DSGVO-konformes Marketing — die Anleitung für KMU

DSGVO ist 8 Jahre alt. Trotzdem sind die meisten KMU-Webseiten und Marketing-Aktionen nicht 100% rechtssicher. Hier eine klare Anleitung: was geht, was nicht, was kostet im Notfall richtig.

Cookies + Tracking

Pflicht: Opt-in (nicht Opt-out) für alle nicht-essentiellen Cookies. Das heißt: bevor Google Analytics, Meta-Pixel oder Hotjar laden, MUSS der Besucher klicken. "Akzeptieren" muss gleich groß sein wie „Ablehnen" — sonst Abmahn-Falle.

Newsletter

Pflicht: Double-Opt-In. Nach Anmeldung Bestätigungsmail mit Klick. Niemand darf aus Bestelldaten in den Newsletter überführt werden ohne explizite Zustimmung.

Google Analytics 4

Mit IP-Anonymisierung + Cookie-Consent rechtssicher. Server-Side Tracking über eigenen Hostname (z.B. analytics.xaicore.de) ist Best-Practice.

Meta-Pixel / TikTok-Pixel / LinkedIn-Insight

Nur mit Consent. Server-Side via Conversions API ist auch DSGVO-relevant — der Daten-Export an Facebook ist heikel.

Form-Daten

Kontaktformular: Hinweis auf Datenschutz direkt unter dem Submit-Button. Daten dürfen nur für den angefragten Zweck verwendet werden — kein Newsletter-Import.

E-Mail-Marketing-Tools

EU-only: Mailjet, GetResponse (EU-Rechenzentrum), Brevo (Sendinblue), CleverReach.
USA-Tools mit Bedenken: Mailchimp, ConvertKit — brauchen Auftragsverarbeitungsvertrag + Standardvertragsklauseln.

Webseiten-Hosting

Empfohlen: in Deutschland (Hetzner, IONOS) oder mind. EU. Bei Hosting in USA: AVV + Schrems-II-Risiko.

Konkrete Konsequenzen bei Verstoß

• Abmahnung durch Mitbewerber oder Verbraucherzentrale
• Bußgelder bis 4% des Jahresumsatzes (für KMU realistisch 1.000-10.000€ je Fall)
• Schadenersatzansprüche von Betroffenen

Wie wir es bauen

Bei jeder Webseite die wir bauen:

• Cookie-Banner mit klarem Opt-In
• Datenschutzerklärung auf Stand
• Tracking-Implementation rechtssicher
• Hosting in Deutschland (Hetzner)
• SSL/TLS, HSTS-Preload
• Backup & Recovery-Plan

Anfrage: xaicore.de/#contact · Mehr zu Marketing