G.STANCUTA
Zurück zu den Notizen05
Veröffentlicht · 2026 · 05 · 168 Min. Lesezeit

DSGVO Ohne den Stress: Eine Datenschutzkonforme Website für Kleinbetriebe

  • gdpr
  • privacy
  • dsgvo
  • web

Die meisten Websites kleiner Betriebe in Südtirol verstoßen still und leise gegen europäisches Datenschutzrecht — nicht aus böser Absicht, sondern weil drei oder vier Standardeinstellungen harmlos aussahen. So korrigiert man sie, bevor der Garante oder eine Datenschutzbehörde anklopft.

Ein Hotelbesitzer aus Bozen erzählte mir einmal, sein Webentwickler habe ihn beruhigt: 'Du hast ein Cookie-Banner, du bist auf der sicheren Seite.' Er war es nicht. Seine Website lud Google Fonts direkt von Googles Servern, bettete ein YouTube-Video ohne Einwilligungsschritt ein, und der 'Ablehnen'-Button seines Cookie-Banners war drei Klicks tief versteckt. Jedes dieser drei Probleme für sich allein war bereits Grundlage für Bußgelder in Deutschland und Italien. Alle drei zu beheben hat mich vier Stunden Arbeit gekostet. Sie von Anfang an korrekt einzurichten hätte dieselben vier Stunden gedauert — und die ganze Aufregung gespart.

Warum Kleinbetriebe Unverhältnismäßig Stark Betroffen Sind

Große Unternehmen haben Rechtsabteilungen, die jeden Beschluss der Datenschutzbehörde lesen und sich entsprechend anpassen. Ein Hofladen, ein Drei-Sterne-Hotel, ein lokaler Handwerker — die nicht. Sie verlassen sich auf denjenigen, der ihre Website gebaut hat, und derjenige hat oft ein Template aus dem Jahr 2019 kopiert. Das Datenschutzrecht hat sich seitdem erheblich weiterentwickelt. Der Garante per la protezione dei dati personali hat spezifische Leitlinien und Bußgelder zu Cookie-Bannern und Drittanbieter-Skripten herausgegeben. Die deutschen Gerichte — deren Urteile EU-weit Gewicht haben — haben entschieden, dass das Laden von Google Fonts über Googles CDN eine unerlaubte Übermittlung personenbezogener Daten (die IP-Adresse des Besuchers) in die USA darstellt. Das sind keine Randfälle. Das ist die Standardkonfiguration von Millionen von Websites.

Ein Schutzschild und ein Schloss über einem Website-Rahmen, mit Daten innerhalb des EU-Umrisses
Privacy by Design: Daten bleiben von Anfang an in Europa.

Die Vier Häufigsten Fehler

  • Google Fonts von fonts.googleapis.com geladen — jeder Seitenaufruf sendet die IP des Besuchers ohne Einwilligung an Google-Server in den USA.
  • Google Maps- oder YouTube-Einbettungen, die beim Laden der Seite initialisiert werden — das iframe setzt Drittanbieter-Cookies und Tracking-Pixel, bevor der Nutzer irgendetwas zugestimmt hat.
  • Analytics (Google Analytics, Facebook Pixel), die ohne vorherige Einwilligung laufen — das ist der häufigste Verstoß und der, auf den sich die Durchsetzung durch Datenschutzbehörden am stärksten konzentriert.
  • Ein Cookie-Banner mit vorausgewähltem 'Alle akzeptieren'-Kästchen oder einer 'Ablehnen'-Option, für die man durch ein Einstellungsmenü navigieren muss — beides ist nach den EU-ePrivacy-Regeln rechtswidrig.

Self-Hosting von Schriftarten: Eine Zeile Konfiguration

Wenn man Next.js verwendet — was ich für fast jede Website nutze, die ich in Südtirol baue — ist die Lösung für Google Fonts buchstäblich eine Zeile Konfiguration. Das Modul next/font/google lädt Schriftartdateien zum Zeitpunkt des Builds herunter und liefert sie von der eigenen Domain aus. Null Anfragen an Google zur Laufzeit. Die IP-Adressen der Besucher verlassen niemals den eigenen Server. So sieht das in der Praxis aus:

typescript
// next.config.ts – serve fonts from YOUR domain, not Google's CDN
// This prevents visitor IPs from being sent to Google servers in the US.
import type {NextConfig} from 'next';

const nextConfig: NextConfig = {
  // No special flag needed – next/font self-hosts automatically.
};
export default nextConfig;

// ---- app/layout.tsx ----
import {Inter} from 'next/font/google';
// next/font downloads the font at BUILD TIME and serves it from /app/...
// Zero runtime requests to fonts.googleapis.com or fonts.gstatic.com.
const inter = Inter({
  subsets: ['latin'],
  display: 'swap',
  // Optional: restrict to only the weights you actually use.
  weight: ['400', '600', '700'],
});

export default function RootLayout({children}: {children: React.ReactNode}) {
  return (
    <html lang="en" className={inter.className}>
      <body>{children}</body>
    </html>
  );
}

Wer einen anderen Stack verwendet, steht vor demselben Grundprinzip: Schriftartdateien herunterladen, auf dem eigenen Server ablegen, von der eigenen Domain referenzieren. Google Fonts selbst bietet eine Download-Option. Bunny Fonts ist eine DSGVO-konforme CDN-Alternative mit Hosting in Europa. In jedem Fall stoppt man das unsichtbare Datenleck.

Das Consent Gate: Nichts Laden, Bevor der Nutzer Entschieden Hat

Die Grundregel der DSGVO und der ePrivacy-Richtlinie ist einfach: Man darf keine Tracking-Cookies setzen oder Daten an Dritte senden, bevor man die freiwillige, spezifische, informierte und unmissverständliche Einwilligung des Nutzers eingeholt hat. Das bedeutet: Google Maps, YouTube-Einbettungen und Analytics-Skripte dürfen beim Laden der Seite nicht initialisiert werden. Sie müssen hinter einem Gate warten. Wenn der Nutzer zustimmt, öffnet sich das Gate. Wenn der Nutzer ablehnt, wird nichts geladen. Hier ist ein minimales Consent-Gate-Muster:

Ein Consent Gate, bei dem Drittanbieter-Skripte hinter einer visuellen Barriere warten, bis ein Schalter umgelegt wird
Drittanbieter-Skripte bleiben inaktiv, bis der Besucher eine aktive Entscheidung trifft.
typescript
// lib/consent-gate.ts – never load third-party scripts until the user says yes
// This pattern satisfies GDPR/ePrivacy: no cookies or tracking before consent.

type ConsentState = {analytics: boolean; maps: boolean; youtube: boolean};

let consent: ConsentState = {analytics: false, maps: false, youtube: false};

export function setConsent(update: Partial<ConsentState>) {
  consent = {...consent, ...update};
  // Persist the choice so the banner does not re-appear on every page.
  localStorage.setItem('gdpr_consent', JSON.stringify(consent));
  if (consent.analytics) loadAnalytics();
  if (consent.maps)     loadMaps();
  if (consent.youtube)  loadYouTube();
}

export function loadSavedConsent() {
  const raw = localStorage.getItem('gdpr_consent');
  if (raw) setConsent(JSON.parse(raw));
}

function loadAnalytics() {
  // Example: inject self-hosted Umami or Plausible snippet
  const s = document.createElement('script');
  s.src = '/stats/script.js'; // served from YOUR server, not a third-party CDN
  s.defer = true;
  document.head.appendChild(s);
}

function loadMaps() {
  // Swap the static placeholder image for a live iframe only after consent.
  document
    .querySelectorAll<HTMLElement>('[data-maps-placeholder]')
    .forEach(el => {
      const iframe = document.createElement('iframe');
      iframe.src = `https://www.google.com/maps/embed?pb=${el.dataset.mapsId}`;
      iframe.loading = 'lazy';
      el.replaceWith(iframe);
    });
}

function loadYouTube() {
  document
    .querySelectorAll<HTMLElement>('[data-yt-placeholder]')
    .forEach(el => {
      const iframe = document.createElement('iframe');
      iframe.src = `https://www.youtube-nocookie.com/embed/${el.dataset.ytId}`;
      iframe.loading = 'lazy';
      el.replaceWith(iframe);
    });
}

Analytics Ohne Einwilligungspflicht

Hier ist eine praktische Abkürzung, die viele Kleinbetriebe nicht kennen: Man kann Website-Analytics ganz ohne Cookie-Banner betreiben, wenn man ein cookiefreies, datenschutzfreundliches Analysetool verwendet. Plausible Analytics (Hosting in der EU), selbst gehostetes Umami und Fathom sind die drei, die ich am häufigsten empfehle. Sie sammeln aggregierte Daten — Seitenaufrufe, Referrer, Land — ohne Cookies zu setzen, ohne Besucher zu fingerprinting und ohne Daten außerhalb Europas zu senden. Die Cookie-Leitlinien des Garante aus dem Jahr 2022 erkennen ausdrücklich an, dass Analytics, die keine Einzelpersonen identifizieren und kein seitenübergreifendes Tracking beinhalten, von Einwilligungsanforderungen ausgenommen sein können. Einfacheres Banner, einfachere Codebasis, sauberere Daten.

EU-Hosting: Daten in Europa Behalten

Ein wiederkehrendes Thema bei der Durchsetzung der DSGVO sind Datenübermittlungen in Drittländer — hauptsächlich die USA. Wenn die Website in einem europäischen Rechenzentrum eines US-amerikanischen Cloud-Anbieters gehostet wird, befindet man sich in einer Grauzone: Die Muttergesellschaft ist amerikanisch und theoretisch dem US-amerikanischen Überwachungsrecht unterworfen. Der sicherste Weg ist ein Hosting-Anbieter, der ausschließlich in der EU ansässig ist und dort tätig ist. Für die Websites, die ich baue, verwende ich Hetzner (Deutschland) oder Exoscale (Schweiz/Österreich). Beide bieten hervorragende Leistungen zu vernünftigen Preisen, und bei beiden überqueren die Daten Ihrer Besucher niemals einen Ozean. Für einen kleinen Südtiroler Betrieb ist das auch eine gute Kommunikationsgeschichte: 'Ihre Daten bleiben in Europa, auf deutschen Servern.' Das wird wahrgenommen.

Datenschutzerklärung und Impressum: Nicht Verhandelbar

Italien verlangt von jeder gewerblichen Website eine Datenschutzerklärung (informativa sul trattamento dei dati) und, bei einem Unternehmen, das Äquivalent eines Impressums: die Steuernummer oder Mehrwertsteuernummer, eine physische Adresse, eine Kontakt-E-Mail. Der Garante hat kleine Betreiber speziell wegen fehlender oder unvollständiger Datenschutzerklärungen mit Bußgeldern belegt. Das ist nicht Bürokratie um ihrer selbst willen — eine klare Datenschutzerklärung sagt den Besuchern genau, welche Daten man erhebt und warum, was die Grundlage des Vertrauensverhältnisses ist, auf dem gutes Geschäft aufbaut. Ich erstelle diese Erklärungen mit einem anwaltlich geprüften Template, das ich für den italienischen und Südtiroler Kontext angepasst habe, und passe es dann an die tatsächlichen Datenpraktiken jedes Kunden an. Das dauert etwa eine Stunde und kostet einen Bruchteil dessen, was auch nur eine einzige Garante-Untersuchung kosten würde.

  1. 01Schriftarten selbst hosten — den Google Fonts CDN-Link vollständig entfernen.
  2. 02Jede Drittanbieter-Einbettung prüfen: Maps, YouTube, Analytics, Chat-Widgets, Social-Share-Buttons.
  3. 03Ein Consent Gate implementieren, das alle Drittanbieter-Skripte blockiert, bis der Nutzer aktiv zustimmt.
  4. 04Das Cookie-Banner mit gleichwertigen Schaltflächen für Akzeptieren und Ablehnen bauen, ohne vorausgewählte Kästchen.
  5. 05Zu cookiefreiem Analytics wechseln oder das eigene Analytics auf EU-Infrastruktur selbst hosten.
  6. 06Das Hosting zu einem ausschließlich in der EU ansässigen Anbieter verlagern.
  7. 07Eine anwaltlich geprüfte Datenschutzerklärung und ein vollständiges Impressum auf der Website veröffentlichen.

Datenschutz ist kein rechtliches Kästchen zum Abhaken. Es ist eine architektonische Entscheidung. Im Fundament verankert kostet es fast nichts. Nachträglich eingebaut reißt es bei jeder Änderung wieder auf.

Wenn Sie ein Hotel, ein Restaurant, einen Hofladen oder einen anderen Kleinbetrieb in Südtirol betreiben und nicht sicher sind, ob Ihre Website konform ist, biete ich ein einstündiges Datenschutz-Audit an: Ich schaue mir Ihre Website an, identifiziere die spezifischen Probleme und gebe Ihnen eine priorisierte Liste mit Korrekturmaßnahmen. Kein Fachjargon, keine Panikmache — nur ein klares Bild davon, wo Sie stehen und was nötig ist, um auf solidem Boden zu stehen. Schreiben Sie mir an gabriel@jumpinotech.com.

Portfolio · Schriftfeld
Gezeichnet von
G. STANCUTA
Disziplin
AI & AUTOMATION
Standort
MORTER · SÜDTIROL
Status
Verfügbar
Sprachen
IT · EN · RO · DE+
Stack
PLOI · HETZNER
Revision
REV 2026.A
2026

© 2026 Gabriel Stancuta · jumpinotech.com — Mit KI entworfen, gebaut, um sich selbst zu betreiben.