Außerhalb der Bürozeiten Termin direkt für morgen buchen oder Nachricht schreiben

DSGVO · Regensburg

Website DSGVO-konform aufsetzen — rechtssicher, ohne Abmahnungsrisiko.

DSGVO ist keine Schikane, sondern eine Struktur. Wer sie ernst nimmt, spart Abmahnungen und Bussgelder.

Ich sehe immer wieder Websites in Regensburg, die Google-Fonts direkt laden, YouTube-Videos ohne Consent einbetten oder Google Analytics ohne Cookie-Banner nutzen. Jedes einzelne dieser Beispiele ist ein potenzielles Abmahnungsrisiko. Und die Abmahnungswellen kommen — 2024 und 2025 haben wir mehrere grössere Wellen gesehen.

Für wen ist diese Seite?

Regensburger Betriebe, die DSGVO-Anforderungen ernst nehmen — vor allem Praxen (Patientendaten), Vereine (Mitgliederdaten), Dienstleister mit Kundenkontakt.

Besonders sensitiv: Steuerberater, Anwälte, Ärzte, Hausverwaltungen, Pflegedienste — alle Berufsgruppen mit gesetzlicher Verschwiegenheitspflicht oder besonders sensiblen Kategorien personenbezogener Daten.

Was ich in Erstgesprächen beobachte

Muster, die sich wiederholen.

Der häufigste Abmahnungsauslöser 2024/2025 war Google Fonts, das ohne Consent direkt vom Google-Server geladen wurde. Bei jedem Seitenaufruf wurde eine IP-Adresse an Google in den USA übertragen — DSGVO-Verstoss.

Der zweite Klassiker: YouTube-Videos direkt eingebettet, ohne Consent. Auch hier IP-Übertragung an Google beim Laden der Seite.

Und ein Muster, das oft übersehen wird: Cookie-Banner sind zwar sichtbar, aber technisch nicht sauber. Tracking läuft schon vor Consent-Klick, oder der "Ablehnen"-Button blockt nicht wirklich.

Typische Ausgangslage

Kommt Ihnen davon etwas bekannt vor?

Diese Beobachtungen kommen aus tatsächlichen Erstgesprächen. Wenn Sie sich hier wiedererkennen, sind Sie nicht allein — und vor allem nicht zu spät.

  • Google Fonts, Maps oder YouTube werden ohne Consent geladen — ein Abmahnungsklassiker.
  • Cookie-Banner ist zwar da, aber technisch nicht sauber (nutzt Tracking auch bei Ablehnung).
  • Impressum und Datenschutzerklärung sind veraltet oder aus einem Generator kopiert, ohne Prüfung.
  • Formulardaten werden ohne verschlüsselte Übertragung oder mit unklarer Speicherdauer verarbeitet.
  • AV-Vertrag mit Hosting-Anbieter fehlt oder ist unbekannt.
  • Newsletter läuft über einen US-Dienst ohne saubere Rechtsgrundlage.

Wie wir das angehen

Was Software Fehlner konkret liefert.

Kein Konzept-Wolkenschloss, sondern eine Liste konkreter Bausteine, die planbar zu einem Ergebnis führen. Alles im Festpreis enthalten — keine Nachforderungen.

  1. 01 Hosting in deutschem Rechenzentrum — AV-Vertrag standardmässig bei jedem Auftrag.
  2. 02 Cookie-Banner mit Consent Mode v2: tatsächliches Blockieren von Tracking bei Ablehnung, nicht nur Anzeige.
  3. 03 Google Fonts lokal ausgeliefert, keine externe Verbindung zu Google beim Laden.
  4. 04 YouTube- und andere Video-Einbindungen erst nach Consent aktiv.
  5. 05 Impressum und Datenschutzerklärung individuell auf Ihre Website und Datenverarbeitung angepasst — nicht generiert.
  6. 06 Formulare mit HMAC-Token und Spam-Schutz, Verschlüsselung während der Übertragung selbstverständlich.
  7. 07 Newsletter mit DOI-Prozess und dokumentiertem Consent-Log.

Aus der Praxis

Was wir dabei konkret gelernt haben.

Wie Consent Mode v2 wirklich funktioniert

Consent Mode v2 ist die Google-Empfehlung für Cookie-Consent seit 2024. Das Prinzip: Tracking-Scripts sind auf der Seite vorhanden, aber standardmässig deaktiviert.

Wenn der Besucher zustimmt: Tracking-Scripts werden aktiviert, volle Daten erfasst.

Wenn der Besucher ablehnt: Tracking-Scripts bleiben deaktiviert. Trotzdem können anonymisierte Signale (ohne PII) an Google übertragen werden, für aggregierte Metriken.

Wenn der Besucher noch nichts entschieden hat: Standardzustand ist "abgelehnt" — kein Tracking.

Was wir umsetzen: Consent Mode v2 mit striktem Default-Denied. Also: bis zur Zustimmung läuft nichts an Tracking. Das ist strenger als die Google-Standardempfehlung, aber sicherer für die deutsche Rechtsauslegung.

Rechtstexte generieren vs. individuell erstellen

Es gibt viele Impressum- und Datenschutz-Generatoren. Für kleine Betriebe mit sehr einfachen Websites können die reichen — als Ausgangspunkt.

Das Problem: Generatoren wissen nicht, welche Dienste Sie einbinden, welche Formulare Sie haben, wie Sie mit Kundendaten umgehen. Der generierte Text ist Standardtext, oft mit Passagen, die Sie gar nicht brauchen — oder mit fehlenden Passagen für Dinge, die Sie machen.

Bei uns bekommen Sie ein Grundgerüst, das wir konkret auf Ihre Website und Datenverarbeitung anpassen. Wir kennen jede Datenverarbeitung, weil wir die Site gebaut haben. Für maximale Rechtssicherheit empfehlen wir zusätzlich, den Text mit einem Anwalt gegenzuprüfen — das ist nicht Pflicht, aber sinnvoll bei sensitiven Branchen.

Was bei Formularen wirklich wichtig ist

Ein DSGVO-konformes Formular hat mehrere Ebenen:

Übertragung: TLS-Verschlüsselung (https). Standard bei uns.

Speicherung: verschlüsselt in einer Datenbank, oder direkt weitergeleitet an die E-Mail-Adresse ohne dauerhafte Speicherung.

Zweckbindung: die Daten werden nur für den angegebenen Zweck verwendet. Kein automatischer Newsletter, wenn nur ein Kontaktformular ausgefüllt wurde.

Löschung: klare Löschfristen, aktive Löschung nach Zweckerfüllung.

Consent: bei Newsletter zusätzliches Opt-in, dokumentiertes Consent-Log.

Alles das setzen wir standardmässig um — nicht als "DSGVO-Feature", sondern als Standardarchitektur.

Aus der Praxis

Eine Regensburger Praxisgemeinschaft mit DSGVO-Audit

Eine Praxisgemeinschaft aus Regensburg kam mit dem Auftrag: neue Website und gleichzeitig DSGVO-Audit. Sie hatten eine Abmahnung wegen Google Fonts bekommen und wollten sichergehen, dass die neue Site sauber läuft.

Beim Audit fanden wir mehrere Punkte: Google Fonts (bekannt), YouTube-Einbindung ohne Consent (nicht bekannt), veralteter Datenschutztext (Passagen zu Diensten, die die Praxis gar nicht mehr nutzt), fehlende AV-Verträge mit zwei Dienstleistern.

Umsetzung als Business-Paket mit DSGVO-Fokus: lokale Fonts, YouTube nur nach Consent, individueller Datenschutztext (mit Anwalt der Praxis gegengeprüft), AV-Verträge angefordert.

Nach 3 Monaten kam eine weitere Abmahnungswelle (diesmal für Maps ohne Consent) — die Praxis war nicht betroffen, weil die Website sauber gebaut war.

Fehler, die ich immer wieder sehe

Das sollte man nicht tun.

  • Cookie-Banner installieren, aber Tracking-Scripts trotzdem vor Consent laden. Häufigster technischer Fehler.
  • Datenschutz-Generator verwenden, ohne den Text auf Ihre echten Datenverarbeitungen anzupassen.
  • Google Fonts direkt vom Google-Server einbinden. Sollte 2025 wirklich niemand mehr machen.
  • Newsletter-Anmeldung ohne DOI (Double-Opt-In). Kein Nachweis der Zustimmung.
  • AV-Verträge mit Dienstleistern (Hosting, E-Mail-Provider, Analytics) nicht abschliessen. Rechtliches Risiko.

Preisrahmen

DSGVO-Konformität ist bei jedem Paket enthalten — ab Starter (1.900 €). Kein Extrapaket, keine Aufpreis-Falle.

DSGVO-Audit einer bestehenden Website (ohne Umbau) als separates Angebot ab 800 €. Umsetzung der Empfehlungen als Change Requests, transparent kalkuliert.

Alle Preise sind Festpreise. Was drinsteckt und wo die Grenzen liegen, klären wir im 20-Minuten-Erstgespräch — telefonisch, ohne Verkaufsdruck.

Häufige Fragen

Antworten auf das, was Kunden wirklich fragen.

01 Bin ich abmahnsicher, wenn ich bei Software Fehlner baue?

Wir setzen technisch sauber um: Consent Mode v2, kein Tracking ohne Einwilligung, lokale Fonts, verschlüsselte Formulare. Rechtstexte (Impressum, Datenschutz) prüfen wir mit Ihnen — ideal ist eine Abstimmung mit Ihrem Anwalt für den finalen Wortlaut.

02 Was ist mit Google Analytics — darf ich das noch nutzen?

Mit Consent Mode v2 und expliziter Einwilligung ja. Wir richten das sauber ein, sodass Tracking wirklich erst nach Zustimmung startet — nicht nur der Banner erscheint.

03 Muss die Website auf einem deutschen Server liegen?

Nicht zwingend, aber sinnvoll. Wir hosten in deutschem Rechenzentrum (Hetzner-Klasse), damit die Datenverarbeitung klar in Deutschland stattfindet. Auf Wunsch auch bei Ihrem Wunsch-Hoster.

04 Was ist mit Google Maps auf der Kontaktseite?

Nur nach Consent laden. Wir zeigen einen statischen Platzhalter mit Adresse, der Consent-Klick lädt die interaktive Karte. Alternativ OpenStreetMap ohne Consent-Bedarf.

05 Sind Social-Media-Plugins (Facebook, LinkedIn) noch möglich?

Ja, aber nur nach Consent. Wir binden Two-Click-Lösungen ein — beim ersten Klick wird der Plugin aktiviert, beim zweiten wirklich benutzt. Rechtssicher, aber user-freundlich.

06 Was bei einem Verdacht auf Datenpanne?

DSGVO verlangt Meldung binnen 72 Stunden bei der zuständigen Aufsichtsbehörde. Wir haben Notfall-Prozesse — bei Verdacht analysieren wir Logs, dokumentieren Umfang, unterstützen bei der Meldung.

07 Was passiert bei DSGVO-Auskunftsanträgen (Art. 15)?

Ihre Website hat Audit-Logs, die zeigen, welche personenbezogenen Daten wo gespeichert sind. Wir unterstützen bei der Auskunft — meist ist die Datenmenge überschaubar (Formulardaten mit Speicherzeit).

08 Newsletter mit Mailchimp oder Sendinblue — DSGVO-Risiko?

Mailchimp ist US-Anbieter, mit DSGVO-Risiken. Sendinblue (jetzt Brevo) ist EU-Anbieter, sauberer für DSGVO. Wir empfehlen EU-Anbieter oder eigene Newsletter-Lösung als Modul der Website.

Ihre Frage nicht dabei? Schreiben Sie uns kurz → — Antwort innerhalb 24 h.

Verwandte Themen

Was Sie sich sonst noch anschauen sollten.

Website erstellen lassen · Regensburg

Website erstellen lassen Regensburg →

Wenn Sie in Regensburg eine Website erstellen lassen wollen und schon einige Angebote geprüft haben, kennen Sie das Problem: Preisspannen zwischen 500 € und 20.000 € für scheinbar dasselbe. Und niemand sagt Ihnen, wo der…

Website modernisieren · Regensburg

Website modernisieren Regensburg →

Ich sehe oft Websites, die 2015 oder 2018 mal gut gebaut waren — mittlerweile aber verstauben. Nicht unbedingt weil das Design schlecht ist, sondern weil die Grundvoraussetzungen sich geändert haben.

Admin-Panel · Regensburg

Website mit Admin-Panel Regensburg →

WordPress ist populär geworden, weil man Inhalte selbst ändern kann. Und WordPress ist gleichzeitig unbeliebt geworden, weil jedes Plugin ein potenzielles Sicherheitsrisiko ist, weil Updates die Seite kaputtmachen können…

Startpunkt

20 Minuten am Telefon reichen, um zu wissen, ob wir gut zusammenpassen.

Kein Videocall, kein Verkaufsdruck, kein Auto-Mailer. Sie reden direkt mit dem Entwickler. Antwort innerhalb 24 Stunden an Werktagen.