Erstgespräch
alle Beiträge

DSGVO-konforme Webseite ohne Cookies erstellen: So geht es 2026

Rechtliches
Strategie
01.06.2026
5
min Lesezeit

Inhaltsverzeichnis

Heading 2
Heading 3
Heading 4
Heading 5
Heading 6

Cookie-Banner sind das wahrscheinlich am meisten gehasste Element einer Webseite. Jeder Besucher klickt sie weg, kaum jemand liest sie, und auf vielen Seiten verhindern sie sogar, dass die ersten Sekunden des Erstkontakts überhaupt für den Inhalt genutzt werden. Die gute Nachricht: Bei vielen kleinen und mittleren Webseiten lässt sich der Banner komplett vermeiden, wenn man die Seite richtig baut. Es geht in diesem Beitrag um die technische und strategische Seite, nicht um die Plattformwahl. Ob du dein Projekt auf Webflow, WordPress oder einem anderen System umsetzt, ändert an der grundsätzlichen Logik wenig. Wer sich dafür interessiert, ob speziell Webflow datenschutzrechtlich sauber nutzbar ist, findet das in meinem Beitrag "Ist Webflow DSGVO-konform?".

Wie immer der übliche Hinweis vorweg: Ich bin kein Anwalt. Ich schreibe aus Entwicklersicht, aus mehr als 100 abgeschlossenen Projekten und aus regelmäßigem Austausch mit Datenschutzbeauftragten. Bei rechtlichen Einzelfragen gehört am Ende immer eine Fachperson dazu.

Warum überhaupt eine Webseite ohne Banner

Ein Cookie-Banner ist eine Reibung. Er kostet jeden Besucher ein paar Sekunden Aufmerksamkeit, bevor er überhaupt zu deinem Inhalt kommt. Studien zeigen seit Jahren, dass ein nicht zu vernachlässigender Teil der Nutzer Seiten verlässt, sobald der Banner erscheint. Wer sich entscheidet, gar nicht erst in diese Situation zu kommen, gewinnt Aufmerksamkeit, Geschwindigkeit und auf Mobilgeräten oft auch eine deutlich bessere User Experience. Dazu kommt der ehrliche Punkt: Eine Seite ohne Banner wirkt aufgeräumter, professioneller und vertrauenswürdiger. Das ist gerade für Selbstständige, Berater und kleine Betriebe ein echter Vorteil.

Wann ein Cookie-Banner wirklich Pflicht ist

Die rechtliche Grundlage in Deutschland ist seit Dezember 2021 das Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz, kurz TDDDG. Der zentrale Paragraph 25 regelt: Wer auf einem Endgerät des Nutzers Informationen speichert oder ausliest, braucht eine ausdrückliche Einwilligung. Ausnahme: Es ist zwingend notwendig, damit der vom Nutzer gewünschte Dienst funktioniert.

Konkret heißt das: Ein Session-Cookie, der den Warenkorb in einem Online-Shop am Leben hält, ist notwendig und braucht keinen Banner. Ein Analytics-Cookie, der das Verhalten des Besuchers misst, ist nicht notwendig und braucht eine Einwilligung. Ein Cookie, der vom YouTube-Embed gesetzt wird, ist nicht notwendig und braucht eine Einwilligung. Ein eingebetteter Chat von einem US-Anbieter, der beim Seitenaufruf direkt eine Verbindung herstellt, braucht eine Einwilligung. Die Liste lässt sich fortsetzen.

Der Knackpunkt ist nicht das Wort Cookie, sondern jedes Speichern oder Auslesen von Informationen, das nicht zwingend zum Betrieb gehört. Auch Local Storage, Fingerprinting-Skripte und ähnliche Techniken fallen darunter. Wer all das vermeidet, braucht keinen Banner. Wer es nur teilweise vermeidet, braucht in der Regel doch wieder einen.

So baust du eine Seite, die ohne Banner auskommt

Der Trick liegt nicht in einer einzelnen Maßnahme, sondern in einer konsequenten Bauweise. Schriften werden selbst gehostet, nicht von Google oder einem anderen externen Anbieter geladen. Bilder und Videos liegen entweder auf dem eigenen Server oder bei einem Dienstleister mit Vertragsstandort in der EU und ohne Tracking. Externe Skripte werden möglichst komplett vermieden. Karten werden statt als Live-Embed als verlinktes Vorschaubild eingebunden, das beim Klick zum Kartenanbieter führt. Videos werden entweder selbst gehostet oder über einen europäischen Anbieter ohne Tracking eingebettet.

Kontaktformulare laufen über Endpunkte in der EU. Wenn du ein Formular brauchst, das Daten in einer Tabelle, Datenbank oder Mail landen lässt, gehört der Endpunkt auf einen Server in der EU, oft ergänzt um eine Automatisierungsplattform mit EU-Standort. Newsletter-Anbieter werden bewusst aus Europa gewählt, nicht aus den USA, was sich auch sonst gut bezahlt macht. Schriftgrößen, Layout und Bildgrößen werden direkt in der Seite gespeichert, nicht in clientseitigen Speichern, die unter Paragraph 25 fallen könnten.

Klingt nach viel. Ist es nicht. Wenn man eine Seite von Anfang an in diese Richtung baut, ist der Mehraufwand gegenüber einer Standardseite gering. Schwierig wird es nur, wenn man nachträglich eine bestehende Seite umstellen will, die mit US-Tools, externen Schriften und eingebetteten Videos vollgepackt ist.

Analyse ohne Cookies: was funktioniert, was nicht

Die häufigste Frage, die im Erstgespräch kommt: Aber ich will doch sehen, was auf meiner Seite passiert. Wie geht das ohne Tracking? Die Antwort ist beruhigend: Es gibt mehrere europäische Anbieter, die genau dafür gebaut wurden. Sie messen Seitenaufrufe, Quellen, Klickpfade und Conversion-Raten, ohne Cookies zu setzen und ohne personenbezogene Daten zu sammeln.

Plausible Analytics ist ein bekannter Vertreter, ein in der EU gehosteter Anbieter, der ausdrücklich ohne Cookies und ohne Fingerprinting arbeitet. Matomo lässt sich in der Cloud-Variante mit EU-Standort betreiben oder komplett selbst hosten, was für viele Kunden die beste Lösung ist, weil die Daten den eigenen Server nie verlassen. Beide Anbieter verzichten konsequent auf Werbenetzwerke, verkaufen keine Daten weiter und liefern die Auswertungen, die für kleine und mittlere Webseiten relevant sind, ohne Banner.

Wer noch eine Stufe weiter gehen will, setzt auf serverseitige Auswertung. Statt im Browser des Besuchers etwas zu laden, wertet der Server die Anfragen direkt aus, ganz ohne Skript, ganz ohne Speicherung auf dem Endgerät. Das ist technisch anspruchsvoller, dafür rechtlich besonders sauber, weil Paragraph 25 TDDDG hier gar nicht erst greift. Für Kunden, die Wert auf maximale Sauberkeit legen, ist das oft der Weg.

Was bei diesem Ansatz wegfällt, ist die tiefe Verhaltensanalyse, wie sie etwa Google Analytics 4 mit personalisierten Profilen bietet. Für die allermeisten kleinen und mittleren Anbieter ist das aber kein Verlust, sondern eine Entlastung. Die spannenden Fragen, also welche Seite zieht Besucher an, welche Inhalte werden gelesen, woher kommen die Anfragen, lassen sich mit den genannten Tools sauber beantworten.

Eine anonyme Mini-Case aus der Praxis

Eine Steuerberatungskanzlei aus dem Ruhrgebiet kam vor einigen Monaten mit einer bestehenden Seite zu mir. Auf der Seite liefen Google Fonts direkt vom Server, ein YouTube-Embed mit Begrüßungsvideo, eine eingebettete Google Maps-Karte mit der Adresse, ein Chat-Widget eines US-Anbieters und Analytics über die volle Tracking-Suite. Dazu ein Cookie-Banner, der den Besucher beim ersten Aufruf eine halbe Sekunde lang den Inhalt nicht sehen ließ.

Im Relaunch haben wir folgendes gemacht. Die Schriften habe ich heruntergeladen und auf dem Hosting selbst abgelegt. Das YouTube-Video haben wir durch ein selbst gehostetes MP4 ersetzt, das beim Klick startet, vorher nur als Standbild zu sehen ist und keine externen Verbindungen aufbaut. Die Karte ist jetzt ein statisches Bild der Lage mit einem Link, der bei Bedarf den Routenplaner öffnet. Der US-Chat ist rausgeflogen und wurde durch ein einfaches Kontaktformular mit Telefon- und Mailangabe ersetzt. Statt Google Analytics läuft Plausible, gehostet in der EU, ohne Cookies. Das Formular schickt die Daten an einen Endpunkt auf einem deutschen Server, der sie verschlüsselt ins Kanzlei-System weiterleitet.

Ergebnis: Kein Cookie-Banner mehr. Ladezeit ungefähr halbiert. Die Auswertung der Besucher ist klar genug, um zu sehen, welche Leistungsseiten funktionieren und wo Mandanten abspringen. Die Datenschutzerklärung ist deutlich kürzer geworden, weil schlicht weniger Tools auflistbar sind. Und die Kanzlei kann jeder Mandantin und jedem Mandanten sauber erklären, dass auf der Seite keinerlei personenbezogene Daten ohne klaren Zweck verarbeitet werden.

Wann es nicht ohne Banner geht

So elegant der Weg ist, er funktioniert nicht für jedes Projekt. Sobald du Werbung über Plattformen wie Meta, Google Ads oder LinkedIn schalten willst und das Trackingpixel auf der Seite haben musst, brauchst du einen Banner. Sobald du ein Marketing-Tool nutzt, das personalisierte Empfehlungen oder A-B-Tests fährt, brauchst du einen Banner. Sobald du Live-Chat-Widgets nutzt, die im Hintergrund Verbindungen zu US-Servern aufbauen, brauchst du einen Banner. Sobald du externe Buchungssysteme einbindest, die Cookies setzen, brauchst du einen Banner.

Das ist kein Drama. Ein gut eingerichteter Banner mit echter Wahlmöglichkeit ist DSGVO-konform und in der Praxis problemlos. Aber wer ihn vermeiden kann, sollte das tun. Für viele meiner Kunden, gerade Berater, Coaches, Handwerksbetriebe und kleine Kanzleien, ist der Banner einfach nicht nötig, weil die Seite ohnehin keine Werbenetzwerke braucht.

So gehe ich in einem neuen Projekt vor

Wenn ich eine neue Seite baue, frage ich gleich am Anfang, ob Werbung geschaltet werden soll und welche Marketing-Tools wirklich gebraucht werden. Wenn die Antwort beides Mal Nein ist, lege ich das Projekt direkt ohne Banner an. Das spart Aufwand bei der Einrichtung, bei der Pflege und vor allem in der Datenschutzerklärung. Die Seite wird schneller, sauberer und entspannter.

Wenn du wissen willst, ob dein Projekt für einen Weg ohne Banner geeignet ist, schauen wir im Erstgespräch gemeinsam drüber. Ich gebe dir eine ehrliche Einschätzung, was du heute einsetzt, was sich ersetzen lässt und was nicht. Du erreichst mich über die Kontaktseite. Kein Druck, kein Verkaufsgespräch, einfach ein ruhiges Gespräch.

Häufig gestellte Fragen

Kann jede Webseite ohne Cookie-Banner gebaut werden?
Nein, nicht jede. Sobald du Werbeplattformen, Trackingpixel oder Tools nutzt, die im Hintergrund externe Verbindungen aufbauen, brauchst du eine Einwilligung und damit einen Banner. Für viele kleine und mittlere Webseiten, etwa von Beratern, Coaches, Handwerkern oder kleinen Dienstleistern, ist der Weg ohne Banner aber gut machbar. Es kommt darauf an, welche Funktionen die Seite wirklich braucht und welche nur Gewohnheit sind.
Wie messe ich Besucher, wenn ich kein Google Analytics einsetze?
Es gibt mehrere europäische Anbieter, die genau dafür gebaut wurden. Plausible Analytics ist in der EU gehostet und arbeitet ohne Cookies. Matomo läuft in der Cloud mit EU-Standort oder komplett selbst gehostet, was für viele die sauberste Variante ist. Beide liefern die Auswertungen, die für kleine und mittlere Seiten wirklich relevant sind, also Seitenaufrufe, Quellen und Conversion-Raten, ohne dass ein Banner nötig wird.
Was ist mit YouTube-Videos und Google Maps auf der Seite?
Beide bauen beim normalen Einbinden direkt Verbindungen zu US-Servern auf und brauchen damit eine Einwilligung. Wer den Banner vermeiden will, kann Videos selbst hosten oder einen europäischen Video-Anbieter ohne Tracking nutzen. Karten ersetze ich gerne durch ein statisches Bild mit der Lage, das beim Klick zum Routenplaner führt. Optisch fast identisch, technisch komplett harmlos.
Wie funktioniert die serverseitige Auswertung?
Statt im Browser des Besuchers ein Skript zu laden, wertet der Server die eingehenden Anfragen direkt aus. Damit wird nichts auf dem Endgerät gespeichert oder ausgelesen, und Paragraph 25 TDDDG greift gar nicht erst. Das ist die rechtlich sauberste Variante, technisch aber etwas anspruchsvoller einzurichten. Für Kunden, die Wert auf maximale Sauberkeit legen, ist es oft die beste Wahl.
Was passiert, wenn ich später doch ein Tool brauche, das Cookies setzt?
Dann kommt ein Banner dazu, und zwar genau für dieses eine Tool. Die übrige Seite bleibt sauber, du musst nicht plötzlich alles umstellen. Wichtig ist nur, dass das neue Tool dann auch wirklich erst nach Einwilligung lädt und die Datenschutzerklärung entsprechend angepasst wird. Ich nehme solche Erweiterungen regelmäßig vor, wenn Kunden später Werbung schalten oder ein neues Buchungssystem einbinden möchten.
Lässt sich eine bestehende Seite nachträglich auf bannerfrei umstellen?
Ja, in vielen Fällen. Der Aufwand hängt davon ab, was aktuell auf der Seite läuft. Bei einer Seite mit ein paar externen Schriften, einem YouTube-Embed und Google Analytics ist die Umstellung überschaubar. Bei einer Seite, die tief in Marketing-Tools, Werbenetzwerken und externen Chats verankert ist, lohnt sich oft eher ein Relaunch. Im Erstgespräch schaue ich mir das an und gebe dir eine ehrliche Einschätzung, ob sich der Aufwand für deinen Fall lohnt.

Dein Erfolg beginnt hier – Starte jetzt!

In einem unverbindlichen Gespräch besprechen wir deine Ziele und nächste Schritte.

Besprechung & Planung
Besprechung & Planung
Umsetzung
Verkaufsorientierte Webseite
Erstgespräch vereinbaren
info@max-dreyer.com
Mehr Beiträge

Das könnte dich auch interessieren

Rechtliches
Webflow
Entwicklung
5
 Minuten Lesezeit
BFSG 2025: Diese Webdesign-Anforderungen gelten bald verpflichtend
weiterlesen
Hinweis: Dieser Beitrag dient ausschließlich der allgemeinen Information und stellt keine rechtliche Beratung dar. Trotz sorgfältiger Recherche und Aufbereitung kann kein Gewähr für die Richtigkeit, Vollständigkeit oder Aktualität der Inhalte übernommen werden. Für eine verbindliche Einschätzung oder rechtliche Beratung wende dich bitte an eine entsprechend qualifizierte Fachperson oder Rechtsberatung.

Ab dem 28. Juni 2025 tritt eine wichtige gesetzliche Regelung in Kraft, die für viele Gestalter von Internetseiten, Programmierer und Betreiber digitaler Angebote erhebliche Auswirkungen hat: das Barrierefreiheitsstärkungsgesetz, kurz BFSG. Künftig wird die barrierefreie Gestaltung von Internetseiten zur Pflicht, nicht mehr nur für staatliche Stellen, sondern auch für viele privatwirtschaftliche Unternehmen. Wer eine Internetseite oder einen digitalen Dienst für Verbraucher anbietet, muss sicherstellen, dass diese Angebote auch für Menschen mit Einschränkungen zugänglich sind. Für alle, die mit modernen CMS Systemen wie Webflow arbeiten, beginnt jetzt die entscheidende Vorbereitungszeit.

Was regelt das Barrierefreiheitsstärkungsgesetz genau?

Das BFSG ist die deutsche Umsetzung einer europäischen Richtlinie zur Barrierefreiheit. Ziel dieser Regelung ist es, digitale Angebote so zu gestalten, dass sie von allen Menschen genutzt werden können. Unabhängig von körperlichen oder geistigen Einschränkungen. Während bisher hauptsächlich staatliche Einrichtungen zur Barrierefreiheit verpflichtet waren, gilt diese Pflicht nun auch für privatwirtschaftliche Unternehmen, die digitale Leistungen für Verbraucher bereitstellen.

Dazu zählen unter anderem Internetseiten, mobile Anwendungen, Verkaufsplattformen, Buchungssysteme oder auch Selbstbedienungsterminals. Das Gesetz sorgt dafür, dass niemand mehr von wichtigen Informationen oder Dienstleistungen ausgeschlossen wird, nur weil eine Internetseite schlecht lesbar oder nicht bedienbar ist.

Welche Unternehmen sind betroffen - und gibt es Ausnahmen?

Grundsätzlich gilt das BFSG für alle Anbieter digitaler Leistungen, die mehr als zehn Beschäftigte haben oder einen Jahresumsatz von über zwei Millionen Euro erzielen. Besonders betroffen sind Betreiber von Online-Geschäften, Geldinstitute, Verkehrsbetriebe oder Anbieter von Telekommunikation. Aber auch kleinere Betriebe sollten sich mit dem Thema befassen, denn immer mehr öffentliche oder große private Auftraggeber verlangen bereits heute barrierefreie Lösungen.

Wer also Internetseiten für gewerbliche Kunden erstellt - sei es als Einzelperson oder als kleine Agentur - sollte sich frühzeitig mit den Anforderungen vertraut machen. Denn auch wenn man rechtlich nicht direkt betroffen ist, wird die Barrierefreiheit zunehmend zum Qualitätskriterium im Wettbewerb und in der öffentlichen Auftragsvergabe.

Was muss ab 2025 technisch und gestalterisch beachtet werden?

Die konkreten Vorgaben orientieren sich an den sogenannten Richtlinien für barrierefreie Webinhalte (WCAG), genauer gesagt an der Stufe 2.1, Niveau AA. Diese technischen Regeln legen fest, wie eine Internetseite gestaltet sein muss, damit sie für möglichst viele Menschen zugänglich ist.

Dazu gehören unter anderem folgende Punkte:

  • Die gesamte Seite muss mit der Tastatur bedienbar sein, also ohne Maus oder Touchscreen.
  • Texte und Elemente müssen ausreichend kontrastreich und gut lesbar gestaltet sein.
  • Bilder müssen mit beschreibenden Texten versehen sein, damit Vorlesesoftware sie erkennen kann.
  • Die Inhalte sollten klar strukturiert und verständlich formuliert sein - auch für Menschen mit Lernschwierigkeiten oder geringem Lesevermögen.
  • Es dürfen keine rein visuellen Hinweise verwendet werden (zum Beispiel: „Klicken Sie auf das rote Feld“), sondern es muss eine alternative Beschreibung geben.

Für diejenigen, die Internetseiten mit Webflow gestalten, bieten sich hierbei viele Vorteile. Das Programm erlaubt es, sauberen Quelltext zu erzeugen, strukturelle Elemente wie Navigation oder Überschriften korrekt zu kennzeichnen und beschreibende Hinweise für Vorleseprogramme einzufügen. Wer sich mit den Möglichkeiten beschäftigt, kann nahezu alle Anforderungen des BFSG direkt umsetzen.

Barrierefreiheit und Webflow - ein guter Weg zur Umsetzung

Die Gestaltung barrierefreier Seiten ist nicht nur eine technische Aufgabe. Es geht ebenso um die Benutzerfreundlichkeit, um Sprache, Klarheit und Übersicht. Genau hier hat sich Webflow in vielen Projekten bewährt: Es erlaubt eine klare Gliederung der Inhalte, einfache Einbindung erklärender Hinweise und bietet gestalterische Freiheit bei gleichzeitiger Einhaltung der Vorgaben.

Wichtig ist, dass man frühzeitig im Entwurfsprozess an die Barrierefreiheit denkt. Wer beispielsweise auf eine logische Reihenfolge der Inhalte, gut sichtbare Bedienelemente und aussagekräftige Beschriftungen achtet, spart sich später aufwendige Nachbesserungen. Auch zusätzliche Hilfsmittel - wie die Erweiterung von Finsweet zur Überprüfung der Barrierefreiheit - erleichtern die Umsetzung im Arbeitsalltag.

Warum sich rechtzeitiges Handeln lohnt

Auch wenn das Gesetz erst 2025 in Kraft tritt - der Aufwand für eine durchgängig barrierefreie Internetseite ist nicht zu unterschätzen. Wer heute bereits beginnt, seine Projekte anzupassen, vermeidet spätere Engpässe und Positioniert sich als verlässlicher Partner.

Hinzu kommt: Barrierefreie Internetseiten bieten nicht nur rechtliche Sicherheit, sondern auch klare Vorteile im Wettbewerb. Sie sind leichter zu finden, benutzerfreundlicher und sprechen ein breiteres Publikum an - einschließlich älterer Menschen oder Personen mit temporären Einschränkungen. Darüber hinaus steigert eine gut strukturierte und zugängliche Seite die Verweildauer der Besucher und kann die Verkaufszahlen positiv beeinflussen.

Vor allem aber gilt: Barrierefreiheit ist ein Ausdruck von Verantwortung und Respekt. In einer digitalisierten Gesellschaft sollte niemand durch technische Hürden ausgeschlossen werden - weder beim Einkaufen, noch beim Informationszugang oder bei alltäglichen Dienstleistungen.

Jetzt ist ein guter Zeitpunkt, um Weichen zu stellen

Die Vorgaben des Barrierefreiheitsstärkungsgesetzes mögen auf den ersten Blick wie zusätzliche Hürden wirken. Doch sie bieten auch die Gelegenheit, digitale Angebote grundlegend zu verbessern - sowohl technisch als auch inhaltlich. Wer frühzeitig beginnt, die eigene Internetseite oder die seiner Kunden auf Barrierefreiheit zu prüfen, verschafft sich nicht nur rechtliche Sicherheit, sondern hebt die Qualität des gesamten Auftritts auf ein neues Niveau.

Vielleicht lohnt es sich gerade jetzt, einen Blick auf aktuelle Projekte zu werfen, Potenziale zur Verbesserung zu erkennen und bewusste Entscheidungen für ein zugänglicheres Internet zu treffen. Die Werkzeuge dafür stehen bereit - es kommt nur darauf an, sie gezielt zu nutzen.

Rechtliches
Webflow
5
 Minuten Lesezeit
Ist Webflow DSGVO-konform? Eine ehrliche Einschätzung für 2026
weiterlesen

Ist Webflow DSGVO-konform? Diese Frage bekomme ich in fast jedem Erstgespräch gestellt, in dem Webflow als Plattform im Raum steht. Die ehrliche Antwort ist nicht ja oder nein, sondern: es kommt darauf an, wie du es aufsetzt. Webflow als Werkzeug ist nicht von Haus aus rechtswidrig, aber es ist ein US-Anbieter, und das verlangt ein paar bewusste Entscheidungen, damit am Ende eine Seite herauskommt, die du ruhigen Gewissens betreiben kannst.

Bevor ich tiefer einsteige, der übliche Hinweis: Ich bin kein Anwalt. Ich schreibe aus über 100 Projekten und der täglichen Arbeit mit Datenschutzbeauftragten, Mandantenanwälten und Aufsichtsbehörden. Bei konkreten rechtlichen Fragen gehört am Ende immer der Blick einer Fachperson dazu, gerade wenn deine Branche besondere Pflichten kennt.

Was Webflow rechtlich überhaupt ist

Webflow Inc. sitzt in San Francisco. Das Hosting läuft über Amazon Web Services und das Content Delivery Network von Fastly. Webflow bietet inzwischen ausdrücklich auch EU-Hosting an, also Server in Frankfurt, Dublin und Paris. In den Projekt-Einstellungen kannst du beim Aufsetzen einer neuen Seite wählen, dass die Inhalte in der EU ausgeliefert werden. Das ist ein wichtiger Punkt, der vor ein paar Jahren noch nicht möglich war und der vieles erleichtert.

Trotzdem bleibt Webflow ein US-Unternehmen, das die Daten technisch und organisatorisch verwaltet. Damit fällt jede Datenverarbeitung unter die Frage, wie der Transfer in die USA rechtlich abgesichert ist. Webflow bietet einen Auftragsverarbeitungsvertrag direkt im Kundenkonto an, mit Standardvertragsklauseln und einem Verweis auf das Data Privacy Framework. Den AVV ziehst du dir per Klick, unterschreibst ihn digital und legst ihn ab. Ohne diesen Schritt würde ich keine produktive Seite auf Webflow betreiben.

Was 2026 wirklich gilt: TDDDG, Paragraph 25 und das veränderte Data Privacy Framework

Seit Dezember 2021 regelt in Deutschland das Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz, kurz TDDDG, was Webseiten dürfen, wenn sie auf Endgeräte zugreifen. Der zentrale Paragraph 25 ist einfach formuliert: Alles, was nicht zwingend notwendig ist, um den vom Nutzer ausdrücklich gewünschten Dienst zu erbringen, braucht eine ausdrückliche Einwilligung. Das betrifft Cookies, aber auch das Auslesen von Geräte-Informationen, das Setzen von Local-Storage-Einträgen und das Laden externer Skripte, die nicht technisch notwendig sind.

Für Webflow heißt das konkret: Die Webflow-eigenen Systemcookies, die für den Betrieb der Seite tatsächlich notwendig sind, brauchen keine Einwilligung. Alles, was du zusätzlich einbaust, von Analytics über Chat-Widgets bis zu YouTube-Embeds, fällt unter Paragraph 25 und muss vor Einwilligung blockiert sein.

Die zweite Ebene betrifft die USA als Drittland. Das Data Privacy Framework, also der Nachfolger des gekippten Privacy Shields, ist nach wie vor in Kraft. Allerdings hat sich die Lage seit Anfang 2025 spürbar verändert. Die neue US-Regierung hat das Privacy and Civil Liberties Oversight Board, kurz PCLOB, durch Entlassungen geschwächt. Genau dieses Gremium war für die EU-Kommission eine zentrale Garantie, dass die Zusagen der USA beim Umgang mit Daten von EU-Bürgern wirksam überwacht werden. Datenschutzverbände und Aufsichtsbehörden in der EU haben deshalb angekündigt, das Framework rechtlich erneut prüfen zu lassen. Auf gut Deutsch: Niemand weiß genau, ob das Data Privacy Framework in zwei Jahren noch trägt.

Praktisch bedeutet das für Webflow-Kunden zwei Dinge. Erstens: Solange das Framework gilt, ist der Datentransfer in die USA rechtlich abgesichert, wenn du EU-Hosting nutzt, einen AVV abgeschlossen hast und die Datenschutzerklärung sauber erklärt, was wo passiert. Zweitens: Du solltest beim Aufsetzen einer neuen Seite so wenig wie möglich auf US-Tools setzen, die personenbezogene Daten verarbeiten. Je weniger Drittanbieter aus den USA mitspielen, desto weniger Bauchschmerzen wirst du haben, falls das Framework irgendwann fällt. Genau diese Linie fahre ich in fast allen neuen Projekten.

Webflow Forms: das Hauptproblem und meine Praxislösung

Der Punkt, an dem Webflow für deutsche Kunden tatsächlich kritisch wird, sind die Standardformulare. Wenn du das Webflow-eigene Formular nutzt, werden die Einsendungen direkt bei Webflow gespeichert und per Mail weitergeleitet. Das ist bequem, aber die Daten liegen damit auf Webflow-Servern, je nach Konfiguration auch außerhalb der EU.

Ich löse das in fast jedem Projekt über einen Webhook. Statt die Daten bei Webflow zu speichern, schickt das Formular sie direkt an einen EU-Endpunkt. Drei Wege haben sich bei mir bewährt. Der erste ist Make mit EU-Serverstandort. Make bietet eine eigene EU-Region an, in der die Workflows ausschließlich auf europäischen Servern laufen. Der zweite ist n8n, entweder selbst gehostet auf einem deutschen Server oder über einen europäischen Anbieter. Der dritte ist eine eigene kleine Cloud-Funktion auf einem EU-Server, die das Formular entgegennimmt, validiert und in einer Datenbank in der EU ablegt oder per Mail weiterschickt. Welcher Weg passt, hängt vom Projekt ab, alle drei sind sauber umsetzbar.

Das Schöne daran: Der Besucher merkt davon nichts. Das Formular sieht aus wie ein normales Webflow-Formular, verhält sich auch so, aber die Daten verlassen niemals den europäischen Raum. Für Kanzleien, Steuerberater, Coaches und alle, die mit sensiblen Anfragen arbeiten, ist das in meinen Augen der einzig sinnvolle Weg.

Cookie-Banner, Consent und Drittanbieter sauber aufsetzen

Ein vernünftiges Consent-Tool gehört auf jede Webflow-Seite, die mehr als reinen Eigeninhalt zeigt. Es muss vor dem Laden externer Skripte greifen, Ablehnen genauso einfach machen wie Zustimmen und die Einwilligungen nachvollziehbar protokollieren. Ich setze in den meisten Projekten europäische Consent-Lösungen ein, die für Webflow gut funktionieren und die rechtlichen Vorgaben aus Paragraph 25 TDDDG sauber umsetzen.

Wenn du dich tiefer mit der Frage beschäftigen willst, ob und wie eine Webseite ganz ohne Cookie-Banner möglich ist, habe ich das in meinem Beitrag "DSGVO-konforme Webseite ohne Cookies erstellen" ausführlich aufgeschrieben. Dort geht es um die Strategie, mit der man bei kleinen und mittleren Seiten oft komplett ohne Einwilligungsabfrage auskommt.

Zusätzlich zum Consent-Tool achte ich darauf, dass Schriften selbst gehostet sind, dass YouTube und Maps mit Klick-Lösung eingebunden werden und dass jedes externe Skript erst nach aktiver Zustimmung lädt. Das sind keine großen Schritte, aber zusammen ergeben sie eine Seite, die in einer Prüfung nicht ins Wanken gerät.

Was Aufsichtsbehörden 2025 und 2026 sagen

Die Datenschutzkonferenz, also der Zusammenschluss der deutschen Aufsichtsbehörden, hat in den letzten zwei Jahren mehrfach betont, dass die Umsetzung von Paragraph 25 TDDDG genauer geprüft wird. Schwerpunkte sind irreführende Banner, fehlende Blockierung externer Skripte vor Einwilligung und unvollständige Datenschutzerklärungen. Mehrere Landesbehörden haben angekündigt, anlasslose Stichproben durchzuführen, was vorher eher die Ausnahme war.

Die Bußgeldpraxis hat sich ebenfalls verändert. Während Verstöße früher oft mit Hinweisen und Nachbesserungsfristen erledigt wurden, sehen wir inzwischen häufiger direkte Bußgelder, gerade bei wiederholten oder offensichtlichen Problemen. Die Beträge sind für kleine Anbieter selten existenzbedrohend, aber sie sind real, und sie kommen schneller als noch vor drei Jahren. Hinzu kommt die wachsende Welle von Abmahnungen durch Anwaltskanzleien und Verbraucherschutzvereine, die typische Schwachstellen wie nicht selbst gehostete Schriften oder fehlerhafte Cookie-Banner systematisch durchgehen.

Für dich heißt das: Die Toleranz sinkt, und die Wahrscheinlichkeit, dass eine Schwachstelle entdeckt wird, steigt. Wer 2026 noch wartet, bis jemand anklopft, geht ein Risiko ein, das vor fünf Jahren noch theoretisch war.

Wann ich Webflow nicht empfehle

So gerne ich mit Webflow arbeite, es gibt Projekte, bei denen ich offen davon abrate. Der erste Fall sind Kanzleien, die ein Mandantenportal mit echten Aktendaten brauchen. Sobald sensible Mandantenkommunikation, hochgeladene Dokumente oder verschlüsselte Bereiche dazukommen, verlässt das die Liga einer normalen Webseite. Für solche Anforderungen ist ein selbst gehostetes System auf einem deutschen Server in der Regel die bessere Wahl, oft ergänzt durch eine spezialisierte Mandantensoftware.

Der zweite Fall sind Arzt- und Therapiepraxen, die Patientendaten verarbeiten, zum Beispiel über ein Online-Terminbuchungssystem mit medizinischen Vorinformationen oder über Patientenportale. Hier gelten neben der DSGVO besondere Pflichten aus dem Sozialgesetzbuch und ärztlichen Berufsrechten, die mit einem US-Hosting-Anbieter nicht sauber abbildbar sind. Auch hier gehört das System auf einen deutschen Server mit deutschem Hosting-Vertrag.

Der dritte Fall sind öffentliche Stellen, also Kommunen, Behörden und ähnliche Einrichtungen. Viele Länder haben Vorgaben, die Hosting in den USA praktisch ausschließen, selbst mit Data Privacy Framework. Hier ist Webflow keine Option, und das ist auch in Ordnung.

Für alle anderen, also klassische Selbstständige, kleine und mittlere Unternehmen, Berater, Coaches, Handwerker und Dienstleister, ist Webflow mit den richtigen Vorkehrungen aus meiner Sicht eine völlig saubere Wahl.

So setze ich Webflow-Projekte sauber auf

Wenn ich ein neues Webflow-Projekt starte, läuft datenschutzseitig immer dieselbe Checkliste. EU-Hosting auswählen, AVV abschließen, Schriften selbst hosten, ein europäisches Consent-Tool einbauen, externe Skripte blockieren, YouTube und Maps mit Klick-Lösung versehen, Formulare über einen EU-Webhook leiten und am Ende eine Datenschutzerklärung schreiben lassen, die zur Realität der Seite passt. Diese Schritte kosten überschaubaren Mehraufwand und ergeben eine Seite, die du im Ernstfall verteidigen kannst.

Wenn du eine bestehende Webflow-Seite hast und unsicher bist, wo du stehst, schauen wir im Erstgespräch gemeinsam drüber. Ich gebe dir eine ehrliche Einschätzung, welche Punkte kritisch sind, welche eher Kosmetik und was sich mit wenig Aufwand fixen lässt. Du erreichst mich über die Kontaktseite. Kein Druck, kein Verkaufsgespräch, einfach ein ruhiges Gespräch.