DSGVO-Webdesign 2026 - meine Checkliste

Ich bekomme regelmäßig Anfragen von Leuten, die irgendwann eine Abmahnung wegen Google Fonts bekommen haben. Oder die gerade erfahren haben, dass ihr Kontaktformular alle Daten in ein Rechenzentrum in Irland schickt. Oder die nicht genau wissen, warum ihre Webseite einen Cookie-Banner hat - weil der irgendwie immer dazugehört, oder?

Gehört er nicht. Nicht zwingend.

Hier ist meine Checkliste. Die gehe ich bei jeder neuen Seite durch, die ich baue. Nicht weil ich Datenschutz-Fanatiker bin, sondern weil die meisten Punkte technisch simpel sind - und man sie einfach von Anfang an richtig machen kann, statt hinterher nachzurüsten.

---

1. Self-hosted Fonts - kein Google Fonts

Google Fonts ist praktisch. Du bindest eine Zeile CSS ein, und deine Wunsch-Schriftart ist da. Das Problem: Wenn dein Besucher die Seite aufruft, macht sein Browser einen Request direkt zu Googles Server. Dabei überträgt er die IP-Adresse deines Besuchers - ohne dessen Einwilligung, ohne dass du das sehen oder kontrollieren kannst.

Das ist in Deutschland ein bekanntes Abmahnthema. Und es ist vollständig vermeidbar.

Ich lade Schriftdateien einmalig herunter, konvertiere sie in das woff2-Format und lege sie auf demselben Server ab wie die Seite. Kein externer Request, kein Datentransfer, kein Problem. Der Aufwand dafür: zwanzig Minuten, einmalig.

---

2. Kein automatisches Tracking - kein GA, kein Meta-Pixel

Google Analytics und der Meta-Pixel sind mächtige Werkzeuge, wenn du weißt, was du damit anfangen willst. Aber du zahlst mit den Daten deiner Besucher. Beide Dienste übertragen diese Daten in die USA, beide setzen Cookies, beide brauchen eine echte Einwilligung - mit funktionierendem Opt-in, nicht nur einem Banner, den du weggeklickt hast.

Willst du wirklich wissen, wie viele Leute deine Seite besuchen und welche Unterseiten sie aufrufen? Dann nimm Plausible oder Fathom. Beide sind DSGVO-konform, ohne Opt-in-Banner, ohne Cookies, ohne US-Datentransfer. Plausible hat Server in der EU, du kannst es auch selbst hosten.

Willst du gar kein Tracking? Dann brauchst du auch keinen Cookie-Banner. Das ist keine Falle - das ist einfach, wie es technisch funktioniert.

---

3. Cookie-Banner nur wenn wirklich nötig

Das ist der Punkt, bei dem die meisten Augenbrauen hochgehen.

Der Cookie-Banner ist nicht gesetzlich vorgeschrieben. Er wird nur dann zur Pflicht, wenn du Cookies setzt, die nicht technisch notwendig sind - also Tracking-Cookies, Werbecookies, Social-Media-Pixel. Wenn deine Seite keines davon hat, brauchst du keinen Banner.

Eine Astro-Seite ohne Analytics, ohne Pixel, ohne externe Dienste: kein Cookie. Kein Banner. Null. Die Seite lädt einfach, der Besucher liest, niemand muss irgendwas wegklicken.

Ich weiß, das klingt fast verdächtig wenig aufwändig. Aber es stimmt.

---

4. Server in Deutschland oder der EU

Wo deine Seite liegt, ist nicht egal. Daten auf Servern außerhalb der EU unterliegen möglicherweise US-amerikanischem oder anderem Recht - das heißt, amerikanische Behörden könnten im Zweifelsfall darauf zugreifen, ohne dass du oder deine Besucher das mitbekommen.

Das klingt nach Paranoia. Ist es in den meisten Fällen auch. Trotzdem: Wenn du die Wahl hast - und du hast sie fast immer - nimm Server in Deutschland oder zumindest in der EU. Hetzner in Nürnberg und Falkenstein, IONOS in Karlsruhe, netcup in Nürnberg: alles gute Optionen, alle unter DSGVO-Recht.

Ich deploye alle Seiten meiner Kunden auf deutschen oder EU-Servern. Nicht aus politischen Gründen, sondern weil es die sauberste Lösung ist und weil ich dann nicht in langen Datenschutzerklärungen erklären muss, warum die Daten in Virginia liegen.

---

5. YouTube-Embeds als Klick-zum-Laden

Du willst ein Video auf deiner Seite einbetten. YouTube ist naheliegend. Das Problem: Sobald die Seite lädt, meldet sich der eingebettete Player bei YouTube - und überträgt dabei die IP-Adresse deines Besuchers, setzt Cookies, lädt externe Ressourcen.

Die Lösung heißt Klick-zum-Laden, auf Englisch “Lite Embed”. Du zeigst zuerst nur ein Vorschaubild. Das Video wird erst geladen, wenn der Besucher draufklickt und damit aktiv zustimmt. So entstehen keine Daten, bevor der Besucher es will.

YouTube bietet dafür auch youtube-nocookie.com an - eine Variante des Players, der angeblich keine Tracking-Cookies setzt. “Angeblich” macht hier die Arbeit. Für maximale Rechtssicherheit kombinierst du beides: nocookie-Domain plus Klick-zum-Laden.

---

6. Kontaktformular ohne Cloud-SaaS-Backend

Das Kontaktformular. Der unterschätzte Datenschutz-Klassiker.

Viele Formulare auf Webseiten schicken die Daten durch externe Dienste: Formspree, Netlify Forms, HubSpot, Mailchimp-Formulare. Alle schick, alle praktisch, alle mit dem kleinen Haken, dass deine Kundenanfragen erst durch Server eines dritten Anbieters gehen - oft in den USA - bevor sie bei dir landen.

Ich nutze für einfache Kontaktformulare einen eigenen kleinen PHP-Mailer auf demselben Server. Kein Drittanbieter, keine Weiterleitung, keine AGB-Odyssee. Die Nachricht geht direkt zu dir, und das wars.

Wenn das zu viel Aufwand klingt: Es gibt auch DSGVO-konforme europäische Alternativen, die transparent kommunizieren, wo die Daten landen. Wichtig ist, dass du weißt, was mit den Formulardaten passiert - und dass das in deiner Datenschutzerklärung steht.

---

7. Impressum und Datenschutzerklärung - mit echten Inhalten

Das klingt banal. Ist es aber nicht.

Ein Impressum muss aktuell sein: richtiger Name, richtige Adresse, erreichbare Kontaktdaten. Kein Postfach als alleinige Adresse, kein veraltetes Impressum von 2019. Wenn du Freiberufler bist und keine Umsatzsteuer ausweist: das muss ins Impressum.

Die Datenschutzerklärung muss beschreiben, was auf deiner Seite tatsächlich passiert. Nicht was auf einer typischen Webseite passiert. Was auf deiner. Wenn du kein Google Analytics hast, steht das nicht in der Datenschutzerklärung. Wenn du YouTube-Embeds nutzt: steht es drin. Wenn du ein Kontaktformular hast, steht darin, wer die Daten erhält und wie lange sie gespeichert werden.

Generatoren wie die Datenschutz-Muster von Anwälten sind ein guter Startpunkt. Aber du musst die generierte Erklärung auf deine Seite anpassen, nicht andersherum.

---

Aber Spaß beiseite - diese Liste klingt nach Arbeit, und ein bisschen ist es das auch. Aber der größte Teil davon entsteht beim Aufbau der Seite, nicht danach. Wenn du das von Anfang an richtig einplanst - Self-hosted Fonts, kein unnötiges Tracking, sauberes Hosting, ein simples Formular - hast du hinterher keine langen Datenschutzprobleme zu lösen.

Das ist der Unterschied zwischen einer Seite, die gebaut wird und läuft, und einer Seite, die gebaut wird und dir zwei Jahre später Kopfschmerzen macht.

Wenn deine Seite einen DSGVO-Check braucht: schreib mir.