Symbolbild: ein leuchtendes digitales Schutzschild über einem nebligen Alpental als Sinnbild für DSGVO-konforme Websites

Websites & SEO

DSGVO und Website: Was österreichische Unternehmen 2026 beachten müssen

mekyn Redaktion

Von Cookiebannern bis Google Fonts: Welche Datenschutzpflichten für Websites in Österreich gelten und wie man sie pragmatisch umsetzt.

Datenschutz ist für viele Unternehmensinhaber ein Thema, das Angst macht — und das deshalb oft aufgeschoben wird. Dabei sind die wichtigsten Anforderungen für eine typische Unternehmenswebsite in Österreich überschaubar und mit vertretbarem Aufwand umsetzbar.

Was die DSGVO für Websites konkret bedeutet

Die Datenschutz-Grundverordnung (DSGVO) gilt für alle Unternehmen, die Daten von EU-Bürgern verarbeiten — unabhängig von Größe oder Sitz. Für eine einfache Unternehmenswebsite bedeutet das vor allem:

Datenschutzerklärung: Pflicht. Sie muss erklären, welche Daten erhoben werden, zu welchem Zweck, auf welcher Rechtsgrundlage und wie lange sie gespeichert werden. Für Standard-Websites gibt es Generatoren (z.B. von der WKO), die als Ausgangsbasis dienen können — sie müssen aber an den konkreten Betrieb angepasst werden.

Impressum: In Österreich auf Basis des ECG (E-Commerce-Gesetz) und des UGB verpflichtend. Fehlende oder unvollständige Impressen sind ein häufiger Abmahngrund.

Cookies und Tracking: Wer Google Analytics, Facebook Pixel oder ähnliche Trackingdienste einsetzt, braucht eine Einwilligung der Nutzer — und ein technisch sauberes Consent-Management-System. Wer darauf verzichtet, braucht auch kein Cookie-Banner.

Der Google-Fonts-Fehler, der viele Österreicher trifft

Google Fonts — die beliebten Web-Schriften von Google — wurden in Österreich und Deutschland mehrfach zum Datenschutzproblem. Das Problem: Werden die Schriften direkt von Googles Servern geladen (nicht lokal eingebunden), überträgt die Website die IP-Adresse des Besuchers an Google. Das ist ohne Einwilligung nicht DSGVO-konform.

Die Lösung ist technisch einfach: Schriften lokal hosten, also als Dateien auf dem eigenen Webserver ablegen. Viele Website-Baukästen bieten das als Option an; bei professionellen Websites sollte das Standard sein.

Was wirklich Ärger macht: unbeabsichtigte Datenweitergabe

Viele Websites übertragen Nutzerdaten an Dritte, ohne dass der Betreiber es weiß:

  • Eingebettete YouTube-Videos laden Cookies von Google beim ersten Aufruf
  • Social-Media-Buttons (Facebook, Instagram) übertragen Daten sofort beim Laden der Seite
  • Kontaktformulare mit externen Diensten (z.B. Formspree, Typeform) speichern Daten auf ausländischen Servern

Die Empfehlung: Regelmäßig prüfen, welche externen Dienste die eigene Website einbindet — z.B. mit Browser-Entwicklertools oder Datenschutz-Scan-Tools.

Barrierefreiheit als neue Parallelpflicht

Seit dem 28. Juni 2025 gilt in Österreich und der EU das Barrierefreiheitsstärkungsgesetz (BASG, entspricht dem deutschen BFSG). Kommerzielle Websites müssen bestimmte Zugänglichkeitsstandards erfüllen — darunter ausreichende Kontrastverhältnisse, Tastaturnavigation und Alternativtexte für Bilder.

Die Umsetzung und der Datenschutz lassen sich gut kombinieren: Eine technisch sauber aufgebaute Website, die auf externe Dienste verzichtet, ist oft gleichzeitig barrierefreier und datenschutzkonformer.

Pragmatischer Ansatz für KMU

Für kleine und mittlere Betriebe gilt:

  1. Keine externen Tracking-Dienste ohne Consent einbinden — das spart das aufwändige Consent-System und das nervige Cookie-Banner.
  2. Fonts lokal hosten.
  3. Datenschutzerklärung und Impressum vollständig und aktuell halten.
  4. Kontaktformulare so konfigurieren, dass Daten auf österreichischen oder EU-Servern bleiben.

Wer diese vier Punkte umsetzt, hat den größten Teil seiner DSGVO-Hausaufgaben auf der Website erledigt — und kann beruhigt schlafen.

← Alle Artikel