DSGVO-Falle Website: Fünf Dinge, die kleinen Betrieben regelmäßig eine Abmahnung einbringen.
Cookie-Banner, Google Fonts, lückenhaftes Impressum: Diese fünf Stolperfallen holen kleine Betriebe immer wieder ein. Was wirklich abmahnbar ist und wie du es ohne großen Aufwand abstellst.
Abmahnungen treffen selten die großen Konzerne. Es erwischt den Handwerksbetrieb um die Ecke und die kleine Praxis. Das Ärgerliche daran: Fast alle dieser Fehler lassen sich an einem Nachmittag beheben.
01 —Warum es die Kleinen trifft
Wenn von Datenschutz die Rede ist, denken die meisten an große Tech-Konzerne und Millionenstrafen. In der Praxis landen die Abmahnungen aber bei den Kleinen. Der Grund ist simpel: Eine Konzern-Website wird von einer Rechtsabteilung geprüft, die Seite vom Hörgeräteakustiker oder vom Gebäudereiniger ist vor Jahren einmal gebaut worden und läuft seitdem mit. Genau dort sammeln sich die Fehler, die jemand mit ein bisschen bösem Willen leicht findet.
Ich gehe mit dir die fünf Punkte durch, die mir bei Bestandsseiten am häufigsten begegnen. Kompliziert ist keiner davon. Du musst nur wissen, wo du hinschauen musst.
02 —1. Google Fonts kommen direkt von Google
Schriftarten von Google stecken in unzähligen Websites, oft ohne dass der Betreiber davon weiß. Das Problem ist die Art der Einbindung. Lädt deine Seite die Schrift bei jedem Aufruf direkt von einem Google-Server, wird dabei die IP-Adresse deiner Besucher in die USA übertragen, und zwar schon bevor irgendjemand zugestimmt hat.
Genau das hat das Landgericht München I entschieden (Urteil vom 20.01.2022, Az. 3 O 17493/20): Die dynamische Einbindung von Google Fonts ohne Einwilligung verstößt gegen die DSGVO. Dem klagenden Besucher wurden 100 Euro Schadensersatz zugesprochen. Eine gute Einordnung dazu hat die IHK.
Was du tun kannst
Die Lösung ist unspektakulär. Die Schriften werden einmal heruntergeladen und vom eigenen Server ausgeliefert. Dann verlassen keine Besucherdaten mehr dein Haus, und das Thema ist erledigt.
Eine Anmerkung zur damaligen Abmahnwelle: Ein Teil dieser Massenschreiben wurde später von Gerichten als rechtsmissbräuchlich eingestuft. Am eigentlichen technischen Problem ändert das nichts, und es zu beheben kostet dich praktisch nichts.
<!-- Riskant: Schrift wird bei jedem Aufruf von Google geladen --><link rel="stylesheet" href="https://fonts.googleapis.com/css2?family=Inter"> <!-- Sauber: Schrift liegt auf dem eigenen Server --><style> @font-face { font-family: "Inter"; src: url("/fonts/inter.woff2") format("woff2"); font-display: swap; }</style>
03 —2. Karten und Videos laden ungefragt
Eine eingebettete Google-Maps-Karte und das Imagevideo von YouTube sehen harmlos aus. Beide bauen aber schon beim Laden der Seite eine Verbindung zu Google auf und übertragen Besucherdaten, lange bevor jemand auf Play geklickt hat. Das Muster ist dasselbe wie bei den Schriften.
Sauberer ist eine sogenannte Zwei-Klick-Lösung. Statt der echten Karte zeigst du zunächst ein Vorschaubild mit einem kurzen Hinweis. Erst wenn der Besucher aktiv darauf klickt, wird die Karte oder das Video tatsächlich geladen. Für die Adresse reicht oft auch ein simpler Link zur Routenplanung, ganz ohne Einbettung.
04 —3. Das Cookie-Banner lässt keine echte Wahl
Viele Banner sind so gebaut, dass „Akzeptieren“ groß und bunt ist und „Ablehnen“ irgendwo klein versteckt oder erst zwei Klicks tiefer auftaucht. Das ist seit Jahren nicht mehr zulässig. Maßgeblich ist § 25 des TDDDG, des früheren TTDSG. Danach brauchst du eine aktive Einwilligung, bevor nicht notwendige Cookies gesetzt oder Tracking-Dienste geladen werden, und die Ablehnung muss auf der ersten Ebene genauso leicht erreichbar sein wie die Zustimmung.
Worauf du achten solltest
Analytics, Pixel und ähnliche Dienste dürfen erst nach einem aktiven Klick auf „Akzeptieren“ starten. Vorausgewählte Häkchen sind tabu. Und ein verstecktes „Ablehnen“ im Untermenü genügt nicht. Wenn dein Banner diese drei Punkte erfüllt, bist du auf der sicheren Seite.
Verstöße gegen das TDDDG können mit Bußgeldern von bis zu 300.000 Euro geahndet werden. Für einen kleinen Betrieb wird es in der Praxis selten so hoch, aber schon eine Abmahnung mit Anwaltskosten und Unterlassungserklärung ist teuer genug, um sie sich zu sparen.
05 —4. Die Datenschutzerklärung passt nicht zur Seite
Ein verbreiteter Irrtum lautet: „Ich habe doch ein Cookie-Banner, dann brauche ich keine Datenschutzerklärung.“ Das sind zwei getrennte Pflichten. Das Banner regelt die Einwilligung nach dem TDDDG, die Datenschutzerklärung erfüllt die Informationspflichten der DSGVO (Artikel 13).
Häufiger ist allerdings ein anderer Fall: Es gibt eine Datenschutzerklärung, aber sie stammt aus einem Generator und beschreibt Dienste, die du gar nicht einsetzt, während Kontaktformular oder Buchungstool darin fehlen. Die Erklärung muss zu dem passen, was auf deiner Seite tatsächlich läuft. Geht etwas Neues online, gehört sie aktualisiert.
06 —5. Im Impressum fehlen Angaben
Das Impressum ist der Klassiker unter den Abmahnungen, weil es sich von außen in zwei Minuten prüfen lässt. Die Pflichtangaben stehen in § 5 des Digitale-Dienste-Gesetzes (DDG), das seit 2024 das alte Telemediengesetz ersetzt. Dazu gehören unter anderem dein vollständiger Name beziehungsweise die Firma, eine ladungsfähige Anschrift, eine schnelle Kontaktmöglichkeit wie E-Mail und Telefon und, je nach Tätigkeit, die Umsatzsteuer-Identifikationsnummer.
Wichtig ist außerdem, dass das Impressum von jeder Seite aus mit einem Klick erreichbar ist. Versteckt im Footer einer einzelnen Unterseite reicht nicht.
Vorbeugen kostet einen Nachmittag. Eine Abmahnung kostet Anwalt, Unterlassungserklärung und Nerven.
07 —Was du jetzt konkret tun kannst
Du musst dafür kein Datenschutzexperte werden. Geh deine Seite einmal mit diesen Fragen durch: Werden Schriften, Karten oder Videos direkt von externen Servern geladen? Lässt das Cookie-Banner eine echte Wahl? Beschreibt die Datenschutzerklärung wirklich das, was läuft? Sind alle Pflichtangaben im Impressum vorhanden und überall erreichbar?
Wer technisch nicht tief drinsteckt, kommt an einigen Stellen schnell an die Grenze, etwa beim sauberen Selbsthosten von Schriften oder bei der richtigen Einbindung des Banners. Dann lohnt sich der Blick von jemandem, der das regelmäßig macht. Bei neuen Projekten baue ich diese Dinge von Anfang an richtig ein, damit die typischen Fallen gar nicht erst entstehen.
Die meisten Abmahnungen treffen kleine Betriebe aus einem banalen Grund: Eine alte Seite läuft vor sich hin, und irgendwann schaut niemand mehr hinein. Die fünf Punkte hier sind schnell geprüft, und das meiste lässt sich an einem Nachmittag abstellen. Das ist deutlich angenehmer als der Brief vom Anwalt.