Wer 2026 eine Website rechtssicher betreiben möchte, muss vor allem den Datenfluss kontrollieren. Die Organisation noyb (noyb.eu) unter Max Schrems weist kontinuierlich darauf hin, dass die DSGVO-Konformität vor allem daran scheitert, dass personenbezogene Daten ungefragt an Drittfirmen abfließen.
Website-Baukasten vs. Content-Management-System (CMS)
Bevor Sie mit der Erstellung starten, müssen Sie sich für eine Systemart entscheiden. Der Unterschied liegt in der Kontrolle über die Infrastruktur.
Website-Baukästen (SaaS)
Hier mieten Sie Software und Speicherplatz als geschlossenes Paket („Software as a Service“).
- Jimdo (Deutschland): Da Jimdo seinen Sitz in Hamburg hat, verbleibt die Datenverarbeitung im EU-Rechtsraum, was die Einhaltung der DSGVO erheblich vereinfacht. EU-Anbieter erleichtern die DSGVO-Umsetzung, ersetzen aber keine datenschutzkonforme Konfiguration.
- Wix (Israel/USA) & Squarespace (USA): Wix hat seinen Sitz in Israel, nutzt aber massiv US-Server. Squarespace ist ein reines US-Unternehmen.
- Das Problem: Zwar gibt es das EU-U.S. Data Privacy Framework (DPF), doch die rechtliche Stabilität dieses Abkommens wird durch noyb permanent angefochten. Da Sie bei Baukästen keinen Einfluss auf die Serverstandorte der Sub-Dienstleister haben, bleibt ein Restrisiko für den Betreiber.
Content-Management-System (CMS)
Ein CMS wie WordPress.org ist eine freie Software. Hier behalten Sie die volle Souveränität. Dafür benötigen Sie eine Domain (Webadresse) und einen Hosting-Provider (und natürlich die WordPress-Installationsdateien).
Die Wahl des richtigen Hosting-Providers in der EU
Um den europäischen Schutzraum zu wahren, sollten Sie einen Hosting-Provider wählen, der seine Server in der EU betreibt (alle mit 4+ Sternen):
- EDIS (AT): Spezialist für Hosting direkt in Österreich. edis.at
- Hetzner (DE): Führend in Technik und Datensicherheit. hetzner.com
- All-Inkl (DE): Sehr beliebt für einfache Verwaltung. all-inkl.com
- Manitu (DE): Fokus auf Transparenz und Datenschutz. manitu.de
Web-Analyse: Google Analytics vs. Server-Statistiken
Für die Reichweitenmessung ist entscheidend, wer die Daten erhält (First-Party vs. Third-Party).
- Google Analytics (Third-Party): Hier sendet ein JavaScript-Code im Browser Daten an Google. Google nutzt diese für eigene Zwecke (Profilbildung). Dabei werden in der Regel Tracking-Technologien wie Cookies eingesetzt. Da Daten an eine Drittfirma fließen, ist ein aktives Opt-In (Cookie-Banner) erforderlich.
- Server-Statistiken (First-Party): Die meisten Hosting-Provider (wie EDIS oder Hetzner) bieten interne Analysen an. Diese werten nur die Server-Logfiles aus. Server-Statistiken gelten in der Regel als datenschutzfreundlich, da keine Daten an Dritte übertragen werden und meist keine Cookies nötig sind.
- Matomo (lokal): Wenn Sie Matomo auf Ihrem eigenen Server installieren, fließen die Daten nur an Sie selbst (First-Party). Betreiber dürfen Besucherstatistiken erheben, solange keine Daten an Drittfirmen übertragen werden. Korrekt konfiguriert (anonymisierte IP, keine Cookies), ist Matomo DSGVO-konform ohne Banner nutzbar.
Google Fonts, Maps & YouTube: Datentransfer ohne Cookies
Die dynamische Einbindung von Google Fonts kann DSGVO-Probleme verursachen, da beim Laden der Schriftarten eine Verbindung zu Google-Servern hergestellt wird und dabei die IP-Adresse des Besuchers übertragen werden kann. Viele Betreiber vermeiden dies, indem sie die Schriftarten lokal auf ihrem eigenen Server hosten.
Die direkte Einbindung von Google Maps kann ebenfalls datenschutzrechtlich problematisch sein. Beim Laden der Karte baut der Browser eine Verbindung zu Google-Servern auf und überträgt dabei personenbezogene Daten wie die IP-Adresse. Viele Websites laden die Karte daher erst nach Einwilligung über ein Consent-Banner.
Auch eingebettete YouTube-Videos können DSGVO-Probleme verursachen. Bereits beim Laden des Video-Players wird eine Verbindung zu Google/YouTube aufgebaut und die IP-Adresse des Besuchers übertragen. Deshalb werden Videos häufig erst nach aktiver Zustimmung des Nutzers geladen (z. B. über eine Zwei-Klick-Lösung oder ein Consent-Tool).
Warum auch „cookiefreie“ Dienste kritisch sind
Sobald die Seite lädt, baut der Browser eine Verbindung zu Google-Servern in den USA auf und überträgt dabei die IP-Adresse des Nutzers. Da die IP-Adresse zu den personenbezogenen Daten zählt, ist und dieser Transfer technisch nicht zwingend erforderlich ist (man könnte Fonts lokal hosten), ist dies ein Verstoß gegen die DSGVO. Das DPF allein heilt diesen Mangel nicht, da die Datensparsamkeit Vorrang hat.
Die korrekte Umsetzung:
- Google Fonts lokal hosten: Nutze Plugins wie Local Google Fonts oder OMGF. Diese speichern die Schriften auf Ihrem eigenen Speicherplatz.
- YouTube & Maps (Zwei-Klick-Lösung): Inhalte dürfen erst nach aktiver Zustimmung geladen werden. Das passiert nicht automatisch.
Empfohlene Tools:
- WP YouTube Lyte: Kostenfreie Lösung für YouTube-Videos.
- Real Cookie Banner: Sehr präzises Tool für die Blockierung externer Dienste.
- Borlabs Cookie: Der etablierte Standard für professionelles Consent-Management.