DSGVO im Bereich von Websites

Für kleine Unternehmen (KMU) im Bereich Websites hat der „Stand der Technik“ gemäß der Datenschutz-Grundverordnung (DSGVO) konkrete Auswirkungen, insbesondere wenn die Website bereits 5–10 Jahre alt ist. Hier erkläre ich im Klartext, was das bedeutet, welche Anpassungen nötig sind und wie mit älteren Websites umgegangen werden sollte.

Was bedeutet „Stand der Technik“ für KMU-Websites?
Herausforderungen bei Websites, die 5–10 Jahre alt sind
Was muss ein KMU tun?
Was passiert, wenn nichts getan wird?
Fazit für KMU

Was bedeutet „Stand der Technik“ für KMU-Websites?

Der „Stand der Technik“ (Art. 32 DSGVO) erfordert, dass kleine Unternehmen aktuelle, bewährte Technologien einsetzen, um personenbezogene Daten zu schützen. Für Websites bedeutet das:

Sicherheit – Schutz vor Hacking, Datenverlust oder unbefugtem Zugriff.
Datenschutz – Transparente und rechtssichere Datenverarbeitung (z. B. Cookies, Formulare).
Aktualität – Nutzung moderner Standards, die sich seit Einführung der DSGVO (2018) entwickelt haben.

Da KMU oft begrenzte Ressourcen haben, wird in der DSGVO eine Abwägung zwischen Kosten und Risiko berücksichtigt. Dennoch müssen sie mindestens die Mindestanforderungen erfüllen, um Bußgelder (bis zu 20 Millionen Euro oder 4 % des Umsatzes) zu vermeiden.

Herausforderungen bei Websites, die 5–10 Jahre alt sind

Eine 5–10 Jahre alte Website bringt typischerweise folgende Probleme mit sich, die nicht mehr dem „Stand der Technik“ entsprechen:

Veraltete Software

Viele alte Websites basieren auf veralteten Versionen von Content-Management-Systemen (CMS) wie WordPress (z. B. 2015er-Versionen) oder Plugins, die nicht mehr aktualisiert werden.
Folge: Sicherheitslücken, die Hacker ausnutzen können.

Fehlende DSGVO-Konformität

Keine Cookie-Banner oder Einwilligungsmechanismen, die seit 2018 Pflicht sind.
Unzureichende Datenschutzerklärung oder fehlende Hinweise auf Rechte der Nutzer (z. B. „Recht auf Vergessenwerden“).

Technische Standards

Verwendung veralteter Verschlüsselungsprotokolle (z. B. TLS 1.0 statt TLS 1.3).
Unoptimiertes Design, das nicht responsiv ist und sich nicht an mobile Geräte anpasst.

Datenübertragungen

Einsatz von externen Diensten wie Google Fonts oder Tracking-Tools (z. B. Google Analytics), ohne Einwilligung oder ohne lokale Speicherung, was gegen die DSGVO verstößt.

Was muss ein KMU tun?

Für kleine Unternehmen bedeutet das im Klartext folgende Schritte, um den „Stand der Technik“ zu erreichen:

Website überprüfen (lassen) und aktualisieren

CMS und Plugins – WordPress, Themes und Plugins auf die neueste Version aktualisieren. Wenn das alte Theme nicht mehr unterstützt wird, ein modernes, sicheres Theme und langlebiges Theme verwenden.
Responsives Design – Sicherstellen, dass die Website auf Smartphones und Tablets gut funktioniert, da dies ein moderner Standard ist.

Datenschutz umsetzen

Cookie-Banner – Plugins wie „CookieYes“ oder „Complianz“ installieren, um Nutzern die Einwilligung für Cookies einzuholen.
Datenschutzerklärung – Eine aktuelle Datenschutzerklärung, die die Rechte der Nutzer und Datenverarbeitungsdetails enthält.
Lokale Fonts – Google Fonts lokal auf dem Server speichern, um Datenübertragungen in die USA zu vermeiden.

Sicherheitsmaßnahmen

HTTPS und Verschlüsselung – Sicherstellen, dass die Website ein SSL-Zertifikat hat und TLS 1.3 verwendet. Veraltete Protokolle wie TLS 1.0 deaktivieren.
Backups und Updates – Regelmäßige Backups einrichten und die Website aktuell halten, um Sicherheitslücken zu schließen.
Zwei-Faktor-Authentifizierung (2FA) – 2FA für den Admin-Zugang aktivieren, um unbefugten Zugriff zu verhindern.

Kosten und Ressourcen

Budget – Für KMU kann eine Überarbeitung teuer sein. Eine einfache Lösung ist die Zusammenarbeit mit einem Unternehmen, dass sich damit auskennt.
Zeit – Planen Sie Zeit ein, um die Website zu prüfen und anzupassen – idealerweise mit Unterstützung, wenn technisches Wissen fehlt.

Was passiert, wenn nichts getan wird?

Rechtliche Risiken – Wenn die Website nicht DSGVO-konform ist, drohen Abmahnungen oder Bußgelder, selbst bei kleinen Verstößen (z. B. fehlende Cookie-Einwilligung, wie das LG München 2022 urteilte).
Vertrauensverlust – Nutzer verlassen Websites, die unsicher wirken oder Datenschutzprobleme haben, was Umsätze mindern kann.
Hacking – Veraltete Websites sind anfälliger für Angriffe, was Datenverlust oder Reputationsschäden verursachen kann.

Fazit für KMU

Für kleine Unternehmen ist der „Stand der Technik“ bei Websites eine Herausforderung, aber machbar. Eine alte Website von 5–10 Jahren erfordert dringend Anpassungen, um DSGVO-konform und sicher zu bleiben. Mit pragmatischen Schritten – wie Updates, Plugins und lokaler Speicherung – können KMU rechtliche Risiken minimieren und gleichzeitig ein modernes Nutzererlebnis bieten. Wenn die Ressourcen fehlen, lohnt sich die Investition in Beratung, um langfristig voranzukommen.