DSGVO-Compliance im Off-Page-Monitoring
DSGVO Off-Page SEO bezeichnet die datenschutzrechtskonforme Verarbeitung personenbezogener Daten beim Off-Page-Monitoring, also beim Beobachten von Backlinks, Brand Mentions, Bewertungen und KI-Zitierungen. Sobald dabei Daten wie IP-Adressen, Autoren- und Journalistenkontakte oder Reviewer-Namen erhoben werden, gelten die Pflichten der DSGVO und des oesterreichischen DSG: gueltige Rechtsgrundlage, Auftragsverarbeitungsvertraege mit Tool-Anbietern, geregelter Drittlandtransfer und ein dokumentiertes Loeschkonzept.
Auf einen Blick
- ✓Off-Page-Monitoring verarbeitet regelmaessig personenbezogene Daten: IP-Adressen, Autoren- und Journalistenkontakte, Klarnamen unter Bewertungen sowie LinkedIn- und XING-Profile.
- ✓Der EuGH (Breyer, C-582/14) qualifiziert dynamische IP-Adressen als personenbezogen, sobald der Verantwortliche die Person ueber den Provider identifizieren kann.
- ✓Auftragsverarbeitungsvertraege nach Art. 28 DSGVO mit allen Monitoring-Tools wie Ahrefs, Semrush, BrandMentions und Brand24 sind Pflicht; der Kunde ist meist Verantwortlicher, das Tool Auftragsverarbeiter.
- ✓Berechtigtes Interesse nach Art. 6 Abs. 1 lit. f DSGVO ist die haeufigste Rechtsgrundlage, erfordert aber zwingend einen dokumentierten Abwaegungstest.
- ✓Bei US-basierten Tools ist der Drittlandtransfer je Anbieter zu pruefen: EU-US Data Privacy Framework oder Standardvertragsklauseln plus Transfer Impact Assessment.
- ✓In Oesterreich gilt neben der DSGVO das DSG mit der DSB als Aufsichtsbehoerde; institutionelle Kanaele wie WKO und Fachmedien sind datenschutzrechtlich unkritischer als breites Social-Scraping.
- ✓Speicherbegrenzung (Art. 5), Loeschkonzept, IP-Anonymisierung und ein VVT fuer Off-Page-Workflows sind die Kernpflichten; das kumulierte Bussgeldvolumen von rund 6,11 Milliarden Euro markiert das Risiko.
Off-Page-Monitoring beobachtet, was ausserhalb der eigenen Website ueber eine Marke passiert: neue Backlinks, Erwaehnungen in Fachmedien, Bewertungen, Social-Profile und zunehmend Zitierungen in KI-Antworten. Genau dabei werden regelmaessig personenbezogene Daten verarbeitet, oft ohne dass es den Beteiligten bewusst ist. Dieser Artikel zeigt, wann im Off-Page-SEO die DSGVO greift, welche Vertraege und Rechtsgrundlagen noetig sind und wie Sie das Monitoring im DACH-Raum rechtssicher aufsetzen.
Warum Datenschutz im Off-Page-Monitoring geschaeftskritisch ist
Off-Page-SEO galt lange als rein technische Disziplin. Tatsaechlich verarbeitet jedes Backlink-Audit, jedes Brand-Monitoring und jede Outreach-Kampagne Daten, die sich auf identifizierbare Personen beziehen: Namen von Autorinnen und Journalisten, Klarnamen unter Bewertungen, Social-Profile und IP-Adressen. Damit ist die Verarbeitung nicht datenschutzfrei, sondern fuellt den vollen Anwendungsbereich der DSGVO aus.
Das Haftungsrisiko ist real und steigt. Bis zum 1. Maerz 2026 summierten sich die kumulierten DSGVO-Bussgelder auf rund 6,11 Milliarden Euro ueber 2.685 erfasste Bussgeldverfahren, bei einem Durchschnitt von 2.277.122 Euro je Verfahren (internationaler Tracker, EU-weit). Diese Zahlen sind kein abstraktes Restrisiko, sondern der finanzielle Anker, an dem Agenturen und ihre Kunden ihre Off-Page-Prozesse ausrichten sollten.
Der DACH-Kontext verschaerft das Thema durch die Tool-Realitaet. Die meisten Off-Page-Werkzeuge laufen als Cloud-SaaS, und Cloud ist in oesterreichischen Unternehmen Standard: 52 Prozent der Unternehmen nutzten 2025 Cloud Services, 30 Prozent Kuenstliche Intelligenz und 26 Prozent Data Analytics (Oesterreich, Betriebe ab 10 Beschaeftigten). Jede dieser Cloud-Verarbeitungen braucht eine saubere datenschutzrechtliche Grundlage, sobald personenbezogene Daten im Spiel sind.
Funktionsweise: Wann personenbezogene Daten verarbeitet werden
Der entscheidende erste Schritt ist die Pruefung, ob ueberhaupt ein Personenbezug vorliegt. Im Off-Page-Monitoring ist die Antwort oft Ja, an mehreren Stellen gleichzeitig.
- IP-Adressen: Der EuGH hat im Verfahren Breyer entschieden, dass eine dynamische IP-Adresse fuer den Verantwortlichen ein personenbezogenes Datum darstellt, sofern er ueber rechtliche Mittel verfuegt, die Person ueber einen Dritten wie den Internetzugangsanbieter zu identifizieren (EuGH C-582/14, zur Richtlinie 95/46/EG). Das Urteil erging vor der DSGVO, der Kerngedanke des relativen Personenbezugs wird in der Praxis aber auf Logfiles, Analytics und Crawler-Daten uebertragen.
- Autoren- und Journalistenkontakte: Namen, E-Mail-Adressen und Redaktionszuordnungen aus PR-Datenbanken sind eindeutig personenbezogen.
- Bewertungen und Social-Mentions: Klarnamen unter Reviews, Profilnamen auf LinkedIn oder XING und zitierte Aussagen lassen sich konkreten Personen zuordnen.
- Reviewer- und Kommentardaten: Auch Pseudonyme koennen personenbezogen sein, wenn sie sich mit weiteren Daten zu einer Person verknuepfen lassen.
Sobald einer dieser Faelle vorliegt, brauchen Sie eine Rechtsgrundlage nach Art. 6 DSGVO. Im B2B-Off-Page-Bereich ist das in der Regel das berechtigte Interesse nach Art. 6 Abs. 1 lit. f DSGVO. Dieses setzt zwingend einen dokumentierten Abwaegungstest voraus: Ihr Interesse am Monitoring gegen die schutzwuerdigen Interessen der betroffenen Person. Ohne dokumentierte Abwaegung fehlt die Grundlage, auch wenn das Interesse sachlich berechtigt waere.
Strategie: AVV, Drittlandtransfer und Rollenverteilung
Off-Page-Monitoring funktioniert fast nie ohne externe Tools. Damit entstehen zwei zentrale Pflichtenkreise: Auftragsverarbeitung und Drittlandtransfer.
Auftragsverarbeitung nach Art. 28 DSGVO
Wer Ahrefs, Semrush, BrandMentions oder Brand24 einsetzt und dabei personenbezogene Daten verarbeiten laesst, braucht einen Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO. Das Unternehmen beziehungsweise die Agentur ist Verantwortlicher, der Tool-Anbieter ist Auftragsverarbeiter. Ein tragfaehiger AVV regelt mindestens:
- Gegenstand und Zweck: Welche Daten zu welchem Zweck verarbeitet werden duerfen, und das Verbot der Zweckaenderung.
- Weisungsbindung: Der Auftragsverarbeiter handelt nur auf dokumentierte Weisung des Verantwortlichen.
- Subunternehmer: Genehmigungspflicht und Liste der eingesetzten Sub-Auftragsverarbeiter, etwa Hosting- und Analytics-Dienstleister.
- TOM und Loeschung: Technische und organisatorische Massnahmen sowie die Rueckgabe oder Loeschung der Daten nach Vertragsende.
Drittlandtransfer bei US-Tools
Viele etablierte Off-Page-Tools sind US-basiert oder verarbeiten in den USA. Damit wird der Transfer in ein Drittland zum eigenen Pruefpunkt. Zulaessig ist er ueber das EU-US Data Privacy Framework, sofern der konkrete Anbieter zertifiziert ist, oder ueber Standardvertragsklauseln (SCC) mit ergaenzendem Transfer Impact Assessment (TIA). Pruefen Sie pro Tool einzeln, auf welcher Grundlage der Transfer laeuft, und dokumentieren Sie das Ergebnis. Eine pauschale Annahme, das DPF decke alles ab, traegt nicht.
Reputation, Reviews und Digital PR
Bei Bewertungen und Mentions ist berechtigtes Interesse meist die passende Grundlage, aber mit Grenzen: Die Verarbeitung muss auf das Monitoring beschraenkt bleiben, eine Anreicherung zu umfassenden Personenprofilen geht darueber hinaus. In der Digital PR gilt im B2B-Bereich der Outreach an berufliche Redaktionskontakte regelmaessig als von berechtigtem Interesse gedeckt, weil sich die Ansprache auf die berufliche Rolle bezieht. Werblicher Erstkontakt per E-Mail unterliegt im DACH-Raum zusaetzlich dem Wettbewerbs- und Telekommunikationsrecht, das hier nicht durch die DSGVO ersetzt wird.
Best Practices fuer datenschutzkonformes Off-Page-Monitoring
Die folgenden Massnahmen machen das Monitoring nachweisbar rechtskonform, ohne die SEO-Wirkung zu schwaechen.
- VVT pflegen: Fuehren Sie das Verzeichnis der Verarbeitungstaetigkeiten auch fuer Off-Page-Workflows. Jede wiederkehrende Verarbeitung, etwa monatliche Backlink-Audits oder dauerhaftes Brand-Monitoring, gehoert mit Zweck, Rechtsgrundlage und Loeschfrist erfasst.
- AVV vor Tool-Start abschliessen: Holen Sie den AVV ein, bevor das Tool produktiv Daten verarbeitet, nicht erst im Audit-Fall.
- IP-Anonymisierung umsetzen: Anonymisieren oder pseudonymisieren Sie IP-Adressen in Analytics und Logs so frueh wie moeglich, idealerweise vor der Speicherung.
- Loeschkonzept definieren: Setzen Sie konkrete Speicherfristen entlang des Grundsatzes der Speicherbegrenzung nach Art. 5 Abs. 1 lit. e DSGVO. Crawler- und Audit-Daten brauchen ein Verfallsdatum, kein unbegrenztes Archiv.
- Abwaegungstest dokumentieren: Halten Sie den Test zum berechtigten Interesse schriftlich fest, je Verarbeitungskategorie. Das ist Teil der Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO.
- Datenminimierung im Outreach: Erheben Sie in PR-Datenbanken nur Kontaktdaten, die Sie fuer die berufliche Ansprache brauchen, und keine privaten Zusatzinformationen.
DACH-spezifische Pflichten und rechtskonforme Kanaele
In Oesterreich gilt neben der DSGVO das Datenschutzgesetz (DSG), Aufsichtsbehoerde ist die Datenschutzbehoerde (DSB). Das DSG ergaenzt die DSGVO um nationale Regelungen, etwa zur Verarbeitung durch Behoerden und zu Sanktionen, hebt die europaeischen Pflichten aber nicht auf. Fuer den Linkaufbau ist das praktisch relevant, weil etablierte DACH-Kanaele rechtskonform nutzbar sind: das WKO-Firmen-A-Z, oesterreichische Fachmedien und Branchenverzeichnisse liefern Earned Media und Erwaehnungen aus oeffentlich zugaenglichen, institutionellen Quellen. Diese Kanaele sind datenschutzrechtlich unkritischer als das breite Abgreifen privater Social-Profile.
Berufliche Netzwerke bleiben dabei ein zentraler Hebel. In Oesterreich gab es Anfang 2025 7,30 Millionen Social-Media-Identitaeten, was 80,1 Prozent der Bevoelkerung entspricht, und die LinkedIn-Werbereichweite lag bei 31,1 Prozent der Internetnutzer (Oesterreich). Das Monitoring beruflicher Erwaehnungen ist also wirkungsvoll, muss sich aber auf den beruflichen Kontext und das berechtigte Interesse stuetzen.
AI-Zitierungs-Monitoring datenschutzkonform aufsetzen
Das Tracking der eigenen Marke in KI-Antworten ist der neue Off-Page-Kanal. Die Reichweite ist enorm: ChatGPT erreichte im Oktober 2025 rund 800 Millionen woechentliche aktive Nutzer (weltweit), und Google AI Overviews kamen im zweiten Quartal 2025 auf 2 Milliarden monatliche Nutzer in 200 Laendern und Territorien (weltweit). Zu pruefen, ob und wie die eigene Marke dort zitiert wird, ist legitimes Brand-Monitoring.
Der Datenschutz-Punkt liegt hier auf der Datenrichtung. Beim GEO-Monitoring beobachten Sie die Ausgaben der KI-Systeme zu Ihrer eigenen Marke. Solange Sie nur eigene Markenbegriffe abfragen und die Ergebnisse auswerten, verarbeiten Sie in der Regel keine personenbezogenen Drittdaten. Heikel wird es, wenn Prompts oder Logs Nutzer- oder Kundendaten enthalten oder wenn Antworten Aussagen ueber identifizierbare Dritte erfassen und gespeichert werden. Dann gelten dieselben Pflichten wie im uebrigen Off-Page-Monitoring: Rechtsgrundlage, Minimierung und Loeschfrist.
Haeufige Fehler
- Kein AVV mit Monitoring-Tools: Der Einsatz von Ahrefs, Semrush oder Brand24 ohne Auftragsverarbeitungsvertrag ist einer der haeufigsten Verstoesse und im Audit sofort sichtbar.
- Drittlandtransfer ungeprueft: Die pauschale Annahme, US-Tools seien ueber das DPF automatisch abgedeckt, ersetzt keine Pruefung je Anbieter inklusive SCC und TIA.
- Fehlende Abwaegung beim berechtigten Interesse: Art. 6 Abs. 1 lit. f DSGVO ohne dokumentierten Abwaegungstest traegt nicht, auch wenn das Interesse plausibel ist.
- Unbegrenzte Speicherung: Crawler- und Backlink-Daten ohne Loeschkonzept verstossen gegen die Speicherbegrenzung nach Art. 5 DSGVO.
- Off-Page im VVT vergessen: Viele Verzeichnisse decken nur die Website ab, nicht das laufende Brand- und Backlink-Monitoring.
- Profilbildung statt Monitoring: Das Anreichern von Reviewer- oder Social-Daten zu umfassenden Personenprofilen ueberschreitet die Grenze des berechtigten Interesses.
- IP-Adressen unbehandelt speichern: Rohe IP-Logs ohne Anonymisierung erhoehen Datenmenge und Risiko unnoetig.
Metriken und Nachweis der Compliance
Datenschutz-Compliance ist messbar und nachweispflichtig. Folgende Kennzahlen und Belege machen den Stand pruefbar:
- AVV-Abdeckungsquote: Anteil der eingesetzten Off-Page-Tools mit gueltigem Auftragsverarbeitungsvertrag, Ziel 100 Prozent.
- Transfer-Dokumentation: Je US-Tool ein hinterlegter Nachweis der Transfergrundlage, also DPF-Zertifizierung oder SCC plus TIA.
- Loeschfristen-Einhaltung: Nachweis, dass Crawler- und Audit-Daten nach Ablauf der definierten Frist tatsaechlich geloescht oder anonymisiert werden.
- Reaktionszeit auf Betroffenenrechte: Bearbeitungsdauer von Auskunfts- und Loeschantraegen, mit der gesetzlichen Frist als Obergrenze.
- VVT-Aktualitaet: Datum der letzten Pruefung des Verzeichnisses der Verarbeitungstaetigkeiten fuer alle Off-Page-Workflows.
- Dokumentierte Abwaegungstests: Anzahl der Verarbeitungskategorien mit schriftlich festgehaltener Interessenabwaegung.
Die Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO verlangt, dass Sie die Einhaltung nicht nur sicherstellen, sondern auch belegen koennen. Im Streitfall zaehlt die Dokumentation, nicht die gute Absicht.
Weiterfuehrendes: Verantwortlichkeit zwischen Agentur und Kunde
Die haeufigste offene Frage in DACH-Mandaten ist die Rollenverteilung zwischen Agentur und Kunde. In der Praxis ist meist der Kunde Verantwortlicher fuer die Off-Page-Daten seiner Marke, waehrend die Agentur als Auftragsverarbeiterin oder, bei eigenen Zwecken, als gemeinsam Verantwortliche auftritt. Diese Rolle gehoert vertraglich klar geregelt, samt Weisungen, Tool-Liste und Loeschpflichten. Klaeren Sie ausserdem, wer Betroffenenanfragen entgegennimmt und wer die fristgerechte Beantwortung sicherstellt.
Als naechste Schritte empfehlen sich ein Tool-Inventar mit AVV- und Transferstatus, ein dokumentiertes Loeschkonzept fuer alle Crawler- und Monitoring-Daten und die Aufnahme der Off-Page-Workflows ins Verzeichnis der Verarbeitungstaetigkeiten. Wer diese drei Bausteine sauber aufsetzt, kann Backlink-Audits, Brand-Monitoring und KI-Zitierungs-Tracking betreiben, ohne die DSGVO oder das oesterreichische DSG zu verletzen.
Daten & Statistiken
Kumulierte DSGVO-Bussgelder rund 6,11 Milliarden Euro ueber 2.685 Verfahren, Durchschnitt 2.277.122 Euro je Verfahren (Stand 1. Maerz 2026)
CMS GDPR Enforcement Tracker Report 2026 (7. Ausgabe), Numbers and Figures [EU-weit] (2026)Dynamische IP-Adresse ist fuer den Verantwortlichen ein personenbezogenes Datum, wenn er rechtliche Mittel zur Identifizierung der Person ueber einen Dritten (Internetzugangsanbieter) besitzt
dejure.org - EuGH, Rechtssache C-582/14 (Breyer / Bundesrepublik Deutschland) [EU/EuGH] (2016)52 Prozent der oesterreichischen Unternehmen nutzten 2025 Cloud Services, 30 Prozent Kuenstliche Intelligenz, 26 Prozent Data Analytics
STATISTIK AUSTRIA - Erhebung ueber den IKT-Einsatz in Unternehmen 2025 [Oesterreich] (2025)7,30 Millionen Social-Media-Identitaeten (80,1 Prozent der Bevoelkerung); LinkedIn-Werbereichweite 31,1 Prozent der Internetnutzer (Januar 2025)
DataReportal - Digital 2025: Austria [Oesterreich] (2025)ChatGPT rund 800 Millionen woechentliche aktive Nutzer (Oktober 2025)
TechCrunch - Sam Altman says ChatGPT has hit 800M weekly active users [weltweit] (2025)Google AI Overviews 2 Milliarden monatliche Nutzer in 200 Laendern und Territorien (Q2 2025)
TechCrunch - Google's AI Overviews have 2B monthly users [weltweit] (2025)Häufig gestellte Fragen
Wann werden im Off-Page-SEO personenbezogene Daten verarbeitet?
Brauche ich einen AVV mit Ahrefs, Semrush oder Brand24?
Welche Rechtsgrundlage gilt fuer Brand-Monitoring und Bewertungen?
Was ist beim Einsatz US-basierter SEO-Tools zu beachten?
Gilt in Oesterreich nur die DSGVO oder auch das DSG?
Ist das Tracking der eigenen Marke in ChatGPT und AI Overviews datenschutzkonform?
Wer ist verantwortlich, Agentur oder Kunde?
Wie schneidet deine Website ab?
Erhalte einen kostenlosen, KI-gestützten SEO-Report deiner Website per E-Mail – technische SEO, On-Page, Keywords & Wettbewerber. Unverbindlich.
Kostenlosen SEO-Audit anfordern →