Zurück zum Blog
DSGVO & Recht10 Min. Lesezeit

DSGVO-konforme Website für KMU — ohne Cookie-Banner

Fast jede Website begrüßt Besucher mit einem Cookie-Banner. Die meisten davon sind unnötig. Hier erfahren Sie, warum — und wie Ihre Website ohne Cookie-Banner trotzdem DSGVO-konform sein kann.

Warum gibt es überhaupt Cookie-Banner?

Cookie-Banner entstanden, weil Websites Tracking-Tools wie Google Analytics, Facebook Pixel oder Marketing-Cookies einsetzen. Diese Tools speichern Informationen auf dem Gerät des Besuchers — und dafür braucht man laut DSGVO und ePrivacy-Richtlinie eine Einwilligung.

Das Problem: Die meisten KMU-Websites brauchen diese Tracking-Tools gar nicht. Ein Hofladen muss nicht wissen, welche Facebook-Anzeige ein Besucher geklickt hat. Eine Fahrschule muss keine Retargeting-Kampagnen fahren. Trotzdem installieren viele Website-Baukästen diese Tools standardmäßig — und plötzlich braucht man einen Cookie-Banner.

Wann brauchen Sie keinen Cookie-Banner?

Die Regel ist einfach: Wenn Ihre Website keine Cookies setzt, die über das technisch Notwendige hinausgehen, brauchen Sie keinen Cookie-Banner. Das bedeutet konkret:

  • Kein Google Analytics. Das ist der häufigste Grund für Cookie-Banner. Google Analytics setzt Tracking-Cookies und überträgt Daten an Google-Server in den USA.
  • Kein Facebook Pixel. Gleiches Problem — Daten fließen an Meta in den USA.
  • Keine Google Fonts von Google-Servern. Jeder Aufruf einer Google-Font-Datei überträgt die IP-Adresse des Besuchers an Google. Lösung: Fonts lokal einbinden (self-hosting).
  • Keine eingebetteten YouTube-Videos ohne No-Cookie-Modus. YouTube setzt standardmäßig Cookies. Alternative: youtube-nocookie.com oder Screenshot mit Link.
  • Keine Social-Media-Widgets. Die Like-Buttons und Share-Widgets von Facebook, Instagram und Co. laden externe Skripte und setzen Cookies.

Wenn keiner dieser Punkte auf Ihre Website zutrifft, brauchen Sie keinen Cookie-Banner. Ihr Kontaktformular, Ihre Bildergalerie und Ihr CMS setzen in der Regel nur technisch notwendige Cookies — die sind erlaubt und brauchen keine Einwilligung.

Cookieless Analytics — Website-Statistiken ohne Cookies

Sie wollen trotzdem wissen, wie viele Besucher Ihre Website hat? Das geht — ohne Cookies und ohne Google.

Cookieless-Analytics-Tools messen Seitenaufrufe, ohne individuelle Besucher zu tracken. Es werden keine Cookies gesetzt, keine IP-Adressen gespeichert und keine Daten an Drittanbieter übertragen. Die Daten bleiben auf dem eigenen Server.

Bekannte Alternativen zu Google Analytics sind Plausible, Umami und Fathom. Diese Tools sind datenschutzkonform, leichtgewichtig und liefern trotzdem die wichtigsten Kennzahlen: Seitenaufrufe, Verweildauer, Herkunft der Besucher und meistbesuchte Seiten.

Der Vorteil: Sie sehen, wie Ihre Website genutzt wird — ohne Ihre Besucher mit Cookie-Bannern zu belästigen. Und ohne dass Sie sich mit Einwilligungsmanagement, Cookie-Kategorien und Opt-out-Mechanismen herumschlagen müssen.

EU-Hosting — warum der Serverstandort wichtig ist

Die DSGVO reguliert, wo personenbezogene Daten verarbeitet werden. Wenn Ihre Website auf einem Server in den USA gehostet wird, fließen bei jedem Seitenaufruf Daten (mindestens die IP-Adresse) in ein Drittland. Das ist datenschutzrechtlich problematisch.

Die sichere Lösung: Hosting in der EU. Anbieter wie Hetzner (Deutschland/Finnland) bieten leistungsstarke Server, bei denen die Daten Ihrer Besucher den EU-Raum nie verlassen. Das vereinfacht Ihre Datenschutzerklärung erheblich und reduziert das Abmahnrisiko.

Übrigens: Viele Baukasten-Anbieter wie Wix hosten standardmäßig in den USA. Selbst wenn sie eine EU-Option anbieten, laufen oft CDN-Requests über US-Server. Bei einem EU-Hoster wissen Sie genau, wo Ihre Daten liegen.

Google Fonts — das unterschätzte Abmahnrisiko

Seit einem Urteil des Landgerichts München (2022) ist klar: Das Einbinden von Google Fonts über Google-Server verstößt gegen die DSGVO. Bei jedem Seitenaufruf wird die IP-Adresse des Besuchers an Google übertragen — ohne Einwilligung, ohne Rechtsgrundlage.

Es gab eine Welle von Abmahnungen, bei denen Websitebetreiber 100–170€ pro Verstoß zahlen mussten. Die Lösung ist einfach: Fonts lokal einbinden. Die Font-Dateien werden auf dem eigenen Server gespeichert, es findet kein externer Aufruf statt. Das ist technisch simpel und sollte Standard sein.

Falls Sie unsicher sind, ob Ihre Website Google Fonts extern lädt: Öffnen Sie Ihre Website im Browser, drücken Sie F12 (Entwicklertools) und suchen Sie im Tab „Netzwerk" nach Aufrufen an fonts.googleapis.com oder fonts.gstatic.com. Wenn Sie dort Einträge finden, werden Fonts extern geladen.

Was auf jeder Website vorhanden sein muss

Auch ohne Cookie-Banner gibt es Pflichtangaben, die auf jeder gewerblichen Website in Österreich und Deutschland vorhanden sein müssen:

Impressum

Pflicht für jede gewerbliche Website. Enthält: Name und Anschrift des Unternehmens, Kontaktdaten (E-Mail, Telefon), Firmenbuchnummer (falls vorhanden), UID-Nummer, zuständige Aufsichtsbehörde (falls relevant). In Österreich geregelt durch das ECG (E-Commerce-Gesetz), in Deutschland durch das TMG.

Datenschutzerklärung

Pflicht nach DSGVO Art. 13/14. Muss erklären: Welche Daten werden erhoben (z.B. IP-Adresse bei Seitenaufruf, Formulardaten), warum werden sie erhoben (Rechtsgrundlage), wie lange werden sie gespeichert, wer hat Zugriff, welche Rechte hat der Besucher (Auskunft, Löschung, Widerspruch).

Für die meisten KMU empfiehlt sich die Erstellung durch eine spezialisierte Kanzlei wie die IT-Recht Kanzlei. Die Kosten liegen bei ca. 10€/Monat — dafür sind die Texte immer aktuell und abmahnsicher. Alternativ gibt es kostenlose Datenschutz-Generatoren, die für einfache Websites ausreichen können, aber keine Haftung übernehmen.

SSL-Verschlüsselung (HTTPS)

Keine optionale Empfehlung, sondern Pflicht, sobald personenbezogene Daten verarbeitet werden — also bei jedem Kontaktformular. Let's Encrypt bietet kostenlose SSL-Zertifikate. Es gibt keinen Grund mehr, eine Website ohne HTTPS zu betreiben.

Checkliste: DSGVO-konforme Website ohne Cookie-Banner

  • Hosting in der EU (z.B. Hetzner)
  • Keine externen Google Fonts — Fonts lokal eingebunden
  • Kein Google Analytics — stattdessen Cookieless Analytics oder gar kein Tracking
  • Kein Facebook Pixel oder andere Werbe-Tracker
  • Keine Social-Media-Widgets die Cookies setzen
  • YouTube-Videos nur im No-Cookie-Modus einbetten
  • SSL-Verschlüsselung (HTTPS) aktiv
  • Impressum vorhanden und vollständig
  • Datenschutzerklärung vorhanden und aktuell
  • Kontaktformular nur mit notwendigen Feldern

Was das in der Praxis bedeutet

Wenn Sie diese Punkte einhalten, brauchen Sie keinen Cookie-Banner. Ihre Besucher werden nicht mit Popups belästigt, Ihre Website lädt schneller (keine Cookie-Consent-Skripte) und Sie sparen sich die laufenden Kosten für Cookie-Consent-Tools wie Cookiebot oder CookieYes (oft 10–50€/Monat).

Gleichzeitig sind Sie rechtlich auf der sicheren Seite — was für viele KMU wichtiger ist als die meisten Tracking-Daten, die ohnehin nie ausgewertet werden.

Disclaimer

Dieser Artikel ist keine Rechtsberatung. Er gibt einen Überblick über die gängige Praxis und die häufigsten Stolperfallen. Für verbindliche Auskünfte wenden Sie sich an einen auf IT-Recht spezialisierten Anwalt oder an die IT-Recht Kanzlei.

Website ohne Cookie-Banner?

Alle Websites im Website-Service sind DSGVO-konform — EU-Hosting, keine externen Tracker, kein Cookie-Banner nötig. Starter 39€/Mo.

Website-Service ansehen →

Weiterführende Artikel

Website-Service

Website für Hofläden — was Sie wirklich brauchen

Business

Warum Ihre Website Kunden verliert