Live-Demos Komplettpaket Ratgeber Fragen Termin Projekt starten
Recht & Technik

Website DSGVO-konform machen

Die Fehler, die wir in der Praxis am häufigsten sehen — und die alle vermeidbar sind. Wichtig vorweg: Das hier ist keine Rechtsberatung.

9 Min. Lesezeit Kraftwerk Performance

Das Wichtigste in Kürze

  • Der Klassiker: Schriften und Karten, die ungefragt von fremden Servern geladen werden.
  • Alles, was nicht technisch notwendig ist, darf erst nach aktiver Zustimmung laden.
  • Ein Cookie-Banner, der nur „OK“ anbietet, ist schlimmer als keiner.
  • Vieles davon ist keine Rechts-, sondern eine Bau-Entscheidung: lokal einbinden statt extern laden.

Datenschutz ist für viele Betriebe ein Angstthema — meistens, weil unklar ist, was konkret zu tun ist. Die gute Nachricht: Die häufigsten Probleme sind technischer Natur und beim Bau der Website vermeidbar. Man muss sie nur kennen. Der wichtige Hinweis vorweg: Wir sind Webentwickler, keine Anwälte. Was hier steht, ist Praxiserfahrung aus dem Bau von Websites, keine Rechtsberatung.

Keine Rechtsberatung

Dieser Artikel beschreibt technische Praxis, keine juristische Bewertung. Für verbindliche Aussagen zu deinem konkreten Fall führt kein Weg an einem Anwalt oder Datenschutzbeauftragten vorbei. Rechtstexte selbst holen wir uns bei einem darauf spezialisierten Dienst — nicht aus dem Bauch.

Der Klassiker: alles, was von fremden Servern lädt

Das mit Abstand häufigste Problem. Viele Websites laden Schriften, Karten, Icons oder Skripte direkt von fremden Servern. Sobald jemand deine Seite öffnet, geht seine IP-Adresse dorthin — ohne dass er gefragt wurde. Genau das war der Kern der bekannten Abmahnwelle rund um extern geladene Google Fonts.

Die Lösung ist unspektakulär: Alles, was der Browser lädt, kommt vom eigenen Server. Schriften herunterladen und lokal einbinden, Icons als Datei im Projekt, keine Skripte von fremden Adressen. Das ist keine juristische Frage, sondern eine Entscheidung beim Bau — und der Grund, warum wir grundsätzlich nichts extern laden.

Wie du das selbst prüfst

Öffne deine Seite im Browser, drücke F12, geh auf den Reiter „Netzwerk“ und lade neu. Dort siehst du jede Adresse, von der etwas geladen wird. Alles, was nicht deine eigene Domain ist, gehört auf den Prüfstand.

Ein Banner allein reicht nicht — er muss korrekt funktionieren. Die Fehler, die wir am häufigsten sehen:

  • Es lädt schon, bevor zugestimmt wurde. Der häufigste und schwerwiegendste Fehler: Das Banner erscheint, aber die Tracking-Skripte laufen längst. Dann ist der Banner reine Dekoration.
  • Nur ein „OK“-Knopf. Ablehnen muss genauso einfach sein wie Zustimmen. Kein verstecktes Ablehnen zwei Klicks tiefer.
  • Vorangekreuzte Kästchen. Zustimmung muss aktiv erfolgen, nicht durch Nichtstun.
  • Keine Möglichkeit zum Widerruf. Wer zugestimmt hat, muss das später zurücknehmen können.

Die Faustregel: Was technisch notwendig ist, damit die Seite überhaupt funktioniert, braucht keine Zustimmung. Alles andere — Statistik, Marketing, Karten, Videos von fremden Plattformen — darf erst nach aktiver Einwilligung laden.

Wer keinen Banner braucht

Wenn deine Seite gar nichts trackt und nichts von fremden Servern lädt, brauchst du auch keinen Cookie-Banner. Das ist kein Verzicht, sondern der sauberere Weg: kein Banner, der Besucher nervt, und kein Risiko, dass er falsch konfiguriert ist.

Kontaktformulare

Ein Kontaktformular verarbeitet personenbezogene Daten — da führt kein Weg vorbei. Worauf es ankommt:

  1. Verschlüsselte Übertragung. Ohne HTTPS gehen die Daten im Klartext durchs Netz. Das ist heute Grundausstattung.
  2. Nur abfragen, was du brauchst. Für eine Rückfrage brauchst du Name und Kontaktweg — nicht Geburtsdatum und Anschrift.
  3. Hinweis auf die Datenschutzerklärung. Direkt am Formular, verlinkt.
  4. Vorsicht bei fremden Formular-Diensten. Wenn das Formular über einen Drittanbieter läuft, landen die Daten dort. Das braucht einen Vertrag mit dem Anbieter und einen Eintrag in der Datenschutzerklärung. Läuft der Versand über deinen eigenen Server, entfällt das Thema.

Karten und Videos

Eine eingebettete Karte oder ein eingebettetes Video baut sofort beim Laden eine Verbindung zum Anbieter auf — auch wenn niemand darauf klickt. Zwei saubere Wege:

  • Erst nach Klick laden. Statt der Karte zeigst du ein Vorschaubild mit Hinweis. Erst wer klickt, stimmt zu und lädt die Karte.
  • Ganz verzichten. Oft reicht die Adresse als Text mit einem Link zur Route. Deine Kunden wissen, wie eine Karten-App funktioniert.

Impressum und Datenschutzerklärung

Beides ist Pflicht, beides gehört von jeder Unterseite aus erreichbar in den Fußbereich. Zwei Punkte, die in der Praxis schiefgehen:

Erstens: Die Datenschutzerklärung muss beschreiben, was auf deiner Seite tatsächlich passiert. Ein kopierter Text von einer anderen Seite, der Dienste auflistet, die du gar nicht nutzt — oder umgekehrt deine Dienste nicht nennt — ist schlimmer als hilfreich.

Zweitens: Beides muss aktuell bleiben. Wer nachträglich ein Tracking einbaut, muss die Erklärung anpassen. Wir nutzen dafür einen spezialisierten Rechtstexte-Dienst, der bei Gesetzesänderungen automatisch nachzieht.

Die Kurz-Checkliste

  1. Lädt irgendetwas von fremden Servern? (F12 → Netzwerk)
  2. Sind alle Schriften lokal eingebunden?
  3. Läuft HTTPS auf allen Seiten?
  4. Startet Tracking erst nach aktiver Zustimmung — falls überhaupt getrackt wird?
  5. Ist Ablehnen genauso leicht wie Zustimmen?
  6. Steht am Formular ein Link zur Datenschutzerklärung?
  7. Laden Karten und Videos erst nach Klick?
  8. Beschreibt die Datenschutzerklärung, was wirklich passiert?
  9. Sind Impressum und Datenschutz von überall erreichbar?

Fazit

Der größte Teil ist keine juristische, sondern eine bauliche Frage. Wer von Anfang an nichts von fremden Servern lädt, hat die häufigsten Probleme gar nicht erst — kein Banner-Drama, keine Schriften-Diskussion, keine Abmahnrisiken aus Modulen, die niemand geprüft hat.

Genau deshalb bauen wir grundsätzlich so: alles lokal, nichts extern, Tracking nur nach Zustimmung. Mehr dazu, warum das gegen fertige Baukästen spricht, steht in WordPress oder eigene Website?. Für die rechtliche Bewertung deines Falls sprich bitte mit einem Anwalt — für die technische Umsetzung mit uns.

Häufige Fragen zum Datenschutz

Sind Google Fonts wirklich ein Abmahnrisiko?
Der Kern des Problems ist, dass beim externen Laden die IP-Adresse des Besuchers ungefragt an einen fremden Server übertragen wird. Genau darum drehte sich die bekannte Abmahnwelle. Die Lösung ist technisch simpel: Schriften herunterladen und lokal von der eigenen Domain einbinden. Für die rechtliche Bewertung deines Falls frag bitte einen Anwalt — wir beschreiben hier die technische Praxis.
Braucht jede Website einen Cookie-Banner?
Nein. Wenn eine Seite nur technisch notwendige Cookies setzt, nichts trackt und nichts von fremden Servern lädt, ist kein Einwilligungs-Banner nötig. Sobald Statistik- oder Marketing-Dienste, eingebettete Karten oder Videos dazukommen, sieht es anders aus: Die dürfen erst nach aktiver Zustimmung laden.
Was ist der häufigste DSGVO-Fehler auf Websites?
Dass Dienste bereits laden, bevor jemand zugestimmt hat. Das Banner erscheint, aber die Skripte laufen längst — dann ist der Banner wirkungslos. Dicht dahinter: Schriften, Karten und Icons, die ungefragt von fremden Servern geladen werden.
Reicht eine kopierte Datenschutzerklärung?
Davon raten wir dringend ab. Die Erklärung muss beschreiben, was auf deiner Seite tatsächlich passiert. Ein kopierter Text nennt in der Regel Dienste, die du nicht nutzt, und verschweigt die, die du nutzt. Sinnvoller ist ein spezialisierter Rechtstexte-Dienst, der bei Gesetzesänderungen automatisch nachzieht.
Ist ein Kontaktformular über einen Drittanbieter erlaubt?
Es ist üblich, verlangt aber zusätzliche Schritte: einen Vertrag zur Auftragsverarbeitung mit dem Anbieter und einen entsprechenden Eintrag in der Datenschutzerklärung, weil die Daten dort verarbeitet werden. Läuft der Formularversand über deinen eigenen Server, entfällt dieser Punkt komplett.

Unsicher, was deine Seite lädt?

Wir schauen kurz drauf und sagen dir, was auffällt — ohne Verkaufsdruck.

Jetzt dein Projekt starten