Die meisten kleinen Business- und Praxis-Websites haben dieselben drei DSGVO-Lücken — und alle drei sind technisch in Stunden behebbar, kosten als Abmahnung aber spürbar. Dieser Beitrag zeigt die Muster, kein Paragrafenraten.
Fehler 1: Google Fonts vom Google-Server
Der Klassiker. Werden Schriften per fonts.googleapis.com eingebunden, wird bei jedem Seitenaufruf die IP-Adresse des Besuchers an Google übertragen — ohne Einwilligung. Genau das war Gegenstand einer bekannten Abmahnwelle (LG München I, 3 O 17493/20). Besonders bitter: Es trifft oft Seiten, die mit „DSGVO-konform" werben und sich damit selbst widerlegen.
Lösung: Schriften self-hosten — die .woff2-Dateien lokal ausliefern, @font-face auf den eigenen Server zeigen, keine Preconnects zu Google. Aufwand: rund eine Stunde, einmalig. Danach geht beim Seitenaufruf keine Verbindung mehr zu Google-Servern.
Fehler 2: Die Datenschutzerklärung beschreibt nicht die Realität
Eine Datenschutzerklärung ist kein Textbaustein, sondern eine Tatsachenbehauptung über die eigene Verarbeitung. Häufige Brüche zwischen Text und Wirklichkeit:
- Sie nennt „Google Analytics", obwohl es längst entfernt wurde — oder umgekehrt.
- Sie nennt einen deutschen Hoster, obwohl die Seite real über ein US-CDN ausgeliefert wird (Drittlandübermittlung fehlt komplett).
- Sie verspricht „anonyme Reichweitenmessung mit Tool X", das gar nicht (mehr) eingebunden ist.
Lösung: Die Erklärung muss exakt zur tatsächlich eingesetzten Technik passen — inklusive des realen Hosters und, bei US-Diensten, eines sauberen Passus zur Drittlandübermittlung (Angemessenheitsbeschluss bzw. Standardvertragsklauseln, Auftragsverarbeitung). Ändert sich die Technik, ändert sich die Erklärung — am selben Tag.
Fehler 3: US-Hosting/CDN ohne Transfer-Hinweis
Viele moderne Setups (Plattform-Hosting, CDNs) liefern faktisch aus den USA aus. Das ist nicht per se unzulässig, muss aber benannt sein: Wer der Auftragsverarbeiter ist, dass Daten (u. a. die IP) in ein Drittland gelangen, und auf welcher Garantie das beruht. Fehlt dieser Hinweis, ist die ganze „DSGVO-konform"-Aussage angreifbar.
Was bei Praxen zusätzlich zählt
Sobald über die Website Kontakt-, Termin- oder Formulardaten entgegengenommen werden, kommen Zweckbindung, Speicherdauer und ein Löschkonzept dazu. Faustregel: So wenig Daten wie möglich erheben, klar sagen wofür, und nichts unbefristet speichern. Komplexe Patienten-/Gesundheitsdaten gehören nicht beiläufig in ein Web-Formular ohne durchdachtes Konzept.
Eine schnelle Selbst-Checkliste
- Lädt die Seite Schriften/Skripte von externen Domains? (Netzwerk-Tab im Browser prüfen.)
- Stimmt jeder Satz der Datenschutzerklärung mit der real eingesetzten Technik überein?
- Wird ein US-Dienst genutzt — und steht der Drittland-Hinweis drin?
- Gibt es Cookies/Tracking ohne Einwilligung? (Wenn keine: auch das gehört korrekt benannt.)
- Werden Formulardaten zweckgebunden, befristet und sicher verarbeitet?
Häufige Fragen
Reicht ein Datenschutz-Generator?
Als Gerüst ja, als fertige Lösung nein. Ein Generator kennt Ihre real eingesetzte Technik nicht — der Abgleich Text ↔ Wirklichkeit bleibt Handarbeit.
Brauche ich einen Cookie-Banner?
Nur, wenn einwilligungspflichtige Cookies/Tracking eingesetzt werden. Eine Seite ganz ohne solche Technik braucht keinen Banner — sollte das aber auch korrekt in der Erklärung stehen haben.
Ist Self-Hosting der Schriften wirklich nötig?
Es ist der einfachste Weg, die häufigste Abmahn-Ursache vollständig zu eliminieren — geringer Aufwand, klarer Effekt.
Hinweis: Dieser Beitrag erklärt technische Muster und ersetzt keine Rechtsberatung. Für die rechtssichere Beurteilung des Einzelfalls ist eine fachkundige (anwaltliche) Prüfung zuständig.
Fazit
DSGVO-Konformität einer kleinen Website scheitert selten an Komplexität, sondern an drei vermeidbaren Mustern: externe Schriften, eine Erklärung, die nicht zur Technik passt, und unbenanntes US-Hosting. Alle drei sind mit überschaubarem Aufwand zu schließen — am besten von Anfang an mitgedacht. Wenn Sie das für Ihre Praxis- oder Business-Site sauber haben wollen: kurze Mail mit dem Ist-Stand genügt.