mittelstand·website

DSGVO-konform und trotzdem modern — geht das?

DSGVO klingt nach Bürokratie-Monster. Muss es aber nicht sein — wenn man bewusst entscheidet, welche Tools man gar nicht erst einsetzt.

Recht Redaktion Mittelstand-Website 3 Min. Lesezeit
Aktenordner im Büro — Symbol für Rechtssicherheit und Dokumentation
Foto: Beatriz Pérez Moya / Unsplash

DSGVO hat bei vielen Mittelständlern einen schlechten Ruf. Der Eindruck: kompliziert, teuer, ständig am Anschlag und am Ende doch nicht rechtssicher. Die gute Nachricht: Eine DSGVO-konforme Website muss weder kompliziert noch unmodern sein. Die schlechte Nachricht: Viele Websites, die aktuell live sind, sind es trotzdem nicht.

Was DSGVO konkret von einer Firmenwebsite verlangt

Vier Grundpfeiler:

  1. Transparenz über die Datenverarbeitung. Besucher müssen wissen, welche Daten Sie sammeln, warum und wie lange Sie sie speichern. Das steht in der Datenschutzerklärung.
  2. Rechtsgrundlage für jede Verarbeitung. Jede Datenerhebung braucht einen juristischen Anker: Einwilligung, Vertragserfüllung, berechtigtes Interesse.
  3. Einwilligung, wo nötig. Tracking-Cookies, Marketing-Pixel und ähnliches brauchen eine aktive Zustimmung — deshalb die Cookie-Banner.
  4. Rechte der Betroffenen. Besucher können Auskunft verlangen, Löschung fordern, Widerspruch einlegen. Das muss in der Datenschutzerklärung stehen.

Das ist im Kern alles. Der Ärger beginnt erst, wenn Sie anfangen, Tracking-Tools zu nutzen, die eine Einwilligung brauchen — und dann einen komplizierten Cookie-Banner einsetzen müssen.

Ein Cookie-Banner ist nur dann rechtlich erforderlich, wenn Sie Technologien einsetzen, die eine Einwilligung brauchen. Dazu zählen:

  • Google Analytics (auch in der Universal-Version)
  • Facebook Pixel
  • Hotjar, Clarity und andere Session-Recorder
  • YouTube-Einbindungen mit Cookies
  • Google Maps mit Cookie-Setting
  • Google Fonts, wenn von Google-Servern geladen

Wenn Sie diese Tools NICHT einsetzen, brauchen Sie auch keinen Cookie-Banner. Punkt. Das ist für die meisten Mittelständler eine enorme Vereinfachung — und es spart gleichzeitig Ladezeit und UX-Komplikationen.

Unsere Empfehlung: Verzichten Sie auf Google Analytics. Die meisten Mittelständler nutzen die Daten ohnehin nicht aktiv, und der Rechts-Aufwand ist unverhältnismäßig hoch. Wenn Sie Besucherzahlen wirklich brauchen, gibt es datenschutzkonforme Alternativen wie Matomo (selbst gehostet) oder Plausible — beide ohne Cookie-Banner nutzbar.

Tracking und Analytics rechtssicher umsetzen

Wenn Sie Analytics trotzdem wollen, gibt es zwei saubere Wege:

Weg 1: Datenschutzkonforme Alternativen

Tools wie Plausible, Fathom oder Matomo (selbst gehostet) setzen keine Cookies und aggregieren Daten so, dass keine personenbezogenen Daten gespeichert werden. Sie können sie ohne Cookie-Banner einsetzen. Die Insights sind etwas weniger detailliert als bei Google Analytics, aber für die meisten Mittelständler völlig ausreichend.

Weg 2: Google Analytics mit Consent

Wenn Sie Google Analytics unbedingt brauchen, müssen Sie einen Consent-Banner einsetzen, der aktive Zustimmung einholt, bevor der Tracking-Code lädt. Das ist rechtlich machbar, aber aufwendig. Und: Nur ein Bruchteil der Besucher stimmt zu, das heißt, Ihre Daten sind ohnehin nur teilweise aussagekräftig.

Schriftarten, Karten, Videos: Worauf achten?

Drei typische Stolperfallen auf Firmenwebsites:

Google Fonts von Google-Servern: Wenn Sie Google Fonts über `fonts.googleapis.com` einbinden, wird bei jedem Seitenaufruf die IP-Adresse des Besuchers an Google übermittelt. Das ist datenschutzrechtlich heikel. Die Lösung: Laden Sie die Schriften lokal auf Ihren eigenen Server. Das ist technisch trivial und datenschutzrechtlich sauber.

Google Maps: Jede Google-Maps-Einbindung setzt Cookies und überträgt Daten. Alternativen: Einen statischen Kartenausschnitt als Bild einbinden oder OpenStreetMap nutzen. Beides ohne Einwilligungspflicht.

YouTube-Videos: Direkt eingebundene YouTube-Videos setzen Cookies, sobald die Seite lädt. Besser: YouTube im `youtube-nocookie.com`-Modus einbetten oder ein Click-to-Load-Prinzip verwenden.

Auftragsverarbeitungsverträge mit Hostern

Wenn Sie Ihre Website bei einem externen Hoster betreiben, verarbeiten Sie dort personenbezogene Daten von Besuchern. Das ist eine Auftragsverarbeitung im Sinne der DSGVO — und dafür brauchen Sie einen AV-Vertrag mit dem Hoster. Bei seriösen deutschen Anbietern wie Netcup oder Hetzner ist der AV-Vertrag standardmäßig verfügbar und kann online abgeschlossen werden.

Wir hosten unsere Kunden-Websites bei Netcup in Deutschland. Der AV-Vertrag ist Teil unseres Hosting-Pakets und wird bei Vertragsabschluss automatisch mit abgeschlossen.

Alle unsere Websites sind standardmäßig DSGVO-konform gebaut, ohne dass Sie einen Cookie-Banner brauchen. Das bedeutet konkret:

  • SSL-Verschlüsselung (Let's Encrypt)
  • Schriftarten lokal eingebunden, nicht über Google-Server
  • Kein Google Analytics, kein Facebook Pixel, kein Hotjar
  • Statische Karte oder OpenStreetMap statt Google Maps
  • Vollständiges Impressum und Datenschutzerklärung
  • Kontaktformular mit Datenschutz-Checkbox
  • AV-Vertrag mit dem Hoster

Das Ergebnis: Eine Website, die Sie rechtssicher betreiben können, ohne Besucher mit Cookie-Bannern zu belästigen. Und die gleichzeitig modern aussieht und schnell lädt — weil sie nicht von Marketing-Tools beschwert wird, die ohnehin niemand auswertet.

Festpreis-Webdesign für kleine und mittlere Unternehmen — ohne Stundensatz, ohne Überraschungen. Schauen Sie sich die Pakete an oder rufen Sie kurz an.

Pakete ansehen 0178 5749602 anrufen

Weitere Artikel

Büroumgebung mit Konferenztisch — Symbol für mittelständische Unternehmen
Anforderungen

Was eine Mittelstands-Website 2026 mindestens können muss

Code-Editor mit sauberer HTML-Struktur
Technik

Wartbare Websites — warum statisches HTML im Mittelstand zurückkommt