DSGVO klingt wie ein Bürokratie-Monster, ist in der Praxis für eine Buschenschank-Website aber überschaubar – wenn man weiß, worauf es ankommt. Diese Checkliste beschreibt die 8 Punkte, die du 2026 wirklich erfüllen musst, in verständlicher Sprache.

Achtung: Dieser Artikel ist keine Rechtsberatung, sondern eine praxisorientierte Hilfestellung. Im Zweifel: lokaler Anwalt oder die Wirtschaftskammer Steiermark fragen.

1. Impressum

Pflicht. Vollständige Anschrift, Telefonnummer, E-Mail, UID-Nummer (falls vorhanden), Gewerbeberechtigung, Aufsichtsbehörde (Wirtschaftskammer Steiermark). Muss von jeder Seite mit einem Klick erreichbar sein.

Größter Fehler: Impressum nur auf einer Unterseite verstecken oder veraltete Daten stehenlassen. Beides ist abmahnfähig.

2. Datenschutzerklärung

Pflicht. Muss konkret beschreiben, welche Daten du wie sammelst – Kontaktformular, Cookies, Analytics, Newsletter. Die generischen „Datenschutzgenerator"-Texte sind ein Anfang, müssen aber an deinen tatsächlichen Tools-Stack angepasst werden.

Konkret: Wenn du Google Analytics nutzt, muss das drin stehen. Wenn du Facebook-Pixel hast, muss das drin stehen. Wenn du keinen Cookie verwendest außer einem technisch notwendigen Session-Cookie, dann auch das.

3. Cookie-Banner (richtig konfiguriert)

Nur Pflicht, wenn du Cookies einsetzt, die nicht technisch notwendig sind – also alles außer reinem Session-Management. Google Analytics, Facebook-Pixel, YouTube-Videos eingebettet: alles cookie-pflichtig.

Wichtig: „Alle akzeptieren" und „Alle ablehnen" müssen optisch gleichwertig sein. Ein großer grüner „Akzeptieren"-Button und ein kleiner grauer „Ablehnen"-Link ist nicht mehr zulässig. Wer das ignoriert, riskiert Abmahnungen vom NOYB-Verein um Max Schrems.

4. Kontaktformular mit Hinweis

Pflicht. Beim Absenden des Formulars muss ein Häkchen oder Hinweis stehen wie „Mit dem Absenden stimme ich zu, dass meine Daten zur Bearbeitung meiner Anfrage gespeichert werden. Mehr in der Datenschutzerklärung." Verlinkung auf Datenschutzerklärung Pflicht.

5. Newsletter mit Double-Opt-in

Wenn du einen Newsletter anbietest, brauchst du ein Double-Opt-in: Nutzer trägt Mail ein, bekommt Bestätigungsmail, klickt Link, ist erst dann aktiv im Verteiler. Ein „Newsletter-anmelden"-Button ohne Bestätigungsmail ist nicht DSGVO-konform.

Praktischer Hinweis: Tools wie Resend, Mailchimp oder Brevo machen das automatisch – kein eigenes Setup nötig.

6. Fotos von Gästen

Pflicht. Fotos auf denen Gäste erkennbar sind, dürfen nicht ohne Einwilligung veröffentlicht werden. Auf Instagram, Facebook oder der Website. Das gilt auch für Hintergrund-Personen auf Übersichts-Fotos.

Praktikabler Workflow: Bei größeren Events ein Schild am Eingang („Heute werden Fotos gemacht – wenn du nicht aufs Foto willst, sag uns Bescheid"), bei einzelnen Personen kurz mündlich fragen.

7. Server- und Tool-Standort

Daten EU-Bürger sollen idealerweise auf EU-Servern liegen. Wenn deine Website bei einem US-Hoster läuft (z.B. WordPress.com, einige Wix-Pläne), wird es heikel – seit dem Schrems-II-Urteil. Sicherer: deutscher oder österreichischer Hoster, oder EU-Region bei Vercel/Netlify/AWS.

Konkret: Wenn dein Newsletter-Tool, deine Analytics oder deine Kommentarfunktion US-basiert ist, brauchst du dafür eigene rechtliche Grundlage (oder ersetzt das durch EU-Alternativen wie Plausible statt Google Analytics).

8. Auftragsverarbeitungsverträge (AVV)

Mit jedem externen Dienstleister, der personenbezogene Daten für dich verarbeitet (Hoster, Newsletter-Tool, Reservierungssoftware), brauchst du einen Auftragsverarbeitungsvertrag. Bei den meisten Anbietern reicht ein Klick im Admin-Bereich – aber er muss aktiv abgeschlossen sein.

Was tun, wenn dir das alles zu komplex ist?

Realistische Selbsteinschätzung: Wer in der Hauptsaison eine Buschenschank führt, hat keine Zeit für rechtliche Detail-Recherche. Zwei Optionen: Entweder eine spezialisierte Rechtsberatung (in Graz z.B. Brandl & Talos oder die Rechtsabteilung der Wirtschaftskammer) – oder ein technischer Dienstleister, der DSGVO-konformes Setup als Teil des Website-Pakets liefert.

KNEEBYTE – die Agentur, die WeinRadar entwickelt hat – baut Websites von Grund auf DSGVO-konform: Plausible statt Google Analytics, Resend mit Double-Opt-in, EU-Hosting auf Vercel, dezenter Consent-Modus statt aggressivem Cookie-Banner. Wenn das für dich Sinn macht, gibt es ein kostenfreies Erstgespräch.