzusetzen. Die folgende Roadmap basiert auf Erfahrung aus Projekten und berücksichtigt Quick‑Wins sowie langfristige Maßnahmen.
Audit & Quick‑Scan: Starten Sie mit dem 15‑Punkte‑Check aus Abschnitt 2 und erstellen Sie einen Maßnahmenplan.
CMP und Banner: Implementieren Sie einen DSGVO‑konformen Cookie‑Banner mit TCF 2.2 und Consent Mode v2.
Schriftarten lokal: Laden Sie Google Fonts herunter und binden Sie sie lokal ein.
Impressum & Datenschutzerklärung: Aktualisieren Sie die Rechtstexte; verwenden Sie Generatoren und passen Sie sie an.
AV‑Verträge & VVT: Sammeln Sie alle Dienstleister, schließen Sie AV‑Verträge und legen Sie ein VVT an.
Serverseitiges Tagging: Planen und implementieren Sie einen serverseitigen Tag‑Manager, um Datenschutz und Performance zu verbessern.
DSFA & TOMs: Führen Sie eine Datenschutz‑Folgenabschätzung durch, wenn Sie z. B. KI‑Systeme oder umfangreiche Tracking‑Tools nutzen. Aktualisieren Sie Ihre technischen und organisatorischen Maßnahmen.
2‑Klick‑Einbettungen: Rüsten Sie YouTube/Maps‑Einbettungen auf die 2‑Klick‑Lösung um.
Zugangskontrolle & Backup: Überprüfen Sie Berechtigungen, implementieren Sie Multi‑Factor‑Authentifizierung und automatisieren Sie Backups.
Barrierefreiheit: Führen Sie einen WCAG 2.2‑Audit durch, priorisieren Sie kritische Punkte (Navigation, Formulare, Kontraste) und erstellen Sie ein Backlog.
NIS2/DORA‑Reife: Identifizieren Sie, ob Ihr Unternehmen unter NIS2 oder DORA fällt; entwickeln Sie ein Risikomanagement und Notfallpläne.
KI‑Policy & Schulung: Formulieren Sie eine KI‑Policy und schulen Sie Teams zu Datenschutz, Barrierefreiheit und Security. Berücksichtigen Sie AI Act‑Pflichten.
Monitoring & Reporting: Etablieren Sie regelmäßige Reviews, KPI‑Dashboards und Vorfall‑Meldeprozesse. Halten Sie Änderungen in Rechtstexten und Technologien nach.
Gerne unterstützen wir Sie bei der Umsetzung. Als Agentur übernehmen wir die technischen Anpassungen, Schulungen und Audit‑Begleitung. Buchen Sie ein unverbindliches Erstgespräch.
Für eine effiziente Umsetzung stehen folgende Materialien zur Verfügung (einige als Leadmagneten):
VVT‑Template (Google Sheets): Strukturierte Tabelle zur Erfassung aller Verarbeitungstätigkeiten, inklusive Feldern für Zweck, Rechtsgrundlage und TOMs.
AVV‑Checkliste (PDF): Prüft, ob Verträge alle Pflichtbestandteile enthalten (Subprozessoren, Löschfristen, Sicherheitsstandards).
WCAG‑Checkliste: Abhakliste für Erfolgskriterien der WCAG 2.2 mit Priorisierung.
Consent‑Mode‑Implementierungsplan: Schritt‑für‑Schritt‑Anleitung zur Einrichtung des Consent Mode v2 in Tag‑Manager, GA4 und Ads.
2‑Klick‑Snippets: JavaScript‑Code zur Umsetzung der 2‑Klick‑Lösung für Videos und Karten.
CSP‑Starter‑Vorlage: Beispiel für Content‑Security‑Policies, die Inline‑Skripte und unzulässige Domains blockieren.
DSFA‑Risikomatrix: Excel‑Sheet zur Bewertung von Risiken, Eintrittswahrscheinlichkeit und Schwere.
Nein. Cookies, die für den technischen Betrieb unbedingt erforderlich sind (z. B. Warenkorb, Log‑in), können ohne Einwilligung gesetzt werden. Tracking‑ und Marketing‑Cookies erfordern eine Opt‑in‑Einwilligung.
GA4 kann datenschutzkonform eingesetzt werden, wenn eine aktive Einwilligung eingeholt wird und der Consent Mode v2 korrekt implementiert ist. Dennoch bleibt die Datenübermittlung in die USA ein Risiko, weshalb Self‑Hosting‑Alternativen wie Matomo geprüft werden sollten.
Das BFSG gilt ab 28. Juni 2025 für neue digitale Produkte und Dienstleistungen. Bestehende Angebote müssen bis 2025–2027 nachgerüstet werden. Kleine Unternehmen (< 10 Mitarbeiter, < 2 Mio. € Umsatz) sind ausgenommen.
Nach dem AI Act sollten Sie Nutzer transparent informieren, wenn Inhalte durch eine KI erstellt wurden. Nutzen Sie Hinweise wie „AI‑generiert“ oder „Erstellt mit Unterstützung künstlicher Intelligenz“. Für Chatbots ist eine Kennzeichnung, dass der Nutzer mit einer Maschine spricht, verpflichtend.
Eine Datenschutz‑Folgenabschätzung ist erforderlich, wenn eine Verarbeitung voraussichtlich ein hohes Risiko für Betroffene darstellt, z. B. bei Profiling, umfangreicher Verarbeitung sensibler Daten oder systematischer Überwachung. Ein gutes Indiz ist die Liste der Aufsichtsbehörden; prüfen Sie, ob Ihr Vorhaben dort aufgeführt ist.
AVV (Auftragsverarbeitungsvertrag): Vertrag, der die Verarbeitung personenbezogener Daten durch einen Dienstleister regelt.
VVT (Verarbeitungsverzeichnis): Liste aller Verarbeitungstätigkeiten eines Unternehmens Verarbeitungsverzeichnis.
TOMs: Technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten.
DSFA/DPIA: Datenschutz‑Folgenabschätzung; identifiziert Risiken und definiert Schutzmaßnahmen.
CMP (Consent Management Platform): Tool zur Einholung und Verwaltung von Einwilligungen für Cookies und Tracking.
TCF 2.2: Rahmenwerk für Transparenz und Einwilligung von IAB Europe; legt Standards für CMPs fest.
DPF (Data Privacy Framework): EU‑US‑Abkommen für Datenübermittlungen; US‑Unternehmen müssen sich zertifizieren.
SCC (Standard Contractual Clauses): Vertragsklauseln zur Sicherung des Datenschutzes bei Drittlandtransfers Standard Contractual Clauses.
QWAC: Qualified Website Authentication Certificates, Vorgaben zur sicheren Website‑Authentifizierung (eIDAS).
EN 301 549: Europäische Norm mit technischen Anforderungen an barrierefreie IKT‑Produkte.
WCAG 2.2: Web‑Content‑Accessibility‑Guidelines, internationaler Standard für barrierefreie Webinhalte.
AI Act: EU‑Verordnung zur Regulierung künstlicher Intelligenz; legt Risikostufen und Pflichten fest AI Act.
Digitale Compliance ist kein einmaliges Projekt, sondern ein kontinuierlicher Prozess. Unternehmen sollten die Entwicklungen bei Datenschutz, Barrierefreiheit, IT‑Security und KI‑Regulierung laufend beobachten und Anpassungen vornehmen. Folgende Handlungsoptionen bieten wir an:
Kostenloser Quick‑Scan (15 Min): Wir analysieren Ihre Website oder Ihren Shop und zeigen dringende Baustellen auf.
Compliance‑Audit (Festpreis): Wir führen einen vollständigen Audit durch, erstellen einen Ampel‑Report und unterstützen bei der Umsetzung.
90‑Tage‑Umsetzungs‑Begleitung: Wir begleiten Sie bei der Implementierung aller Maßnahmen, schulen Ihr Team und sorgen für nachhaltige Compliance.
Zertifikate & Referenzen: Unsere Beratenden sind zertifizierte Datenschutzbeauftragte und IT‑Security‑Experts.
Prozessgrafik: Wir zeigen transparent, wie der Audit‑ und Umsetzungsprozess abläuft – vom Quick‑Scan über die Priorisierung bis zur kontinuierlichen Betreuung.
Kontaktblock: Sie erreichen uns per Telefon, E‑Mail oder über das Kontaktformular für ein unverbindliches Erstgespräch.
Hinweis: Dieser Leitfaden ersetzt keine individuelle Rechtsberatung. Die Angaben basieren auf Recherchen zum Stand August 2025. Änderungen der Gesetzgebung können Anpassungen erforderlich machen.
Diesen Artikel teilen:
