DSGVO-konforme Webentwicklung: Was Entwickler wissen müssen

Die Datenschutz-Grundverordnung (DSGVO) ist seit Mai 2018 in Kraft und betrifft jede Website, die in der EU betrieben wird oder EU-Bürger als Nutzer hat. Für Webentwickler bedeutet das konkrete technische Anforderungen, die von Anfang an berücksichtigt werden müssen — nachträgliches Anpassen ist aufwändig und fehleranfällig.

Privacy by Design: Datenschutz von Anfang an

Artikel 25 der DSGVO fordert „Datenschutz durch Technikgestaltung". Das bedeutet: Datenschutz ist keine Funktion, die am Ende hinzugefügt wird, sondern ein Designprinzip, das die gesamte Architektur durchzieht.

In der Praxis heißt das:

• Datensparsamkeit — nur die Daten erheben, die wirklich benötigt werden
• Zweckbindung — Daten nur für den angegebenen Zweck verwenden
• Speicherbegrenzung — Daten löschen, wenn sie nicht mehr benötigt werden
• Verschlüsselung — personenbezogene Daten verschlüsselt speichern und übertragen

Die DSGVO ist kein bürokratisches Hindernis, sondern ein Qualitätsmerkmal. Wer datenschutzkonform entwickelt, baut automatisch sicherere und besser strukturierte Anwendungen.

Cookie-Consent richtig umsetzen

Das Thema Cookie-Banner ist für viele Entwickler ein Dauerbrenner. Die rechtliche Lage ist seit dem BGH-Urteil zur Cookie-Einwilligung klar: Für alle nicht technisch notwendigen Cookies braucht es eine aktive Einwilligung des Nutzers.

Technisch notwendige Cookies

Session-Cookies, Warenkorb-Cookies und Cookies für die Cookie-Einwilligung selbst gelten als technisch notwendig und dürfen ohne Einwilligung gesetzt werden. Alles andere — Analytics, Marketing, Social Media — erfordert ein Opt-in.

Consent Management implementieren

Ein datenschutzkonformes Consent-Management muss folgende Anforderungen erfüllen:

• Granulare Auswahl — Nutzer müssen einzelne Cookie-Kategorien ablehnen können
• Kein Dark Pattern — der Ablehn-Button muss gleich prominent sein wie der Zustimm-Button
• Widerruf — die Einwilligung muss jederzeit widerrufbar sein
• Dokumentation — Einwilligungen müssen nachweisbar gespeichert werden

Technisch bedeutet das: Tracking-Scripte dürfen erst geladen werden, nachdem die Einwilligung erteilt wurde. Das erfordert eine saubere Script-Verwaltung, bei der externe Ressourcen bedingt geladen werden.

Formulare und Dateneingabe

Jedes Formular auf einer Website verarbeitet personenbezogene Daten. Entwickler müssen sicherstellen, dass:

• HTTPS durchgehend verwendet wird — Formulardaten dürfen nie unverschlüsselt übertragen werden
• Eingabevalidierung sowohl client- als auch serverseitig erfolgt
• Keine unnötigen Pflichtfelder existieren — Datensparsamkeit gilt auch hier
• Einwilligungstexte klar formuliert und nicht vorangehakt sind

Die MDN Web Security Guidelines bieten eine gute technische Grundlage für die sichere Formularverarbeitung.

Drittanbieter-Dienste einbinden

Google Fonts, YouTube-Videos, Google Maps, Social-Media-Widgets — all diese Dienste übertragen Nutzerdaten an Drittanbieter. Seit dem Schrems-II-Urteil ist die Übertragung personenbezogener Daten in die USA besonders kritisch.

Google Fonts lokal hosten

Das Einbinden von Google Fonts über die Google-CDN wurde 2022 von einem deutschen Gericht als DSGVO-Verstoß gewertet. Die Lösung ist einfach: Schriftdateien herunterladen und lokal hosten. Das verbessert nebenbei auch die Performance.

YouTube und Maps datenschutzkonform

Für YouTube-Videos gibt es den erweiterten Datenschutzmodus über die Domain youtube-nocookie.com. Für Google Maps und andere eingebettete Dienste empfiehlt sich eine Zwei-Klick-Lösung: Erst nach aktiver Zustimmung wird der externe Inhalt geladen.

Recht auf Auskunft und Löschung

Artikel 15 und 17 der DSGVO garantieren Nutzern das Recht auf Auskunft und Löschung ihrer Daten. Technisch muss die Anwendung in der Lage sein, alle gespeicherten Daten eines Nutzers zu exportieren und vollständig zu löschen.

Das erfordert eine klare Datenarchitektur: Wo werden personenbezogene Daten gespeichert? In der Datenbank, in Log-Dateien, in Backups, bei Drittanbietern? Nur wer diese Fragen beantworten kann, kann das Löschrecht technisch umsetzen.

Hosting und Auftragsverarbeitung

Der Hosting-Anbieter ist Auftragsverarbeiter im Sinne der DSGVO. Ein Auftragsverarbeitungsvertrag (AVV) ist Pflicht. Deutsche Hosting-Anbieter wie Hetzner bieten standardmäßig DSGVO-konforme AVVs an und betreiben ihre Rechenzentren in Deutschland.

Technische Checkliste

Eine Zusammenfassung der wichtigsten technischen Maßnahmen für DSGVO-konforme Webentwicklung:

• SSL/TLS — durchgehende Verschlüsselung
• Cookie-Consent — mit echtem Opt-in und granularer Auswahl
• Lokales Hosting von Fonts und anderen Ressourcen
• IP-Anonymisierung in Analytics-Tools
• Datenbank-Verschlüsselung für sensible Felder
• Automatische Datenlöschung nach definierten Fristen
• Security Headers — Content-Security-Policy, X-Frame-Options etc.
• Regelmäßige Updates aller Abhängigkeiten

Fazit

DSGVO-konforme Webentwicklung ist keine Raketenwissenschaft, erfordert aber Sorgfalt und systematisches Vorgehen. Wer Privacy by Design von Anfang an berücksichtigt, spart sich nachträgliche Umbauarbeiten und schafft Vertrauen bei den Nutzern. Die technischen Maßnahmen sind überschaubar — entscheidend ist das Bewusstsein dafür im gesamten Entwicklungsprozess.