Das Wichtigste in Kürze
- Der Klassiker: Schriften und Karten, die ungefragt von fremden Servern geladen werden.
- Alles, was nicht technisch notwendig ist, darf erst nach aktiver Zustimmung laden.
- Ein Cookie-Banner, der nur „OK“ anbietet, ist schlimmer als keiner.
- Vieles davon ist keine Rechts-, sondern eine Bau-Entscheidung: lokal einbinden statt extern laden.
Datenschutz ist für viele Betriebe ein Angstthema — meistens, weil unklar ist, was konkret zu tun ist. Die gute Nachricht: Die häufigsten Probleme sind technischer Natur und beim Bau der Website vermeidbar. Man muss sie nur kennen. Der wichtige Hinweis vorweg: Wir sind Webentwickler, keine Anwälte. Was hier steht, ist Praxiserfahrung aus dem Bau von Websites, keine Rechtsberatung.
Keine Rechtsberatung
Dieser Artikel beschreibt technische Praxis, keine juristische Bewertung. Für verbindliche Aussagen zu deinem konkreten Fall führt kein Weg an einem Anwalt oder Datenschutzbeauftragten vorbei. Rechtstexte selbst holen wir uns bei einem darauf spezialisierten Dienst — nicht aus dem Bauch.
Der Klassiker: alles, was von fremden Servern lädt
Das mit Abstand häufigste Problem. Viele Websites laden Schriften, Karten, Icons oder Skripte direkt von fremden Servern. Sobald jemand deine Seite öffnet, geht seine IP-Adresse dorthin — ohne dass er gefragt wurde. Genau das war der Kern der bekannten Abmahnwelle rund um extern geladene Google Fonts.
Die Lösung ist unspektakulär: Alles, was der Browser lädt, kommt vom eigenen Server. Schriften herunterladen und lokal einbinden, Icons als Datei im Projekt, keine Skripte von fremden Adressen. Das ist keine juristische Frage, sondern eine Entscheidung beim Bau — und der Grund, warum wir grundsätzlich nichts extern laden.
Wie du das selbst prüfst
Öffne deine Seite im Browser, drücke F12, geh auf den Reiter „Netzwerk“ und lade neu. Dort siehst du jede Adresse, von der etwas geladen wird. Alles, was nicht deine eigene Domain ist, gehört auf den Prüfstand.
Cookie-Banner: mehr falsch als richtig gemacht
Ein Banner allein reicht nicht — er muss korrekt funktionieren. Die Fehler, die wir am häufigsten sehen:
- Es lädt schon, bevor zugestimmt wurde. Der häufigste und schwerwiegendste Fehler: Das Banner erscheint, aber die Tracking-Skripte laufen längst. Dann ist der Banner reine Dekoration.
- Nur ein „OK“-Knopf. Ablehnen muss genauso einfach sein wie Zustimmen. Kein verstecktes Ablehnen zwei Klicks tiefer.
- Vorangekreuzte Kästchen. Zustimmung muss aktiv erfolgen, nicht durch Nichtstun.
- Keine Möglichkeit zum Widerruf. Wer zugestimmt hat, muss das später zurücknehmen können.
Die Faustregel: Was technisch notwendig ist, damit die Seite überhaupt funktioniert, braucht keine Zustimmung. Alles andere — Statistik, Marketing, Karten, Videos von fremden Plattformen — darf erst nach aktiver Einwilligung laden.
Wer keinen Banner braucht
Wenn deine Seite gar nichts trackt und nichts von fremden Servern lädt, brauchst du auch keinen Cookie-Banner. Das ist kein Verzicht, sondern der sauberere Weg: kein Banner, der Besucher nervt, und kein Risiko, dass er falsch konfiguriert ist.
Kontaktformulare
Ein Kontaktformular verarbeitet personenbezogene Daten — da führt kein Weg vorbei. Worauf es ankommt:
- Verschlüsselte Übertragung. Ohne HTTPS gehen die Daten im Klartext durchs Netz. Das ist heute Grundausstattung.
- Nur abfragen, was du brauchst. Für eine Rückfrage brauchst du Name und Kontaktweg — nicht Geburtsdatum und Anschrift.
- Hinweis auf die Datenschutzerklärung. Direkt am Formular, verlinkt.
- Vorsicht bei fremden Formular-Diensten. Wenn das Formular über einen Drittanbieter läuft, landen die Daten dort. Das braucht einen Vertrag mit dem Anbieter und einen Eintrag in der Datenschutzerklärung. Läuft der Versand über deinen eigenen Server, entfällt das Thema.
Karten und Videos
Eine eingebettete Karte oder ein eingebettetes Video baut sofort beim Laden eine Verbindung zum Anbieter auf — auch wenn niemand darauf klickt. Zwei saubere Wege:
- Erst nach Klick laden. Statt der Karte zeigst du ein Vorschaubild mit Hinweis. Erst wer klickt, stimmt zu und lädt die Karte.
- Ganz verzichten. Oft reicht die Adresse als Text mit einem Link zur Route. Deine Kunden wissen, wie eine Karten-App funktioniert.
Impressum und Datenschutzerklärung
Beides ist Pflicht, beides gehört von jeder Unterseite aus erreichbar in den Fußbereich. Zwei Punkte, die in der Praxis schiefgehen:
Erstens: Die Datenschutzerklärung muss beschreiben, was auf deiner Seite tatsächlich passiert. Ein kopierter Text von einer anderen Seite, der Dienste auflistet, die du gar nicht nutzt — oder umgekehrt deine Dienste nicht nennt — ist schlimmer als hilfreich.
Zweitens: Beides muss aktuell bleiben. Wer nachträglich ein Tracking einbaut, muss die Erklärung anpassen. Wir nutzen dafür einen spezialisierten Rechtstexte-Dienst, der bei Gesetzesänderungen automatisch nachzieht.
Die Kurz-Checkliste
- Lädt irgendetwas von fremden Servern? (F12 → Netzwerk)
- Sind alle Schriften lokal eingebunden?
- Läuft HTTPS auf allen Seiten?
- Startet Tracking erst nach aktiver Zustimmung — falls überhaupt getrackt wird?
- Ist Ablehnen genauso leicht wie Zustimmen?
- Steht am Formular ein Link zur Datenschutzerklärung?
- Laden Karten und Videos erst nach Klick?
- Beschreibt die Datenschutzerklärung, was wirklich passiert?
- Sind Impressum und Datenschutz von überall erreichbar?
Fazit
Der größte Teil ist keine juristische, sondern eine bauliche Frage. Wer von Anfang an nichts von fremden Servern lädt, hat die häufigsten Probleme gar nicht erst — kein Banner-Drama, keine Schriften-Diskussion, keine Abmahnrisiken aus Modulen, die niemand geprüft hat.
Genau deshalb bauen wir grundsätzlich so: alles lokal, nichts extern, Tracking nur nach Zustimmung. Mehr dazu, warum das gegen fertige Baukästen spricht, steht in WordPress oder eigene Website?. Für die rechtliche Bewertung deines Falls sprich bitte mit einem Anwalt — für die technische Umsetzung mit uns.