Recht und Compliance: DSGVO, Cookie-Einwilligung, Datenschutzgesetze ohne Tränen

Überblick

Datenschutzrecht klingt erschreckend und ist meist gesunder Menschenverstand, aufgeschrieben. Sammle nur, was du brauchst, sag den Leuten, was du sammelst und warum, hol echte Erlaubnis, bevor du sie trackst, und lass sie ihre Daten auf Anfrage sehen und löschen. DSGVO, die UK GDPR, die Schweizer revFADP und die US-Bundesstaatengesetze teilen alle diesen Kern. Diese Lektion übersetzt die Landschaft in eine kurze Liste von Dingen, die du tatsächlich baust, mit dem schlichten Hinweis, dass nichts davon Rechtsberatung ist - im Zweifel frag eine Anwältin.

Was du lernst

Du lernst den geteilten Kern der grossen Datenschutzgesetze, was "Rechtsgrundlage" und "echte Einwilligung" in der Praxis bedeuten, wie du ein Cookie-Banner baust, das compliant ist (inklusive der Ehrung von Global Privacy Control), was deine Datenschutzerklärung und dein Impressum enthalten müssen, wie du Datenexport- und Löschanfragen handhabst und den einfachen Test dafür, wann du einen Auftragsverarbeitungsvertrag brauchst.

Voraussetzungen

Ein Produkt, das beliebige Nutzerdaten sammelt - eine E-Mail-Anmeldung, ein Account, Analytics - aus Kurs 3 oder deinem eigenen Projekt, da Compliance davon handelt, wie du diese Daten handhabst. Kein juristischer Hintergrund nötig. Diese Lektion ist praktische Orientierung, keine Rechtsberatung; für alles Heikle lass eine Fachperson deine konkrete Situation prüfen.

Das Problem

Die meisten kleinen Bauenden tun eines von zwei falschen Dingen. Sie ignorieren Datenschutzrecht entweder ganz, bis ein Nutzer oder eine Behörde eine unbequeme Frage stellt, oder sie erstarren, überzeugt, Compliance brauche eine Rechtsabteilung, die sie sich nicht leisten können. Die Wahrheit liegt dazwischen: eine Solo-Gründerin kann wirklich compliant sein, indem sie eine Handvoll Prinzipien befolgt und ein paar Standard-Seiten und ein funktionierendes Einwilligungs-Banner ausliefert. Die Kosten, es falsch zu machen - Bussen, Takedowns, verlorenes Vertrauen - sind weit höher als der Nachmittag, den es braucht, es richtig zu machen.

Die Landschaft in klaren Worten

Du musst nicht jedes Gesetz auswendig lernen. Sie reimen sich. Bau auf den strengsten gemeinsamen Nenner - effektiv DSGVO plus US-Opt-out-Rechte - und du bist fast überall abgedeckt.

• DSGVO (EU) und UK GDPR: die strenge Basis. Du brauchst eine Rechtsgrundlage, um personenbezogene Daten zu verarbeiten, musst transparent sein, musst minimieren, was du sammelst, und musst Auskunfts- und Löschrechte ehren. Gilt, sobald du EU- oder UK-Nutzer hast, egal, wo du sitzt.
• Schweizer revFADP: das revidierte Schweizer Bundesgesetz über den Datenschutz. Eng an der DSGVO ausgerichtet, sodass das Erfüllen der DSGVO es weitgehend abdeckt. Relevant, wenn du Schweizer Nutzer bedienst.
• CCPA und CPRA (Kalifornien) und die Welle anderer US-Bundesstaatengesetze (Virginia, Colorado und mehr): verbraucherrechtsbasiert. Aufgebaut um das Recht zu wissen, zu löschen und sich gegen den Verkauf oder das Teilen personenbezogener Daten zu entscheiden.
• Praktische Regel: gestalte nach DSGVO, füge ein klares Opt-out für US-Nutzer hinzu, und du erfüllst den strengsten gemeinsamen Nenner über alle hinweg.

Rechtsgrundlage und echte Einwilligung

Unter der DSGVO musst du für jedes bisschen personenbezogener Daten, das du verarbeitest, eine Rechtsgrundlage haben. Für ein kleines Produkt sind die zwei, die du am meisten nutzt, "Vertrag" (du brauchst die Daten, um den Dienst zu erbringen, für den der Nutzer sich angemeldet hat, etwa seine E-Mail, um seinen Account zu betreiben) und "Einwilligung" (der Nutzer hat aktiv zugestimmt, was du für Marketing und nicht-essenzielles Tracking brauchst). Echte Einwilligung ist spezifisch, informiert, freiwillig gegeben und so leicht zu widerrufen wie zu geben. Eine vorangekreuzte Box ist keine Einwilligung. Ein Banner, das nur "Akzeptieren" bietet, ist keine Einwilligung. Marketing in die Anmeldebedingungen zu bündeln ist keine Einwilligung. Wenn du nicht ehrlich sagen kannst, dass der Nutzer gewählt hat, hast du sie nicht.

Cookie-Einwilligung richtig gemacht (inklusive Global Privacy Control)

Die Regel ist einfach und Leute brechen sie ständig: nicht-essenzielle Cookies und Tracker - Analytics, Ads, alles, was den Nutzer profiliert - dürfen nicht laden, bis der Nutzer zustimmt. Essenzielle Cookies, die die Site funktionieren lassen, brauchen keine Einwilligung. Ein compliantes Banner gibt "Alle akzeptieren" und "Alle ablehnen" gleiche Prominenz, lässt den Nutzer pro Kategorie wählen und merkt sich die Wahl. Moderne Best Practice ehrt auch Global Privacy Control: wenn der Browser einer Besucherin das GPC-Signal sendet, behandle es automatisch als gültiges Opt-out und zeig nicht mal ein nervendes Banner für Tracking, das sie schon abgelehnt hat.

// Ehre Global Privacy Control, bevor du irgendein Tracking-Banner zeigst.
const gpc = (navigator as Navigator & { globalPrivacyControl?: boolean })
  .globalPrivacyControl

if (gpc) {
  // Als gueltiges Opt-out behandeln: keine Tracker laden, nicht nerven.
  setConsent({ analytics: false, marketing: false })
} else if (!hasStoredConsent()) {
  showConsentBanner() // Alle ablehnen muss so leicht sein wie Alle akzeptieren.
}

// Analytics-/Marketing-Scripts NUR nach explizitem Opt-in laden.
if (getConsent().analytics) loadAnalytics()

Policy, Impressum und Nutzerrechte

Ein paar Standard-Teile machen dich compliant und vertrauenswürdig. Sie sind langweilig zu schreiben und du machst es nur einmal.

• Datenschutzerklärung: in klarer Sprache sagen, was du sammelst, warum, die Rechtsgrundlage, mit wem du es teilst (deine Auftragsverarbeiter), wie lange du es behältst und wie man dich kontaktiert oder sich beschwert. Verlinke sie in deinem Footer.
• Impressum / rechtlicher Hinweis: erforderlich an Orten wie Deutschland, Österreich und der Schweiz. Nenne, wer hinter der Site steht - Name, Adresse und Kontakt -, damit Besucher wissen, mit wem sie es zu tun haben.
• Auskunfts- und Löschrecht: ein Nutzer kann eine Kopie seiner Daten verlangen und dich bitten, sie zu löschen. Bau einen Weg, beides zu ehren. Selbst ein manueller Prozess ist bei kleinem Massstab in Ordnung, aber du musst es tatsächlich innerhalb der gesetzlichen Frist tun.
• Datenexport: sei in der Lage, einem Nutzer seine Daten in einem portablen Format zu übergeben. Wenn deine Datenbank sauber ist (Kurs 3), ist das eine Query, kein Projekt.

Wann du einen AVV brauchst

Ein Auftragsverarbeitungsvertrag (AVV) ist ein Vertrag zwischen dir und einem Unternehmen, das in deinem Auftrag personenbezogene Daten verarbeitet - dein Hosting, deine Datenbank, dein E-Mail-Versender, dein Analytics-Anbieter. Unter der DSGVO brauchst du einen AVV mit jedem solchen Auftragsverarbeiter. Die gute Nachricht: seriöse Anbieter veröffentlichen einen Standard-AVV, den du einfach akzeptierst, oft automatisch in ihren Bedingungen. Der praktische Test ist "berührt dieser Dritte die personenbezogenen Daten meiner Nutzer?" Wenn ja, finde und akzeptiere seinen AVV und liste ihn als Auftragsverarbeiter in deiner Datenschutzerklärung. Wenn nur du die Daten berührst, brauchst du keinen.

Typische Fehler

Die häufigen: Google Analytics oder Ad-Pixel laden, bevor der Nutzer einwilligt (der mit Abstand häufigste Verstoss); ein Cookie-Banner mit einem grossen "Akzeptieren" und einem versteckten oder fehlenden "Ablehnen"; GPC und andere Browser-Signale ignorieren; keine Datenschutzerklärung oder eine kopierte, die über das, was du tatsächlich sammelst, lügt; und AVVs mit den Anbietern vergessen, auf die du dich verlässt. Keiner ist schwer zu beheben, und alle sind für eine Behörde oder einen Wettbewerber leicht zu erkennen.

Business-ROI

Compliance ist beides, Risikominderung und ein Vertrauenssignal. Die Kehrseite, sie zu ignorieren, ist real - DSGVO-Bussen skalieren mit dem Umsatz, und eine verpatzte Datenanfrage kann zu einer öffentlichen Beschwerde werden. Die Oberseite ist leiser, aber real: eine klare Datenschutzerklärung und ein ehrlicher Einwilligungs-Flow sagen Kunden, dass du ihre Daten ernst nimmst, was jedes Jahr mehr zählt. Bau es von Anfang an ein und es kostet einen Nachmittag; rüste es unter Druck nach, nachdem du Nutzer hast, und es kostet eine schmerzhafte Migration. Mach es früh.

Checkliste

Geh diese für jedes Produkt durch, das Nutzerdaten sammelt, bevor du es bewirbst.

• Du kannst die Rechtsgrundlage für jede Datenkategorie nennen, die du sammelst.
• Kein nicht-essenzieller Tracker lädt vor dem Opt-in, und GPC wird automatisch geehrt.
• Dein Cookie-Banner bietet Alle ablehnen so leicht wie Alle akzeptieren und merkt sich die Wahl.
• Eine echte Datenschutzerklärung und (wo erforderlich) ein Impressum sind in deinem Footer verlinkt.
• Du kannst die Daten eines Nutzers auf Anfrage exportieren und löschen, und du hast einen AVV mit jedem Auftragsverarbeiter.

Ressourcen

Die offiziellen Seiten von ICO (UK), EDSA (EU), dem Schweizer EDÖB und der California Privacy Protection Agency sind die massgeblichen, zeitlosen Referenzen, und sie veröffentlichen Leitfäden in klarer Sprache für kleine Unternehmen. Eine seriöse Consent-Management-Plattform handhabt das Banner und GPC für dich, wenn du es lieber nicht baust. Für alles Heikle ist eine kurze Beratung mit einer Datenschutzanwältin gut investiertes Geld. Diese Lektion ist Orientierung, keine Rechtsberatung.

Deine Aufgabe

Auditiere eines deiner Projekte: liste jedes Stück personenbezogener Daten, das es sammelt, und die Rechtsgrundlage für jedes. Dann prüfe deinen Einwilligungs-Flow - feuert irgendein Tracker vor dem Opt-in, und funktioniert Alle ablehnen wirklich? Behebe, was scheitert. Wenn du noch keine Datenschutzerklärung hast, entwirf eine in klarer Sprache und verlinke sie in deinem Footer.

Nächste Lektion

Compliant und sicher, bringt dich die nächste Lektion an die Auffindbarkeit: klassisches SEO plus GEO/AEO, llms.txt und strukturierte Daten, der Favicon-im-SERP-Trick und die System-aus-Websites-Strategie, sodass dich sowohl Google als auch KI empfehlen.