Mein Rechtsweg

Wie ich mein Terminbuchungstool DSGVO konform auf die Website eingebunden habe

Das flackernde Licht meines Monitors spiegelt sich in meiner mittlerweile kalten Kaffeetasse, während draußen der Leipziger Novemberregen gegen die Scheiben peitscht. Eigentlich wollte ich heute nur diesen einen kleinen Button auf meiner Website unterbringen: „Jetzt Kennenlerngespräch buchen“. Klingt einfach, oder? Aber während ich auf den Embed-Code meines neuen Buchungstools starre, fühle ich mich weniger wie eine Texterin und mehr wie eine IT-Sicherheitsbeauftragte im Schlafanzug, die kurz davor ist, das gesamte Internet zu löschen.

Ein regnerischer Dienstagabend im November

An diesem Abend wurde mir schmerzhaft bewusst, dass „einfach kopieren und einfügen“ in der Welt der Datenschutz-Grundverordnung (DSGVO) ein gefährliches Spiel ist. Der Anbieter meines Tools versprach eine kinderleichte Einbindung per iFrame. Doch als ich genauer hinsah, merkte ich: Sobald dieser iFrame geladen wird, baut er eine Verbindung zu Servern in den USA auf. Die IP-Adresse meiner Website-Besucher wandert also ungefragt über den Atlantik, noch bevor sie überhaupt „Hallo“ sagen konnten.

Ich saß da und dachte mir: Ich will doch nur Texte schreiben, warum muss ich mich jetzt mit Serverstandorten und Drittanbieter-Skripten herumschlagen? Es ist dieses trockene Gefühl im Hals, während ich zum zehnten Mal die Datenschutzerklärung lese und die Buchstaben vor den Augen verschwimmen. Ich habe dann erst einmal alles wieder gelöscht. Sicherheit geht vor, aber die Panik, etwas falsch zu machen, saß tief. Damals habe ich mich gefragt, ob ich wirklich für jedes Tool so ein Fass aufmachen muss. Aber ja, wie ich in meinem Beitrag darüber gelernt habe, warum ich als Solopreneur für jedes Tool einen AV Vertrag brauche, führt kein Weg an der Bürokratie vorbei.

Nahaufnahme eines Laptop-Bildschirms mit Embed-Code und einer Checkliste.

Kurz vor dem Jahreswechsel und die Sache mit dem AVV

Kurz vor Silvester, als andere ihre Raclette-Zutaten planten, wühlte ich mich durch das Thema Auftragsverarbeitungsvertrag (AVV). Nach Artikel 28 DSGVO ist das Ding Pflicht, wenn ein Externer Daten für mich verarbeitet. Mein Buchungstool sammelt Namen und E-Mails – klassische personenbezogene Daten also. Ohne AVV ist die Einbindung so rechtssicher wie ein Fahrradschloss aus Lakritz.

Was ich dabei völlig falsch eingeschätzt hatte: Ich dachte, ein iFrame wäre die „saubere“ Lösung, weil das Tool ja „woanders“ läuft. Die Realität ist aber viel komplizierter. Ein iFrame ist oft datenschutzrechtlich riskanter als eine direkte API-Integration, obwohl viele Anleitungen das Gegenteil behaupten, um die Nutzer nicht mit technischer Komplexität abzuschrecken. Warum? Weil der iFrame sofort beim Laden der Seite Daten zieht. Eine API-Integration könnte ich theoretisch so steuern, dass sie erst nach einem Klick aktiv wird. Ich fühlte mich wie bei einer Steuererklärung, bei der man erst im Kleingedruckten auf Seite 12 merkt, dass man das falsche Formular ausgefüllt hat.

Nach etwa zwei Wochen intensiver Recherche im Januar

Im Januar packte ich das Problem endlich richtig an. Ich nutzte den dsgvo-schritt-generator, um endlich Licht ins Dunkel zu bringen. Das Tool hat mich quasi an die Hand genommen und mir gezeigt, welche Informationspflichten ich nach Artikel 13 DSGVO eigentlich habe. Ich muss meinen Besuchern klipp und klar sagen: Wer verarbeitet was, warum und auf welcher Rechtsgrundlage? Meistens landen wir da bei Artikel 6 DSGVO – entweder ist es die Einwilligung oder die Vertragserfüllung (oder die Vorbereitung dazu).

Die Lösung für mein iFrame-Problem war das sogenannte „Zwei-Klick-Verfahren“. Das kannte ich schon von anderen Dingen, zum Beispiel als ich lernte, wie ich einen Instagram Feed DSGVO konform ohne Tracking eingebunden habe. Statt den Kalender sofort anzuzeigen, gibt es jetzt ein schönes Vorschaubild mit einem Text: „Erst wenn du hier klickst, wird das Buchungstool geladen und Daten an den Anbieter übertragen.“ Erst bei diesem Klick wird die Verbindung aufgebaut. Das ist zwar ein Klick mehr für meine Kunden, aber dafür schlafe ich ruhiger.

Kaffeetasse neben rechtlichen Dokumenten und einem Smartphone mit Cookie-Banner.

Die Hürde mit dem Cookie-Banner

Natürlich gab es noch ein technisches Drama. Mein Cookie-Banner war anfangs so eingestellt, dass er das Buchungstool einfach komplett blockierte, selbst nach dem Klick auf das Vorschaubild. Ich stand da wie vor einem verschlossenen Behördeneingang am Freitagnachmittag. Es hat mich Tage gekostet, die Einstellungen so zu verfeinern, dass Sicherheit und Nutzerfreundlichkeit nicht mehr gegeneinander kämpfen. Ich bin keine Programmiererin, ich bin Texterin, und manchmal fühlt sich das alles an wie ein Apothekenbeipackzettel: Zu viele Risiken und Nebenwirkungen für eine eigentlich kleine Sache.

Ein sonniger Vormittag im März

Es ist jetzt März, und die Sonne scheint endlich wieder durch mein Fenster in Leipzig. Letzten Mittwoch passierte es dann: Der erste Test-Termin flatterte in mein Postfach. Alles hat funktioniert. Das Vorschaubild war da, der Klick hat die Verbindung aufgebaut, der AV-Vertrag liegt digital abgeheftet in meinem Ordner „Rechtssicher 2026“.

Was ich gelernt habe? Man darf sich nicht von den Paragraphen lähmen lassen. Ja, Artikel 13 und Artikel 6 klingen erst mal nach Jura-Staatsexamen, aber wenn man es Schritt für Schritt angeht, ist es machbar. Ich bin keine Anwältin, und das hier ist keine Rechtsberatung – ich bin einfach nur jemand, der seine Website nicht wieder offline nehmen will, weil ein iFrame Amok läuft. Wenn ihr unsicher seid, fragt lieber einmal zu viel bei einem Profi nach oder nutzt Tools, die euch die Struktur vorgeben.

Tablet auf einem sonnigen Balkon mit einer Bestätigung für eine Terminbuchung.

Heute fühlt sich mein Buchungskalender nicht mehr wie ein potenzielles Minenfeld an, sondern wie ein professionelles Werkzeug. Und ganz ehrlich: Das Gefühl, wenn man weiß, dass im Hintergrund alles dokumentiert und sauber ist, ist fast so gut wie die erste Zusage für ein neues Textprojekt. Falls ihr auch gerade vor eurem Cookie-Banner verzweifelt – haltet durch, es wird besser!

Haftungsausschluss:
Rechtlicher Hinweis: Die Inhalte dieser Webseite dienen ausschließlich der allgemeinen Information und stellen keine individuelle medizinische, finanzielle oder rechtliche Beratung dar. Eine fachkundige Beurteilung Ihres Einzelfalls kann nur durch eine qualifizierte Fachperson erfolgen -- bitte konsultieren Sie diese vor wesentlichen Entscheidungen.

Verwandte Artikel