Abhängigkeiten: Fails der Webseite von Mario Voigt

Heute noch ein kleines Beispiel zu Abhängigkeiten bei an Dienstleister ausgelagerten Aufgaben und wie das schief gehen kann. Der Ministerpräsident von Thüringen betreibt eine Webseite unter eigenem Namen, mit ausführlicher Datenschutzerklärung. Kann man als persönliche Homepage interpretieren. Problematisch wird es, weil die Webseite Inhalte einer CDU-Webseite einbindet, was in der Datenschutzerklärung so nicht angegeben wird. Ergänzung: Der Fehler wurde zeitnah korrigiert.

Vorab die Bemerkung, dass es mir im aktuellen Fall nicht darum geht, ein politisches Süppchen zu kochen. Und ich sehe selbst an meinen Webseiten, wie schwer es ist, alles sauber in Bezug auf Datenschutzerklärung & Co. hin zu bekommen und über Jahre auch aktuell zu erhalten. Es ändert sich was, aber Du trägst es nicht nach oder übersiehst bei einer Korrektur etwas, schon zeigt sich ein schiefes Bild.

Andererseits gibt es auch Fälle, wo nichts passt. Und wenn ein Ministerpräsident eines Bundeslandes eine Webseite unter eigenem Namen betreibt, und den Anschein erweckt, dass dies eine private / persönliche Seite sei oder sein könnte, sollte zumindest die Datenschutzerklärung stimmig sein. Ich gehe nach bisherigem Sachstand davon aus, dass da ein Dienstleister oder ein Mitarbeiter bei der Auftragsvergabe schlicht gepatzt hat und ein Fehler passiert ist.

CDU-Ministerpräsidenten-Webseiten

Ich habe es nicht genau verfolgt, bin aber jetzt darauf gestoßen, dass die CDU-Ministerpräsidenten deutscher Bundesländer jeweils eine eigene Webseite unter ihrem Namen haben. Man findet Hendrik Wüst, Boris Rhein, Daniel Günther und eben die Seite von Mario Voigt.

Die Webseiten gleichen sich in der Struktur, enthalten einige Informationen zum Lebenslauf der Person, und geben die Arbeit des Ministerpräsidenten in ausgewählten Artikeln wieder. Die meisten der Ministerpräsidentenseiten geben dabei im Impressum klar zu erkennen, dass sie von einem CDU-Landesverband geführt werden und weisen auch in der Datenschutzerklärung darauf hin. Das ist legitim und auch so in Ordnung, die Teams, die die Webseiten der Ministerpräsidenten aufgesetzt haben, waren fit – zumindest soweit ich beim ersten, schnellen Blick gesehen habe. Ein Blog-Leser hat mich nun darauf hingewiesen, einen Blick auf die Webseite von Mario Voigt zu werfen.

Die Webseite mario-voigt.com

Herr Voigt ist Ministerpräsident des Bundeslands Thüringen. Hier hätte ich erwartet, dass er zur Eigendarstellung eine Webseite der Staatskanzlei hat. Aber er hat seinen Webauftritt unter mario-voigt.com, was auch legitim ist.

Mario Voigt

Das Impressum gibt eine (Privat-) Adresse der Person Mario Voigt an. Das suggeriert, dass es sich um die Privatseite von Mario Voigt handeln könnte – auch wenn er die Thüringer und Thüringerinnen quasi als Ministerpräsident begrüßt. In der Datenschutzerklärung wird darauf hingewiesen, dass die Seite bei IONOS SE gehostet wird, und auch Mail- und Nameserver liegen dort. Der interessierte Leser wird dort über die bei IONOS SE erfassten Daten, die Rechtsgrundlage nach DSGVO sowie seine Rechte informiert. Auch das ist alles in Ordnung und nicht zu beanstanden.

Plötzlich Inhalte anderer Seiten geladen

Wer die Website mario-voigt.com allerdings aufruft, erlebt im Hintergrund mehr als erwartet, schrieb mir der Leser. Von den 37 erfolgreichen Requests, die der Browser beim Laden der Seite absetzt, landet kein einziger auf mario-voigt.com selbst – sondern auf cdu-th.de. Inhalte wie Bilder und Skripte kommen von dort, wie nachfolgender Screenshot aus der Entwicklerkonsole zeigt.

Mario Voigt Site-Struktur

Mit anderen Worten: Der Internetauftritt wird hinter den Kulissen von der CDU Thüringen betrieben. Das ist zwar in Ordnung und inhaltlich sowie technisch nicht zu beanstanden. Während andere Ministerpräsidenten auf ihren persönlichen Seiten auf so etwas hinweisen und oft den CDU-Landesverband aus Betreiber angeben, bleibt dies auf obiger Webseite unerwähnt bzw. wird sogar expressis verbis anders in der Datenschutzerklärung kommuniziert.

DNS-Records und Lookup angeschaut

Der Leser hat noch ein wenig gebohrt und schrieb: Whois bestätigt zunächst, was die Datenschutzerklärung von mario-voigt.com behauptet: Registrar ist IONOS SE, auch Mail- und Nameserver liegen dort. Dann hat der Leser einen Blick auf cdu-th.de geworfen. Laut DENIC-Auskunft verwendet diese Domain einen Nameserver der Hetzner Online GmbH.

Mario Voigt DNS-Einträge

Interessant wurde es dann bei der Inspektion des DNS-Eintrags von mario-voigt.com und cdu-th.de (genauer gesagt bei den A/AAA-Records). Beide Domains, mario-voigt.com und cdu-th.de, zeigen auf dieselbe IPv4-Adresse: 78.46.125.4 (siehe obiger Screenshot). Eine IPv6-Adresse ist bei keiner Seite hinterlegt. Diese IP gehört zur AS-Range 78.46.0.0/15, die dem autonomen System AS24940 zugeordnet ist (ebenfalls Hetzner, schrieb mir der Leser).

Damit ist allerdings noch nicht bewiesen, dass Hetzner selbst als Hoster auftritt. Denkbar ist auch, dass ein Dienstleister dort einen Server angemietet hat oder physisch hostet.

Was sagen die Datenschutzerklärungen?

Die Seite mario-voigt.com patzt und nennt ausschließlich IONOS SE als Hosting-Anbieter. Die Datenschutzerklärung beschreibt, dass IONOS Logfiles inklusive IP-Adressen beim Besuch der Website erfasst. Von Hetzner oder irgendeiner anderen Stelle liest man dort kein Wort.

Die Webseite cdu-th.de ist da aufschlussreicher und nennt die New Definition GmbH aus Wiesbaden als Hoster. Augenscheinlich betreibt diese Agentur also einen Server bei Hetzner, auf dem beide Websites liegen, schrieb mir der Leser.

Ein Blick auf die eigene Datenschutzerklärung von newdefinition.de ist umständlich: Sie liegt nicht als HTML-, sondern als PDF-Datei vor. Hetzner wird dort ebenfalls nicht als Infrastrukturanbieter erwähnt, was laut Leser nachvollziehbar ist. Eine Agentur, die im Kundenauftrag hostet, wählt die Infrastruktur oft projektspezifisch oder nach eigenen Präferenzen. Offenbar hat die Agentur bereits Erfahrungen mit der Politik, schrieb der Leser. Unter dem Produkt NDPolitik bietet sie eine Komplettlösung für Politiker und Parteien an.

Das betrifft das die DSGVO

An dieser Stelle ist m.E. unsauber gearbeitet worden und es läuft auf DSGVO-Probleme hinaus. Nach Art. 13 DSGVO sind Websitebesucher darüber zu informieren, welche Stellen ihre Daten verarbeiten. Die Seite mario-voigt.com nennt dafür IONOS, verschweigt aber, dass die Inhalte von den Webseiten der Thüringer CDU stammen. Tatsächlich landet der Traffic beim Aufruf der Webseite bei einem Hetzner-Server, betrieben von der New Definition GmbH. Beide Anbieter tauchen in der Datenschutzerklärung der Webseite mario-voigt.com mit keinem Wort auf. Das ist keine kleine Schludrigkeit, und was übersehen, sondern inhaltlich eine falsche Angabe.

Dazu kommt möglicherweise ein weiteres Problem. Die Datenschutzerklärung benennt einen Auftragsverarbeitungsvertrag (AVV) mit IONOS. Ein Vertrag, der sicherstellen soll, dass Daten nur nach Weisung und DSGVO-konform verarbeitet werden. Das klingt ordentlich, ist es aber nicht, merkt der Leser an. Denn IONOS verarbeitet schlicht keine Besucherdaten, weil dort der Server gar nicht steht. Der AVV läuft also ins Leere.

Mit der New Definition GmbH, die tatsächlich hostet, müsste ein solcher Vertrag nach Art. 28 DSGVO zwingend geschlossen sein – ob das intern existiert, lässt sich von außen nicht prüfen. Und Hetzner als Infrastrukturanbieter im Hintergrund? Ebenfalls unerwähnt und vertraglich ungeklärt, zumindest nach außen hin.

Am Ende läuft das auf einen Verstoß gegen Art. 5 Abs. 1 lit. a DSGVO hinaus: den Transparenzgrundsatz. Eine Datenschutzerklärung, die den falschen Hoster nennt und den richtigen verschweigt, erfüllt ihren gesetzlichen Zweck nicht, argumentiert der Leser.

Ich werde den oder die Websitebetreiber freundlich auf die Unvollständigkeit hinweisen, damit das geheilt wird. Sollte keine Reaktion erfolgen, überlegen der Leser und ich, Beschwerde beim Thüringer Landesbeauftragten für den Datenschutz (TLfDI) einzureichen. Denn es ist immerhin die Webseite des Ministerpräsidenten des Bundeslandes Thüringen, der das Ganze gemäß Impressum betreibt.

Anmerkung: Ich hatte mit dem Leser diskutiert und einen Politologen involviert, ob wir das nicht einfach auf sich beruhen lassen sollen. Tenor war: Es fehlt im betreffenden Team einfach die Medienkompetenz. Daher sollte das Problem dokumentiert und zur Korrektur eingereicht werden. Denn es lässt sich ja mit einer Änderung der Datenschutzerklärung heilen.

Der Fehler wurde zeitnah korrigiert

Ergänzung: Ich habe den oben beschriebenen Fehler am 16. Juni 2026 formlos an die im Impressum angegebene E-Mail-Adresse gemeldet. Der Fehler wurde zeitnah korrigiert, denn am 17. Juni 2026 erreichte mich von der CDU Landesgeschäftsstelle die folgende Rückmeldung:

haben Sie vielen Dank für Ihren aufmerksamen und sachlichen Hinweis. Sie haben völlig recht und wir nehmen das sehr ernst.
Der Hintergrund: Wir haben die Seite vor einigen Monaten technisch umgestellt und dabei sind an dieser Stelle offenkundig die alten Texte einfach mitkopiert worden. Die Datenschutzerklärung war damit tatsächlich nicht aktuell. Das war ein Fehler auf unserer Seite, das darf natürlich nicht passieren.
Wir haben Impressum und Datenschutzerklärung inzwischen überarbeitet und an das tatsächliche Setup angepasst, insbesondere mit Blick auf das Hosting und die beteiligten Dienstleister. Wir hoffen, dass nun alles stimmig ist.
Sollte Ihnen dennoch etwas auffallen, sprechen wir gerne auch persönlich mit Ihnen. Für Ihren Hinweis sind wir Ihnen ausdrücklich dankbar.

Das ist doch mal eine positive Meldung, es wurde zügig korrigiert, und gut ist. So sollte es laufen, denn Fehler können immer passieren.

Dieser Beitrag wurde unter Internet abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen für den Permalink.

25 Kommentare zu Abhängigkeiten: Fails der Webseite von Mario Voigt

  1. Tomas Jakobs sagt:

    Mein Gott… da waren wir vor zwei Jahrzehnten schon weiter. Solche Double-Content Domains wurden (werden noch immer?) von Google abgestraft. Den Schmus machten auch Linkfarmen und unseriöse Anbieter… da sitzen ja bei der CDU echt Profis am Werk!

    • Pau1 sagt:

      es ist natürlich möglich und absolut üblich unter einer IP mehrere Domains mit unterschiedlichen Inhalt zu betreiben. unter manchen Server IP liegen hunderte tausende Domains.
      Die Zuordnung einer IP zu einer Domain gibt's seit Jahrzehnten nicht mehr.
      Google nimmt das so wie es ist und es ist Ok. Was Suchmaschinen nicht mögen ist wenn der identische Inhalt unter unterschiedlichen Domains zu erreichen ist. Google würde da ja seine Rechenleistung vertun und straff das im Ranking ab.

      Hier liefert der "HTML Server", also die Software wie Apache, aber unterschiedliche Inhalte, je nachdem ob im GET Befehl https://CDU oder https://Mario steht.
      Das ist natürlich OK.

      Das Problem ist hier aber das in der Datenschutzerklärung behauptet wird, dass die Daten bei Firma A im Staat Y gekostet wird, die IP der Firma B im Staat Z gehört.
      Auch werden wohl Inhalte einer anderen Domain aufgerufen.
      Das müsste in der DSE stehen.
      Das diese Fremde Domain auf der selben IP liegt ist völlig egal.

      Hier gab es nun wohl das Problem des 10% Halbwissens beim Tool, wenn man jetzt die IP nimmt und rückwärts Auflöst, kommt nur der Name einer Domain raus, nicht aller.
      Man hat versäumt, alle z.B. 3000 Domains in der Rückwärts-Auflösung einzutragen und das Tool hat einfach nur den ersten Wert ausgegeben oder ggf häufiger, der Anfrager hat das falsche Tool genutzt um die Namen, die zu der IP gehören zu ermitteln.

      Das kann natürlich passieren, wenn man seinen Hoster wechselt und die DSE vergisst.

      Man könnte jetzt diskutieren ob es vom Hoster schlau war, als erstes keinen genetischen Namen eintragen, sondern den eines Kunden. Das hätte nicht zu der Verwirrung hier geführt.

      Natürlich muss das in der DSE richtig stehen.

  2. Stefan sagt:

    Internet ist eben für uns alle Neuland

  3. KT sagt:

    Wenn ich mir bei modernen Websites das Übersichtsfenster von NoScript anschaue, dann sind über 10 beteiligte Domains keine Seltenheit mehr. Wie sowas überhaupt noch als DSGVO-Konform gelten kann ist mir ein Rätsel. So lange so was erlaubt und normal ist, hilft das Gerede von Datenschutz rein gar nichts.

    • Luzifer sagt:

      na dann schau dir mal heise an mit berechtigten Interesse und wieviel Firmen da mit dranhängen… das gehört definitiv verboten! früher konntest die noch einzeln abwählen, geht mittlerweilen auch nicht mehr.

      Stimmt man halt erstmal zu und wiederruft nach verlassen der Seite inkl. Auskunft und Löschbestätigung nach DSGVO Art.15 und 17… da kotzt der Admin ;-P aber die wollen es ja so!

      Die DSGVO arbeitet gut, du musst die Mittel nur auch nutzen!
      Wiederruf; Auskunftsersuchen und Löschbeantragung/-bestätigung hab ich direkt als Textbaustein vorliegen ;-P geht bei bestimmten Seiten direkt automatisiert raus ;-P
      Rechtssichere Vorlagen spuckt dir google aus ;-P Ausnahmsweise mal dein Freund und Helfer!

      Wer Wind säht wird Sturm ernten.

      • robbi sagt:

        Der Kampf gegen Windmühlen ist sicherlich ein sehr dankbares Hobby.
        Du installierst UBlock und hast schon nach einem Monat eine Viertelmillion geblockte Skripte 😨.
        Was ist eigentlich mit DSGVO-Antimaterie in Form von EPA oder Deutschlandticket ( powered by Deutsche Bahn)?

        Das klang bei Einführung des Paragraphenmonsters alles mal ganz anders…..

  4. Hanseat sagt:

    Die haben einfach eine unfähige Agentur beauftragt oder glaubt Ihr wirklich, dass da jemand in der CDU-Zentrale sitzt und Webseiten baut?

  5. Datenschutzpapier sagt:

    Aufgepasst Herr Born, ähnliche externe Abhängigkeiten sind auch in diesem Blog vorhanden.

    Aktuelles Beispiel: https://borncity.com/blog/2026/06/11/fritzbox-dlna-server-mit-dem-vlc-player-unter-android-nutzen/

    Dort ist das lt. Text im Bild von Ihnen erstelle Bild "Hintergrund DLNA" aus unerfindlichen Gründen nicht in der lokalen WordPress Mediathek hinterlegt, sondern wurde bei einem externen Dienstleister imgur(dot)com hochgeladen und von dort in den Beitrag eingebunden. Die weiteren Bilder des Beitrags kommen aus der lokalen WordPress Mediathek, daher ist es nicht nachvollziehbar, warum hier externe Abhängigkeiten erzeugt werden.

    • Günter Born sagt:

      Das war mein Fehler und ist geändert. In alten Blog-Beiträgen (geht ja bis ins Jahr 2009 zurück) sind noch Bilder von externen Image-Hostern verwendet – ist in der Datenschutzerklärung vermerkt und ich berufe mich auf berechtigtes Interesse. Die Verlinkungen auf X und YouTube, habe ich (hoffentlich) hier im Blog inzwischen alle korrigiert (war aber schon einige Tage Arbeit). Bei den Bildern wird es bei >22.000 Beiträgen aufwändig. Immer, wenn ich an einem Altartikel dran bin und daran denke, tausche ich die Bilder schon aus. Das ist einer der Punkte, die ich meinte, als ich im Text schrieb, wie schwierig es sein kann, alles über Jahre sauber zu halten. Mir ist beispielsweise auch vor Jahren der Lapsus passiert, dass ich mal testweise ein neues Template in einer WordPress-Seite eingesetzt habe, was Google Fonts eingebettet hat. Habe es erst eine Woche später gemerkt und korrigiert. Fehler werden passieren – und ich versuche, da möglichst mit solchen Einbindungen minimiert zu agieren (daher werden Bilder seit dem Besitzerwechsel der Domain im Blog in WordPress eingebunden, vorher war es alleine vom Speicherplatz ein Problem). Ist aber imho formal etwas anderes, als wenn ich sage: "Ich hoste bei X", lasse das aber bei y auf dem Server laufen und binde Z als Inhalt ein.

      • Datenschutzpapier sagt:

        Für das Einbinden eigener Bilder von externen Image-Hostern gibt es selbstverständlich kein berechtigtes Interesse. Die Bilder können ohne jegliche technische Notwendigkeiten selbst gehostet werden. Irgendeine Vermerkung in der Datenschutzerklärung ist nicht ausreichend. Erstaunlich, dass in einem Blog mit eigentlich solcher Technik Expertise da so seltsam argumentiert wird.

        • Luzifer sagt:

          technisch gesehen hast du vollkommen recht, aber man sollte die Kirche im Dorf lassen! Wenn es in der Datenbschutzerklärung drinn steht fühle ich mich ausreichend informiert und kann entscheiden die Seite weiter zu erkunden oder zu verlassen! Wenn es aber erst gar nicht aufgeführt wird oder wie bei der Politiker Seite komplett falsch dargestellt wird (absichtlich oder unabsichtlich ist erstmal irrelevant)
          sieht das anders aus.

          Verbieten wir einfach jegliches Datensammeln ohne Bezugsgrund (wenn ich was bestelle braucht es natürlich eine Liefer-/Rechnungsadresse etc.) dann braucht man sich auch nicht mit solchen Shice rumärgern und die Welt wäre ein bessere Ort:
          Überkleinlich hilft niemanden!
          Das sage ich der Werbung/Tracking verabscheut… eben Kirche im Dorf lassen.

    • Luzifer sagt:

      Macht aber einen Unterschied ob da mal ein Lapsus passiert (der auch korrigiert wird wenn bekannt wird) oder ob man seine Kundschaft komplett von Vorne bis Hinten belügt! Wobei da sich die grundsätzliche Frage stellt: welcher Politiker lügt den nicht? ( Musst ja nur die Wahlkampfversprechen anschauen und danach die Realität)
      Angelogen komm ich mir hier auf borncity.com/block jedenfalls nicht vor… nicht immer Meinungskonform, ist aber was anderes und in der Natur der Sache begründet.

  6. Erwin Wecker sagt:

    Soll ich es nun dem zuständigen Landesdatenschutzbeauftragten melden oder hat schon jemand diesen Rechtsverstoß gemeldet?

    • Günter Born sagt:

      Ich spreche den Betreiber an – wenn er nicht reagiert, kann ich es melden. Ich möchte den Ball flach halten und den LfDI lieber für andere Fälle beanspruchen. Die machen in den Fällen, wo ich sie gebraucht habe, um Sachen die in Richtung Sicherheitslücken mitspielen, einen sehr guten Job.

  7. Jonathan S. sagt:

    Naja, was will man bei der CDU erwarten – man denke nur an das Trauerspiel mit deren Nextcloud, die btw. immer noch auf Version 29.0.11.1 vom 20.01.2025 hängt…

  8. User007 sagt:

    Hmm…
    Bei sowas, wie diesem Fall, frag' ich mich dann doch:
    Ist das das kleinteilige Umgangsniveau, welches man selbst als Standard voraussetzt und erwartet und mit dem man dann evtl. auch sich selbst behandelt wissen mag?
    Haben wir wirklich keine wichtigeren "Sorgen" in diesem Land, als ob da eine Website eines Politik-Akteurs zu 100% konform i-einer Datenschutz-Richtlinie, deren Sinnhaftigkeit in diesem Fall mglw. doch auch mehr als unverhältnismäßig fraglich erscheint, betrieben wird?
    Bitte nicht falsch auffassen, ich halte Datenschutz durchaus für eminent wichtig, allerdings doch in zweckdienlich angemessenem Rahmen immer mit entsprechendem "Augenmaß" versehen.

    • Günter Born sagt:

      Er soll es schlicht in der Datenschutzerklärung benennen und gut ist. Bei den anderen CDU-Ministerpräsidenten ist das, soweit ich es gesehen habe, von Anfang an stimmig gehandhabt worden. Ich habe einen freundlichen Hinweis an die angegebene E-Mail-Adresse geschickt, das bitte doch so zu ändern, dass die Erklärung stimmig ist – dann ist alles gut – und das mit dem Auftragsdatenverarbeitungsvertrag können die Leute dann in Ruhe mit der Agentur klären.

      • User007 sagt:

        Ja, sicherlich…was eben so alles "korrekt" laufen sollte?! 🤷‍♂️
        "Er" wird das wohl kaum selbst prüfen, sondern, wie schon in einem anderen Beitrag zuvor vermutet wurde, delegiert haben und dort wurde halt etwas "unaufmerksam" gearbeitet. 🙄

        • Luzifer sagt:

          sorry, aber wenn irgendein Konkurrent Fehler bei dir findet wirst du abgemahnt… weil das jetzt ein Politiker ist soll das anders sein?
          Ob er das selbst proggt oder delegiert spielt da keine Rolle!

          • User007 sagt:

            "[…] aber wenn irgendein Konkurrent Fehler bei dir findet wirst du abgemahnt […]"
            Ja, eben – das scheint ja als mittlerweile etabliertes Geschäftsmodell der neue "Normalzustand" zu sein, anstatt sich um seine eigenen Sch*** Fehler zu kümmern.
            Neid und Mißgunst werden der Untergang unserer Zivilisation sein! 🤨

            Btw. ist mir das bisher noch nicht passiert und bei mir bzw. bei von mir betreuten Projekten war – allerhöchst wahrscheinlich – auch nicht alles beanstandungslos. 🤷‍♂️

      • Datenschutzpapier sagt:

        Externe Domains die nicht unter direkter eigener Kontrolle sind, "schlicht in der Datenschutzerklärung benennen" ist natürlich nicht ausreichend. Solche Einbindungen sind erst nach expliziter Zustimmung möglich.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros. Kommentare abseits des Themas bitte unter Diskussion. Kommentare, die gegen die Regeln verstoßen, werden rigoros gelöscht. Wegen Missbrauchs bin ich gezwungen, Name und E-Mail als Pflichtfelder beim Kommentieren zu aktivieren. Wählt ggf. einen (noch nicht benutzten) Alias-Namen und verwendet ggf. eine Dummy-Mail-Adresse (z.B. t@hotkev.com).

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.