Datenschutz auf Webseiten: Was Unternehmen jetzt wissen müssen

Sofort-Check: Häufige Probleme & kurze Handlungsempfehlung

Fehlende Datenschutzerklärung

Keine transparente Information über Datenverarbeitung (Art.13/14 DSGVO).

Empfehlung: DSGVO-konforme Datenschutzerklärung ergänzen/aktualisieren.

Kontaktformular ohne Opt-in

Daten werden erhoben, Zweck oft unklar; Marketing ohne Einwilligung riskant.

Empfehlung: Zweck angeben; separate Checkbox für Marketing (kein vorausgefüllter Haken).

Google Fonts extern

Fonts per CDN laden überträgt IP-Adressen an Google — datenschutzrelevant.

Empfehlung: Fonts lokal hosten oder erst nach Einwilligung laden.

Google Maps / Karten

Interaktive Karten senden Daten an Drittanbieter (mögliche Übermittlung in Drittländer).

Empfehlung: Statische Karte, OpenStreetMap mit lokalem Tile-Proxy oder Consent-Gate.

Kein HTTPS

Kontaktformulare über HTTP = unverschlüsselt; Verstoß gegen angemessene technische Maßnahmen.

Empfehlung: TLS (HTTPS) mit gültigem Zertifikat, HSTS aktivieren.

Gliederung des Beitrags (Outline)

1. Einführung: Warum Datenschutz relevant ist; Zielgruppe
2. Rechtliche Grundlagen: DSGVO, BDSG, Art.13/14, Rechtsgrundlagen
3. Betroffene Webseiten-Elemente: Datenschutzerklärung, Kontaktformulare, Fonts, Maps, Cookies, SSL
4. Häufige Fehler: Fehlende Hinweise, kein Opt-in, externe Ressourcen
5. Konkrete Sanktionen: Abmahnungen, Schadensersatz, Bußgelder
6. Technische Maßnahmen: Fonts lokal, Maps datensparsam, Consent, HTTPS, Security Headers
7. Kontaktformular Best Practices: Datensparsamkeit, Zweckangabe, Opt-in
8. Organisatorische Maßnahmen: VVT, Löschkonzept, TOMs
9. Quick-Audit & Checkliste: Sofortmaßnahmen (10 Min), Technisches Audit (2 Std), Dokumentation (1 Tag)
10. Praxisbeispiel: Warum wir bei elumcraft.com Fonts lokal hosten
11. FAQs
12. Fazit

Warum Datenschutz auf Webseiten mehr ist als ein Hinweis

Datenschutz ist heute mehr als juristische Compliance: Er ist ein sichtbares Vertrauenssignal gegenüber Kundinnen und Kunden. Transparenz, sichere Übertragung (HTTPS) und ein datensparsamer Umgang mit Drittanbietern senken das rechtliche Risiko, reduzieren Abmahngefahren und stärken die Markenwahrnehmung. Websites sind oft die erste Schnittstelle — und damit ein Ort, an dem Fehler schnell teuer werden können.

Rechtliche Grundlagen: DSGVO, BDSG & Informationspflichten

Die Datenschutz-Grundverordnung (DSGVO) schreibt in Art.13 und Art.14 vor, dass Betroffene beim Erheben personenbezogener Daten transparent informiert werden müssen: Zweck, Rechtsgrundlage, Empfänger, Speicherdauer, Widerspruchs- und Löschrechte. Fehlt diese Information auf der Website, ist dies ein formeller Mangel mit Abmahn- und Sanktionsrisiko.

Häufige Fehler auf Kundenwebsites — und warum sie problematisch sind

Fehlende oder unvollständige Datenschutzerklärung

Fehlt die Datenschutzerklärung oder enthält sie nur allgemeine Floskeln, können Betroffene, Mitbewerber oder Anwälte das als Grundlage für Abmahnungen nutzen. Achten Sie auf vollständige Angaben (Zweck, Dauer, Rechtsgrundlage, Kontakt DSB).

Kontaktformular ohne klaren Zweck oder Opt-in

Kontaktformulare sind nicht per se problematisch — wichtig ist die Zweckbindung: Sind die Angaben nötig, um die Anfrage zu beantworten (Art.6 Abs.1 lit. b), genügt das oft. Sollen Daten aber für Marketing genutzt werden, ist eine separate, freiwillige Einwilligung erforderlich (keine vorausgefüllten Haken!).

Google Fonts & externe Skripte ohne Einwilligung

Beim Laden von Schriftarten über ein CDN (z. B. Google Fonts) wird in der Regel die IP-Adresse des Besuchers an den Drittanbieter übertragen — dies ist personenbezogen. Gerichte und Aufsichtsbehörden diskutieren diesen Punkt intensiv; sicherer ist lokales Hosting.

Google Maps & interaktive Karten

Interaktive Karten senden oft Daten an Drittanbieter (u. U. in Drittländer). Datensparsame Alternativen: statische Karten mit Link, OpenStreetMap mit lokalem Tile-Cache oder Consent-Gate, das die Karte erst nach Einwilligung lädt.

Kein HTTPS

Die DSGVO verlangt „geeignete technische Maßnahmen“ — unverschlüsselte Formulare sind daher nicht akzeptabel. TLS (HTTPS) ist Standard und sollte zwingend aktiviert werden.

Konkrete Sanktionen: Was droht bei Verstößen?

Je nach Schwere drohen Abmahnungen, Unterlassungsansprüche, Schadensersatzforderungen (Art.82 DSGVO) und Bußgelder. Bußgelder können je nach Einzelfall und Unternehmensgröße beträchtlich ausfallen. Neben finanziellen Folgen ist der Reputationsschaden zu berücksichtigen.

Technische Maßnahmen — praktische Umsetzung

Fonts lokal einbinden (Kurz-Anleitung)

Schritt 1: Lizenz prüfen und Schriftdateien (z. B. WOFF2) herunterladen.
Schritt 2: Dateien in /fonts/ ablegen.
Schritt 3: CSS per @font-face einbinden (Beispiel unten).

<!-- Beispiel: lokale Einbindung einer Webfont -->
@font-face {
  font-family: 'MeineWebfont';
  src: url('/fonts/meinewebfont.woff2') format('woff2');
  font-weight: 400;
  font-style: normal;
  font-display: swap;
}
body { font-family: 'MeineWebfont', system-ui, sans-serif; }

Google Maps: datensparsame Alternativen

• Statische Bildkarte mit Link zu Google Maps
• OpenStreetMap + eigener Tile-Proxy / Cache
• Consent-Gate: Karte erst nach Einwilligung laden

Consent-Management & Cookies

Consent-Banner müssen Auswahlmöglichkeiten bieten (essentiell vs. nicht-essenziell), dürfen keine Vorauswahl für nicht-essenzielles setzen und sollten Einwilligungen protokollieren (Wer, wann, wofür).

HTTPS & Security Headers

TLS (z. B. Let's Encrypt) mit automatischer Erneuerung, HSTS, CSP und andere Security-Header einrichten; regelmäßige Tests (z. B. SSL Labs) durchführen.

Kontaktformulare: Best Practices

1. Nur notwendige Felder erheben (Name, E-Mail, Nachricht).
2. Zweck klar angeben (z. B. "Anfragebeantwortung — Art.6 Abs.1 lit. b DSGVO").
3. Separate Opt-in-Checkbox für Marketing (freiwillig, nicht vorausgewählt).
4. Aufbewahrungsfristen & Löschprozesse definieren.

Organisatorische Maßnahmen & Dokumentation

Führen Sie ein Verzeichnis der Verarbeitungstätigkeiten (VVT), dokumentieren Sie technische und organisatorische Maßnahmen (TOMs) und legen Sie Verantwortlichkeiten (intern/extern) fest.

Quick-Audit: Was Sie sofort tun können

In 10 Minuten

• Ist die Datenschutzerklärung erreichbar?
• Ist HTTPS aktiv?
• Hat das Kontaktformular eine Zweckangabe?

In 2 Stunden

• Welche externen Ressourcen (Fonts, Maps, Analytics) werden geladen?
• Ist ein Consent-Manager vorhanden?

In 1 Tag

• VVT aktualisieren
• TOMs dokumentieren
• Drittanbieter-Auftragsverarbeitungsverträge prüfen

Warum wir bei elumcraft.com Fonts lokal einbinden (Praxisbeispiel)

Bei elumcraft.com hosten wir Webfonts lokal, sofern die Lizenz das zulässt. Das reduziert externe Datenübertragungen, verbessert Ladezeiten und vereinfacht die DSGVO-Compliance. Diese kleine technische Maßnahme hat oft große Wirkung — sowohl rechtlich als auch in der Performance.

FAQs — Häufig gestellte Fragen

1. Muss jede Website eine Datenschutzerklärung haben?

2. Brauche ich bei jedem Kontaktformular eine Checkbox für DSGVO-Einwilligung?

3. Sind Google Fonts per CDN verboten?

4. Reicht ein Impressum als Datenschutzerklärung?

5. Wie teuer können Bußgelder werden?

6. Was ist die schnellste Sofortmaßnahme?

Fazit: Datenschutz als Vertrauensvorsprung

Datenschutz ist kein rein juristisches Thema — er schützt Betroffene, mindert rechtliche Risiken und stärkt Vertrauen. Technisch pragmatische Maßnahmen wie lokales Font-Hosting, Consent-Gate für Drittservices und konsequentes HTTPS sind schnell umsetzbar und haben großen Effekt.