Joomla DSGVO & Cookie-Konformität für europäische Websites

Die Datenschutz-Grundverordnung ist für keine Website, die europäische Besucher anspricht, eine Kür. Trotzdem erfüllen die meisten Joomla-Websites keine echte Konformität – sie verlassen sich auf ein simples Cookie-Banner und ignorieren die Einwilligungsprotokollierung, die Cookie-Klassifizierung, die Betroffenenrechte und die technischen Maßnahmen, die die Verordnung tatsächlich verlangt.

Ein kostenloses Cookie-Plugin zu installieren ist keine DSGVO-Konformität. Es ist der Anfang der Konformität – und oft ein unzureichender Anfang. Echte Konformität verlangt eine saubere Cookie-Blockierung vor der Einwilligung, granulare Einwilligungskategorien, ein Einwilligungsregister, die Integration von Google Consent Mode v2, eine vollständige Datenschutzerklärung, die Bearbeitung von Betroffenenanfragen und eine laufende Überwachung, während sich Ihre Website und die rechtlichen Rahmenbedingungen weiterentwickeln.

Wir setzen DSGVO-Konformität speziell für Joomla-Websites um und überwachen sie – damit Ihre Seite ihren rechtlichen Pflichten in allen EU-Mitgliedstaaten nachkommt.

Kostenlosen DSGVO-Check anfordern →

DSGVO und ePrivacy: Zwei Gesetze, eine Website

Website-Betreiber sprechen gern von „DSGVO-Cookies“, doch die Cookie-Einwilligung liegt eigentlich an der Schnittstelle zweier getrennter europäischer Gesetze. Diese Unterscheidung zu verstehen ist wichtig, denn jedes Gesetz erlegt Ihrer Joomla-Seite andere Pflichten auf.

Die ePrivacy-Richtlinie (in jedem Mitgliedstaat in nationales Recht umgesetzt) regelt das Speichern oder Auslesen von Informationen auf dem Endgerät eines Besuchers. Das ist das Gesetz, das vor dem Setzen nicht notwendiger Cookies eine Einwilligung verlangt – unabhängig davon, ob diese Cookies personenbezogene Daten enthalten. Es gilt für Cookies, localStorage, Fingerprinting-Techniken und Tracking-Pixel gleichermaßen.

Die DSGVO regelt, was mit personenbezogenen Daten geschieht, sobald sie erhoben sind – die Rechtsgrundlage für die Verarbeitung, wie lange Sie sie speichern, mit wem Sie sie teilen, wie Sie sie absichern und welche Rechte den betroffenen Personen zustehen. In dem Moment, in dem ein Cookie, ein Formular oder ein Analyse-Skript etwas verarbeitet, das eine Person identifizierbar macht (einschließlich einer IP-Adresse oder einer eindeutigen Kennung), gilt die DSGVO zusätzlich zu den ePrivacy-Regeln.

Eine konforme Joomla-Website muss daher beide Ebenen abdecken: die Einwilligung vor dem Speichern (ePrivacy) und die rechtmäßige, transparente, dokumentierte Verarbeitung danach (DSGVO). Ein Cookie-Banner allein deckt – bestenfalls – die Hälfte der ersten Ebene ab.

Was DSGVO-Konformität wirklich verlangt

Cookie-Einwilligung, die tatsächlich funktioniert

Nach DSGVO und ePrivacy-Richtlinie muss Ihre Website nicht notwendige Cookies – darunter Analyse-, Marketing- und Drittanbieter-Cookies – blockieren, bis der Besucher ausdrücklich einwilligt. Viele auf Joomla-Seiten installierte Cookie-Banner scheitern an diesem Grundtest: Sie zeigen einen Hinweis an, verhindern das Setzen von Cookies aber nicht wirklich. Das ist keine Einwilligung – das ist eine Benachrichtigung, und sie erfüllt die gesetzliche Anforderung nicht.

Wir setzen Cookie-Einwilligungslösungen ein, die Cookies und Tracking-Skripte vor der Einwilligung wirklich blockieren, Cookies in klar definierte Kategorien einordnen (notwendig, funktional, Analyse, Marketing), Besuchern erlauben, einzelne Kategorien gleich einfach anzunehmen oder abzulehnen, und Ressourcen nach erteilter Einwilligung ohne vollständigen Seiten-Reload freischalten.

Ebenso wichtig: Ablehnen muss genauso einfach sein wie Annehmen. Die Aufsichtsbehörden in der gesamten EU haben klargestellt, dass Banner mit einem auffälligen „Alle akzeptieren“-Button und einer „Ablehnen“-Option, die hinter einem Einstellungslink versteckt ist, keine wirksame Einwilligung erzeugen. Eine durch Designtricks erschlichene Einwilligung ist gar keine Einwilligung.

Google Consent Mode v2

Google verlangt von Websites, die Google Ads oder Google Analytics nutzen, die Implementierung von Consent Mode v2. Dieses Framework übermittelt den Einwilligungsstatus Ihrer Besucher an die Google-Dienste und passt die Datenerhebung entsprechend an. Ohne eine saubere Consent-Mode-v2-Implementierung können Ihre Conversion-Messung bei Google Ads und Ihre Analytics-Daten erheblich beeinträchtigt werden – und Zielgruppenfunktionen für EWR-Traffic funktionieren überhaupt nicht mehr.

Wir konfigurieren Consent Mode v2 als Teil jeder DSGVO-Umsetzung und stellen sicher, dass Ihre Google-Dienste korrekt innerhalb des Einwilligungs-Frameworks arbeiten: Die Einwilligungssignale werden ausgelöst, bevor die Google-Tags laden, der Standardzustand für EWR-Besucher ist „abgelehnt“, und Aktualisierungen werden korrekt weitergegeben, wenn ein Besucher seine Einstellungen ändert.

Eine Rechtsgrundlage für jede Verarbeitungstätigkeit

Jede personenbezogene Datenverarbeitung Ihrer Website braucht eine dokumentierte Rechtsgrundlage nach Artikel 6 – Einwilligung, Vertrag, rechtliche Verpflichtung, lebenswichtige Interessen, öffentliche Aufgabe oder berechtigte Interessen. In der Praxis bedeutet das für die meisten geschäftlichen Joomla-Websites: Einwilligung für Analyse- und Marketing-Cookies, Vertrag oder berechtigtes Interesse für Kontaktformular-Übermittlungen und Kontoregistrierungen sowie rechtliche Verpflichtung für Rechnungsdaten.

„Darüber haben wir nie nachgedacht“ ist die häufigste Rechtsgrundlage, die uns bei Audits begegnet – und sie gehört nicht zu den sechs. Teil unserer Umsetzung ist ein einfaches Verarbeitungsverzeichnis: welche Daten die Seite erhebt, wo, warum, auf welcher Grundlage und wie lange. Für die meisten kleinen und mittleren Unternehmen dient das zugleich als Kern des Verzeichnisses von Verarbeitungstätigkeiten nach Artikel 30.

Einwilligungsregister

Die DSGVO verlangt, dass Sie nachweisen können, dass eine Einwilligung erteilt wurde. Das bedeutet, ein Protokoll darüber zu führen, wann jeder Besucher eingewilligt hat, worin er eingewilligt hat und welche Version Ihres Einwilligungstextes und Ihrer Datenschutzerklärung zu diesem Zeitpunkt galt. Wenn eine Datenschutzbehörde einen Nachweis der Einwilligung anfordert, müssen Sie ihn erbringen können. Ein Banner ohne Einwilligungsprotokoll lässt Sie genau das nicht beweisen, was die Verordnung von Ihnen verlangt.

Datenschutzerklärung

Ihre Datenschutzerklärung muss jede Art personenbezogener Daten, die Ihre Website erhebt, die Rechtsgrundlage der Verarbeitung, die Speicherdauer, die Empfänger (einschließlich Auftragsverarbeitern wie Ihrem Hosting-Anbieter, Ihrem E-Mail-Dienst und Ihrem Analyse-Anbieter), ob Daten die EU verlassen und wie Betroffene ihre Rechte ausüben können, korrekt beschreiben. Eine generische Vorlage reicht nicht aus – Ihre Datenschutzerklärung muss Ihre konkreten Verarbeitungstätigkeiten widerspiegeln und aktualisiert werden, wenn sich diese ändern.

Betroffenenanfragen

Nach der DSGVO haben Personen das Recht, Auskunft über ihre personenbezogenen Daten zu verlangen, deren Löschung zu fordern (das „Recht auf Vergessenwerden“) sowie deren Berichtigung oder Übertragung zu verlangen. In der Regel haben Sie einen Monat Zeit, um zu antworten. Ihre Joomla-Website braucht Mechanismen, um diese Anfragen zu bearbeiten – Joomla 5 und 6 bringen im Kern Datenschutz-Werkzeuge mit, die das unterstützen, doch sie müssen sauber konfiguriert werden und müssen für Ihr konkretes Setup möglicherweise erweitert werden, insbesondere wenn Drittanbieter-Komponenten Nutzerdaten in ihren eigenen Tabellen speichern.

Bereitschaft zur Meldung von Datenpannen

Werden personenbezogene Daten auf Ihrer Website verletzt – durch einen Hack, eine geleakte Datenbank oder ein fehlkonfiguriertes Formular –, gibt Ihnen Artikel 33 72 Stunden Zeit, Ihre Aufsichtsbehörde zu benachrichtigen, sobald Sie davon Kenntnis erlangen, es sei denn, die Verletzung führt voraussichtlich nicht zu einem Risiko für die Betroffenen. 72 Stunden sind sehr wenig Zeit, wenn Sie keinen Plan, keine Protokolle und keine Ahnung haben, welche Daten die Seite gespeichert hat. Konformität bedeutet auch, für den schlimmen Tag gerüstet zu sein: zu wissen, was Sie speichern, Protokolle zu führen, mit denen sich rekonstruieren lässt, was geschehen ist, und einen Draht zu kompetenter Hilfe zu haben. (Falls Sie das hier lesen, weil der schlimme Tag bereits eingetreten ist: Unser Notfall-Service zur Wiederherstellung gehackter Seiten umfasst die Bewertung von Datenpannen und Unterstützung bei der Dokumentation.)

Wo Joomla-Websites tatsächlich personenbezogene Daten erheben

Bei Audits sind Seitenbetreiber regelmäßig überrascht, an wie vielen Stellen ihre „einfache Visitenkarten-Seite“ personenbezogene Daten verarbeitet. Die üblichen Verdächtigen auf einer Joomla-Website:

  • Kontakt- und Angebotsformulare – Namen, E-Mail-Adressen, Telefonnummern, oft auch Freitextfelder, in denen Besucher freiwillig weit mehr preisgeben. Wohin gehen die Übermittlungen, wer erhält sie, und wie lange liegen sie in der Datenbank und in den Postfächern?
  • Nutzerregistrierung und Login – Konten, Profile und Passwortdaten, plus alles, was Drittanbieter-Erweiterungen für Community oder Mitgliedschaft obendrauf hinzufügen.
  • Newsletter-Anmeldungen – in der Regel mit einer externen E-Mail-Plattform synchronisiert, wodurch diese Plattform zu einem Auftragsverarbeiter wird, der in Ihre Datenschutzerklärung und unter einen Auftragsverarbeitungsvertrag gehört.
  • Analytics und Tag-Manager – Google Analytics, Matomo, Heatmap-Tools, Conversion-Pixel. IP-Adressen und Online-Kennungen sind personenbezogene Daten.
  • Eingebettete Drittanbieter-Inhalte – YouTube-Videos, Google Maps, Social-Media-Widgets und extern gehostete Schriftarten können IP-Adressen der Besucher schon beim Laden der Seite an Dritte übermitteln, bevor irgendeine Einwilligung erteilt wurde. Jede Einbettung braucht entweder eine Einwilligungssperre oder eine datenschutzfreundliche Alternative (lokale Schriftarten, Klick-zum-Laden-Vorschaubilder für Videos).
  • Serverprotokolle und Sicherheitserweiterungen – Zugriffsprotokolle, Aufzeichnungen fehlgeschlagener Logins und Firewall-Protokolle enthalten allesamt IP-Adressen. Sie dürfen aufbewahrt werden, brauchen aber eine Speicherdauer und eine Erwähnung in Ihrer Erklärung.
  • E-Commerce und Zahlungen – Bestelldaten, Adressen und die Anbindung von Zahlungsdienstleistern bringen zusätzliche Pflichten und Verträge mit sich.

Joomla selbst bringt nützliche Bausteine mit – die Datenschutz-Komponente (com_privacy) für die Bearbeitung von Auskunfts- und Löschanfragen, das Nutzeraktivitätsprotokoll und Einwilligungsfelder bei der Registrierung. Diese Kernwerkzeuge sind ein echter Vorteil gegenüber vielen Plattformen, decken aber den Joomla-Kern ab, nicht die Drittanbieter-Erweiterungen, in denen die meiste reale Datenverarbeitung stattfindet. Unsere Umsetzung erfasst jede Erweiterung auf Ihrer Seite, die personenbezogene Daten berührt, und sorgt dafür, dass jede entweder abgedeckt, einwilligungspflichtig gesperrt oder entfernt ist.

Warum kostenlose Plugins nicht ausreichen

Kostenlose Joomla-Plugins für die Cookie-Einwilligung adressieren die sichtbare Ebene – das Banner, das die Besucher sehen. In der Regel liefern sie keine ausreichende Cookie-Klassifizierung und -Blockierung, keine Einwilligungsprotokollierung als rechtlichen Nachweis, keine Consent-Mode-v2-Integration, keine geolokationsbasierten Einwilligungsregeln (in verschiedenen EU-Ländern gelten unterschiedliche Anforderungen), keine laufende Überwachung, während sich Ihre Seite verändert, und keine Aktualisierungen, wenn sich die Vorschriften weiterentwickeln.

Konformität ist keine einmalige Installation. Sie ist ein fortlaufender Prozess. Ihre Website verändert sich – neue Erweiterungen kommen hinzu, Drittanbieter-Skripte werden eingebettet, Formulare werden erstellt. Jede Änderung kann eine neue Datenverarbeitung einführen, die sich in Ihrem Einwilligungsmechanismus und Ihrer Datenschutzerklärung niederschlagen muss. Ein Banner, das einmal 2023 konfiguriert und nie überprüft wurde, passt mit ziemlicher Sicherheit nicht mehr zu dem, was die Seite heute tatsächlich tut.

Hosting, Datenübermittlungen und warum der Serverstandort zählt

Die DSGVO beschränkt Übermittlungen personenbezogener Daten in Länder außerhalb des Europäischen Wirtschaftsraums. Seit das Schrems-II-Urteil das alte Privacy-Shield-Abkommen für ungültig erklärt hat, verlangen Übermittlungen an US-Anbieter zusätzliche Garantien, und die Rechtslage hat sich mit jedem Nachfolge-Abkommen und jeder Klage weiter verschoben. Für eine Geschäfts-Website besteht der einfachste Weg, dieses gesamte Problem vom Tisch zu bekommen, darin, die Daten von vornherein in Europa zu halten.

Das ist einer der Gründe, warum unser verwaltetes Joomla-Hosting ausschließlich auf europäischen Servern läuft, unter EU-Gerichtsbarkeit und mit Backups in der EU. Ihre Besucherdaten, Formular-Übermittlungen und Einwilligungsprotokolle bleiben innerhalb des EWR. Wenn Ihr Stack doch Nicht-EU-Auftragsverarbeiter umfasst – etwa eine US-amerikanische E-Mail-Plattform –, stellen wir sicher, dass der Übermittlungsmechanismus und der entsprechende Hinweis in der Datenschutzerklärung vorhanden sind.

Unsere DSGVO-Leistungen

Erstumsetzung

Wir auditieren die aktuellen Verarbeitungstätigkeiten Ihrer Joomla-Website, setzen eine saubere Consent-Management-Plattform ein, konfigurieren Cookie-Klassifizierung und -Blockierung, richten Google Consent Mode v2 ein, erstellen oder prüfen Ihre Datenschutzerklärung und Cookie-Richtlinie, konfigurieren die Bearbeitung von Betroffenenanfragen über die Datenschutz-Werkzeuge von Joomla, erstellen Ihr Verarbeitungsverzeichnis und testen die gesamte Umsetzung über Browser und Geräte hinweg – einschließlich der Prüfung, dass vor der Einwilligung nichts ausgelöst wird.

Laufende Überwachung

Wir überwachen Ihre Website auf neue Cookies oder Tracking-Skripte, die durch Erweiterungs-Updates oder Inhaltsänderungen eingeführt werden, prüfen, ob die Einwilligungsmechanismen weiterhin korrekt funktionieren, aktualisieren die Einwilligungskonfigurationen bei der Installation neuer Erweiterungen, überprüfen und aktualisieren den Text der Datenschutzerklärung, wenn sich Ihre Datenverarbeitung ändert, beraten Sie, wenn sich rechtliche Anforderungen weiterentwickeln, und pflegen das Einwilligungsregister.

Die laufende Überwachung ist als eigenständige Leistung oder als Teil unserer Wartungspakete Professional und Enterprise verfügbar.

Was Sie erhalten

Jede Umsetzung endet mit einer Dokumentation, die Sie tatsächlich einer Behörde, einem Kunden oder Ihrem eigenen Anwalt vorlegen können: das Verarbeitungsverzeichnis, die Einwilligungskonfiguration samt Begründung, die Tabelle zur Cookie-Klassifizierung und die Richtliniendokumente. Konformität, die Sie nicht nachweisen können, ist Konformität, die Sie nicht haben.

Länderspezifische Anforderungen

Die DSGVO bildet zwar den EU-weiten Rahmen, doch einzelne Mitgliedstaaten und ihre Aufsichtsbehörden haben zusätzliche Anforderungen und Durchsetzungsschwerpunkte entwickelt, die beeinflussen, wie eine Einwilligung eingeholt und nachgewiesen werden muss. Zum Beispiel:

  • Deutschland: Das TTDSG (jetzt TDDDG) setzt die ePrivacy-Regeln in nationales Recht um, und die deutsche Rechtsprechung – einschließlich des Planet49-Urteils des Bundesgerichtshofs – verlangt eine ausdrückliche Opt-in-Einwilligung ohne vorangekreuzte Kästchen. Die deutsche Auslegung der Cookie-Einwilligung gehört zu den strengsten in der EU, und deutsche Wettbewerber und Verbraucherverbände können bei nicht konformen Seiten Abmahnungen aussprechen.
  • Frankreich: Die CNIL hat detaillierte Leitlinien zu Cookie-Einwilligungsbannern, darunter die Vorgabe, dass das Ablehnen von Cookies genauso einfach sein muss wie das Annehmen – und sie hat dies mit einigen der höchsten cookiebezogenen Bußgelder in Europa untermauert.
  • Italien: Der Garante per la protezione dei dati personali verlangt bestimmte Formate für Cookie-Hinweise und hat eigene Leitlinien zu Analyse-Tools und Einwilligung herausgegeben.
  • Spanien: Die AEPD ist nach Anzahl der Entscheidungen eine der aktivsten Durchsetzungsbehörden der EU und aktualisiert ihre Cookie-Leitlinien regelmäßig.
  • Niederlande: Die Autoriteit Persoonsgegevens befasst sich aktiv mit der Einhaltung der Cookie-Einwilligung und hat öffentlich Sweep-Untersuchungen zu Cookie-Bannern angekündigt.
  • Irland: Die DPC ist federführende Behörde für viele globale Tech-Plattformen, und ihre Entscheidungen prägen, wie Einwilligungs- und Transparenzregeln für alle anderen ausgelegt werden.

Wir konfigurieren Einwilligungslösungen, die die Anforderungen der konkreten EU-Länder erfüllen, auf die Ihre Website abzielt. Unser Leitfaden zur EU-Konformität bietet weitere Details zu den länderspezifischen Anforderungen.

Was es kostet, wenn es schiefgeht

Die DSGVO sieht zwei Stufen von Geldbußen vor: bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes für Verstöße wie unzureichende Dokumentation oder Sicherheitsmaßnahmen, und bis zu 20 Millionen Euro oder 4 % des Umsatzes für Verstöße gegen die grundlegenden Verarbeitungsgrundsätze, die Einwilligungsregeln und die Betroffenenrechte – je nachdem, welcher Betrag im Einzelfall höher ist.

Aufsehenerregende Durchsetzungsmaßnahmen haben gegen große Plattformen Hunderte Millionen Euro erreicht, und speziell bei der Cookie-Einwilligung hat die französische CNIL acht- und neunstellige Bußgelder gegen die größten Tech-Konzerne verhängt. Kleine und mittlere Unternehmen werden nicht in dieser Größenordnung belangt – aber sie werden von Behörden in der gesamten EU jeden Monat mit Bußgeldern belegt, verwarnt und zur Änderung ihrer Praxis angewiesen, und in mehreren Mitgliedstaaten genügt ein nicht konformes Cookie-Banner, um eine Wettbewerberbeschwerde oder, in Deutschland, eine förmliche Abmahnung mit zugehörigen Anwaltskosten auszulösen.

Die wirtschaftlichen Kosten treffen früher ein als die rechtlichen: Unternehmenskunden prüfen die Websites ihrer Lieferanten zunehmend vor Vertragsabschluss, Ausschreibungen der öffentlichen Hand verlangen nachweisbare Konformität, und datenschutzbewusste Besucher gehen einfach. Ein sichtbar kaputtes Einwilligungserlebnis signaliert Nachlässigkeit – ausgerechnet jenen Kunden, die Sie am wenigsten verlieren wollen.

Ein praktischer Fahrplan zur Konformität

Wenn Sie verstehen möchten, wie die Arbeit tatsächlich aussieht: Das ist die Reihenfolge, der wir bei jedem Joomla-DSGVO-Projekt folgen:

  1. Bestandsaufnahme – die Seite crawlen und auditieren: jedes Cookie, jedes Skript, jedes Formular, jede Erweiterung und jede Drittanbieter-Verbindung, die personenbezogene Daten berührt.
  2. Entscheiden – für jede Verarbeitungstätigkeit: beibehalten (und auf welcher Rechtsgrundlage), hinter eine Einwilligung sperren, durch eine datenschutzfreundliche Alternative ersetzen oder entfernen.
  3. Einwilligung umsetzen – die Consent-Plattform ausrollen, Cookies klassifizieren, alles nicht Notwendige vor der Einwilligung blockieren, Consent Mode v2 integrieren und das Einwilligungsprotokoll anbinden.
  4. Dokumentieren – Datenschutzerklärung, Cookie-Richtlinie, Verarbeitungsverzeichnis und Auftragsverarbeitungsverträge mit der Realität in Einklang bringen.
  5. Rechtebearbeitung einrichten – den Datenschutz-Anfragen-Workflow von Joomla so konfigurieren, dass Auskunfts- und Löschanfragen innerhalb der Frist beantwortet werden können.
  6. Testen – mit sauberen Browser-Profilen prüfen, dass vor der Einwilligung nichts ausgelöst wird, dass eine Ablehnung wirklich ablehnt und dass die Einstellungen korrekt erhalten bleiben.
  7. Überwachen – planmäßig erneut scannen und nach jeder Erweiterungs- oder Inhaltsänderung, die eine neue Verarbeitung einführen könnte.

Die Schritte eins bis sechs sind das Umsetzungsprojekt. Schritt sieben ist der Grund, warum Konformität in eine Wartungsbeziehung gehört und nicht in eine einmalige Rechnung.

Verbreitete Mythen, die wir bei Audits hören

„Wir haben ein Cookie-Banner, also sind wir konform.“ Das Banner ist die sichtbaren 10 %. Ob Skripte vor der Einwilligung wirklich blockiert werden, ob die Einwilligung protokolliert wird, ob die Erklärung der Realität entspricht und ob Betroffenenanfragen beantwortet werden können – das sind die anderen 90 %, und genau daran scheitern Audits.

„Wir sind zu klein, als dass sich jemand dafür interessiert.“ Die Durchsetzung gegen kleine Unternehmen ist real und beginnt meist mit einer Beschwerde – von einem Besucher, einem ehemaligen Mitarbeiter oder einem Wettbewerber. Gerade in Deutschland nutzen Wettbewerber nicht konforme Websites aktiv als Anlass für Abmahnungen. Kleine Unternehmen sind zudem am wenigsten in der Lage, die Anwaltskosten zu verkraften, wenn es so weit kommt.

„Unsere Webagentur hat das beim Bau der Seite erledigt.“ Vielleicht – für die Seite, wie sie am Tag des Starts existierte. Jede seither installierte Erweiterung, jedes eingebettete Skript und jedes hinzugefügte Formular hat das Bild der Datenverarbeitung verändert. Konformität verfällt; genau deshalb gibt es Überwachung.

„DSGVO ist Sache des Besucher-Browsers – die können Cookies ja einfach blockieren.“ Die rechtliche Pflicht liegt beim Website-Betreiber, Punkt. Was Besucher theoretisch zu ihrem eigenen Schutz tun könnten, ändert nichts an dem, wozu Sie verpflichtet sind.

„Wir richten uns nur an Kunden im eigenen Land, also gelten die Regeln anderer Länder nicht.“ Die DSGVO gilt im gesamten EWR einheitlich, und Ihre Einwilligungslösung muss die Aufsichtsbehörde an Ihrem Niederlassungsort zufriedenstellen – plus, in der Praxis, die Erwartungen jedes Mitgliedstaats, an den Sie sichtbar vermarkten. Eine Seite, die in drei Sprachen verfügbar ist, trifft eine Aussage darüber, wen sie anspricht.

Häufig gestellte Fragen

Brauche ich DSGVO-Konformität, wenn mein Unternehmen außerhalb der EU sitzt?

Wenn Ihre Website für EU-Bürger zugänglich ist und Sie ihnen Waren oder Dienstleistungen anbieten oder ihr Verhalten beobachten (zum Beispiel über Analytics), gilt die DSGVO für Sie – unabhängig davon, wo Ihr Unternehmen seinen Sitz hat.

Welche Strafen drohen bei Nichtkonformität?

Die DSGVO sieht für die schwersten Verstöße Bußgelder von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes vor – je nachdem, welcher Betrag höher ist – sowie eine niedrigere Stufe von 10 Millionen Euro oder 2 % für andere Verstöße. In der Praxis reichten Bußgelder für Verstöße gegen die Cookie-Einwilligung von einigen Tausend bis zu Hunderten Millionen Euro, je nach Größe der Organisation, Schwere des Verstoßes und Durchsetzungspraxis des Mitgliedstaats.

Wie lange dauert eine DSGVO-Umsetzung?

Die Erstumsetzung für eine Standard-Joomla-Website dauert in der Regel ein bis zwei Wochen, einschließlich Audit, Konfiguration, Erstellung der Richtlinien und Tests. Komplexe Seiten mit mehreren Formularen, Drittanbieter-Integrationen und Nutzerregistrierung können zusätzliche Zeit erfordern.

Kann ich Analytics einfach ohne Cookie-Banner nutzen?

Manchmal. Datenschutzfreundliche Analytics, die so konfiguriert sind, dass sie ohne Cookies und ohne Verarbeitung identifizierbarer Daten arbeiten, dürfen in mehreren Mitgliedstaaten ohne Einwilligungsbanner laufen – auch wenn die nationalen Leitlinien hier voneinander abweichen. Für viele kleine Geschäfts-Websites ist der Umstieg auf cookielose Analytics der einfachste Weg zu einer ehrlichen, bannerarmen Website. Wir beraten Sie, ob dieser Weg zu Ihrem Ländermix und Ihren Reporting-Anforderungen passt.

Braucht eine kleine Website wirklich all das?

Die Pflichten skalieren mit Ihrer Verarbeitung, nicht mit Ihrem Umsatz. Eine fünfseitige Website mit einem Kontaktformular und ohne Analytics braucht sehr wenig: eine korrekte Erklärung, ein sicheres Formular und keine Drittanbieter-Skripte, die vor der Einwilligung laden. Das Audit sagt Ihnen, in welcher Stufe Sie sich befinden – viele kleine Seiten stellen fest, dass sie weniger brauchen als befürchtet, aber an anderen Stellen, als sie angenommen hatten.

Können Sie meine Joomla-3-Seite DSGVO-konform machen?

Wir können die DSGVO-Konformität auf Joomla 3 verbessern, doch echte Konformität auf einer nicht mehr unterstützten, ungepatchten Plattform ist grundsätzlich kompromittiert. Software ohne Sicherheitsupdates zu betreiben lässt sich schwer als „geeignete technische Maßnahme“ nach Artikel 32 rechtfertigen. Wir empfehlen, zunächst auf Joomla 5 oder Joomla 6 umzusteigen und dann die DSGVO-Konformität auf der sicheren, unterstützten Plattform umzusetzen.

Wie oft muss die Konformität überprüft werden?

Immer dann, wenn sich die Website in einer Weise ändert, die die Datenverarbeitung betrifft – ein neues Formular, eine neue Erweiterung oder ein neuer eingebetteter Dienst – und ansonsten mindestens einmal jährlich, weil sich Leitlinien der Aufsichtsbehörden und Anforderungen von Plattformen wie Google fortlaufend weiterentwickeln. Genau das deckt unsere laufende Überwachung ab.

Beginnen Sie mit einem DSGVO-Check

Unser kostenloses Seiten-Audit umfasst eine Bewertung der DSGVO-Konformität – wir prüfen Ihre aktuelle Cookie-Handhabung, Ihren Einwilligungsmechanismus, Ihre Datenschutzerklärung und Anzeichen für die Datenverarbeitung. Sie erhalten einen klaren Bericht, der zeigt, wo Ihre Joomla-Seite steht und was sich ändern muss.

Kostenlosen DSGVO-Check anfordern →

Das könnte Sie auch interessieren