Werkstatt
Werkstatt Ohne Cookies & Tracking

Werkstatt

Datenschutz & Recht

Cookies, die niemand auswertet – warum wir Websites ohne Tracking bauen

Fast jede Website begrüßt Sie heute mit einem Cookie-Banner. Sie klicken es weg – und die eingesammelten Daten wandern in ein Analyse-Werkzeug, das im Mittelstand kaum jemand je wieder öffnet. Dafür kassiert man Banner-Frust, Datenschutz-Risiko und Abmahngefahr. Wir gehen den umgekehrten Weg: Was gar nicht erst erhoben wird, muss man weder erklären noch verantworten.

Stand: Juli 2026 · von byteland software solutions

Dieser Beitrag ist bewusst kein technisches „So baut man das" – wie eine sichere, statische Website ohne CMS entsteht, haben wir an anderer Stelle beschrieben. Hier geht es um die Frage davor: Warum ergibt es überhaupt Sinn, auf Cookies und Tracking zu verzichten? Unsere Antwort stützt sich weniger auf Ideologie als auf zwei sehr nüchterne Beobachtungen aus der täglichen Arbeit mit Kunden.

Der tägliche Klick-Reflex – und was danach passiert

Kommt Ihnen das bekannt vor? Sie öffnen eine Seite, ein Banner schiebt sich über den Inhalt, „Alle akzeptieren" leuchtet groß, „Ablehnen" versteckt sich klein. Sie klicken irgendwas weg, damit Sie endlich lesen können. Millionenfach, jeden Tag. Kaum jemand liest, worin er da eigentlich einwilligt.

Im Hintergrund passiert derweil genau das, wofür das Banner da ist: Ein Analyse-Dienst – meist Google Analytics – beginnt zu zählen. Woher der Besucher kommt, welches Gerät er nutzt, wie lange er bleibt, wo er abspringt. Fleißig fließen diese Zahlen in ein Dashboard. Und dann stellt sich die Frage, die erstaunlich selten gestellt wird:

Die unbequeme Frage: Wer schaut sich das eigentlich an?

In vielen kleinen und mittelständischen Betrieben lautet die ehrliche Antwort: niemand. Das Analyse-Konto wird einmal beim Website-Start eingerichtet, in den ersten Wochen noch neugierig angeklickt – und danach nie wieder geöffnet. Es fehlt die Zeit, die Routine und oft schlicht das Personal, um Kurven zu deuten und daraus etwas abzuleiten.

Das ist kein Vorwurf, sondern gelebte Realität. Ein Handwerksbetrieb, eine Kanzlei, ein Ingenieurbüro mit einer Handvoll Mitarbeitern hat Wichtigeres zu tun, als „Absprungraten" zu interpretieren. Die Daten werden erhoben, weil man es „halt so macht" – nicht, weil jemand mit ihnen arbeitet. So entsteht das Kuriosum, dass ein Unternehmen die Daten seiner Besucher sammelt (und dafür rechtlich geradesteht), obwohl der Stapel im Regal ungeöffnet verstaubt.

Der Kern: Daten, die niemand auswertet, sind kein Vermögenswert – sie sind eine Verbindlichkeit. Man trägt die volle Verantwortung dafür, ohne je den Gegenwert zu heben.

Und selbst wenn – was würden Sie ändern?

Nehmen wir an, jemand schaut doch hin. Was fängt ein Betrieb mit fünf Leuten damit an, dass die durchschnittliche Sitzungsdauer bei 1:47 Minuten liegt und 62 % der Besucher mit dem Smartphone kommen? Das sind die Werkzeuge großer Marketing-Abteilungen, die A/B-Tests fahren und Kampagnen-Budgets in sechsstelliger Höhe steuern. Für die meisten Mittelständler sind es Antworten auf Fragen, die sie gar nicht haben.

Die Fragen, die wirklich zählen, beantwortet das Tracking ohnehin nicht: Ruft jemand an? Kommt eine E-Mail-Anfrage? Landet ein neuer Auftrag? Diese Signale entstehen im Geschäft, nicht im Dashboard – und die spürt man auch ohne einen einzigen Cookie.

Der Preis, den man leicht übersieht: Haftung und Abmahnung

Der Verzicht spart aber nicht nur brachliegende Daten – er spart handfestes Risiko. Denn Tracking ist rechtlich anspruchsvoll, und Fehler sind teuer.

1. Das Cookie-Banner selbst ist eine Fehlerquelle. Ein rechtssicheres Banner zu bauen, ist kein Häkchen, sondern Handarbeit: Einwilligung muss vor dem Setzen der Cookies eingeholt werden, „Ablehnen" muss so leicht erreichbar sein wie „Akzeptieren", die Zwecke müssen sauber getrennt und widerrufbar sein (§ 25 TDDDG, vormals TTDSG, sowie die DSGVO). Wird das falsch umgesetzt – und das ist bei Baukasten-Bannern eher die Regel als die Ausnahme –, ist die Einwilligung unwirksam. Dann läuft das Tracking ohne Rechtsgrundlage, und die Aufsichtsbehörden prüfen genau solche Banner inzwischen aktiv.

2. Extern eingebundene Ressourcen sind stille Datenabflüsse. Das unterschätzte Einfallstor sind nicht die Cookies, sondern Dinge, die man für harmlos hält: eine Schriftart von Google Fonts, eine eingebettete Landkarte, ein YouTube-Video, ein Icon-Paket aus einem fremden CDN. Jedes dieser Elemente lädt beim Seitenaufruf von einem Drittserver – und übermittelt dabei die IP-Adresse des Besuchers an diesen Dritten, häufig in die USA, meist ohne Einwilligung.

Genau das wurde zum Musterfall: Das Landgericht München I entschied am 20. Januar 2022 (Az. 3 O 17493/20), dass die dynamische Einbindung von Google Fonts über Google-Server einen Datenschutzverstoß darstellt, und sprach dem Kläger Schadensersatz zu. In der Folge rollte eine Abmahnwelle mit Tausenden Serienschreiben durchs Land. Viele dieser Massenabmahnungen wurden später als rechtsmissbräuchlich eingestuft – doch das eigentliche Risiko bleibt: Wer fremde Ressourcen direkt einbindet, lässt Besucherdaten ohne Rechtsgrundlage abfließen. Und das ist angreifbar.

Kurzer Hinweis: Dieser Beitrag erklärt, warum wir so arbeiten, und ersetzt keine Rechtsberatung im Einzelfall. Für die verbindliche Beurteilung Ihrer konkreten Website ist eine Anwältin oder ein Anwalt für IT-/Datenschutzrecht die richtige Adresse – wir sorgen für den technischen Unterbau, der gar nicht erst zum Streitfall wird.

Unser Ansatz: Was nicht da ist, kann nichts kosten

Aus beidem folgt für uns eine schlichte Linie: Wir bauen Websites so, dass die heiklen Bausteine erst gar nicht existieren. Konkret heißt das:

  • Keine Cookies, kein Banner: Ohne einwilligungspflichtige Cookies entfällt die Einwilligung – und damit der ganze Banner-Zirkus. Der Besucher landet direkt auf dem Inhalt.
  • Kein Analyse- oder Tracking-Dienst: Kein Google Analytics, kein Werbe-Pixel, keine Nutzungsprofile. Es gibt nichts zu erklären, weil nichts gesammelt wird.
  • Keine externen Schriften, CDNs oder Embeds: Schriften, Skripte und Bilder liegen auf dem eigenen Server und werden lokal ausgeliefert. So verlässt keine Besucher-IP unbemerkt das Haus.
  • Keine Drittverbindungen beim Aufruf: Weil die Seiten nichts von fremden Servern nachladen, entsteht auch kein unbemerkter Kontakt zu Dritten – der Browser des Besuchers spricht nur mit uns. (Dass diese statische Bauweise nebenbei die Angriffsfläche senkt, ist ein eigenes Thema: agentenbasierte Website statt CMS.)
  • Nur datensparsame Server-Logs: Für den sicheren Betrieb fallen beim Hoster technische Protokolle an – mit gekürzter IP-Adresse und kurzer Speicherdauer, auf Grundlage des berechtigten Interesses (Art. 6 Abs. 1 lit. f DSGVO). Kein Profiling, keine Zusammenführung.

Das ist keine graue Theorie: Diese Seite hält sich selbst an jeden dieser Punkte. Unsere Datenschutzerklärung fällt entsprechend kurz aus – weil es schlicht wenig zu erklären gibt.

Ergebnis: Kein Banner, das nervt. Kein Datenabfluss, der abmahnbar wäre. Kein Dashboard, das ohnehin niemand öffnet. Sie verlieren nichts, was Sie je genutzt haben – und gewinnen eine Angriffs- und Streitfläche weniger.

„Aber ich will doch wissen, ob meine Seite funktioniert"

Ein berechtigter Einwand – und ein verbreitetes Missverständnis: Suchmaschinen-Sichtbarkeit (SEO) hat nichts mit dem Vermessen Ihrer Besucher zu tun. Ob Google Sie gut findet, hängt an Inhalt, sauberer Struktur und Ladezeit – nicht daran, ob ein Analyse-Dienst mitzählt. Schlanke Seiten ohne Tracking-Ballast laden sogar schneller, was dem Ranking eher hilft als schadet.

Und wenn Reichweite in einem konkreten Fall doch einmal wirklich gebraucht wird – etwa während einer befristeten Kampagne –, geht das auch cookielos, anonym und aggregiert, ohne Personenprofile und ohne Banner. Der Unterschied ist die Haltung: gezielt messen, wenn eine echte Frage dahintersteht, statt vorsorglich alles zu sammeln, „falls man es mal braucht". Meistens braucht man es nicht.

Häufige Fragen

Geht eine Website heute überhaupt ganz ohne Cookies?

Ja. Technisch notwendige Cookies sind ohnehin einwilligungsfrei, und die meisten Firmen-Websites brauchen gar keine. Wo keine einwilligungspflichtigen Cookies oder externen Dienste laufen, ist auch kein Cookie-Banner nötig.

Verliere ich ohne Google Analytics wichtige Erkenntnisse?

In der Praxis kaum. In kleinen und mittelständischen Betrieben wertet die Zahlen selten jemand aus und leitet noch seltener Entscheidungen daraus ab. Wenn Reichweite wirklich zählt, lässt sie sich auch cookielos und anonym messen – ohne Personenprofile.

Warum sind Google Fonts und ähnliche externe Dienste ein rechtliches Problem?

Werden Schriften, Karten oder Videos direkt von fremden Servern geladen, geht die IP-Adresse des Besuchers an Dritte – oft in die USA – ohne Einwilligung. Das Landgericht München I sprach dafür 2022 Schadensersatz zu und löste eine Abmahnwelle aus. Wir binden solche Ressourcen lokal ein: kein Datenabfluss, kein Angriffspunkt.

Brauche ich dann kein Cookie-Banner mehr?

Richtig. Ohne einwilligungspflichtige Cookies und ohne externe Tracking-Dienste entfällt die Einwilligung – und damit das Banner. Das bedeutet weniger Reibung für Besucher und eine Fehlerquelle weniger für Sie.

Schadet fehlendes Tracking meinem Google-Ranking?

Nein. Suchmaschinen bewerten Inhalt, Struktur und Ladezeit – nicht, ob Sie Ihre eigenen Besucher vermessen. Schlanke, tracking-freie Seiten laden sogar schneller, und Tempo hilft dem Ranking eher.

Eine Website, die Sie nicht in Erklärungsnot bringt?

Wir bauen Ihnen einen Auftritt ohne Cookies, ohne Tracking und ohne extern eingebundene Datenschleudern – schlank, schnell und rechtlich unaufgeregt. Sprechen Sie uns an.

Jetzt Kontakt aufnehmen →