DSGVO Website-Check: 10 Fehler auf AT-Websites

Seit der DSGVO-Einführung im Mai 2018 sind österreichischen Website-Betreiber:innen die Grundpflichten bekannt. Trotzdem zeigen unsere Scans, dass dieselben Fehler immer wieder auftauchen, auf kleinen Unternehmenswebsites genauso wie auf mittelständischen Shops.

Hier sind die zehn häufigsten DSGVO- und § 165 TKG 2021-Fehler auf österreichischen Websites, mit konkreten Lösungsansätzen für jeden.

Fehler 1: Kein Impressum oder Impressum nicht auffindbar

§ 5 ECG und § 25 MedienG schreiben Offenlegungspflichten für jede kommerzielle Website vor. Der häufigste Fehler ist nicht das vollständige Fehlen, sondern ein Impressum, das nur auf einer Unterseite steht, keinen Footer-Link hat, oder unter einem unklaren Namen wie „Rechtliches" versteckt ist.

In Österreich kommt eine Besonderheit hinzu: Bei Medien (also auch redaktionellen Websites) ist zusätzlich die Offenlegung nach § 25 MedienG verpflichtend, mit Angaben zur Blattlinie und zu Beteiligungsverhältnissen über 25 %.

Fix: Impressum-Link im Footer auf jeder Seite. Linktext „Impressum" (akzeptiert in AT), maximal zwei Klicks von der Startseite. Vertiefung: Impressumspflicht in Österreich und Impressum nach Rechtsform: GmbH, e.U., Verein.

Fehler 2: Keine Datenschutzerklärung

Fehlende Datenschutzerklärungen kommen vor allem bei Websites vor, die von einem Webdesigner gebaut und dann nie aktualisiert wurden. Wenn die Datenschutzerklärung nicht mehr dem aktuellen Stand entspricht (z.B. Google Analytics eingebunden, aber nicht erwähnt), ist das genauso problematisch wie gar keine.

Fix: Datenschutzerklärung erstellen oder aktualisieren. Sicherstellen, dass alle eingebundenen Dienste (Analytics, Fonts, Zahlungsanbieter, Chatbots) erwähnt sind und die Datenschutzbehörde (DSB) als Aufsichtsbehörde für Beschwerden genannt wird. Vertiefung: Datenschutzerklärung, was hineingehört.

Fehler 3: Cookie-Banner akzeptiert nur, lehnt nicht ab

Viele Cookie-Banner bieten auf der ersten Ebene nur „Alles akzeptieren" und „Einstellungen". „Alles ablehnen" ist erst nach einem weiteren Klick möglich. Die DSB-Cookie-Leitlinien (Stand 2024) und der EuGH verlangen, dass Ablehnen auf der ersten Ebene ebenso einfach zugänglich ist wie Akzeptieren. In der österreichischen Spruchpraxis wird das strenger ausgelegt als in der deutschen DSK-Praxis.

Fix: „Ablehnen"-Button auf der ersten Bannerstufe ergänzen. Optisch gleichwertig zum Akzeptieren-Button gestalten: gleiche Größe, gleiche Farbe, gleiche Position.

Fehler 4: Tracking-Skripte laden vor der Einwilligung

Das ist technisch der häufigste Fehler, der von außen schwer zu sehen ist. Google Analytics, Meta Pixel oder Hotjar laden, noch während der Banner angezeigt wird. § 165 Abs. 3 TKG 2021 schreibt vor: Tracking erst nach Einwilligung.

Fix: Prüfen Sie mit den Browser-Entwicklertools (F12 > Netzwerk), ob Anfragen an Drittanbieter gehen, bevor Sie den Banner weggeklickt haben. Bei Problemen: Consent-Management-Plattform korrekt konfigurieren oder wechseln.

Fehler 5: Google Fonts extern geladen

In unserem Scan-Datensatz laden etwa 60-70 % der österreichischen KMU-Websites Google Fonts noch extern. Das LG München I hat 2022 (Az. 3 O 17493/20) klargestellt, dass das eine DSGVO-Verletzung ist, und auch in Österreich gilt dieselbe DSGVO-Begründung. Eine vergleichbare OGH-Entscheidung gibt es noch nicht. Das LG-München-Urteil wirkt aber als DACH-weiter Risikofall, weil das Argument („IP-Übermittlung ohne Rechtsgrundlage") direkt auf österreichische Sachverhalte übertragbar ist. Die Lösung lokales Hosten kostet 10 bis 30 Minuten.

Fix: Google Fonts lokal hosten. Für WordPress: Plugin OMGF installieren, fertig.

Fehler 6: Google Analytics ohne ausreichende Konfiguration

Google Analytics ist per se nicht verboten, aber Standard-GA4 erfüllt die österreichischen DSGVO-Anforderungen nicht ohne Anpassungen. Konkret erforderlich:

• IP-Anonymisierung aktiviert (bei GA4 standardmäßig aktiv, bei Universal Analytics manuelle Einstellung nötig)
• Auftragsverarbeitungsvertrag (AVV) mit Google abgeschlossen
• In der Datenschutzerklärung erwähnt
• Hinter dem Cookie-Banner, d.h. erst nach Einwilligung geladen
• Drittlandtransfer mit Bezug auf das EU-US Data Privacy Framework dokumentiert

Die DSB hat im Januar 2022 im sog. NOYB-Bescheid Google Analytics ohne ausreichende Schutzmaßnahmen für rechtswidrig erklärt, als erste EU-Aufsichtsbehörde überhaupt. Auch nach dem Data Privacy Framework prüft die DSB die Konfiguration genau.

Fix: Prüfen Sie diese Punkte in Ihrem Google Analytics-Setup. Alternativ: Wechsel auf Plausible Analytics oder Matomo (selbst gehostet), die ohne Einwilligung auskommen. Vertiefung: Google Analytics und DSGVO.

Fehler 7: YouTube-Einbettungen ohne Einwilligungsgate

Eingebettete YouTube-Videos setzen Cookies und übermitteln Daten an Google, noch bevor jemand das Video abspielt. Das erfordert eine Einwilligung oder zumindest den Einsatz des privacy-enhanced Modus (youtube-nocookie.com).

Fix: Videos auf youtube-nocookie.com umstellen, oder eine „Click-to-Play"-Lösung verwenden, die den iframe erst nach einem Klick lädt.

Fehler 8: Kontaktformular ohne Datenschutzhinweis

Jedes Formular, das personenbezogene Daten sammelt (auch ein einfaches Kontaktformular mit Name und E-Mail), muss bei der Eingabe einen Datenschutzhinweis anzeigen. Dieser muss erklären, zu welchem Zweck die Daten verarbeitet werden, auf welcher Rechtsgrundlage (Art. 6 DSGVO) und wer Empfänger ist.

Fix: Kurzer Hinweis unter dem Formular: „Ihre Angaben werden zur Bearbeitung Ihrer Anfrage verarbeitet (Art. 6 Abs. 1 lit. b DSGVO). [Link zur Datenschutzerklärung]"

Fehler 9: Sicherheitslücken in HTTP-Headern

Technische Sicherheitsheader sind streng genommen kein DSGVO-Thema, aber Art. 32 DSGVO schreibt „geeignete technische und organisatorische Maßnahmen" zur Datensicherheit vor. Fehlende Header wie Content-Security-Policy, X-Frame-Options oder Strict-Transport-Security zählen zu den Maßnahmen, die die DSB bei Prüfungen routinemäßig mit beachtet.

Fix: Header konfigurieren, entweder in der Webserver-Konfiguration (nginx, Apache) oder über ein Hosting-Management-Tool. CERT.at veröffentlicht Empfehlungen für österreichische Betreiber.

Fehler 10: Keine oder falsche Rücktrittsbelehrung im Online-Shop

Bei Webshops ist die Rücktrittsbelehrung Pflicht nach § 4 FAGG (Fern- und Auswärtsgeschäfte-Gesetz). Typische Fehler: deutsche „Widerrufsbelehrung"-Vorlage 1:1 übernommen (verweist auf § 312g BGB statt § 4 FAGG), Rücktrittsfrist falsch angegeben (14 Tage ist Standard, bei fehlerhafter Belehrung verlängert sich die Frist nach § 12 FAGG auf bis zu 12 Monate), oder die Belehrung ist so versteckt, dass sie bei der Bestellung nicht angezeigt wird.

Fix: Rücktrittsbelehrung nach FAGG aktualisieren, direkt im Bestellprozess anzeigen und als PDF zum Download anbieten. Vertiefung: Rücktrittsrecht nach FAGG für Webshops und Rücktrittsrecht im Onlineshop.

So prüfen Sie Ihre Website systematisch

Manuell alle zehn Punkte durchzugehen kostet Zeit. Unser kostenloser Scanner prüft automatisch die meisten dieser Fehler:

• Impressum vorhanden und verlinkt?
• Datenschutzerklärung vorhanden?
• Cookie-Banner erkannt und Ablehnen-Option vorhanden?
• Externe Google-Fonts-Verbindungen?
• Tracking-Skripte im Lade-Verhalten?
• Sicherheitsheader konfiguriert?

Prüfen Sie jetzt Ihre Website kostenlos mit unserem DSGVO-Scanner. Das Ergebnis liegt in unter zwei Minuten vor.

---

Dieser Artikel ist technische Analyse, kein Rechtsrat. Für Fragen zu Ihrer konkreten Situation wenden Sie sich an eine Datenschutzfachperson oder Rechtsanwältin in Österreich.