Das DSGVO-Toolkit: Jedes Tool, um nicht mehr gegen europäisches Recht zu verstoßen
Cookie-Banner sind nur der Anfang. Hier ist der komplette Stack für eine Website, die dir keine 20 Millionen Euro Strafe einbringt.
Lass mich raten: Du hast ein Cookie-Banner hinzugefügt, das als erledigt abgehakt und gehofft, dass niemand das Google-Analytics-Script bemerkt, das immer noch vor der Einwilligung feuert.
Schlechte Nachricht: Die Regulierer haben’s bemerkt. 2024 hatte Rekord-DSGVO-Strafen. 2025 war schlimmer. 2026 wird brutal.
Gute Nachricht: Compliance ist gar nicht so schwer, wenn du weißt, welche Tools du nutzen sollst.
Die unbequeme Rechnung: DSGVO-Strafen können 20 Millionen Euro oder 4% des weltweiten Umsatzes erreichen – je nachdem, was höher ist. Das ist kein Tippfehler. Diese “je nachdem, was höher ist”-Klausel hat Unternehmen ruiniert.
Das ist keine Rechtsberatung. Das ist ein praktisches Toolkit von jemandem, der 30+ Websites compliant gemacht hat, ohne dass sie den Verstand verlieren.
Der DSGVO-Compliance-Stack
Hier ist alles, was du brauchst, nach Funktion sortiert:
| Kategorie | Was es tut | Top-Wahl | Kosten |
|---|---|---|---|
| Consent Management | Cookie-Banner, Einwilligungsprotokolle | Cookiebot | 9-108€/Jahr |
| Analytics | Besucher legal tracken | Plausible | 9-69€/Monat |
| E-Mail-Marketing | DSGVO-konforme Newsletter | Mailjet | Kostenlos-15€/Monat |
| Formulare & Daten | Daten richtig sammeln | Tally | Kostenlos-29€/Monat |
| Datenschutzerklärung | Rechtsdokumente generieren | iubenda | 27-99€/Jahr |
| Datenanfragen | DSAR bearbeiten | OneTrust | Free Tier |
| Hosting | EU-Datenresidenz | Hetzner | 4-20€/Monat |
| CDN | EU-konforme Auslieferung | Bunny CDN | 0,01€/GB |
Schauen wir uns jede Kategorie an.
Cookie-Einwilligung: Der sichtbare Teil der DSGVO
Das sehen Nutzer. Das checken Regulierer zuerst.
Was du wirklich brauchst
Die rechtliche Anforderung: Explizite, informierte Einwilligung einholen, BEVOR nicht-essentielle Cookies gesetzt werden. Nicht “implizite Einwilligung”. Nicht “durch Nutzung dieser Seite stimmst du zu”. Tatsächliche, aktive, widerrufbare Einwilligung.
Die Tools
Cookiebot – Der Industriestandard
Cookiebot ist, was die meisten Compliance-Berater empfehlen. Es scannt automatisch deine Seite, kategorisiert Cookies, blockiert Scripts bis zur Einwilligung und führt Audit-Logs.
Die Magie: Es blockiert tatsächlich Google Analytics, Facebook Pixel und andere Scripts vor der Einwilligung. Nicht mit Ehren-System “bitte nicht tracken”-Anfragen – mit echtem JavaScript-Blocking.
Free Tier: Funktioniert für Seiten unter 50 Seiten. Darüber 108€/Jahr.
Consent Manager (Usercentrics) – Für größere Sites
Anpassbarer als Cookiebot. Besser für komplexe Sites mit mehreren Domains, Custom-Integrationen oder Enterprise-Compliance-Anforderungen.
Preis: Startet bei ca. 50€/Monat. Enterprise wird schnell teuer.
Die DIY-Option – Osano Open Source
Wenn du technisch versiert und sparsam bist, funktioniert Osanos Open-Source-Consent-Manager. Du hostest es. Du wartest es. Du akzeptierst, dass Support “lies die GitHub-Issues” bedeutet.
Preis: Für immer kostenlos. Deine Zeit ist der Preis.
Häufiger Fehler: Ein Cookie-Banner hinzufügen, das nichts tut. Das Banner muss Tracking-Scripts tatsächlich blockieren, bis Einwilligung erteilt wird. Eine dekorative “Wir nutzen Cookies”-Benachrichtigung ist schlimmer als nichts – es ist Beweis, dass du das Gesetz kanntest und Ästhetik über Compliance gewählt hast.
Implementierungs-Checkliste
- Banner erscheint, bevor nicht-essentielle Cookies laden
- “Alle akzeptieren” und “Alle ablehnen” sind gleich prominent
- Nutzer können Präferenzen später ändern
- Einwilligung wird mit Zeitstempel protokolliert
- Scripts feuern erst nach expliziter Einwilligung
Google-Analytics-Alternativen: Deinen Traffic legal sehen
Google Analytics ist das größte DSGVO-Problem für die meisten Sites. Daten gehen nach Amerika. Google nutzt sie für Werbung. Die Rechtsgrundlage ist… bestenfalls fragwürdig.
Die EU-konformen Optionen
Plausible – Die empfohlene Wahl
Keine Cookies. Kein Consent-Banner für Analytics nötig. Nur EU-Server. Open Source. Zeigt dir alles, was du wirklich brauchst – Pageviews, Referrer, Geografie – ohne die Datenschutz-Invasion.
Am besten für: 90% der Websites, die nur Basic-Traffic-Daten brauchen.
Matomo – Der GA-Ersatz
Willst du Google-Analytics-Features ohne Google? Matomo ist feature-äquivalent. Heatmaps, Funnels, User-Flows – alles da.
Der Trade-off: Komplexer. Kann Cookies erfordern (konfigurierbar). Self-Hosted-Option verfügbar.
Preis: Cloud startet bei 19€/Monat. Self-hosted ist kostenlos (du zahlst für Hosting).
Fathom – Das einfache Premium
Wie Plausible, aber etwas teurer und etablierter. Kanadisches Unternehmen mit EU-Servern.
Preis: Startet bei 15$/Monat.
Analytics-Entscheidungsbaum
Brauchst du erweiterte Features (Funnels, Heatmaps)? → Matomo
Brauchst du nur Traffic-Basics? → Plausible
Willst du maximale Einfachheit? → Fathom
Budget ist null? → Umami (self-hosted)Newsletter, die dich nicht abmahnen
E-Mail-Marketing unter der DSGVO erfordert:
- Explizites Opt-in (keine vorausgewählten Checkboxen)
- Einfache Abmeldung
- Protokolle der Einwilligung
- Daten an konformen Orten gespeichert
Die EU-sicheren Optionen
Mailjet – Bestes Free Tier
Gehört zu Sinch (schwedisches Unternehmen). EU-Datenverarbeitung. Solide Automation-Features. Das Free Tier ist tatsächlich nutzbar.
Brevo (ex-Sendinblue) – All-in-One
Französisches Unternehmen. CRM, E-Mail, SMS, Chat alles in einer Plattform. Gut für Unternehmen, die einheitliche Kundenkommunikation wollen.
Preis: Kostenlos bis 25€/Monat je nach Volumen.
Mailchimp – Mit Einschränkungen
Ja, es ist amerikanisch. Ja, es kann DSGVO-konform sein. Du musst:
- EU-Datencenter aktivieren
- Deren DPA unterschreiben
- Double Opt-in nutzen
- Deren Compliance-Dokumentation tatsächlich lesen
Für kleine Listen sind EU-Alternativen einfacher. Für etablierte Unternehmen, die schon auf Mailchimp sind, lohnt sich Migration vielleicht nicht.
Double Opt-in: Nutzer meldet sich an → bekommt E-Mail → klickt Bestätigungslink → wird erst dann zur Liste hinzugefügt. In Deutschland erforderlich, überall sonst dringend empfohlen. Mailjet und Brevo machen das einfach.
Daten sammeln ohne Klagen zu sammeln
Jedes Formular auf deiner Site ist ein Datenerfassungspunkt. Jeder Datenerfassungspunkt braucht DSGVO-Beachtung.
Die konformen Formular-Builder
Tally – Einfach, EU-gehostet
Das Notion der Formular-Builder. Cleanes Interface, mächtige Features, respektiert tatsächlich Datenschutz. Keine externen Tracker. EU-Datenresidenz.
Das Free Tier ist wild: Unbegrenzt alles. Sie verdienen Geld mit Premium-Features, nicht mit dem Verkauf von Daten deiner Befragten.
Typeform – Mit Konfiguration
Spanisches Unternehmen, aber nutzt AWS (inkl. US-Regionen). Kann für reine EU-Verarbeitung konfiguriert werden. Schöne Formulare, gute UX, erfordert Lesen ihrer Datenschutz-Dokumentation.
Preis: 25-83€/Monat.
FormKeep – Für Entwickler
Empfängt Formular-Eingaben, speichert sie sicher, leitet an deine E-Mail/Webhook weiter. Kein fancy Builder – nur sichere Datenverarbeitung.
Am besten für: Statische Sites, die nur ein Formular-Backend brauchen.
Formular-Compliance-Checkliste
- Datenschutzerklärung von jedem Formular verlinkt
- Klare Erklärung, warum du Daten sammelst
- Separate Checkbox für Marketing-Einwilligung (nicht mit Einreichung gebündelt)
- Daten in EU-Jurisdiktion gespeichert
- Prozess zum Löschen von Daten auf Anfrage
Datenschutzerklärungen, die tatsächlich funktionieren
“Wir respektieren deine Privatsphäre” ist keine Datenschutzerklärung. Du brauchst spezifische, akkurate Dokumentation darüber, welche Daten du sammelst und warum.
Datenschutzerklärung-Generatoren
iubenda – Der Standard
Fragebogen-basierter Generator. Beantworte Fragen über deine Site, bekomme rechtlich geprüfte Dokumente. Aktualisiert automatisch, wenn sich Gesetze ändern.
Der Wert: Von Anwälten geschriebene Policies kosten 500-2000€. iubenda kostet 27€/Jahr.
Termageddon – Auto-aktualisierend
Ähnliches Konzept, amerikanisches Unternehmen mit DSGVO-Compliance. Policies aktualisieren sich automatisch, wenn sich Regulierungen ändern.
Preis: 99$/Jahr für alle Dokumente.
DIY-Warnung
Kannst du deine eigene Datenschutzerklärung schreiben? Technisch ja. Solltest du? Nur wenn du Datenschutzanwalt bist oder Gerichtsdrama genießt.
Eine von KI geschriebene oder aus einem Template kopierte Datenschutzerklärung ist eine Datenschutzerklärung, die darauf wartet, vor Gericht getestet zu werden. Template plus Anwaltsprüfung ist das Minimum für jede seriöse Site.
”Lösch meine Daten”-Anfragen bearbeiten
Die DSGVO gibt Nutzern Rechte: Auskunft, Löschung, Portabilität. Wenn sie diese Rechte ausüben, hast du 30 Tage zu antworten.
DSAR (Data Subject Access Request) Tools
OneTrust – Free Tier verfügbar
Branchenführer für Enterprise Privacy Management. Ihr Free Tier verarbeitet grundlegende DSAR-Aufnahme und -Tracking.
Anwendungsfall: Du bekommst gelegentlich Löschanfragen und musst sie tracken.
Mine – Verbraucher-fokussiert
Hilft Einzelpersonen, ihre Daten von Unternehmen anzufordern. Als Unternehmen erhältst du Anfragen über deren Plattform.
Was zu tun ist: Richte einen Prozess ein, um Anfragen von Mine und ähnlichen Diensten zu bearbeiten.
Der manuelle Ansatz
Für kleine Sites:
- Erstelle eine E-Mail-Adresse: [email protected]
- Dokumentiere dein Dateninventar (was du sammelst, wo es gespeichert ist)
- Erstelle eine Tabelle zum Tracken von Anfragen
- Antworte innerhalb von 30 Tagen
Pro-Tipp: Die meisten kleinen Sites können DSAR manuell handhaben. Du brauchst Automatisierungs-Tools erst, wenn du mehr als ein paar Anfragen pro Monat bekommst.
Wo deine Daten physisch liegen, zählt
Datenresidenz geht nicht nur darum, wo dein Hosting-Anbieter eingetragen ist – es geht darum, wo die Server physisch stehen.
EU-basiertes Hosting
Hetzner – Der Entwickler-Favorit
Exzellentes Preis-Leistungs-Verhältnis, deutsche Ingenieurskunst, wirklich gute Infrastruktur. Genutzt von datenschutzbewussten Projekten in ganz Europa.
Scaleway – Die französische Option
Paris und Amsterdam Rechenzentren. Guter Kubernetes-Support. Wettbewerbsfähige Preise.
Preis: Startet bei 7€/Monat für Compute.
OVHcloud – Der europäische Riese
Französisches Unternehmen, Rechenzentren in ganz Europa. Mehr Enterprise-fokussiert, aber hat erschwingliche Tiers.
CDN: Bunny vs Cloudflare
Bunny CDN: Slowenisches Unternehmen. Du kannst reine EU-Edge-Standorte wählen. 0,01€/GB Pricing.
Cloudflare: Amerikanisches Unternehmen. Hat EU-only-Optionen, aber erfordert Enterprise-Plan für garantiert reine EU-Verarbeitung. Free Tier verarbeitet Daten global.
Für strikte DSGVO-Compliance: Bunny CDN mit EU-Edge-Standorten. Für “gut genug” mit besseren Features: Cloudflare mit ihrer EU-Datenlokalisierungs-Suite.
Mein empfohlener DSGVO-Stack
Für eine typische Business-Website:
| Schicht | Tool | Kosten/Monat |
|---|---|---|
| Hosting | Hetzner VPS | 5€ |
| CDN | Bunny CDN | ~2€ |
| Analytics | Plausible | 9€ |
| Consent | Cookiebot | 9€ |
| Formulare | Tally | Kostenlos |
| Mailjet | Kostenlos-15€ | |
| Rechtsdokumente | iubenda | ~3€ |
| Gesamt | ~28-43€/Monat |
Vergleiche mit: Eine DSGVO-Strafe für ein kleines Unternehmen: 5.000-50.000€.
Die Rechnung ist offensichtlich.
Die Implementierungsreihenfolge
Wenn du bei null anfängst, mach das in dieser Reihenfolge:
Woche 1: Fundament
- Hosting zu EU-Anbieter umziehen
- Google Analytics durch Plausible ersetzen
- Consent Management hinzufügen (Cookiebot)
Woche 2: Dokumentation
- Datenschutzerklärung generieren (iubenda)
- Alle Formulare auditieren – Datenschutzhinweise hinzufügen
- [email protected] einrichten
Woche 3: Verfeinerung
- Consent-Flow testen – verifizieren, dass Scripts tatsächlich blockiert werden
- EU-Datenresidenz für E-Mail-Anbieter konfigurieren
- Dein Dateninventar dokumentieren
Laufend
- Auf Datenanfragen innerhalb von 30 Tagen antworten
- Tools vierteljährlich auf Compliance-Updates prüfen
- Datenschutzerklärung aktualisieren, wenn du neue Features hinzufügst
Schnelle Audit-Checkliste
Geh das für jede bestehende Site durch:
Einwilligung
- Cookie-Banner erscheint vor nicht-essentiellen Scripts
- Kann alle Cookies mit 1 Klick ablehnen (nicht in Einstellungen versteckt)
- Einwilligung wird mit Zeitstempel protokolliert
- Kann Einwilligung später widerrufen
Analytics & Tracking
- Analytics-Tool speichert Daten in der EU
- Kein Tracking vor Einwilligung (oder cookie-lose Analytics nutzen)
- Kein Facebook Pixel ohne explizite Einwilligung
- Kein Google Analytics ohne Einwilligung (oder GA4 mit Consent Mode nutzen)
Datenerfassung
- Datenschutzerklärung von allen Formularen verlinkt
- E-Mail-Anmeldung nutzt Double Opt-in
- Klarer Zweck für jedes Formular angegeben
- Marketing-Einwilligung getrennt von transaktionaler Einwilligung
Dokumentation
- Datenschutzerklärung existiert und ist akkurat
- Cookie-Richtlinie listet alle Cookies mit Zwecken
- Kontaktmethode für Datenanfragen existiert
- Verarbeitungsverzeichnis dokumentiert
Infrastruktur
- Hosting in EU-Jurisdiktion
- CDN nutzt EU-Edge-Standorte (oder richtig konfiguriert)
- Backups in EU gespeichert
- DPAs mit Drittanbieter-Tools unterzeichnet
Häufige Fehler, die ich ständig sehe
“Wir sind zu klein für Strafen” Falsch. Kleine Unternehmen werden abgestraft. Die Strafen sind kleiner, aber trotzdem schmerzhaft. Eine 10.000€-Strafe tut einem kleinen Unternehmen mehr weh als eine 10-Millionen-Euro-Strafe einem Konzern.
“Wir haben ein Cookie-Banner hinzugefügt, wir sind compliant” Ein Banner, das keine Scripts blockiert, ist Dekoration, keine Compliance. Test es – deaktiviere JavaScript und schau, ob Tracking-Pixel noch laden.
“Unser US-Tool sagt, sie seien DSGVO-konform” Compliance ist nicht binär. Ein US-Tool kann konform konfiguriert werden, aber du musst EU-Datenverarbeitung verifizieren, deren DPA unterschreiben und oft auf bezahlte Tiers upgraden.
“Wir sammeln keine personenbezogenen Daten” IP-Adressen sind personenbezogene Daten. E-Mail-Adressen sind personenbezogene Daten. Das Kontaktformular, das du vergessen hast? Personenbezogene Daten.
Ressourcen
- GDPR.eu – Verständlicher Guide zur Verordnung
- ICO (UK) – Beste Guidance-Dokumente, auch für EU
- CNIL (Frankreich) – Strengste Interpretationen, gut um Grenzen zu verstehen
Verwandt:
Zuletzt aktualisiert: Januar 2026. Dies ist keine Rechtsberatung – konsultiere einen Datenschutzexperten für deine spezifische Situation.