Online‑Kurs DSGVO‑konform anbieten (2026): Checkliste & Praxis‑Setup

DSGVO wird beherrschbar, sobald du den Datenfluss kennst. Bei Online‑Kursen ist der typische Weg: Website → Checkout → Kursbereich → E‑Mails → Support. Wer diesen Fluss einmal sauber aufzeichnet, hat die Grundlage für alle weiteren Entscheidungen.

Datenkategorien, die bei einem Online‑Kurs anfallen

• Personenstammdaten: Name, E‑Mail‑Adresse – entstehen bei Registrierung, Kauf oder Newsletter‑Anmeldung.
• Zahlungsdaten: Rechnungsadresse, Zahlungsart, Transaktions‑ID – werden beim Checkout verarbeitet, gehören aber typischerweise nicht in deinen Kursbereich.
• Nutzungsdaten: Login‑Zeitpunkte, Kursfortschritt, abgespielte Videos – fallen im Kursbereich an und helfen dir, den Kurs zu verbessern.
• Analytik‑/Tracking‑Daten: IP‑Adressen, Seitenaufrufe, Geräteinfos, Conversion‑Tracking – entstehen auf der Website und Landingpage.
• Kommunikationsdaten: Support‑Anfragen, E‑Mail‑Verläufe, Community‑Beiträge.

Warum der Datenfluss die meisten Probleme verhindert

Die meisten DSGVO‑Probleme entstehen nicht auf der Kursplattform selbst, sondern bei Einbindungen (Video‑Embeds), Tracking‑Pixeln, Newsletter‑Opt‑Ins und unkontrollierter Datenweitergabe zwischen Tools. Wer den Datenfluss kennt, erkennt sofort, wo Daten unnötig weitergegeben werden, wo ein AVV fehlt und wo Consent notwendig ist.

Dieses Guide ist bewusst 'one page': Es deckt sowohl den technischen Kurs‑Stack als auch den Verkaufspfad ab (Checkout, E‑Mails, Pflichtinfos). Ziel ist nicht Juristen‑Deutsch, sondern ein Setup, das du sauber dokumentieren und zuverlässig betreiben kannst. Wenn du deinen Kurs gerade erst planst, starte mit dem Online‑Kurs‑erstellen‑Guide.

Ein AVV (Vertrag zur Auftragsverarbeitung) ist kein 'Dokument zum Abheften', sondern die Klärung: wer verarbeitet welche Daten wofür – und mit welchen Schutzmaßnahmen. Ohne AVV darfst du personenbezogene Daten grundsätzlich nicht von einem externen Dienstleister verarbeiten lassen.

Was ein AVV typischerweise enthält

• Gegenstand und Dauer der Verarbeitung
• Art und Zweck der Verarbeitung
• Art der personenbezogenen Daten und Kategorien betroffener Personen
• Pflichten und Rechte des Verantwortlichen
• Technische und organisatorische Maßnahmen (TOMs)
• Regelungen zu Sub‑Dienstleistern (Unterauftragsverarbeiter)
• Löschung und Rückgabe der Daten nach Ende der Verarbeitung

Wann brauchst du einen AVV?

Immer, wenn ein externer Dienst in deinem Auftrag personenbezogene Daten verarbeitet. Typische Beispiele für Kursanbieter:

• Kursplattform (hostet Nutzerdaten, Login, Fortschritt)
• E‑Mail‑Marketing‑Tool (speichert Adressen, Öffnungsraten)
• Analytics‑Dienst, wenn personenbezogene Daten erfasst werden
• Hosting‑Anbieter (wenn du eine eigene Website betreibst)
• Support‑/Helpdesk‑Tool

Auftragsverarbeitung vs. gemeinsame Verantwortlichkeit

Ein Auftragsverarbeiter handelt ausschließlich nach deiner Weisung (z. B. dein E‑Mail‑Tool versendet deine Newsletter). Gemeinsame Verantwortlichkeit (Art. 26 DSGVO) liegt vor, wenn beide Seiten Zwecke und Mittel der Verarbeitung mitbestimmen – z. B. bei manchen Social‑Media‑Integrationen. In der Praxis als Kursanbieter bist du meist in der Rolle des Verantwortlichen mit Auftragsverarbeitern.

Was du in einem bestehenden AVV prüfen solltest

Sub‑Dienstleister (Unterauftragsverarbeiter)

Dein Auftragsverarbeiter setzt selbst oft weitere Dienste ein (z. B. Cloud‑Infrastruktur, CDN). Diese Sub‑Dienstleister müssen im AVV oder in einer verlinkten Liste aufgeführt sein. Achte darauf, dass du über Änderungen informiert wirst und ein Widerspruchsrecht hast.

Consent ist ein technisches Thema: Wenn du nicht‑essenzielle Cookies oder Tracking nutzt, brauchst du in der Regel eine Einwilligung. Die Rechtsgrundlage dafür ergibt sich aus dem TTDDG (früher TMG/TDDDG) in Kombination mit der ePrivacy‑Richtlinie – und natürlich der DSGVO.

Was sich mit dem TTDDG geändert hat

Das Telekommunikation‑Digitale‑Dienste‑Datenschutz‑Gesetz (TTDDG) löste das TMG und Teile des TDDDG ab. Für Kursanbieter ist der praktische Effekt überschaubar: Die Einwilligungspflicht für nicht‑essentielle Zugriffe auf Endgeräte (Cookies, Fingerprinting, Tracking‑Pixel) wurde klarer formuliert. Der Grundsatz bleibt: technisch notwendig = kein Consent nötig; alles andere = Einwilligung erforderlich.

Was zählt als 'technisch notwendig'?

• Login‑Session‑Cookies (damit der Nutzer eingeloggt bleibt)
• Warenkorb‑/Checkout‑Session
• CSRF‑Token
• Spracheinstellungen, die der Nutzer aktiv gewählt hat
• Load‑Balancer‑Cookies

Nicht technisch notwendig: Google Analytics, Facebook Pixel, Marketing‑Cookies, Hotjar, YouTube‑Embeds mit Tracking, A/B‑Testing‑Tools mit Cookies.

Analytics: datenschutzfreundlich vs. klassisch

• Privacy‑freundliche Optionen (z. B. Plausible, Fathom, Umami): arbeiten oft ohne Cookies, ohne personenbezogene Daten und ohne Consent‑Pflicht – je nach Konfiguration.
• Google Analytics / Meta Pixel: erfordern Einwilligung, setzen Cookies, übertragen Daten in die USA. Deutlich höherer Dokumentationsaufwand.

Für die meisten Kursanbieter reichen privacy‑freundliche Analytics völlig aus. Du siehst Seitenaufrufe, Referrer und Conversions – ohne Consent‑Banner‑Komplexität.

Consent richtig umsetzen

Häufige Consent‑Fehler

• Banner zeigt 'Wir nutzen Cookies' – aber Skripte laden schon vorher.
• 'Ablehnen' ist nur über 'Einstellungen' erreichbar (Dark Pattern).
• YouTube‑Embed lädt sofort, obwohl Nutzer nicht eingewilligt hat.
• Consent‑Tool selbst setzt Cookies vor Einwilligung.

Der Verkaufspfad ist DSGVO‑kritisch, weil hier viele Tools zusammenkommen: Landingpage‑Formulare, Analytics, Zahlungsanbieter, E‑Mails und die automatische Freischaltung. Der schnellste Weg zu einem sauberen Setup ist der Datenfluss: welche Daten entstehen, wohin gehen sie und was ist wirklich notwendig.

Schritt für Schritt durch den Funnel

1. Landingpage / Verkaufsseite: Hier entstehen Analytik‑Daten (Seitenaufrufe, Scroll‑Tiefe) und ggf. Lead‑Daten (E‑Mail bei Opt‑In). Halte Formularfelder minimal – nur E‑Mail für einen Lead‑Magneten, kein Name 'auf Vorrat'. Tracking nur nach Consent. Mehr zum Aufbau im Verkaufsseiten‑Guide.
2. Checkout: Zahlungs‑ und Rechnungsdaten entstehen beim Zahlungsanbieter. Dein Kursbereich braucht davon nur eine Referenz (E‑Mail + Produkt + Transaktions‑ID). Zahlungsdetails gehören nicht in deine Datenbank.
3. Freischaltung: Per Webhook oder API‑Call wird der Zugang erstellt. Übertrage nur die minimal notwendigen Felder. Prüfe, was der Webhook tatsächlich sendet – oft sind mehr Daten enthalten als nötig.
4. Willkommens‑E‑Mail: Transaktionsmail mit Zugangsdaten – kein Marketing, keine Newsletter‑Anmeldung 'nebenbei'.
5. Kursbereich: Ab hier gelten die Regeln deiner Kursplattform. Datenminimierung heißt: nur speichern, was für den Kursbetrieb notwendig ist.

Für den operativen Teil 'Checkout → Zugang → Tests' passt außerdem Digistore24 Automatisierung.

Videos sind oft der größte DSGVO‑Hebel bei Online‑Kursen: Embeds bringen schnell Drittanbieter‑Requests, Cookies oder Tracking mit – und zwar schon beim Seitenaufruf, nicht erst beim Abspielen.

Das Embed‑Problem erklärt

Wenn du ein YouTube‑ oder Vimeo‑Video per Embed einbindest, lädt der Browser deines Kursteilnehmers Daten direkt von den Servern des Anbieters. Dabei werden IP‑Adresse, Browser‑Infos und ggf. Cookies an den Drittanbieter übertragen – ohne dass der Nutzer aktiv auf 'Play' gedrückt hat. Das ist datenschutzrechtlich problematisch, weil die Datenübertragung ohne Rechtsgrundlage stattfindet.

Ansätze im Vergleich

• EU‑gehostetes Video (z. B. über die Kursplattform): Videos liegen auf EU‑Servern, keine Drittanbieter‑Requests, kein Consent nötig. Einfachste Lösung aus DSGVO‑Sicht.
• Selbst gehostetes Video: Volle Kontrolle, aber aufwendig (Bandbreite, Encoding, Player). Für die meisten Kursanbieter nicht praktikabel.
• EU‑CDN / EU‑Video‑Hosting: Spezialisierte Anbieter mit EU‑Standort. Guter Kompromiss zwischen Komfort und Datenschutz.
• YouTube/Vimeo mit Zwei‑Klick‑Lösung: Embed lädt erst nach Einwilligung. Technisch machbar, aber Nutzer‑Erlebnis im Kursbereich leidet (jedes Video einzeln bestätigen).
• Vimeo‑Privat‑Links ohne Embed: Nutzer wird zu Vimeo weitergeleitet – Tracking dort bleibt.

Wenn du Plattformen in Bezug auf Video‑Hosting und DSGVO vergleichen willst: Plattform‑Vergleich.

Beim Checkout passieren die sensibelsten Datenflüsse: Kaufdaten, Rechnungsangaben und Zahlungsdetails. DSGVO‑sauber wird es, wenn du die Rollen und Verantwortlichkeiten verstehst und deine eigenen Daten minimal hältst.

Rollen klären: wer ist wofür verantwortlich?

• Du (Kursanbieter): Verantwortlicher für die Verarbeitung der Kundendaten im Kursbereich. Du entscheidest über Zweck und Mittel.
• Zahlungsanbieter als Reseller (z. B. Digistore24): Tritt als eigenständiger Vertragspartner des Käufers auf. Verarbeitet Zahlungsdaten in eigener Verantwortung. Du bist nicht Auftraggeber der Zahlungsverarbeitung, sondern Partner. Hier brauchst du keinen AVV, sondern eine klare Vereinbarung über Datenweitergabe.
• Zahlungsanbieter als Auftragsverarbeiter (z. B. Stripe in manchen Setups): Verarbeitet Daten in deinem Auftrag → AVV erforderlich.

Die Abgrenzung hängt vom konkreten Modell ab. Prüfe die Datenschutz‑Dokumentation deines Anbieters und kläre, ob der Anbieter als eigenständiger Verantwortlicher, gemeinsamer Verantwortlicher oder Auftragsverarbeiter agiert.

Welche Daten verarbeitet wer?

• Zahlungsanbieter: Zahlungsdaten (Kreditkarte, PayPal, Überweisung), Rechnungsadresse, Steuer‑Infos, Kaufbetrag.
• Du (Kursbereich): E‑Mail, Produkt/Kurs‑Zuordnung, Transaktions‑Referenz. Mehr brauchst du in der Regel nicht.

Wenn du Digistore nutzt und Automatisierung sauber testen willst: Digistore24 Automatisierung. Für den kompletten Verkaufspfad: Online‑Kurs verkaufen.

Der häufigste Fehler ist Vermischung: Kurszugang‑Mails (notwendig) werden wie Marketing behandelt oder umgekehrt. Halte die Zwecke sauber getrennt – das schützt dich und deine Teilnehmer.

Transaktionsmails vs. Marketing‑Mails

• Transaktionsmails: Zugangsdaten, Kaufbestätigung, Passwort‑Reset, Support‑Antworten. Diese sind für die Vertragserfüllung notwendig und brauchen keinen gesonderten Opt‑In – aber sie dürfen keine Werbung enthalten.
• Marketing‑Mails: Newsletter, Kurs‑Empfehlungen, Launch‑Ankündigungen, Upsells. Diese erfordern eine nachweisbare Einwilligung (Double‑Opt‑In).

Double‑Opt‑In: Schritt für Schritt

1. Nutzer trägt E‑Mail ein (z. B. Newsletter‑Formular, Lead‑Magnet). Kein Häkchen 'vorausgefüllt'.
2. System sendet Bestätigungsmail mit eindeutigem Link. Diese Mail enthält keine Werbung – nur die Bestätigungsaufforderung.
3. Nutzer klickt den Link → Einwilligung ist bestätigt. Ab jetzt darfst du Marketing‑Mails senden.
4. System protokolliert: Zeitpunkt der Anmeldung, IP‑Adresse, Zeitpunkt der Bestätigung, Quelle (welches Formular/welche Seite).

Was du dokumentieren/protokollieren solltest

Bestehende Abonnenten ohne DOI‑Nachweis

Wenn du Kontakte hast, für die kein sauberer DOI‑Nachweis existiert, ist der sicherste Weg eine Re‑Opt‑In‑Kampagne: Sende eine Mail mit der Bitte um erneute Bestätigung. Wer nicht bestätigt, wird aus der Marketing‑Liste entfernt. Das fühlt sich nach Verlust an, schützt aber vor Abmahnungen.

Segmentierung und Datenminimierung

• Erfasse nur Daten, die du für die Segmentierung wirklich nutzt (z. B. Kursinteresse).
• Vermeide 'nice to have'‑Felder (Geburtsdatum, Telefon, Firmenname) ohne konkreten Zweck.
• Lösche inaktive Kontakte regelmäßig oder archiviere sie ohne aktives Marketing.
• Nutze Tags/Listen bewusst – jede Kategorie sollte einen dokumentierbaren Zweck haben.

Viele DSGVO‑Probleme sind eigentlich 'Setup‑Inkonsistenz': Die Datenschutzerklärung sagt A, technisch passiert B. Halte deine Pflichtseiten synchron mit deinem tatsächlichen Stack – und aktualisiere sie, wenn sich dein Setup ändert.

Datenschutzerklärung: was rein muss

• Name und Kontaktdaten des Verantwortlichen
• Zwecke und Rechtsgrundlagen der Datenverarbeitung (pro Dienst/Zweck)
• Kategorien der verarbeiteten Daten
• Empfänger / Kategorien von Empfängern (z. B. Zahlungsanbieter, E‑Mail‑Dienst)
• Drittlandtransfers und deren Grundlage (SCCs, Angemessenheitsbeschluss)
• Speicherdauer oder Kriterien für die Festlegung
• Betroffenenrechte (Auskunft, Löschung, Widerspruch, Datenübertragbarkeit)
• Hinweis auf Beschwerderecht bei der Aufsichtsbehörde
• Consent‑Logik: welche Cookies/Tracker, wie funktioniert Opt‑In/Opt‑Out

Konsistenz‑Regel: Was du in der Datenschutzerklärung beschreibst, muss mit dem übereinstimmen, was technisch passiert. Wenn du Google Analytics auflistest, muss es auch tatsächlich im Einsatz sein (und umgekehrt). Nach jeder Tool‑Änderung: Datenschutzerklärung aktualisieren.

Impressum

• Pflicht nach § 5 DDSG (vormals TMG) für geschäftsmäßige Online‑Dienste.
• Muss von jeder Seite aus mit maximal zwei Klicks erreichbar sein.
• Inhalt: vollständiger Name, Anschrift, E‑Mail, ggf. Telefon, Registernummer, USt‑IdNr.
• Bei Einzelunternehmen: Vor‑ und Nachname, ladungsfähige Anschrift.

Widerrufsrecht bei digitalen Produkten

Für digitale Inhalte (Online‑Kurse) gelten besondere Regeln: Verbraucher haben grundsätzlich ein 14‑tägiges Widerrufsrecht. Dieses kann unter bestimmten Voraussetzungen erlöschen, z. B. wenn der Verbraucher ausdrücklich zustimmt, dass mit der Ausführung begonnen wird, und bestätigt, dass er sein Widerrufsrecht verliert. Die genaue Umsetzung hängt von deinem Vertriebsmodell ab – bei Resellern wie Digistore24 regelt oft der Reseller die Widerrufsbelehrung.

AGB

AGB sind für Online‑Kurse nicht gesetzlich vorgeschrieben, aber empfehlenswert. Sie klären Nutzungsrechte, Haftung, Verfügbarkeit und Zahlungsbedingungen. Wichtig: AGB dürfen keine Klauseln enthalten, die gesetzliche Verbraucherrechte aushebeln.

US‑Tools sind nicht automatisch 'verboten', aber sie erhöhen den Prüf‑ und Dokumentationsaufwand. Für viele Kursanbieter ist ein EU‑Stack der pragmatische Default, weil er Komplexität reduziert und weniger Angriffsfläche bietet.

Rechtlicher Rahmen (vereinfacht)

• Angemessenheitsbeschluss: Die EU kann bestimmte Drittländer als 'angemessen' einstufen (z. B. das EU‑US Data Privacy Framework seit 2023). Transfers dorthin sind dann grundsätzlich zulässig – aber Angemessenheitsbeschlüsse können widerrufen werden (wie beim Privacy Shield).
• Standardvertragsklauseln (SCCs): Vertragliche Garantien für Transfers in Drittländer ohne Angemessenheitsbeschluss. Erfordern eine Transfer Impact Assessment (TIA).
• Ergänzende Maßnahmen: Verschlüsselung, Pseudonymisierung, vertragliche Zusagen – können SCCs ergänzen.

Entscheidungsrahmen für Kursanbieter

Wann US‑Tools pragmatisch vertretbar sind

• Der Anbieter ist unter dem EU‑US Data Privacy Framework zertifiziert.
• SCCs sind abgeschlossen und eine TIA dokumentiert.
• Die übertragenen Daten sind minimal (z. B. nur E‑Mail, kein Profil‑Tracking).
• Es gibt keinen vergleichbaren EU‑Anbieter für den spezifischen Zweck.

Wann EU‑Alternativen klar vorzuziehen sind

• Du verarbeitest sensible Daten (Gesundheit, Finanzen, Minderjährige).
• Der EU‑Anbieter bietet vergleichbare oder bessere Funktionalität.
• Du willst Komplexität minimieren (kein TIA, kein Monitoring von Angemessenheitsbeschlüssen).
• Deine Zielgruppe legt Wert auf EU‑Datenschutz (Vertrauensfaktor).

Wenn du deinen gesamten Tech‑Stack bewerten willst: Plattform‑Vergleich.

• 'Banner ist da, also passt's': Embeds und Tracking‑Skripte laden trotzdem vor Einwilligung. Fix: Im Browser testen (DevTools → Network‑Tab bei abgelehntem Consent).
• Zu viele Tools: Daten fließen unkontrolliert zwischen 8+ Diensten, niemand weiß mehr, was wo gespeichert ist. Fix: Tool‑Stack reduzieren, Mini‑Inventar erstellen.
• Zahlungsdaten im Kursbereich: Rechnungs‑ und Zahlungsdetails werden unnötig in die Kursplattform übertragen. Fix: Webhook‑Payload prüfen, nur Referenz‑ID + E‑Mail speichern.
• Newsletter ohne DOI: Marketing‑Mails ohne nachvollziehbare Einwilligung. Fix: DOI‑Prozess implementieren, bestehende Kontakte per Re‑Opt‑In bereinigen.
• Datenschutzerklärung veraltet: Tools wurden gewechselt, aber die Datenschutzerklärung listet noch den alten Stack. Fix: Bei jeder Tool‑Änderung Pflichtseiten aktualisieren.
• Kein AVV abgeschlossen: Dienste werden genutzt, aber der AVV wurde nie aktiv abgeschlossen. Fix: AVV‑Check pro Dienst, Kopie speichern.
• Marketing in Transaktionsmails: Die Zugangsmail enthält 'nebenbei' einen Upsell oder Newsletter‑Teaser. Fix: Transaktionsmails strikt sachlich halten.
• YouTube‑Embed im Kursbereich ohne Consent: Video lädt sofort, Google erhält Nutzerdaten. Fix: EU‑Video‑Hosting nutzen oder Zwei‑Klick‑Lösung implementieren.
• Kein Löschkonzept: Wenn Teilnehmer Löschung verlangen, gibt es keinen Prozess. Fix: Löschprozess dokumentieren, bei allen relevanten Diensten umsetzen können.
• Opt‑In‑Checkbox vorausgewählt: Newsletter‑Checkbox ist bereits angehakt. Fix: Checkbox immer leer starten, aktive Einwilligung erfordern.

Wenn du deinen Verkauf von Anfang an sauber aufsetzen willst: Online‑Kurs verkaufen.

Grundlagen

• Datenfluss skizziert: welche Daten fließen zwischen welchen Diensten?
• Tool‑Inventar erstellt: jeder Dienst mit Zweck, Datenarten, Hosting‑Region.
• AVVs abgeschlossen und gespeichert (pro Auftragsverarbeiter).
• Drittlandtransfers dokumentiert und begründet (SCCs, Angemessenheitsbeschluss).

Website & Tracking

• Consent‑Lösung implementiert (falls nicht‑essentielle Cookies/Tracker im Einsatz).
• Getestet: bei abgelehntem Consent laden keine Drittanbieter‑Skripte (DevTools prüfen).
• Analytics datenschutzfreundlich oder mit Consent eingebunden.
• Embeds (Video, Social) laden nur nach Einwilligung.

Pflichtseiten

• Impressum vorhanden, korrekt und erreichbar.
• Datenschutzerklärung aktuell und konsistent mit dem tatsächlichen Setup.
• Widerrufsbelehrung vorhanden (oder über Reseller geregelt und geprüft).
• AGB vorhanden (empfohlen, nicht Pflicht).

Checkout & Zahlung

• Rolle des Zahlungsanbieters geklärt (Verantwortlicher, Auftragsverarbeiter, Reseller).
• Nur notwendige Daten werden an den Kursbereich übertragen.
• Webhook‑Payload geprüft: keine unnötigen Felder gespeichert.
• Testkauf durchgeführt: Zugang funktioniert, E‑Mails korrekt.

E‑Mail

• Transaktionsmails und Marketing‑Mails sauber getrennt.
• Double‑Opt‑In für Newsletter implementiert und getestet.
• DOI‑Nachweise werden protokolliert (Zeitpunkt, Quelle, Bestätigung).
• Abmelde‑Link in jeder Marketing‑Mail vorhanden.

Kursbereich & Video

• Videos ohne Drittanbieter‑Embeds oder mit Consent‑Lösung eingebunden.
• Nur notwendige Nutzerdaten im Kursbereich gespeichert.
• Löschprozess definiert: Teilnehmer‑Daten können auf Anfrage gelöscht werden.
• Auskunftsrecht umsetzbar: du kannst auf Anfrage alle gespeicherten Daten exportieren.

Laufender Betrieb

• Jährlicher Review: Tool‑Inventar, AVVs, Sub‑Dienstleister‑Listen aktuell?
• Bei Tool‑Wechsel: Datenschutzerklärung und AVV‑Liste aktualisieren.
• Inaktive E‑Mail‑Kontakte regelmäßig bereinigen.
• Datenpannen‑Prozess definiert (wer meldet was an wen innerhalb von 72 Stunden).

Wenn du die Umsetzung Schritt für Schritt willst, gehe die Checkliste durch und teste den kompletten Ablauf (Zahlung → Zugang → E‑Mails → Support‑Fallback) einmal mit einem Testkauf. Mehr zur Kursstruktur: Online‑Kurs erstellen.