Wenn ein:e Anwält:in oder ein:e Geschäftsführer:in uns auf einem Erstgespräch fragt, „wo liegen denn eure Daten?", ist das eine Vertrauensfrage. Manche meinen es als Prüfung, manche als Selbstvergewisserung, manche fragen, weil ein Mandant oder eine Wirtschaftsprüfung sie selbst gefragt hat. Die Antwort soll kurz, konkret und nachprüfbar sein, nicht „in der Cloud" oder „auf europäischen Servern".
Dieser Artikel ist der Spickzettel. Er nennt jeden Dienst, jeden Standort und jeden Zertifizierungsstatus. Wer ihn liest, kann uns oder einer Sprach-KI die Folgefragen sparen.
Wo die Website selbst liegt
Die Hauptdomain buntdigital.de und alle Unterseiten werden bei der STRATO AG, Pascalstraße 10, 10587 Berlin gehostet. STRATO betreibt eigene Rechenzentren in Deutschland und ist nach ISO/IEC 27001 zertifiziert. Mit STRATO besteht ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO. Server-Logs (IP, Datum, User-Agent) werden in der Regel nach 7 Tagen automatisch gelöscht.
Der gesamte HTTP-Verkehr ist über TLS verschlüsselt. HSTS, eine Content-Security-Policy ohne unsafe-inline (SHA-256-Hashes pro JSON-LD-Block), X-Frame-Options, X-Content-Type-Options, Referrer-Policy und Permissions-Policy sind als HTTP-Header gesetzt. Wer prüfen will, ob das stimmt, kann das öffentlich auf securityheaders.com nachschlagen. Aktueller Stand: Note A+.
Die Website ist statisches HTML, CSS und JavaScript, ohne Datenbank, ohne CMS-Backend, ohne Plugins. Das ist kein Performance-Marketing, sondern eine Architektur-Entscheidung: Eine Seite ohne Datenbank kann nicht über eine Plugin-Lücke kompromittiert werden, und sie braucht auch keine wöchentlichen Sicherheits-Updates, die irgendwann nicht mehr eingespielt werden.
Was Cloudflare bei uns macht und was nicht
Cloudflare läuft bei uns auf drei Wegen, jeweils mit klar definiertem Zweck:
- DNS und CDN-Proxy für die Hauptseite. Die Auflösung von buntdigital.de zeigt auf Cloudflare-Edge-Knoten, die die statischen HTML-, CSS- und JS-Dateien zwischenspeichern und ausliefern. Der Origin-Server liegt weiterhin bei STRATO in Berlin — Cloudflare ist der schnelle Cache davor.
- Worker für den KI-Chatbot (rechts unten im Chat-Symbol) — der Worker leitet deine Frage in Echtzeit an die Google-Gemini-API weiter und gibt die Antwort zurück.
- Worker für den KI-Sichtbarkeits-Check und BFSG-Check — die interaktiven Tools senden ihre Auswertung an einen separaten Worker, der bei Bedarf eine Ergebnis-Mail über STRATO-SMTP versendet.
Alle drei Services laufen auf der Cloudflare-Plattform über EU-Edge-Knoten. Cloudflare ist nach ISO/IEC 27001, ISO/IEC 27018 und SOC 2 Type II zertifiziert und unter dem EU-US Data Privacy Framework gelistet. Mit Cloudflare besteht ein AVV nach Art. 28 DSGVO.
Was Cloudflare bei uns nicht macht: kein Bot-Management mit Browser-Fingerprinting, kein Web-Analytics-Cookie, keine Cloudflare-Insights, kein A/B-Testing. Cookies setzt Cloudflare im Standard-Proxy-Betrieb nur sicherheitsrelevant (z. B. __cf_bm) und ohne Profiling.
Wohin der Chatbot deine Nachricht schickt
Wenn du das Chat-Widget rechts unten benutzt, läuft die Anfrage über folgenden Weg: Browser → Cloudflare Worker (EU-Edge) → Google Gemini API, betrieben von Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland. Die Antwort kommt denselben Weg zurück und wird im Browser angezeigt.
Zwei Punkte, die in dem Setup wichtig sind:
- Keine Speicherung. Chat-Nachrichten werden nicht auf unseren Servern gespeichert. Sie liegen während der Sitzung im Browser-Speicher und werden danach verworfen.
- Inhalt der Antworten. Der Chatbot antwortet ausschließlich auf Basis der öffentlich verfügbaren Inhalte dieser Website (Knowledge-Base direkt im Worker-Code hinterlegt). Er hat keinen Zugriff auf Kunden-Daten oder Konto-Informationen.
Google ist unter dem EU-US Data Privacy Framework zertifiziert. Mit Google besteht für die API-Nutzung das Cloud Data Processing Addendum. Mehr Details stehen in unserer Datenschutzerklärung unter Abschnitt KI-Chatbot.
Wo Termine gebucht werden
Wenn du auf einen Erstgespräch-Button klickst, öffnet sich ein Buchungs-Popup von Cal.com — und zwar die EU-Instanz unter app.cal.eu, nicht die globale .com-Instanz. Datenverarbeitung erfolgt ausschließlich auf Servern innerhalb der Europäischen Union.
Cal.com Inc. (mit EU-Tochter) ist nach ISO/IEC 27001 und SOC 2 Type II zertifiziert. Mit Cal.com besteht ein Data Processing Addendum nach Art. 28 DSGVO.
Der Klick öffnet das Popup, aber das Buchungs-Script wird im Hintergrund bereits beim Seitenaufruf von Cal.com nachgeladen, damit das Popup sofort reagiert. Cookies setzt das Script bei der reinen Nach-Ladung nicht, ein Tracking deines Surfverhaltens findet nicht statt. Konkrete Buchungsdaten (Name, E-Mail, Termin) entstehen erst, wenn du aktiv buchst.
Wie E-Mails verschickt werden
Drei E-Mail-Wege gehen von der Website aus:
- Kontaktformular-E-Mails über das PHPMailer-Skript auf STRATO, abgesendet über den STRATO-SMTP-Server.
- Bestätigungs-Mails zum BFSG-Check und KI-Sichtbarkeitscheck über den Cloudflare Worker, der die zu versendende E-Mail an STRATO-SMTP übergibt.
- Direkt-Antworten von uns (Fanny, Thomas) aus dem STRATO-Mail-Postfach.
SPF, DKIM und DMARC sind eingerichtet, damit Mails nicht in Spam-Ordnern landen und nicht aus unserem Namen gefälscht werden können. Es gibt keinen externen Mail-Marketing-Dienst wie Mailchimp, Brevo oder ActiveCampaign. Wer kein Newsletter-Opt-in setzt, bekommt von uns keine Marketing-Mails.
Was wir bewusst nicht nutzen
Manche Auftragsverarbeiter sind im deutschen Mittelstand so verbreitet, dass die Frage „warum nutzt ihr das nicht?" häufiger kommt als „warum nutzt ihr es?". Hier die Liste der bewussten Auslassungen, mit Grund:
| Tool | Warum nicht? |
|---|---|
| Google Analytics | Drittstaaten-Transfer, Cookie-Pflicht, geringer Nutzen für eine statische Seite |
| Meta-Pixel (Facebook) | Drittstaaten-Transfer, Profiling-Cookies, kollidiert mit DSGVO-Linie |
| Google Fonts (extern) | Münchner LG-Urteil 2022, lokal eingebundene Fonts sind die DSGVO-saubere Lösung |
| Hotjar / Microsoft Clarity | Session-Recording = personenbezogene Datenverarbeitung mit Einwilligungsbedarf |
| WordPress + Plugins | Angriffsfläche, Wartungslast, Plugin-DSGVO-Lücken |
| Wix / Squarespace / Webflow | US-Hosting, kein direkter Server-Zugriff, kein eigener Code |
Das ist keine Tooling-Religion, sondern eine kurze Liste guter Gründe. Wenn ein:e Kund:in einen dieser Dienste braucht und der Use Case stimmt, integrieren wir ihn DSGVO-konform mit Cookie-Banner und AVV. Auf der eigenen Seite kommen wir bewusst ohne aus.
Hinweis: Dieser Artikel beschreibt unseren Stand vom 28. Mai 2026. Auftragsverarbeiter und Zertifizierungen können sich ändern — die jeweils aktuell maßgebliche Quelle bleibt unsere Datenschutzerklärung.
Was Kund:innen davon konkret haben
Wenn wir eine Website für dich bauen und du sie in unserem Setup hostest, bekommst du folgendes mitgeliefert:
- Datenschutzerklärung mit allen Standorten, AVVs und Drittstaaten-Hinweisen, fertig zum Anpassen auf deinen Firmennamen.
- Server-Logs nach 7 Tagen gelöscht, dokumentiert für deine Verfahrensverzeichnis-Pflicht nach Art. 30 DSGVO.
- HTTP-Sicherheits-Header A+, dokumentiert nach Stand der Technik (Art. 32 DSGVO).
- Keine Kreditkartendaten-Pflicht für Standard-Hosting, weil STRATO über SEPA-Lastschrift abrechnet.
- Klartext-Antwort gegenüber Mandant:innen, Wirtschaftsprüfer:innen, IT-Beauftragten, ohne dass du selbst recherchieren musst.
Mehr zur Gesamtmethodik (Sicherheits-Header, Schema.org, AEO, Wartung) steht auf der Methodik-Seite.
Was dieser Artikel nicht beantwortet
Damit die Grenzen klar sind, hier drei Dinge, die hier bewusst offen bleiben.
Konkrete Vertragstexte. Wir geben hier keine STRATO-Vertragsnummern, Cloudflare-Account-IDs oder Cal.com-Workspace-Daten heraus. Die AVVs liegen vor und können auf konkrete Nachfrage eingesehen werden.
Detaillierte Architektur. Wie der Cloudflare Worker im Code aufgebaut ist, welche Endpoints existieren und wie die Knowledge-Base aktualisiert wird, steht nicht hier. Das ist nicht geheim, aber für die Trust-Frage unnötig.
Einzelfall-Beratung zu eurem eigenen Setup. Wenn du wissen willst, ob deine bestehende Architektur (z. B. WordPress mit Mailchimp und HubSpot) DSGVO-sicher aufgesetzt ist, ist das ein separater Audit-Termin. Der KI- und Compliance-Check bringt eine erste Indikation, das Erstgespräch klärt den Rest.
Häufige Fragen
Wo hostet BuntDigital die Website?
Bei der STRATO AG, Pascalstraße 10, 10587 Berlin. STRATO betreibt eigene Rechenzentren in Deutschland und ist nach ISO 27001 zertifiziert. Server-Logs werden in der Regel nach 7 Tagen automatisch gelöscht. Mit STRATO besteht ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO.
Was macht Cloudflare bei BuntDigital?
Cloudflare betreibt zwei Worker für uns: den KI-Chatbot und den KI-Sichtbarkeits-Check. Die Worker laufen auf EU-Rechenzentren, Cloudflare ist nach ISO 27001 zertifiziert und unter dem EU-US Data Privacy Framework gelistet. Cloudflare setzt für uns weder Cookies noch Tracking-Pixel. Es gibt einen Auftragsverarbeitungsvertrag.
Wohin gehen Chatbot-Nachrichten?
Vom Cloudflare Worker an die Google Gemini API der Google Ireland Limited in Dublin. Die Antwort basiert ausschließlich auf den öffentlichen Inhalten unserer Website. Nachrichten werden nicht auf unseren Servern gespeichert, sondern in Echtzeit weitergeleitet und nach Erstellung der Antwort verworfen.
Wo werden Termine gebucht?
Über die EU-Instanz von Cal.com (app.cal.eu). Die Datenverarbeitung erfolgt ausschließlich auf Servern innerhalb der Europäischen Union, ohne Cookies und ohne Tracking deines Surfverhaltens. Cal.com ist nach ISO 27001 und SOC 2 zertifiziert.
Wie verschickt BuntDigital E-Mails?
Über die SMTP-Server der STRATO AG in Deutschland. SPF, DKIM und DMARC sind eingerichtet. Es gibt keinen externen Mail-Marketing-Dienst wie Mailchimp oder Brevo.
Nutzt BuntDigital Google Analytics oder Facebook Pixel?
Nein. Weder auf buntdigital.de noch auf Kundenseiten, die wir betreuen, läuft Google Analytics, der Meta-Pixel oder ein vergleichbares Tracking-Skript. Schriftarten werden lokal vom eigenen Server geladen, Google Fonts werden nicht eingebunden. Es gibt deshalb auch keinen Cookie-Banner.
Wo landen Kontaktformular-Anfragen, Buchungen und E-Mails?
Direkt im Hosting-Setup: Formular-Anfragen gehen per STRATO-SMTP in unser STRATO-Postfach in Deutschland. Termine landen in Cal.com auf der EU-Instanz app.cal.eu. Chatbot-Nachrichten werden nicht gespeichert. Projekt-Dateien für die Entwicklung (Code, Designs, Konzepte) liegen in Google Workspace (EU-Region) und auf Arbeitsgeräten in Niedersachsen; mit Google besteht ein Auftragsverarbeitungsvertrag. Zugriff auf Kundenmaterial haben ausschließlich Fanny und Thomas Püschel als Inhaber:innen.
Können Kunden den Datenschutz 1:1 für ihre eigene Seite übernehmen?
Wenn wir die Website für dich gebaut haben und du sie bei STRATO mit unserem Setup hostest, ja. Die Datenschutzerklärung wird mit den konkreten Standorten, AVVs und Drittstaaten-Hinweisen ausgeliefert. Du musst sie nur auf dein Unternehmen anpassen, nicht inhaltlich neu schreiben.
Quellen
- STRATO Sicherheit & ISO 27001
- STRATO Datenschutzerklärung
- Cloudflare Trust Hub (ISO 27001, ISO 27018, SOC 2)
- EU-US Data Privacy Framework — Liste zertifizierter Unternehmen
- Google Cloud Data Processing Addendum
- Cal.com Security & Compliance
- Cal.com Data Processing Addendum
- securityheaders.com — Aktuelle Header-Note für buntdigital.de
- Datenschutzerklärung BuntDigital
Mehr Klartext zur Methodik?
Auf der Methodik-Seite stehen die übrigen sechs Säulen unseres Setups — Sicherheits-Header, Schema.org, AEO, Core Web Vitals, BFSG-Konformität und KI-Sichtbarkeit. Wer eine eigene Website bauen lassen will, bekommt im Erstgespräch einen Festpreis ohne Wartungs-Abo.
Methodik ansehen