DSGVO und Website in Luxemburg: Komplett-Checkliste 2026

Eine Website, die eine E-Mail-Adresse, einen Namen, einen Analytics-Cookie oder eine IP-Adresse erfasst, verarbeitet personenbezogene Daten. Und wer personenbezogene Daten in Luxemburg verarbeitet, muss DSGVO-konform sein — nicht theoretisch, nicht „wenn wir Zeit haben”, sondern jetzt.

Die meisten KMU entdecken das Thema auf zwei Wegen: durch eine Abmahnung eines Kunden oder Mitbewerbers, oder durch eine CNPD-Prüfung. In beiden Fällen ist die Rechnung selten angenehm: mögliche Bußgelder, Reputationsverlust und die Pflicht, alles eilig zu korrigieren.

Diese Checkliste behandelt die acht Punkte, die 95 % der Fälle abdecken. Keiner erfordert einen Komplettumbau — die meisten lassen sich in wenigen Stunden mit einem kompetenten Dienstleister oder in wenigen Wochen in Eigenregie lösen.

Warum DSGVO nicht optional ist (auch für ein lokales KMU)

Die DSGVO gilt, sobald Sie personenbezogene Daten einer in der EU befindlichen Person verarbeiten, unabhängig von Unternehmensgröße, Rechtsform oder Umsatz. Sie gilt auch, wenn Sie außerhalb der EU ansässig sind, sich aber an ein europäisches Publikum richten.

In Luxemburg ist die Aufsichtsbehörde die CNPD (rel="noopener"). Sie kann auf Beschwerde, auf Hinweis einer anderen europäischen Behörde oder von sich aus tätig werden. Sanktionen reichen von einer einfachen Verwarnung bis zu Bußgeldern von bis zu 4 % des weltweiten Umsatzes.

Die Vorstellung, „niemand wird ein kleines lokales KMU prüfen”, ist falsch. Die CNPD bearbeitet jährlich Hunderte von Beschwerden, und ein unzufriedener Kunde oder ehemaliger Mitarbeiter reicht aus, um eine Akte zu eröffnen.

Cookie-Banner: Was wirklich konform ist

Das ist das sichtbarste Element — und dort, wo die Abweichungen am häufigsten sind. Ein konformes Cookie-Banner respektiert fünf strenge Regeln:

• Kein nicht-essentieller Cookie wird vor der Einwilligung gesetzt. Einschließlich Google Analytics, Meta Pixel, Hotjar oder jedem Marketing-Pixel.
• Ablehnung ist genauso einfach wie Annahme. Ein „Alle akzeptieren”-Button ohne gleichwertigen „Alle ablehnen”-Button ist nicht konform.
• Die Einwilligung ist granular. Der Nutzer kann beispielsweise Analytics akzeptieren und Marketing ablehnen.
• Die Einwilligung ist nachvollziehbar. Sie müssen für jeden Besucher belegen können, was er wann akzeptiert hat.
• Der Widerruf der Einwilligung ist so einfach wie die Erteilung. Ein „Cookies verwalten”-Link im Footer, jederzeit zugänglich.

Nicht konform: „Cookie-Walls”, die den Zugriff bei Ablehnung blockieren, Vorab-Häkchen, Banner mit automatischem Schließen nach 5 Sekunden als implizite Annahme.

Impressum-Pflichten in Luxemburg

In Luxemburg umfassen die Impressum-Pflichten für eine professionelle Website (rel="noopener"):

• Vollständige Identität des Herausgebers: Firmenname, Rechtsform, Stammkapital bei Gesellschaften, RCS-Nummer.
• Adresse des Geschäftssitzes (kein Postfach).
• USt-IdNr. falls steuerpflichtig.
• Direkte Kontakt-E-Mail (nicht nur ein Formular).
• Telefonnummer für E-Commerce- oder Dienstleistungswebsites.
• Name des verantwortlichen Herausgebers.
• Hosting-Anbieter: Firmenname, Adresse, Telefonnummer.
• Datenschutzerklärung separat verlinkt, klar und von jeder Seite erreichbar.

Der Fall INNOVALUX, eine sauber gestartete SARL-s, zeigt, was wir standardmäßig sehen sollten: vollständiges Impressum, zugängliche Datenschutzerklärung, sichtbarer direkter Kontakt. Das ist in einem Nachmittag eingerichtet und erspart wochenlange Komplikationen.

Formulare: heikle Felder und Einwilligung

Jedes Formular, das personenbezogene Daten erfasst, muss drei Prinzipien beachten: Datenminimierung, Transparenz, informierte Einwilligung.

Datenminimierung: Fragen Sie nur ab, was unbedingt nötig ist. Das Geburtsdatum für ein einfaches Kontaktformular zu verlangen, ist unverhältnismäßig.

Transparenz: Nahe am Formular (nicht in einer generischen Richtlinie, drei Klicks entfernt) klar erklären, was mit den Daten geschieht.

Informierte Einwilligung: Eine nicht vorab angekreuzte Checkbox für jeden eigenständigen Zweck. Antwort auf eine Angebotsanfrage = legitimer Zweck, keine Checkbox nötig. Hinzufügen zu einem Marketing-Newsletter = eigenständiger Zweck, separate klare Checkbox.

Zu vermeidende heikle Felder: vorausgefüllte E-Mail „aus anderer Quelle” ohne Einwilligung, automatische Newsletter-Anmeldung bei Formularvalidierung, alle Optionen standardmäßig vorausgewählt.

AutoRachat Luxembourg verarbeitet ein hohes Volumen (+75 % Conversion nach Refonte) mit einem konformen Formular: minimalistisch, transparent, explizite Einwilligung für nachfolgende Kommunikation. Konformität schadete der Conversion nie — im Gegenteil, Klarheit beruhigt.

Hosting und Datenlokalisierung

Die DSGVO verlangt, dass Datentransfers außerhalb der EU rechtlich gerahmt werden. Drei Fälle:

EU-Hosting (Luxemburg, Frankreich, Deutschland, Niederlande, etc.): kein Transferproblem. Einfachster Fall.

Hosting bei einem US-Anbieter mit europäischen Servern (große Hyperscaler bieten europäische Regionen an): Technisch liegen die Daten in der EU, aber durch die US-Muttergesellschaft bleiben Fragen zum anwendbaren Recht. Lösung: Standard-AVV mit dem Anbieter unterzeichnen, einschließlich europäischer Standardvertragsklauseln.

Direktes Hosting in den USA oder außerhalb EU/EWR: strikte rechtliche Rahmung nötig (SCC, Zertifizierungen, oder Data Privacy Framework für die USA).

Sie müssen auch wissen, wer technischen Zugriff auf Ihre Daten hat — behandelt in Website zurückholen, wenn die Agentur nicht antwortet. Wenn nur Ihr aktueller Dienstleister auf die Nutzerdatenbank zugreifen kann, sind Sie in einer fragilen Position.

Auftragsverarbeiter: Google Analytics, Mailchimp, Stripe und andere

Jeder Drittdienst, der Daten in Ihrem Auftrag verarbeitet, ist ein Auftragsverarbeiter im Sinne der DSGVO. Sie müssen:

• Einen AVV mit jedem unterzeichnen. Google, Stripe, Mailchimp, Brevo, HubSpot etc. bieten alle einen standardisierten AVV zum Herunterladen.
• Diese Auftragsverarbeiter auflisten in Ihrer Datenschutzerklärung mit Zweck und Standort.
• Regelmäßig prüfen, dass die Liste aktuell bleibt. Ein heimlich vom Entwickler hinzugefügter Dienst ohne Erklärung ist nicht konform.

Sellect Luxembourg, B2B-Plattform mit über 150 Partneragenturen, muss etwa zehn aktive Auftragsverarbeiter verwalten. Die Disziplin liegt in einem internen Register, das Monat für Monat aktuell gehalten wird — kein vergessenes Excel, sondern ein echtes operatives Dokument, vierteljährlich geprüft.

Für Google Analytics 4 speziell: Konfiguration „IP-Anonymisierung” + unterzeichneter AVV + Erklärung in der Cookie-Richtlinie deckt die Anforderungen für die meisten KMU ab.

Aufbewahrungsdauer und Nutzerrechte

Für jede Kategorie erfasster Daten müssen Sie eine Aufbewahrungsdauer definiert haben. Einige Anhaltspunkte:

• Kontakt-/Angebotsanfragen: 3 Jahre nach letztem Austausch ohne Umwandlung.
• Aktive Kundenkonten: Dauer der Beziehung + 5 Jahre (handelsrechtliche Verjährung in Luxemburg).
• Newsletter: solange der Nutzer sich nicht abmeldet, mit erneuter Einwilligung alle 24-36 Monate empfohlen.
• Server-Logs / Analytics: 13 Monate maximal empfohlen.

Über die Aufbewahrung hinaus haben Nutzer jederzeit ausübbare Rechte: Auskunft, Berichtigung, Löschung („Recht auf Vergessenwerden”), Übertragbarkeit, Widerspruch.

Sie müssen auf jede Anfrage innerhalb eines Monats antworten und einen klaren Anfragekanal bereitstellen (oft eine dedizierte E-Mail wie dsgvo@).

Im Falle einer CNPD-Prüfung: Was angefragt wird

Eine CNPD-Prüfung beginnt selten unangekündigt. Sie erhalten einen Brief, der präzise Elemente verlangt:

• Datenschutzerklärung in aktueller Version
• Vollständiges Impressum
• Verzeichnis von Verarbeitungstätigkeiten
• Unterzeichnete AVV mit den wichtigsten Auftragsverarbeitern
• Screenshots des Cookie-Banners in mehreren Konfigurationen
• Nachweise zur Bearbeitung von Betroffenenrechtsanfragen der letzten 12 Monate
• Verfahren bei Datenpannen

Sie haben in der Regel 30 Tage zur Antwort. Eine vollständige, strukturierte und gutgläubige Antwort führt meist zu einer Verwarnung und Korrekturanforderungen. Fehlende Antwort oder offensichtliche Bösgläubigkeit treibt die Bußgelder nach oben.

Für internationale Transfers bleibt der konsolidierte offizielle DSGVO-Text (rel="noopener") die Referenz.

---

Häufig gestellte Fragen

Meine Website ist auf einem europäischen AWS-Server gehostet: Reicht das für die Konformität?

Für die Datenlokalisierung ja. Für die Gesamtkonformität nein — Sie müssen den standardisierten AVV von AWS (aus der AWS-Konsole herunterladbar) unterzeichnen, diesen Auftragsverarbeiter in Ihrer Datenschutzerklärung dokumentieren und die europäischen Standardvertragsklauseln standardmäßig anwenden. Der unterzeichnete AVV bleibt obligatorisch.

Brauche ich einen DSB (Datenschutzbeauftragten) für eine KMU-Website in Luxemburg?

Nein in der Mehrheit der Fälle. Die Benennung eines DSB ist nur in drei Situationen obligatorisch: öffentliche Behörde, große Verarbeitung mit regelmäßiger systematischer Überwachung von Personen, oder große Verarbeitung sensibler Daten. Ein Standard-KMU mit Visitenkartenwebsite, Kontaktformular und Newsletter braucht keinen DSB.

Wie lange darf ich E-Mails meiner Interessenten ohne erneute Einwilligung aufbewahren?

Für B2C-Akquise: 3 Jahre nach dem letzten Kontakt oder der letzten Interaktion. Darüber hinaus entweder neue Einwilligung einholen oder die Daten löschen. Für B2B: berechtigtes Interesse möglich, wenn das Ziel zur Tätigkeit passt, mit klarer Abmeldemöglichkeit bei jedem Versand.

Was tun, wenn ich eine Datenpanne auf meiner Website entdecke?

Meldung an die CNPD innerhalb von 72 Stunden ab Entdeckung über das Online-Meldeportal. Information der Betroffenen, wenn die Panne ein hohes Risiko darstellt. Bereiten Sie im Voraus eine Meldevorlage und ein internes Verfahren vor — zum Zeitpunkt der Datenpanne ist nicht die Zeit, über das Format nachzudenken.

---

Weiterführend

Verstehen, wem Ihre Nutzerdaten über Ihre Website hinaus wirklich gehören — Domain, Hosting, Drittkonten, Quellcode — in Website-Eigentümer: Wie prüfen.

---

Was wir bei Slash.lu tun

Wenn ein Kunde mit einer DSGVO-Frage kommt, beginnen wir mit der Prüfung der acht Punkte dieser Checkliste. Wir identifizieren, was konform ist, was nicht, und die Prioritätsreihenfolge zur Korrektur. Technische Korrekturen (Cookie-Banner, Impressum, deklarierte Auftragsverarbeiter) sind in wenigen Tagen erledigt. Operative Korrekturen (Verarbeitungsregister, Verfahren bei Datenpannen, Verwaltung von Betroffenenanfragen) brauchen einige Wochen, um sich im Alltag zu etablieren.

DSGVO-Konformität ist kein großes Budget. Sie ist eine Disziplin. Kein Pauschalpaket, bevor wir Ihre Situation angesehen haben, denn jedes KMU hat seinen eigenen Verarbeitungsumfang.

Sprechen wir über Ihre Situation. Termin buchen — unverbindlich, Antwort innerhalb von 24 Stunden.

→ Entdecken Sie unseren Webdesign-Service für die Details unserer Methode.