Das Wichtigste in Kürze
- Ein AVV nach Art. 28 DSGVO ist Pflicht, sobald Sie Zugriff auf Kunden-Daten haben.
- Mit jedem Hoster, Analytics-Anbieter und Newsletter-Tool brauchen Sie ebenfalls einen AVV.
- Google Fonts gehören lokal auf den Server, nicht per CDN.
- Google Maps, YouTube und reCAPTCHA nur nach Einwilligung laden.
Auftragsverarbeitungsvertrag (AVV)
Wenn ein Webdesigner Zugriff auf personenbezogene Daten seiner Kunden hat - etwa über das CMS-Backend, die Datenbank, Analytics oder ein CRM -, ist er Auftragsverarbeiter. Dann braucht es einen schriftlichen oder elektronischen AVV nach Art. 28 DSGVO. Ohne diesen Vertrag drohen Bußgelder bis 20 Millionen Euro oder vier Prozent des Jahresumsatzes.
Wann der Webdesigner einen AVV mit dem Kunden braucht
- Wartungsverträge mit Backend-Zugriff
- Hosting durch die Agentur selbst
- Pflege von E-Mail-Listen, CRM oder Shop-Bestellungen
- Zugriff auf Analytics-Konten des Kunden
Wann der Webdesigner selbst einen AVV unterzeichnen muss
- Mit dem Hoster (Strato, IONOS, All-Inkl., Cloudflare)
- Mit Analytics-Diensten (Google Analytics, Matomo Cloud, Plausible)
- Mit CRM- und Newsletter-Anbietern (Mailchimp, Brevo, ActiveCampaign)
- Mit allen SaaS-Tools, die Kundendaten sehen
Was in einen AVV gehört
- Gegenstand, Dauer, Art und Zweck der Verarbeitung
- Kategorien betroffener Personen und Daten
- Weisungsbefugnisse und Vertraulichkeit
- TOMs nach Art. 32 DSGVO (technische und organisatorische Maßnahmen)
- Regelung zu Sub-Unterauftragnehmern
- Meldepflicht bei Datenpannen
- Löschung oder Rückgabe nach Vertragsende
Fertige Vorlagen finden Sie auf der Seite Generatoren. Empfehlenswert sind unter anderem die Muster von activeMind oder Proliance.
Datenschutzerklärung - was rein muss
Pflichtgrundlage sind Art. 13 und 14 DSGVO. Eine vollständige Datenschutzerklärung umfasst:
- Name und Kontakt des Verantwortlichen
- Datenschutzbeauftragten, falls vorhanden
- Zwecke und Rechtsgrundlagen je Verarbeitung
- Berechtigte Interessen (bei Art. 6 Abs. 1 lit. f)
- Empfänger der Daten
- Drittland-Übermittlung und Schutzmaßnahmen
- Speicherdauer mit konkreten Angaben
- Betroffenenrechte und Widerrufsrecht
- Beschwerderecht bei der zuständigen Aufsichtsbehörde
Typische Fehler
- „Berechtigtes Interesse" als Standardfloskel ohne Abwägung
- Eingebundene Dienste wie Analytics, YouTube oder Fonts nicht dokumentiert
- Speicherdauer fehlt oder ist unkonkret
- Veraltete Verweise auf TMG oder TTDSG (heute DDG / TDDDG)
Externe Dienste - was Sie prüfen müssen
Jeder Dienst, der personenbezogene Daten verarbeitet, braucht eine Rechtsgrundlage und einen klaren Hinweis in der Datenschutzerklärung. Die häufigsten Stolperfallen:
| Dienst | Problem | Lösung |
|---|---|---|
| Google Fonts via CDN | IP-Übermittlung an Google ohne Einwilligung | Lokal hosten (Webfonts Helper), siehe Abmahnfallen |
| Google Analytics | Drittland USA, Einwilligung nötig | AVV mit Google, Consent Mode v2, nur nach Opt-In laden |
| Google Tag Manager | Lädt Skripte ggf. vor Einwilligung | Erst nach Consent aktivieren |
| YouTube | Daten an Google bei Seitenaufruf | 2-Klick-Lösung oder youtube-nocookie.com hinter Banner |
| Google Maps | IP-Übermittlung beim Laden | Hinter Consent-Wall oder OpenStreetMap nutzen |
| Adobe Fonts | CDN-Abruf wie Google Fonts | Self-Hosting laut Adobe-Lizenz nicht erlaubt; nur per Consent laden oder auf eine OFL-Schrift (z. B. Google Fonts mit lokalem Hosting) wechseln |
| reCAPTCHA | Datenverarbeitung durch Google | Friendly Captcha, Cloudflare Turnstile als Alternative |
Pflichten gegenüber dem Kunden
Der Webdesigner muss seinen Kunden über rechtliche Risiken aufklären. Das hat das LG Bochum bereits 2017 bestätigt (Az. 9 S 17/16). Konkret:
- Verwendete Bilder, Schriften, Code-Snippets auf Lizenz prüfen
- Datenschutzerklärung und Cookie-Banner beim Launch korrekt konfigurieren
- Bei erkennbaren Risiken im Kundenmaterial warnen
- Zugangsdaten und Lizenznachweise dokumentiert übergeben