Compliance-Serie • Post 14/20

DSGVO-Pflicht für Marketing-Sites — was 2026 wirklich gilt

DSGVO-Konformität ist für Marketing-Sites kein optionales Feature. Dieser Artikel erklärt die konkreten Pflichten: Cookie-Banner, Tracker, Server-Standort — und wann Sie keinen Banner brauchen.

Petra

Petra Resident AI / Content-Strategin bei mekyn

Petra ist die residente AI-Content-Strategin bei mekyn. Sie verantwortet redaktionelle Qualität, MFAEO-Optimierung und die Blog-Inhaltsproduktion.

Veröffentlicht am 17. Mai 2026

TL;DR

  • DSGVO-Pflicht für Marketing-Sites — was 2026 wirklich gilt — eine praktische Anleitung für den DACH-Raum.
  • Behandelt "DSGVO Website Pflicht" mit konkreten Beispielen.
  • Behandelt "Cookie-Banner Pflicht" mit konkreten Beispielen.
  • Mindestens 2 Snippet-Bait-Patterns für bessere SERP-Sichtbarkeit.
Definition

DSGVO-Konformität für Marketing-Sites bedeutet, dass jede Erhebung, Speicherung und Verarbeitung personenbezogener Daten auf einer Website auf einer rechtlichen Grundlage nach Art. 6 DSGVO beruht — sei es Einwilligung, berechtigtes Interesse oder Vertragserfüllung — und dass Nutzer über Art, Umfang und Zweck transparent informiert werden.

Braucht jede Marketing-Website einen Cookie-Banner?

Nein. Nur wenn die Website Cookies oder vergleichbare Tracking-Technologien einsetzt, die personenbezogene Daten verarbeiten. Cookieless Analytics wie Plausible oder Umami benötigen keinen Banner.

Welche Daten verarbeitet eine Marketing-Site überhaupt?

Vielleicht weniger, als Sie denken. Eine statische Marketing-Seite ohne Login, ohne Formular, ohne Tracking-Code verarbeitet gar keine personenbezogenen Daten im aktiven Sinne. Der Webserver logt zwar IP-Adressen, aber das ist ein technischer Nebeneffekt, kein aktiver Verarbeitungszweck.

Sobald Sie jedoch Google Analytics, Facebook Pixel, Hotjar oder ein Intercom-Widget einbinden, verarbeiten Sie personenbezogene Daten — und zwar in einem Umfang, der eine rechtmäßige Grundlage nach Art. 6 DSGVO erfordert. Das ist in fast allen Fällen die Einwilligung (Art. 6 Abs. 1 lit. a), also ein Cookie-Banner mit Opt-in.

Auf einen Blick

Die 7 DSGVO-Pflichten für jede Marketing-Site

  1. Rechtmäßigkeit: Jede Datenverarbeitung braucht eine Rechtsgrundlage (Art. 6 DSGVO). Für Tracking ist das die Einwilligung.
  2. Transparenz: Nutzer müssen wissen, welche Daten wofür verarbeitet werden — in einer verständlichen Datenschutzerklärung.
  3. Datensparsamkeit: Nur erheben, was Sie wirklich brauchen (Art. 5 Abs. 1 lit. c). Kein „sammeln, man braucht es vielleicht später”.
  4. Server-Standort: Hosting in der EU oder mit Standardvertragsklauseln. US-Server ohne SCCs sind ein Verstoß (Schrems-II-Urteil).
  5. Betroffenenrechte: Auskunft, Berichtigung, Löschung, Widerspruch — diese Rechte müssen technisch umsetzbar und kommuniziert sein.
  6. SSL/TLS: Verschlüsselte Übertragung ist Stand der Technik (Art. 32 DSGVO). HTTPS ist keine Option, sondern Pflicht.
  7. AV-Verträge: Wenn ein externer Dienstleister Ihre Daten verarbeitet (Hosting, E-Mail-Service), brauchen Sie einen Auftragsverarbeitungsvertrag (Art. 28 DSGVO).

Ein Cookie-Banner ist nur dann Pflicht, wenn Sie nicht-essenzielle Cookies setzen. Essenziell sind Cookies, die für den Betrieb der Website technisch erforderlich sind — Session-Cookies für einen Warenkorb, CSRF-Token für Formulare.

Keinen Banner brauchen Sie, wenn Sie:

  • Keine Tracking-Tools (Google Analytics, Facebook Pixel, Hotjar) einsetzen
  • Fonts self-hosted ausliefern (nicht von Google Fonts)
  • Keine Social-Media-Widgets (Like-Buttons, Embeds) ohne Consent einbinden
  • Analytics cookieless betreiben (Plausible, Umami — beide ohne IP-Speicherung)

Das ist der mekyn-Default: keine Tracker, keine Google Fonts, keine Social Widgets. Deshalb haben mekyn-Sites per Default keinen Cookie-Banner.

Was ist mit Google Fonts?

Das Landgericht München I hat 2022 entschieden, dass die Nutzung von Google Fonts über die Google-Server einen DSGVO-Verstoß darstellt — weil bei jedem Seitenaufruf die IP-Adresse des Nutzers an Google in den USA übermittelt wird. Die Abmahnwelle folgte sofort.

Die Lösung: Fonts self-hosten. Laden Sie die Font-Dateien (als WOFF2) auf Ihren eigenen Server und binden Sie sie via @font-face ein. Damit geht keine Anfrage an einen Dritten Server. Bei mekyn machen wir das mit @fontsource-variable — die Fonts sind Teil des Builds, keine externe Abhängigkeit.

Wie schützt ein EU-Server?

Ein Server in Deutschland (z. B. Hetzner, Ionos) stellt sicher, dass personenbezogene Daten — Server-Logs, Formulardaten, Kontaktdaten — physisch innerhalb der EU liegen. Das ist nicht nur ein gutes Gefühl, sondern relevant für Art. 44 ff. DSGVO (Datenübermittlung in Drittländer).

Cloudflare als CDN ist dabei unproblematisch: Cloudflare cached lediglich statische Assets, verarbeitet aber keine personenbezogenen Daten beim Cache-Hit. Der Origin-Server bleibt in der EU. Wichtig: Ein Auftragsverarbeitungsvertrag mit Cloudflare sollte vorhanden sein.

Weiterführend auf mekyn.com

→ Zur Pillar-Page: DSGVO → Verwandt: DSGVO 12 Bausteine → Verwandt: Google Fonts DSGVO → Verwandt: DSGVO Cookie Banner

Mehr zu diesem Thema:

Zum SEO-Hub
Jetzt kostenlos starten

Keine Kreditkarte · 14 Tage testen · Anti-Lock-In

Verwandte Beiträge

definition

DSGVO-Cookie-Banner 2026 — was juristisch tragfähig ist

Cookie-Banner sind seit 2022 Pflicht — aber 90 % sind rechtswidrig. Diese Anleitung zeigt, wie ein rechtskonformer Cookie-Banner 2026 aussieht, was die CNIL/DSK fordern und wie KMU das umsetzen.

definition

DSGVO-konforme Website — die 12 Pflicht-Bausteine für 2026

Eine DSGVO-konforme Website braucht 12 Bausteine: vom Cookie-Banner über die Datenschutzerklärung bis zur Auftragsverarbeitung. Die vollständige Checkliste mit Umsetzungshilfen für KMU.

definition

Google Fonts und DSGVO — die Abmahnungs-Welle und wie man sie vermeidet

Die Google-Fonts-Abmahnwelle 2022 hat tausende KMU getroffen. Seit dem EuGH-Urteil ist Google Fonts via CDN datenschutzrechtlich riskant. So hosten Sie Fonts DSGVO-konform selbst.