Zum Hauptinhalt springen

DSGVO & Cookie-Consent-Manager richtig umsetzen

Sigrid Gramlinger
von Sigrid Gramlinger

DSGVO & Cookies: Damit Ihre Website rechtlich sauber läuft – ohne Banner-Chaos.

Datenschutz ist nicht nur „Text im Footer“. Es ist ein Zusammenspiel aus Datenschutzerklärung, Cookies/Tracking, Einbindungen (Maps, Videos) und sauberer Dokumentation. Wir bringen das für Ihre Website in einen Zustand, der passt – technisch, inhaltlich und praktisch.

Zwei idente Garagentore auf denen okay steht

"Wir machen aus der Einhaltung der DSGVO kein „juristisches Drama“ - sondern einen sauberen Mix aus klarer Information, kontrollierten Einbindungen und einem Consent-Manager, der das Vertrauen von Nutzer:innen fördert."

Inhaltsverzeichnis

DSGVO – was in Österreich wichtig ist?

In der Praxis fragen uns Website-Betreiber:innen selten „Was steht in der DSGVO?“, sondern eher: „Was müssen wir für den Datenschutz konkret auf der Website machen?“
Und da sind in Österreich vor allem zwei Dinge entscheidend:

Transparenz & Informationspflichten

Ihre Besucher:innen müssen klar nachvollziehen können, welche Daten wofür verarbeitet werden (Datenschutzerklärung, Hinweise zu Tools, Empfängern, Speicherdauer, Betroffenenrechten).

Cookies/Tracking nur mit echter Einwilligung

Sobald Sie Statistik/Marketing/Third-Party-Tools nutzen, braucht es vorab eine Einwilligung. Consent (Zustimmung) muss aktiv und freiwillig erfolgen. Ohne Zustimmung darf die Seite keine externen Skripte laden oder Daten übermitteln.

Kurz: Die Umsetzung der DSGVO bedeutet kein „juristisches Drama“, sondern „Consent sauber formulieren, Einbindungen kontrollieren, Datenverarbeitung nachvollziehbar dokumentieren“.

Grundlagen der DSGVO

Welche Daten sind betroffen?

Alle personenbezogenen Daten (nicht-sensible und sensible), wenn sie in einer systematischen Form gespeichert oder verarbeitet werden, z. B.

  • Newsletter-Abonnent:innen
  • Rechnungsadressen (für die Buchhaltung)
  • Kundenkartei (auch in Papierform oder in einer Excel-Liste)
  • Mitarbeiter:innen-Daten, ...

Nach welchen Prinzipien erfolgt der Datenschutz?

Es gelten die Grundsätze der

  • Rechtmäßigkeit: Darf ich diese Daten speichern? Wissen die betroffenen Personen darüber Bescheid?
  • Zweckbindung: Wozu brauche ich diese Daten? Wofür verwende ich sie?
  • Speicherbegrenzung: Speichere ich nur die Daten, die ich wirklich benötige? Sind die Daten "richtig"?
  • Datensicherheit: Wer kann auf die Daten zugreifen? Wie kann ich die Daten sicher verarbeiten, speichern, übermitteln,...?
  • Rechenschaftspflicht: Ich muss der Datenschutzbehörde auf Anfrage Auskunft über meine Datenanwendungen geben.

Was muss ich tun, um DSGVO-konform zu sein?

Auf offiziellen WKO-Webseiten gibt es zu diesem Thema umfangreiche Informationen.
Hier die Schritte für kleine Unternehmen (EPU, KMU und Vereine) kurz zusammengefasst:

  1. Erstellung eines Verarbeitungs- oder Verfahrensverzeichnisses
    Das Verarbeitungsverzeichnis ist die Basis für alle weiteren Schritte. Darin wird festgehalten, welche Daten zu welchem Zweck, wo, wie lange gespeichert und an wen sie übermittelt werden. Das Online-Tool data2.eu unterstützt dabei!
  2. ev. eine Risiko-Folgenabschätzung
    Wenn für eine Daten-Kategorie aus dem Verarbeitungsverzeichnis ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen besteht, muss eine Risiko-Folgenabschätzung erfolgen. Diese muss dokumentiert und in regelmäßigen Abständen (z. B. jährlich) wiederholt und dokumentiert werden.
  3. Datenschutzerklärung / Informationspflichten
    Die betroffenen Personen, von denen Daten gespeichert werden, müssen auf einfache und verständliche Art und Weise über die Datenverarbeitung informiert werden. Die Wirtschaftskammer hat hierzu einen Online-Ratgeber veröffentlicht.
  4. Verträge mit Auftragsverarbeitern abschließen
    Wenn personenbezogene Daten an Auftragsverarbeiter (z. B. IT-Dienstleister, Buchhaltung, Mail-Software,...) übermittelt werden, muss mit diesen Verarbeitern ein schriftlicher Vertrag geschlossen werden. Auch hier bietet die Wirtschaftskammer einen Mustervertrag, der mit der Datenschutzbehörde abgestimmt ist.

Für kleine Unternehmen (EPU und KMU mit wenigen MitarbeiterInnen sowie Vereine) sollten diese Punkte ausreichend sein. Detailliertere Informationen können nur im Zuge einer Datenschutz-Beratung erfolgen.

Wo kann ich mich beraten lassen?

Agenturinhaberin Sigrid Gramlinger ist seit Jänner 2018 geprüfte Datenschutz-Expertin und Certified Data & IT Security Expertin.

Wir schauen uns Ihre Datenverarbeitungen an, erstellen ein Verarbeitungsverzeichnis und leiten daraus individuell nötige Schritte ab.

Kostenfreies Erstgespräch buchen

Typische Baustellen in der Umsetzung

Viele Seiten scheitern nicht an „der DSGVO“, sondern an den Details: Cookies werden zu früh gesetzt, Ablehnen ist versteckt, eingebettete Inhalte laden trotzdem, oder niemand weiß, welche Tools überhaupt Daten verarbeiten. Genau da stellt sich die Praxisfrage: Was kann man unabsichtlich falsch machen?

Typische Baustellen bei der Umsetzung der DSGVO auf Websites:

  • Tracking läuft bereits beim Seitenaufruf (statt erst nach Einwilligung)
  • Externe Inhalte (Google Maps, YouTube, Social Feeds) laden Daten im Hintergrund
  • Consent wirkt nur optisch – technisch passiert trotzdem schon einiges
  • Keine klare Trennung zwischen „notwendig“ und „optional“
  • Datenschutztexte sind generisch und passen nicht zu den tatsächlich genutzten Tools

Consent Mode v2 – haben Sie das auf dem Radar?

Wer Google Analytics oder Google Ads einsetzt, muss die Consent-Entscheidung seiner Besucher:innen technisch an Google übermitteln. Ein Cookie-Banner allein reicht dafür nicht aus – Ihr Tool muss als Consent Management Platform (CMP) funktionieren. Wir prüfen, ob Ihre aktuelle Lösung das leistet.

Kostenfreies Erstgespräch buchen

So setzen wir die DSGVO auf Ihrer Website um?

1. Klarheit schaffen und bedarfsgerecht handeln

Wir prüfen, welche Tools und Einbindungen aktiv sind und beantworten pragmatisch: Was fordert die DSGVO hier wirklich – und was ist nur „nice to have“?

Ergebnis: eine klare Liste, was ohne Einwilligung erlaubt ist und was erst nach Consent starten darf.

2. Consent & Einbindungen richtig konfigurieren

Wir konfigurieren den Consent Manager so, dass die Website sich wirklich daran hält:

  • nichts Optionales lädt vor Zustimmung
  • „Ablehnen“ ist gleichwertig erreichbar
  • Einbindungen werden mit Platzhaltern gesteuert (statt heimlich im Hintergrund zu laden)

3. Datenschutz sauber "durchziehen"

Wir finalisieren die Informationspflichten auf Ihrer Website:

  • Datenschutzerklärung
  • klare Hinweise zu Datenverarbeitung
  • strukturierte Dokumentation

Hinweis: Wir setzen nach gängiger Praxis um und unterstützen bei der Website-Umsetzung – eine verbindliche Rechtsberatung ersetzen wir damit nicht.

Wie muss ein Cookie Consent Manager aussehen?

Ein Consent Manager ist nicht „nur ein Banner“. Er muss so gestaltet sein, dass die Einwilligung freiwillig, informiert und eindeutig passieren kann – und dass ohne Consent nichts startet, was nicht notwendig ist. Genau hier wird die DSGVO in Österreich für viele Websites spürbar: Nicht die Oberfläche ist das Problem, sondern die technische Steuerung im Hintergrund.

Must-haves (Checkliste):

  • Vor Einwilligung nichts Optionales laden (keine Statistik-/Marketing-Cookies, keine externen Requests)
  • Zwei gleichwertige Entscheidungen: „Akzeptieren“ und „Ablehnen“ gleich prominent, ohne Zusatzklicks
  • Granulare Auswahl: Kategorien (z. B. Funktional, Präferenzen, Statistik, Marketing) und optional einzelne Services
  • Keine Vorauswahl für optionale Kategorien (keine voraktivierten Häkchen außerhalb „notwendig“)
  • Einstellungen jederzeit ändern (dauerhaft erreichbarer Link „Einstellungen anpassen“)
  • Transparenz: Zweck, Anbieter/Tools, Hinweise zur Verarbeitung – verständlich statt juristisch
  • Platzhalter statt Sofort-Laden für Embeds (YouTube/Maps etc.), damit ohne Consent wirklich nichts lädt
  • Nachvollziehbarkeit (je nach Setup/Tooling: Logging/Protokollierung sinnvoll)

Nice-to-have (für bessere Nutzer:innenerfahrung trotz DSGVO):

  • „Nur notwendige Cookies“ als klare Option
  • Kurztext + „Details“ (damit es nicht überfrachtet)
  • Design integriert ins Corporate Design (kein Fremdkörper)
Screenshot eines DSGVO-konformen Cookie Banners und den Cookie Einstellungen

YOOtheme als Pagebuilder – und warum das für die DSGVO praktisch ist

Wir nutzen YOOtheme Pro oft als Pagebuilder, weil wir damit Inhalte schnell, sauber und konsistent bauen können: wiederverwendbare Layouts, modulare Sections, klare Struktur – ohne Plugin-Wildwuchs. 

Mit dem Update auf YOOtheme Pro 5 wurde der Cookie Consent Manager stark verbessert – besonders dort, wo die DSGVO in der Praxis entscheidet:

  • Consent für Kategorien und Services
  • Platzhalter/Blockierung für externe Inhalte (Videos, Maps) – lädt erst nach Klick/Consent
  • Script-Einbindungen abhängig vom Consent (z. B. Analytics/Tagging)
  • Optisch voll integrierbar (Banner/Modal im Look der Website)

Das reduziert die typischen Consent-Probleme enorm, weil der Consent nicht nur „fragt“, sondern tatsächlich steuert.

Unsere Expertise - Ihr Vorteil!

Datenschutz & Cookies: Wir machen das sauber!

Sigrid Gramlinger ist seit Jänner 2018 geprüfte Datenschutz-Expertin und Certified Data & IT Security Expertin. Sie kann umfassend zum Thema DSGVO beraten.

  1. Klarheit schaffen
  2. Notwendige Schritte ableiten
  3. Datenschutzerklärung prüfen
  4. Auf der Website Consent & Einbindung richtig konfigurieren
  5. Datenschutz sauber "durchziehen"
kostenfreies Erstgespräch buchen
Rückruf anfordern

Rückruf

Bitte Namen angeben.
Bitte eine Telefonnummer angegeben.
Spam-Schutz fehlgeschlagen

Wir verwenden die Daten nur um Sie zurückzurufen.
Weitere Details finden Sie in unserer Datenschutzerklärung.

Sigrid Gramlinger - Joomla Expertin

Verwandte Themen

Häufig gestellte Fragen

Was fordert die DSGVO in Österreich auf Websites konkret?

Die DSGVO regelt die Verarbeitung personenbezogener Daten (z. B. über Formulare, Newsletter, Tracking). In Österreich ist auf Websites zusätzlich besonders relevant, dass für nicht notwendige Cookies/Tracking in der Regel vorab eine Einwilligung nötig ist.

Brauche ich einen Cookie-Banner – und wann ist er verpflichtend?

Ein Cookie-Banner ist dann erforderlich, wenn Cookies/Technologien eingesetzt werden, die nicht technisch notwendig sind (z. B. Webanalyse, Marketing, Drittanbieter-Embeds). Technisch notwendige Cookies sind die typische Ausnahme.

Muss ein Consent-Banner in Österreich eine „Ablehnen“-Option haben?

Ja, für eine wirksame Einwilligung müssen Nutzer:innen eine echte Wahl haben. „Akzeptieren“ und „Ablehnen“ sollen gleichwertig angeboten werden (nicht versteckt, nicht deutlich unattraktiver gestaltet).

Was muss in einer Datenschutzerklärung in Österreich drinstehen?

Sie muss verständlich erklären, welche Daten verarbeitet werden, zu welchen Zwecken, auf welcher Rechtsgrundlage, ob Dritte/Auftragsverarbeiter beteiligt sind und wie Betroffene ihre Rechte ausüben können. Die WKO bietet dazu praxisnahe Checklisten für Website-Informationspflichten

Welche Rechtsgrundlagen erlauben die Datenverarbeitung nach der DSGVO?

Die DSGVO erlaubt die Verarbeitung personenbezogener Daten nur, wenn mindestens eine Rechtsgrundlage nach Art. 6 Abs. 1 DSGVO vorliegt.

  • Einwilligung der betroffenen Person (z. B. Newsletter-Opt-in, Tracking nach Consent)
  • Vertrag oder vorvertragliche Maßnahmen (z. B. Angebotsanfrage, Bestellung, Support)
  • Rechtliche Verpflichtung (z. B. Aufbewahrungspflichten aus Steuer-/Unternehmensrecht)
  • Lebenswichtige Interessen (Notfall-Situationen, sehr selten im Website-Kontext)
  • Aufgabe im öffentlichen Interesse / Ausübung öffentlicher Gewalt (typisch Behörden/öffentliche Stellen)
  • Berechtigte Interessen des Verantwortlichen oder Dritter (nur wenn keine überwiegenden Interessen/Grundrechte der Betroffenen entgegenstehen; Abwägung nötig)