EU-Compliance für Joomla — Leitfaden zu DSGVO, European Accessibility Act & ePrivacy

Wenn Ihre Joomla-Website Besucher in der Europäischen Union anspricht, müssen Sie gleich mehrere Regelwerke einhalten: die Datenschutz-Grundverordnung (DSGVO), den European Accessibility Act (EAA) und die ePrivacy-Richtlinie. Das sind keine unverbindlichen Empfehlungen, sondern geltendes Recht — durchsetzbar und mit empfindlichen Bußgeldern bewehrt.

Dieser Leitfaden erklärt, was jede Vorschrift verlangt, wie sie konkret für Joomla-Websites gilt und was Sie für die Einhaltung tun müssen. Wir pflegen ihn als lebendes Dokument und aktualisieren ihn, sobald sich die Rechtslage weiterentwickelt oder die Durchsetzung verschärft.

Kostenlosen Compliance-Check anfordern →

Die drei Säulen der EU-Web-Compliance

1. DSGVO — Datenschutz (gilt seit Mai 2018)

Die Datenschutz-Grundverordnung regelt, wie personenbezogene Daten erhoben, verarbeitet, gespeichert und weitergegeben werden. Für eine Joomla-Website bedeutet das:

• Cookie-Einwilligung: Nicht notwendige Cookies müssen blockiert bleiben, bis der Besucher ausdrücklich einwilligt. Ein Banner, das lediglich informiert, reicht nicht aus — die Cookies dürfen tatsächlich erst nach der Einwilligung geladen werden.
• Datenschutzerklärung: Sie benötigen eine vollständige, korrekte Datenschutzerklärung, die alle Verarbeitungstätigkeiten, Rechtsgrundlagen, Speicherfristen und Betroffenenrechte beschreibt.
• Einwilligungsdokumentation: Sie müssen nachweisen können, dass eine Einwilligung erteilt wurde — wann, wofür und auf Basis welcher Version Ihrer Datenschutzerklärung.
• Betroffenenrechte: Besucher können Auskunft über ihre Daten, deren Löschung, Berichtigung oder Datenübertragbarkeit verlangen. Dafür müssen geeignete Prozesse vorhanden sein.
• Auftragsverarbeitungsverträge: Wenn Sie Drittanbieter einsetzen, die personenbezogene Daten verarbeiten (Analyse, E-Mail-Marketing, Zahlungsdienstleister), müssen Auftragsverarbeitungsverträge (AVV) abgeschlossen sein.
• Google Consent Mode v2: Wenn Sie Google-Dienste nutzen (Analytics, Ads), muss Consent Mode v2 eingerichtet sein, um den Einwilligungsstatus an Google zu übermitteln.

Bußgelder: Bis zu 20 Mio. € oder 4 % des weltweiten Jahresumsatzes — je nachdem, welcher Betrag höher ist.

Unser DSGVO-Compliance-Service für Joomla →

2. European Accessibility Act (gilt seit Juni 2025)

Der EAA verpflichtet Websites, die in der EU Waren und Dienstleistungen anbieten, zur Barrierefreiheit nach dem Standard WCAG 2.1 Stufe AA (umgesetzt über die europäische Norm EN 301 549). In Deutschland erfolgt die Umsetzung über das Barrierefreiheitsstärkungsgesetz (BFSG).

• Wer betroffen ist: Unternehmen, die Produkte oder Dienstleistungen für Verbraucher in der EU anbieten (mit begrenzten Ausnahmen für Kleinstunternehmen)
• Was gefordert ist: Wahrnehmbare, bedienbare, verständliche und robuste Webinhalte — einschließlich korrektem Alternativtext, ausreichendem Farbkontrast, Tastaturbedienung, Formularbeschriftungen, Überschriftenstruktur und Kompatibilität mit assistiven Technologien
• Fristen: Neue Inhalte müssen seit Juni 2025 barrierefrei sein. Alle bestehenden Inhalte müssen bis Juni 2030 nachgezogen werden.
• Barrierefreiheitserklärung: Ihre Website muss eine Erklärung veröffentlichen, die den Konformitätsstatus beschreibt und einen Feedback-Kanal bereitstellt

Bußgelder: Je nach Mitgliedstaat unterschiedlich — in einigen Ländern bis zu 100.000 € oder 4 % des Jahresumsatzes.

Unser EAA-Compliance-Service für Joomla →

3. ePrivacy-Richtlinie (das Cookie-Gesetz)

Die ePrivacy-Richtlinie ist älter als die DSGVO und befasst sich speziell mit der elektronischen Kommunikation, einschließlich Cookies und Tracking-Technologien. Während die DSGVO den übergreifenden Rahmen bildet, enthält die ePrivacy-Richtlinie konkrete Regeln dazu, wann für Cookies eine Einwilligung erforderlich ist und wie elektronische Werbekommunikation zu handhaben ist.

In der Praxis überschneiden sich DSGVO und ePrivacy bei Cookies stark. Die strengste — und damit sichere — Auslegung verlangt eine ausdrückliche Opt-in-Einwilligung, bevor irgendein nicht notwendiges Cookie gesetzt wird, wobei das Ablehnen genauso einfach möglich sein muss wie das Akzeptieren.

Eine neue ePrivacy-Verordnung ist seit Jahren in Arbeit und soll die Richtlinie irgendwann ablösen. Bis sie verabschiedet ist, bleibt die bestehende Richtlinie in Kraft, ergänzt um die Einwilligungsanforderungen der DSGVO.

Länderspezifische Anforderungen

Die DSGVO bildet zwar den EU-weiten Rahmen, doch die einzelnen Mitgliedstaaten setzen sie unterschiedlich durch und haben eigene Anforderungen ergänzt. Hier die wichtigsten Unterschiede für die Länder, mit denen wir am häufigsten arbeiten:

Deutschland (DSGVO)

Deutschland legt die DSGVO-Anforderungen an die Cookie-Einwilligung am strengsten in der EU aus. Der Bundesgerichtshof hat entschieden, dass die Einwilligung freiwillig erfolgen muss und keine vorangekreuzten Kontrollkästchen zulässig sind. Die Option „Alle ablehnen“ muss genauso präsent und zugänglich sein wie „Alle akzeptieren“. Die deutschen Datenschutzaufsichtsbehörden (jedes der 16 Bundesländer hat eine eigene) gehören zu den aktivsten Durchsetzern. Websites, die sich an deutsche Nutzer richten, müssen zudem ein Impressum nach § 5 TMG (heute DDG) bereitstellen.

Frankreich (RGPD)

Die CNIL (Commission Nationale de l'Informatique et des Libertés) hat eigene Leitlinien zu Cookie-Bannern veröffentlicht. Die Ablehnen-Option muss genauso leicht erreichbar sein wie die Akzeptieren-Option — keine Dark Patterns, die den Ablehnmechanismus hinter zusätzlichen Klicks verstecken. Die CNIL hat gegen große Unternehmen erhebliche Bußgelder wegen Verstößen bei der Cookie-Einwilligung verhängt.

Niederlande

Die niederländische Datenschutzbehörde (Autoriteit Persoonsgegevens) zählt zu den proaktivsten Durchsetzungsbehörden Europas. Sie hat die Cookie-Compliance zur Priorität gemacht und geht Beschwerden regelmäßig nach. Die Niederlande legen die Einwilligungsanforderungen streng aus.

Italien

Die italienische Datenschutzbehörde (Garante) stellt eigene Anforderungen an Cookie-Hinweise und hat Leitlinien zur Gestaltung von Cookie-Informationen veröffentlicht. Die italienischen Vorschriften enthalten zusätzliche Anforderungen an Analyse-Cookies, die über den allgemeinen DSGVO-Rahmen hinausgehen.

Spanien (LOPDGDD)

Spaniens Organgesetz zum Datenschutz ergänzt die DSGVO um zusätzliche Bestimmungen. Die spanische Datenschutzbehörde (AEPD) ist bei der Durchsetzung der Cookie-Einwilligung zunehmend aktiv geworden.

Nordische Länder

Schweden, Dänemark, Finnland und Norwegen orientieren sich eng am EU-Rahmen. Die Durchsetzung war bislang weniger aggressiv als in Deutschland oder Frankreich, doch alle verfügen über funktionierende Datenschutzbehörden, die Beschwerden bearbeiten. Norwegen ist zwar kein EU-Mitglied, wendet die DSGVO aber über das EWR-Abkommen an.

Compliance-Checkliste für Joomla-Websites

DSGVO / Cookie-Compliance

• Cookie-Banner implementiert, das nicht notwendige Cookies vor der Einwilligung tatsächlich blockiert
• Cookies in klare Kategorien eingeteilt (notwendig, funktional, Analyse, Marketing)
• Akzeptieren- und Ablehnen-Option gleichermaßen präsent — keine Dark Patterns
• Einwilligungsdokumentation aktiv — Nachweise darüber, wann und wofür eingewilligt wurde
• Google Consent Mode v2 konfiguriert (bei Nutzung von Google Analytics oder Google Ads)
• Vollständige Datenschutzerklärung veröffentlicht, die Ihre Datenverarbeitung korrekt abbildet
• Cookie-Richtlinie veröffentlicht, mit konkreten Angaben zu jedem verwendeten Cookie
• Prozess für Betroffenenanfragen vorhanden (Auskunft, Löschung, Berichtigung)
• Auftragsverarbeitungsverträge mit allen Drittanbietern abgeschlossen
• Kontakt-E-Mail für Datenschutzanfragen auf der Website veröffentlicht

EAA / Barrierefreiheit

• Alle Bilder haben aussagekräftigen Alternativtext (oder leeres alt-Attribut bei dekorativen Bildern)
• Farbkontrast erfüllt das Verhältnis 4,5:1 für normalen Text, 3:1 für großen Text
• Alle interaktiven Elemente allein per Tastatur bedienbar
• Sichtbare Fokusindikatoren bei allen interaktiven Elementen
• Logische Überschriftenstruktur (H1 → H2 → H3, keine übersprungenen Ebenen)
• Alle Formularfelder haben zugeordnete Beschriftungen
• Seitensprache im HTML-lang-Attribut angegeben
• Videos mit Untertiteln; Audioinhalte mit Transkripten
• Sprunglinks zur Navigation („Skip Links“) implementiert
• Barrierefreiheitserklärung mit Feedback-Kanal veröffentlicht

Allgemeine Rechtsseiten

• Datenschutzerklärung — DSGVO-konform und passend zu Ihrer Datenverarbeitung
• Cookie-Richtlinie — konkrete Auflistung der Cookies mit Zweck und Laufzeit
• Impressum — in Deutschland und Österreich Pflicht, für alle EU-Websites empfehlenswert
• Allgemeine Geschäftsbedingungen (AGB) — bei Verkauf von Waren oder Dienstleistungen
• Barrierefreiheitserklärung — nach EAA verpflichtend

Warum Compliance unter Joomla 3 nicht realisierbar ist

Wenn Ihre Website auf Joomla 3 (oder älter) läuft, ist echte EU-Compliance grundsätzlich nicht erreichbar. Joomla 3 erhält seit August 2023 keine Sicherheitsupdates mehr — der Betrieb ungepatchter Software widerspricht der DSGVO-Vorgabe „geeigneter technischer Maßnahmen“. Das Template-System von Joomla 3 ist älter als die modernen Barrierefreiheitsstandards, sodass WCAG-Konformität ohne kompletten Template-Neuaufbau kaum zu erreichen ist. Die in Joomla 5 und 6 integrierten Datenschutz-Werkzeuge gibt es in Joomla 3 nicht.

Der kosteneffizienteste Weg zur Compliance ist das Upgrade auf Joomla 5 oder 6 und die Umsetzung der Maßnahmen auf der modernen Plattform. Unsere Upgrade-Services binden die Compliance direkt in die Migration ein.

Unsere Compliance-Services

Wir setzen Compliance gezielt für Joomla-Websites um:

• DSGVO- & Cookie-Compliance — Umsetzung und laufendes Monitoring
• EAA-Barrierefreiheit — Audits, Behebung und Monitoring
• Compliance-Integration im Rahmen von Upgrade-Projekten — der effizienteste Ansatz
• Compliance-Monitoring als Teil unserer Wartungspakete

Beginnen Sie mit einem Compliance-Check

Unser kostenloses Website-Audit umfasst eine Compliance-Bewertung, die Ihren aktuellen Umgang mit DSGVO-Cookies, den Stand der Barrierefreiheit und den Status Ihrer Rechtsseiten abdeckt. Sie erhalten ein klares Bild davon, wo Ihre Joomla-Website steht und was sich ändern muss, um die EU-Anforderungen zu erfüllen.

Kostenlosen Compliance-Check anfordern →