Wenn Deine Webseite lädt, passiert oft mehr, als Du siehst. Eine hübsche Schriftart kommt von einem Google-Server, die Anfahrtskarte von einem zweiten, das eingebettete Video von einem dritten. Bei jedem dieser Aufrufe wandert die IP-Adresse Deiner Besucher mit, an Server, die meist außerhalb der EU stehen.
Genau dieser stille Datenfluss ist in den letzten Jahren zum häufigen Abmahn-Anlass geworden. Das Problem lässt sich aber sauber lösen, und Du brauchst dafür weder ein Jurastudium noch eine teure Spezial-Software.
Warum externe Dienste zum Abmahn-Risiko werden
Der Kern ist schnell erklärt. Sobald Deine Seite einen Inhalt von einem fremden Server nachlädt, verrät der Browser dem fremden Server die IP-Adresse des Besuchers. Die IP-Adresse gilt rechtlich als personenbezogenes Datum. Sie wird hier ohne Einwilligung und oft in die USA übertragen.
Bekannt wurde das durch ein Urteil des Landgerichts München zu dynamisch geladenen Google Fonts. Danach rollte eine Welle von Abmahnschreiben durchs Land, oft automatisiert verschickt an Tausende Seitenbetreiber gleichzeitig. Die Schriftart selbst war harmlos. Der Übertragungsweg war das Problem.
Das Muster betrifft nicht nur Schriften. Eingebettete Karten, Videos, Social-Media-Buttons und Analyse-Skripte funktionieren technisch genauso: Sie laden von außen und geben dabei die Besucher-IP preis, bevor irgendein Banner um Erlaubnis gefragt hat.
Was eine Abmahnung praktisch bedeutet
Eine Abmahnung ist erst einmal ein Brief, kein Gerichtsurteil. Darin fordert jemand Dich auf, ein bestimmtes Verhalten zu unterlassen, und verlangt dafür meist eine Kostenpauschale und manchmal Schadensersatz. Bei den Google-Fonts-Schreiben lagen die Forderungen oft im niedrigen dreistelligen Bereich pro Seite.
Ärgerlich wird es durch die Masse und den Zeitdruck. Solche Schreiben setzen kurze Fristen und zielen darauf, dass Du aus Sorge schnell zahlst. Ob eine konkrete Forderung berechtigt ist, hängt vom Einzelfall ab. Ich bin kein Anwalt, und genau deshalb gilt: Bei einem echten Abmahnschreiben nichts ungeprüft unterschreiben und es anwaltlich prüfen lassen.
Der angenehmere Weg ist der vorbeugende. Wenn Deine Seite gar keine Besucher-IPs ungefragt nach außen gibt, fehlt der Abmahnung die Grundlage. Die folgenden Abschnitte zeigen, wie Du das für die drei häufigsten Dienste erreichst.
Google Fonts lokal einbinden lassen
Schriften sind der einfachste Fall, weil sich das Problem vollständig beheben lässt. Statt die Schriftdateien bei jedem Seitenaufruf von Google zu holen, werden sie einmal heruntergeladen und auf Deinem eigenen Server abgelegt. Der Browser lädt sie dann von Deiner Domain, und keine fremde IP-Übertragung findet mehr statt.
Das nennt man Self-Hosting. Für Dich als Betreiber ist es eine einmalige Aufgabe: Deine Agentur oder Dein Webmensch lädt die gewünschten Schriften herunter und bindet sie lokal ein. Weil Deine Agentur und Dein Hoster dabei Daten in Deinem Auftrag verarbeiten, brauchst Du mit beiden je einen Vertrag zur Auftragsverarbeitung (AVV), der den rechtlichen Rahmen sauber absteckt. Bei vielen Baukästen und CMS-Themes gibt es dafür eine Einstellung oder eine Erweiterung, die das automatisch erledigt.
Sag Deiner Agentur konkret, dass Du keine extern geladenen Google Fonts mehr auf der Seite haben möchtest. Achte nebenbei darauf, dass die Schrift auch lizenzrechtlich fürs Self-Hosting freigegeben ist (bei den meisten freien Schriften ist das der Fall). Das spürbare Nebenprodukt: Die Seite lädt oft sogar schneller, weil ein externer Server weniger angefragt wird.
Karten erst nach Klick laden
Eine eingebettete Google-Maps-Karte überträgt die Besucher-IP schon beim bloßen Anzeigen der Seite. Anders als bei Schriften kannst Du eine echte Karte nicht vollständig auf den eigenen Server holen, denn die Kartendaten gehören Google. Hier brauchst Du also eine andere Lösung.
Bewährt hat sich die Klick-zum-Laden-Variante. Der Besucher sieht zunächst nur ein Platzhalter-Bild mit einem kurzen Hinweis, dass beim Anzeigen Daten an Google übertragen werden. Erst wenn er aktiv klickt, lädt die echte Karte. Damit holst Du Dir die Einwilligung, bevor irgendetwas nach außen geht.
Für viele Seiten reicht sogar weniger: ein statisches Bild Deines Standorts und darunter die Adresse als Text mit einem normalen Link zur Karten-App. Das überträgt gar keine Daten und genügt den meisten Besuchern völlig, die nur wissen wollen, wo Du sitzt.
YouTube, Vimeo und Social-Embeds zähmen
Eingebettete Videos verhalten sich wie Karten: Sie laden beim Seitenaufruf und übertragen dabei Daten. YouTube bietet einen erweiterten Datenschutzmodus an, der einen Teil der Tracking-Cookies verschiebt. Den unangefragten Verbindungsaufbau verhindert er aber nicht vollständig.
Sauberer ist auch hier die Klick-Lösung: Statt des fertigen Players zeigst Du eine Vorschau, und das Video lädt erst nach bewusstem Klick. Dieselbe Logik gilt für eingebettete Beiträge von Instagram, Facebook oder anderen Plattformen sowie für Like- und Teilen-Buttons.
Wenn Du solche Inhalte über ein sauber konfiguriertes Cookie-Banner einbindest, übernimmt das Banner die Einwilligung und lädt die Inhalte erst nach Zustimmung. Welche Dienste Deine Seite im Hintergrund überhaupt anspricht, schaust Du Dir am besten genauso bewusst an wie das, was Deine Webseite im Hintergrund speichert.
So findest Du Deine externen Dienste
Bevor Du etwas änderst, lohnt sich ein Kassensturz. Es gibt kostenlose Online-Prüfdienste, die Deine Adresse aufrufen und auflisten, welche externen Server Deine Seite kontaktiert (Schriften, Karten, Videos, Skripte). Schon das zeigt Dir, wo überhaupt Handlungsbedarf besteht.
Wer lieber selbst nachsieht: Die Entwickler-Ansicht im Browser zeigt unter den Netzwerk-Anfragen jede Verbindung, die beim Laden aufgebaut wird. Du musst nichts davon verstehen, um zu erkennen, ob fremde Domains wie ein Schrift- oder Video-Anbieter auftauchen.
Die gleiche Wachsamkeit hilft übrigens an anderer Stelle, etwa beim Umgang mit KI-Diensten, die Du in Deinen Arbeitsalltag holst. Datenschutz ist weniger eine einmalige Aufgabe als eine Gewohnheit: bewusst hinschauen, was nach außen geht.
Fazit — kleiner Aufwand, große Ruhe
Die drei häufigsten Stolperfallen lassen sich mit überschaubarem Aufwand entschärfen: Schriften selbst hosten, Karten und Videos erst nach Klick laden. Damit nimmst Du der typischen Abmahnung ihre Grundlage und schützt nebenbei die Daten Deiner Besucher.
Geh die eigene Seite einmal in Ruhe durch oder gib den Auftrag klar an Deine Agentur weiter. Bei einem konkreten Abmahnschreiben gehört der nächste Schritt einem Anwalt. Vorbeugen kannst Du aber heute, und das ist der ruhigere Weg.