Deutschland-tauglich ist eine Arbeitsweise, kein Häkchen.

Deutschland-tauglich ist eine Arbeitsweise, kein Häkchen.

Der übliche Pitch für "DSGVO-ready" bedeutet in der Praxis meist: ein Impressum, in den Footer gekippt, dazu ein Cookie-Banner per Script-Tag daruntergeschraubt. Echte Compliance ist kein Etikett. Sie ist eine Reihe von Formen, die vorgibt, wo Code lebt, wie Einwilligung formuliert wird, wie URLs aufgebaut sind und welche Header den Server verlassen.

Genau diese Arbeit haben wir auf dieser Seite gemacht. Dies ist der ehrliche Rundgang — was wir gebaut haben, wo die Entscheidungen lagen und welche davon wir wieder genauso treffen würden. Kurz gesagt: Das meiste war die gute Art von Arbeit, die Art, die sich aufzinst.

Die URL ist nicht egal

Es gibt zwei gängige Wege, eine zweisprachige Seite auszuliefern. Der eine legt die Sprache in ein Cookie und tauscht den Inhalt auf derselben URL. Der andere legt die Sprache in den Pfad — `/de` und `/en` — und macht nie ein Geheimnis daraus, welche Sprache eine bestimmte Adresse spricht. Wir haben den Pfad gewählt. Nur diese Variante erlaubt es einer Suchmaschine, beide Fassungen sauber zu indizieren, einer Leserin, einen deutschen Link weiterzugeben und sich darauf zu verlassen, dass die Empfängerin auf der deutschen Seite landet, und der Sitemap, saubere hreflang-Alternaten zu emittieren, statt jede Variante auf denselben Ursprung zu zeigen.

Das Detail, das den Kreis schließt, ist `x-default`. Wer es nicht setzt, überlässt die Wahl der Suchmaschine. Wir zeigen `x-default` auf die deutsche URL, weil Deutschland der Primärmarkt ist und der Schwerpunkt der Seite zuerst auf Deutsch liest. Das ist eine einzelne Zeile im Sitemap-Generator, und es ist die Art Entscheidung, die Marktausrichtung signalisiert, bevor irgendjemand einen Text gelesen hat.

Einwilligung ist eine Rechtsgrundlage, kein Banner-UX-Problem

Hinter dem Cookie-Banner dieser Seite stehen zwei Gesetze. §25 TTDSG regelt Speicherung und Zugriff auf dem Endgerät — sobald etwas über das unbedingt Erforderliche hinaus in den Browser geschrieben oder aus ihm gelesen wird, brauchen Sie eine Einwilligung. Art. 6 Abs. 1 lit. a DSGVO regelt die personenbezogene Datenverarbeitung, die auf Grundlage dieser Einwilligung dann stattfindet. Beide gelten gemeinsam. Ein einzelner Klick muss sie beide tragen.

Das Banner muss mehrere Dinge zugleich leisten: konkrete Zwecke benennen, bekannte Anbieter namentlich aufführen, keine Häkchen vorausfüllen — und das, was die meisten Umsetzungen verkehrt machen: "Alle akzeptieren" und "Alle ablehnen" visuell gleichwertig anbieten. Nicht weil ein Leitfaden es so vorgibt, sondern weil das gesamte Prinzip der Einwilligung zusammenbricht, wenn der Weg zur Ablehnung aufwendiger ist als der zur Zustimmung. Eine Einwilligung, die man nur erteilt, weil die Alternative Mühe macht, ist keine Einwilligung, die man erteilt hat.

Was ein Banner auf Dauer ehrlich hält, ist der Weg zurück. Wer vor sechs Monaten einmal geklickt hat, muss die Entscheidung wieder aufrufen können, ohne danach zu suchen. Auf dieser Seite liegt das als dauerhafter Link im Footer und als fester Einstellungsbereich auf der Cookie-Richtlinie — zwei Zugänge in denselben Zustand, beide jederzeit erreichbar.

• Keine vorausgefüllten Häkchen außerhalb des strikt Erforderlichen.
• "Alle akzeptieren" und "Alle ablehnen" visuell gleichwertig, gleiche Klicktiefe.
• Zwecke in Klartext, nicht in Paragrafen-Deutsch.
• Anbieter namentlich, wo bekannt — nicht hinter einer Kategorie versteckt.
• Wieder aufrufbar über einen Footer-Link und über die Cookie-Richtlinien-Seite.

Das Impressum ist eine strukturelle Zusage

§5 TMG und §18 MStV sind kurze Gesetze mit präzisen Anforderungen. Anbieterkennzeichnung, vertretungsberechtigte Person, Register- und Umsatzsteuer-Angaben, ein Kontaktweg und eine Zeile "Verantwortlich für den Inhalt nach §18 MStV", die einen Menschen benennt. Drop-in-Vorlagen lassen immer etwas liegen — den EU-ODR-Link auf die richtige Kommissionsseite, die VSBG-Erklärung dazu, ob Sie an einer Verbraucherschlichtung teilnehmen, eine Haftung-für-Links-Klausel, die so formuliert ist, wie ein Gericht sie erwartet.

Wir haben das Impressum als echte Abschnitte aufgebaut, jeder dem Paragrafen zugeordnet, den er erfüllt. So ist das Einpflegen der finalen Firmendaten eine Aufgabe von zehn Minuten und nicht ein Hetzen in letzter Minute. Die Seitenstruktur ist die Zusage; die Daten leben in einer einzelnen Konfigurationsdatei.

Wenn die Seitenstruktur stimmt, ist das Einsetzen echter Daten eine Zehn-Minuten-Aufgabe. Wenn sie nicht stimmt, fällt Ihnen das im Audit auf.

Der Teil, den alle vergessen: Response-Header

Ein überraschender Anteil echter Compliance lebt in den wenigen Bytes Header oben an jeder Antwort. Strict-Transport-Security mit zwei Jahren max-age und `preload`. Referrer-Policy auf `strict-origin-when-cross-origin`, damit Pfad und Query nicht über Origin-Grenzen hinweg lecken. Eine Permissions-Policy, die die mächtigen Funktionen verbietet, die die Seite ohnehin nicht nutzt — Kamera, Mikrofon, Geolocation, Browsing-Topics. Und eine echte Content-Security-Policy, mit einer Nonce pro Request auf script-src, `strict-dynamic`, damit geNONCEte Wurzel-Scripts ihre Teile laden dürfen, und einem Report-Endpunkt im First-Party-Namensraum.

Wir haben die CSP eine Woche lang im Report-Only-Modus laufen lassen, bevor wir sie auf enforcing umgelegt haben. Nicht, weil wir geraten hätten — weil Beobachten billiger ist als Reparieren. Der Header-Flip ist eine Zeile; die Gewissheit, die eine Woche echter Traffic ohne echte Verstöße bringt, ist der Teil, der sich lohnt.

Report-Only ist das, was einer Generalprobe in der Softwareentwicklung am nächsten kommt.

Operativ: E-Mail, Formulare und die Daten, die Sie nicht behalten

Das Kontaktformular trägt einen Hinweis nach Art. 13 DSGVO direkt am Formular — ein kurzer Satz, der den Zweck benennt, auf die Datenschutzerklärung verlinkt und klarmacht, dass die Eingabe zur Beantwortung und für nichts sonst verwendet wird. Die Karriereseite nimmt die schlichtere Form: E-Mail rein, E-Mail raus, kein Bewerbermanagement-System, kein Drittanbieter-Recruiting-Tool in der Kette. Was Sie nie gebaut haben, um Daten zu halten, kann die Daten, die Sie nicht halten, auch nicht verlieren.

Unter beiden Oberflächen liegen die Grundhygiene-Bausteine: ein Token-Bucket pro IP, damit eine einzelne Quelle den Endpunkt nicht fluten kann; ein Honeypot-Feld, das die offensichtlichen Bots stumm verwirft; Eingabeprüfung, die falsch geformte Requests am Rand abweist. Nichts davon ist aufregend. All das ist der Grund, warum das Produktions-Postfach benutzbar bleibt.

Deutsch ist ein Feature, kein Übersetzungsjob

Eine deutsche Seite ist etwas anderes als eine Seite, die ins Deutsche übersetzt wurde. Die deutsche Seite hält die Sie-Form durch, ohne sich für das Register zu entschuldigen. Sie verwendet die Begriffe, die nur richtig klingen, wenn man im Markt gearbeitet hat — "Anbieterkennzeichnung", "Vertretungsberechtigte Person", "Haftung für Links", "Widerspruchsrecht". Sie lässt die technischen Wörter im Englischen, wo sie hingehören (Cookie, Header, Release, CSP), und hält die rechtlichen Wörter im Deutschen, wo sie hingehören (DSGVO, TTDSG, Impressum).

Maschinenübersetzung schafft neunzig Prozent einer DSGVO-Seite und blamiert Sie auf den verbleibenden zehn. Die verbleibenden zehn sind jede Stelle, an der die Wortwahl ein rechtliches Gewicht trägt, das einen Umweg über ein allgemeines Sprachmodell nicht übersteht. Diese Arbeit ist seniorige Autorentätigkeit, einmal sauber gemacht.

Was Sie damit kaufen

Die hier beschriebene Arbeit ist kein einmaliges Projekt; sie ist eine Fläche. Eine Fläche, die gut altert, weil die Teile sauber aufeinander verweisen — die Sitemap iteriert dieselbe Insights-Registry, die die Feeds iterieren; die Impressums-Abschnitte spiegeln den Paragrafen, den sie erfüllen; der CSP-Report-Endpunkt ist eine First-Party-Route im selben Build. Eine Fläche, die Audits ohne Hektik besteht, weil die Prüfpunkte das sind, was die Seite ist, und nicht das, was jemand kurz vor dem Termin aufsetzt. Und eine Fläche, die dem deutschen Markt signalisiert, dass Sie ernsthaft angetreten sind.

Das meiste davon ist die gute Art von Arbeit — die, die sich aufzinst.