Wer einen Cookie-Banner gesehen hat, der wie ein Casino-Pop-up aussieht, weiss: Die DSGVO-Realität in Deutschland ist verkorkst. Aber das liegt nicht an der DSGVO, sondern daran, dass die meisten Marketingsetups voll mit US-Tracking sind, das ohne Einwilligung nicht laufen darf. Wer das Setup neu denkt, braucht meistens gar keinen Cookie-Banner.
Was die DSGVO wirklich verlangt
Drei Dinge, knapp:
- Transparenz: Du sagst Besuchern, was du mit ihren Daten machst. Datenschutzerklärung, klar lesbar, nicht versteckt.
- Notwendigkeit: Du verarbeitest nur, was wirklich nötig ist. Kein Tracking „auf Vorrat“, kein US-Pixel ohne Anlass.
- Einwilligung wo nötig: Für alles, was über das technisch Notwendige hinausgeht, brauchst du aktive Zustimmung. Cookie-Banner ist nur das Werkzeug, wenn nichts einwilligungspflichtig ist, brauchst du keinen Banner.
Das war's. Der Rest ist Detail (Speicherdauer, Auftragsverarbeitungsverträge, Drittstaatentransfer).
Wo die meisten Marketing-Tools dich in die Falle laufen lassen
Stell dir vor, du baust eine neue Webseite. Dein Marketer sagt: „Wir brauchen Google Analytics, Hotjar, Facebook Pixel, Mailchimp-Embed, Calendly, Vimeo.“ Klingt vernünftig. Konsequenz für deinen Datenschutz:
- Google Analytics: Daten an Google LLC, USA → einwilligungspflichtig, Cookie-Banner unvermeidlich
- Hotjar: Israel + EU, Mouse-Tracking → einwilligungspflichtig
- Facebook Pixel: Daten an Meta, USA → einwilligungspflichtig, Cookie-Banner
- Mailchimp: USA-Provider → für Embeds einwilligungspflichtig
- Calendly: USA → einwilligungspflichtig
- Vimeo: USA → einwilligungspflichtig (ausser „Do-Not-Track-Mode“)
Sechs Tools, sechs Einwilligungs-Slots, eine 300-Pixel hohe Cookie-Wand, die deine Conversion zerschiesst. Plus Abmahnrisiko, wenn irgendwo nachgebessert werden muss.
Die Alternative: EU-First-Setup
Für die gleichen Funktionen gibt es EU-Alternativen, die ohne Einwilligung laufen:
| Statt | Nimm |
|---|---|
| Google Analytics | Plausible (EU/Estland, ~9 EUR/Mo) oder Matomo (self-hosted, kostenlos) |
| Hotjar | Microsoft Clarity (zwar US, aber DSGVO-konfigurierbar) oder weglassen |
| Facebook Pixel | Conversion-API serverseitig + Consent (oder ganz weglassen) |
| Mailchimp | Brevo (Frankreich, EU) oder rapidmail (Deutschland) |
| Calendly | Cal.com (Open Source, self-hostbar, EU) |
| Vimeo | Self-Hosting via Bunny.net (EU) oder Vimeo im „Do-Not-Track“-Mode |
| Google Fonts | Self-Hosted (Font-Dateien auf eigenem Server) |
Mit diesem Setup brauchst du keinen Cookie-Banner. Keine US-Datenübertragung, kein Tracking ohne Einwilligung, keine 300-Pixel-Wand. Deine Konversion bleibt intakt, deine Klienten bleiben rechtssicher.
Was wirklich ins Impressum gehört
§ 5 TMG ist überraschend kurz. Pflicht:
- Name und Anschrift des Anbieters
- Schnelle Kontaktaufnahme (E-Mail, optional Telefon)
- Bei Kapitalgesellschaften: Vertretungsberechtigte, Handelsregister-Nummer
- Bei umsatzsteuerpflichtigen Unternehmen: USt-IdNr.
- Bei Kammerberufen: Kammer, gesetzliche Berufsbezeichnung
Mehr nicht. Wer den Mustergeneratoren von Anwalts-Websites folgt, baut sich oft ein dreifach so langes Impressum, das Pflicht-Überflüssiges enthält. Pflicht ist Pflicht, der Rest stört nur.
Was wirklich in die Datenschutzerklärung gehört
Eine Datenschutzerklärung erklaert, was passiert mit den Daten. Konkret:
- Welche Daten werden gesammelt? (Form-Eingaben, IP-Adressen bei Server-Logs)
- Wofuer werden sie verwendet? (Anfrage-Bearbeitung, technische Sicherheit)
- An wen werden sie weitergegeben? (Niemand, ausser du nutzt Auftragsverarbeiter)
- Wie lange werden sie gespeichert? (z. B. „bis Anfrage bearbeitet, max. 12 Monate“)
- Rechte der Betroffenen (Auskunft, Löschung, Widerruf, Standard-Block)
- Aufsichtsbehörde für Beschwerden (für BW: Landesbeauftragter für Datenschutz BW)
Wenn du keine Tracker hast, ist deine Datenschutzerklärung kurz. Wenn du Tracker hast, wird sie lang, pro Tool ein Block.
Was Marketing-Leute oft überflüssig wichtig finden
Drei Dinge, die in der Praxis irrelevant sind:
- „Wir brauchen unbedingt Heatmaps“: Nein, brauchst du nicht. Wenn deine Conversion-Rate niedrig ist, liegt es fast immer am Angebot, nicht am UX-Detail. Heatmaps sind Tracking-Theater.
- „Cookie-Banner muss schick aussehen“: Wenn du keinen brauchst, brauchst du auch keinen schicken. Wenn du einen brauchst, ist „schick“ das letzte Problem.
- „Wir tracken vorsichtshalber alles, falls wir es brauchen“: Genau das ist DSGVO-Verstoß. Du darfst nur tracken, was du wirklich brauchst. Vorratsdatenspeicherung ist nicht legal.
Was du JETZT tun kannst
- Audit: Welche Tools laufen auf deiner Seite? Liste sie auf.
- Pro Tool prüfen: Datenübertragung in die USA? Einwilligungspflichtig?
- Ersetzen: EU-Alternativen oder Weglassen
- Cookie-Banner entfernen, wenn nach Schritt 3 nichts mehr einwilligungspflichtig ist
Wir bauen jede Webseite mit dem EU-First-Setup. Dauerhaft guenstiger, rechtssicher, ohne Banner-Theater. Wenn du wissen willst, wo deine Seite gerade steht: Frag uns einfach, wir schauen kostenlos drauf.
JaJa Productions ist ein Studio aus Stuttgart für Social-Media-Content, Webseiten und KI-Content. DSGVO-first, abo-frei, ehrlich. Wir sind keine Anwaelte und ersetzen keine Rechtsberatung. Aber wir wissen, was funktioniert, weil wir es jeden Tag bauen.