{"id":326371,"date":"2026-06-16T00:01:01","date_gmt":"2026-06-15T22:01:01","guid":{"rendered":"https:\/\/borncity.com\/blog\/?p=326371"},"modified":"2026-06-17T21:33:22","modified_gmt":"2026-06-17T19:33:22","slug":"abhaengigkeiten-fails-bei-der-webseite-von-mario-vogt","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2026\/06\/16\/abhaengigkeiten-fails-bei-der-webseite-von-mario-vogt\/","title":{"rendered":"Abh\u00e4ngigkeiten: Fails der Webseite von Mario Voigt"},"content":{"rendered":"<p><img decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" title=\"Cloud (Quelle: Pexels, free Verwendung)\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/05\/Cloud-Symbol.jpg\" width=\"200\" align=\"left\" \/>Heute noch ein kleines Beispiel zu Abh\u00e4ngigkeiten bei an Dienstleister ausgelagerten Aufgaben und wie das schief gehen kann. Der Ministerpr\u00e4sident von Th\u00fcringen betreibt eine Webseite unter eigenem Namen, mit ausf\u00fchrlicher Datenschutzerkl\u00e4rung. Kann man als pers\u00f6nliche Homepage interpretieren. Problematisch wird es, weil die Webseite Inhalte einer CDU-Webseite einbindet, was in der Datenschutzerkl\u00e4rung so nicht angegeben wird. <strong>Erg\u00e4nzung:<\/strong> Der Fehler wurde zeitnah korrigiert.<\/p>\n<p><!--more--><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg08.met.vgwort.de\/na\/cecc873b75cf44b188cf1fe7f24b8fa2\" alt=\"\" width=\"1\" height=\"1\" \/>Vorab die Bemerkung, dass es mir im aktuellen Fall nicht darum geht, ein politisches S\u00fcppchen zu kochen. Und ich sehe selbst an meinen Webseiten, wie schwer es ist, alles sauber in Bezug auf Datenschutzerkl\u00e4rung &amp; Co. hin zu bekommen und \u00fcber Jahre auch aktuell zu erhalten. Es \u00e4ndert sich was, aber Du tr\u00e4gst es nicht nach oder \u00fcbersiehst bei einer Korrektur etwas, schon zeigt sich ein schiefes Bild.<\/p>\n<p>Andererseits gibt es auch F\u00e4lle, wo nichts passt. Und wenn ein Ministerpr\u00e4sident eines Bundeslandes eine Webseite unter eigenem Namen betreibt, und den Anschein erweckt, dass dies eine private \/ pers\u00f6nliche Seite sei oder sein k\u00f6nnte, sollte zumindest die Datenschutzerkl\u00e4rung stimmig sein. Ich gehe nach bisherigem Sachstand davon aus, dass da ein Dienstleister oder ein Mitarbeiter bei der Auftragsvergabe schlicht gepatzt hat und ein Fehler passiert ist.<\/p>\n<h2>CDU-Ministerpr\u00e4sidenten-Webseiten<\/h2>\n<p>Ich habe es nicht genau verfolgt, bin aber jetzt darauf gesto\u00dfen, dass die CDU-Ministerpr\u00e4sidenten deutscher Bundesl\u00e4nder jeweils eine eigene Webseite unter ihrem Namen haben. Man findet <a href=\"https:\/\/www.hendrik-wuest.de\/\" target=\"_blank\" rel=\"noopener nofollow\">Hendrik W\u00fcst<\/a>, <a href=\"https:\/\/www.boris-rhein.de\/\" target=\"_blank\" rel=\"noopener nofollow\">Boris Rhein<\/a>, <a href=\"https:\/\/www.daniel-guenther-cdu.de\/\" target=\"_blank\" rel=\"noopener nofollow\">Daniel G\u00fcnther<\/a> und eben die Seite von <a href=\"https:\/\/www.mario-voigt.com\/\" target=\"_blank\" rel=\"noopener nofollow\">Mario Voigt<\/a>.<\/p>\n<p>Die Webseiten gleichen sich in der Struktur, enthalten einige Informationen zum Lebenslauf der Person, und geben die Arbeit des Ministerpr\u00e4sidenten in ausgew\u00e4hlten Artikeln wieder. Die meisten der Ministerpr\u00e4sidentenseiten geben dabei im Impressum klar zu erkennen, dass sie von einem CDU-Landesverband gef\u00fchrt werden und weisen auch in der Datenschutzerkl\u00e4rung darauf hin. Das ist legitim und auch so in Ordnung, die Teams, die die Webseiten der Ministerpr\u00e4sidenten aufgesetzt haben, waren fit &#8211; zumindest soweit ich beim ersten, schnellen Blick gesehen habe. Ein Blog-Leser hat mich nun darauf hingewiesen, einen Blick auf die Webseite von Mario Voigt zu werfen.<\/p>\n<h2>Die Webseite mario-voigt.com<\/h2>\n<p>Herr Voigt ist Ministerpr\u00e4sident des Bundeslands Th\u00fcringen. Hier h\u00e4tte ich erwartet, dass er zur Eigendarstellung eine Webseite der Staatskanzlei hat. Aber er hat seinen Webauftritt unter\u00a0<a href=\"https:\/\/www.mario-voigt.com\/\" target=\"_blank\" rel=\"noopener nofollow\">mario-voigt.com<\/a>, was auch legitim ist.<\/p>\n<p><a href=\"https:\/\/www.mario-voigt.com\/\" target=\"_blank\" rel=\"noopener nofollow\"><img loading=\"lazy\" decoding=\"async\" class=\"alignnone size-full wp-image-326433\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2026\/06\/Mario-Voigt.jpg\" alt=\"Mario Voigt\" width=\"640\" height=\"502\" srcset=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2026\/06\/Mario-Voigt.jpg 640w, https:\/\/borncity.com\/blog\/wp-content\/uploads\/2026\/06\/Mario-Voigt-300x235.jpg 300w\" sizes=\"auto, (max-width: 640px) 100vw, 640px\" \/><\/a><\/p>\n<p>Das Impressum gibt eine (Privat-) Adresse der Person Mario Voigt an. Das suggeriert, dass es sich um die Privatseite von Mario Voigt handeln k\u00f6nnte &#8211; auch wenn er die Th\u00fcringer und Th\u00fcringerinnen quasi als Ministerpr\u00e4sident begr\u00fc\u00dft. In der Datenschutzerkl\u00e4rung wird darauf hingewiesen, dass die Seite bei IONOS SE gehostet wird, und auch Mail- und Nameserver liegen dort. Der interessierte Leser wird dort \u00fcber die bei IONOS SE erfassten Daten, die Rechtsgrundlage nach DSGVO sowie seine Rechte informiert. Auch das ist alles in Ordnung und nicht zu beanstanden.<\/p>\n<h3>Pl\u00f6tzlich Inhalte anderer Seiten geladen<\/h3>\n<p>Wer die\u00a0Website <em>mario-voigt.com<\/em> allerdings aufruft, erlebt im Hintergrund mehr als erwartet, schrieb mir der Leser. Von den 37 erfolgreichen Requests, die der Browser beim Laden der Seite absetzt, landet kein einziger auf <em>mario-voigt.com<\/em> selbst \u2013 sondern auf <em>cdu-th.de<\/em>. Inhalte wie Bilder und Skripte kommen von dort, wie nachfolgender Screenshot aus der Entwicklerkonsole zeigt.<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"alignnone wp-image-326434\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2026\/06\/Mario-Voigt02.jpg\" alt=\"Mario Voigt Site-Struktur\" width=\"514\" height=\"337\" srcset=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2026\/06\/Mario-Voigt02.jpg 640w, https:\/\/borncity.com\/blog\/wp-content\/uploads\/2026\/06\/Mario-Voigt02-300x197.jpg 300w\" sizes=\"auto, (max-width: 514px) 100vw, 514px\" \/><\/p>\n<p>Mit anderen Worten: Der Internetauftritt wird hinter den Kulissen von der CDU Th\u00fcringen betrieben. Das ist zwar in Ordnung und inhaltlich sowie technisch nicht zu beanstanden. W\u00e4hrend andere Ministerpr\u00e4sidenten auf ihren pers\u00f6nlichen Seiten auf so etwas hinweisen und oft den CDU-Landesverband aus Betreiber angeben, bleibt dies auf obiger Webseite unerw\u00e4hnt bzw. wird sogar expressis verbis anders in der Datenschutzerkl\u00e4rung kommuniziert.<\/p>\n<h3>DNS-Records und Lookup angeschaut<\/h3>\n<p>Der Leser hat noch ein wenig gebohrt und schrieb: Whois best\u00e4tigt zun\u00e4chst, was die Datenschutzerkl\u00e4rung von <em>mario-voigt.com<\/em> behauptet: Registrar ist IONOS SE, auch Mail- und Nameserver liegen dort. Dann hat der Leser einen Blick auf <em>cdu-th.de<\/em> geworfen. Laut DENIC-Auskunft verwendet diese Domain einen Nameserver der Hetzner Online GmbH.<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"alignnone size-full wp-image-326435\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2026\/06\/Mario-Voigt03.jpg\" alt=\"Mario Voigt DNS-Eintr\u00e4ge\" width=\"640\" height=\"334\" srcset=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2026\/06\/Mario-Voigt03.jpg 640w, https:\/\/borncity.com\/blog\/wp-content\/uploads\/2026\/06\/Mario-Voigt03-300x157.jpg 300w\" sizes=\"auto, (max-width: 640px) 100vw, 640px\" \/><\/p>\n<p>Interessant wurde es dann bei der Inspektion des DNS-Eintrags von <em>mario-voigt.com<\/em> und <em>cdu-th.de (<\/em>genauer gesagt bei den A\/AAA-Records). Beide Domains, <em>mario-voigt.com<\/em> und <em>cdu-th.de<\/em>, zeigen auf dieselbe IPv4-Adresse: 78.46.125.4 (siehe obiger Screenshot). Eine IPv6-Adresse ist bei keiner Seite hinterlegt. Diese IP geh\u00f6rt zur AS-Range 78.46.0.0\/15, die dem autonomen System AS24940 zugeordnet ist (ebenfalls Hetzner, schrieb mir der Leser).<\/p>\n<p>Damit ist allerdings noch nicht bewiesen, dass Hetzner selbst als Hoster auftritt. Denkbar ist auch, dass ein Dienstleister dort einen Server angemietet hat oder physisch hostet.<\/p>\n<h3>Was sagen die Datenschutzerkl\u00e4rungen?<\/h3>\n<p>Die Seite <em>mario-voigt.com<\/em> patzt und nennt ausschlie\u00dflich IONOS SE als Hosting-Anbieter. Die Datenschutzerkl\u00e4rung beschreibt, dass IONOS Logfiles inklusive IP-Adressen beim Besuch der Website erfasst. Von Hetzner oder irgendeiner anderen Stelle liest man dort kein Wort.<\/p>\n<p>Die Webseite <em>cdu-th.de<\/em> ist da aufschlussreicher und nennt die New Definition GmbH aus Wiesbaden als Hoster. Augenscheinlich betreibt diese Agentur also einen Server bei Hetzner, auf dem beide Websites liegen, schrieb mir der Leser.<\/p>\n<p>Ein Blick auf die eigene Datenschutzerkl\u00e4rung von <em>newdefinition.de<\/em> ist umst\u00e4ndlich: Sie liegt nicht als HTML-, sondern als PDF-Datei vor. Hetzner wird dort ebenfalls nicht als Infrastrukturanbieter erw\u00e4hnt, was laut Leser nachvollziehbar ist. Eine Agentur, die im Kundenauftrag hostet, w\u00e4hlt die Infrastruktur oft projektspezifisch oder nach eigenen Pr\u00e4ferenzen. Offenbar hat die Agentur bereits Erfahrungen mit der Politik, schrieb der Leser. Unter dem Produkt NDPolitik bietet sie eine Komplettl\u00f6sung f\u00fcr Politiker und Parteien an.<\/p>\n<h3>Das betrifft das die DSGVO<\/h3>\n<p>An dieser Stelle ist m.E. unsauber gearbeitet worden und es l\u00e4uft auf DSGVO-Probleme hinaus. Nach Art. 13 DSGVO sind Websitebesucher dar\u00fcber zu informieren, welche Stellen ihre Daten verarbeiten. Die Seite <em>mario-voigt.com<\/em> nennt daf\u00fcr IONOS, verschweigt aber, dass die Inhalte von den Webseiten der Th\u00fcringer CDU stammen. Tats\u00e4chlich landet der Traffic beim Aufruf der Webseite bei einem Hetzner-Server, betrieben von der New Definition GmbH. Beide Anbieter tauchen in der Datenschutzerkl\u00e4rung der Webseite <em>mario-voigt.com <\/em>mit keinem Wort auf. Das ist keine kleine Schludrigkeit, und was \u00fcbersehen, sondern inhaltlich eine falsche Angabe.<\/p>\n<p>Dazu kommt m\u00f6glicherweise ein weiteres Problem. Die Datenschutzerkl\u00e4rung benennt einen Auftragsverarbeitungsvertrag (AVV) mit IONOS. Ein Vertrag, der sicherstellen soll, dass Daten nur nach Weisung und DSGVO-konform verarbeitet werden. Das klingt ordentlich, ist es aber nicht, merkt der Leser an. Denn IONOS verarbeitet schlicht keine Besucherdaten, weil dort der Server gar nicht steht. Der AVV l\u00e4uft also ins Leere.<\/p>\n<p>Mit der New Definition GmbH, die tats\u00e4chlich hostet, m\u00fcsste ein solcher Vertrag nach Art. 28 DSGVO zwingend geschlossen sein \u2013 ob das intern existiert, l\u00e4sst sich von au\u00dfen nicht pr\u00fcfen. Und Hetzner als Infrastrukturanbieter im Hintergrund? Ebenfalls unerw\u00e4hnt und vertraglich ungekl\u00e4rt, zumindest nach au\u00dfen hin.<\/p>\n<p>Am Ende l\u00e4uft das auf einen Versto\u00df gegen Art. 5 Abs. 1 lit. a DSGVO hinaus: den Transparenzgrundsatz. Eine Datenschutzerkl\u00e4rung, die den falschen Hoster nennt und den richtigen verschweigt, erf\u00fcllt ihren gesetzlichen Zweck nicht, argumentiert der Leser.<\/p>\n<p>Ich werde den oder die Websitebetreiber freundlich auf die Unvollst\u00e4ndigkeit hinweisen, damit das geheilt wird. Sollte keine Reaktion erfolgen, \u00fcberlegen der Leser und ich, Beschwerde beim Th\u00fcringer Landesbeauftragten f\u00fcr den Datenschutz (TLfDI) einzureichen. Denn es ist immerhin die Webseite des Ministerpr\u00e4sidenten des Bundeslandes Th\u00fcringen, der das Ganze gem\u00e4\u00df Impressum betreibt.<\/p>\n<p><strong>Anmerkung:<\/strong> Ich hatte mit dem Leser diskutiert und einen Politologen involviert, ob wir das nicht einfach auf sich beruhen lassen sollen. Tenor war: Es fehlt im betreffenden Team einfach die Medienkompetenz. Daher sollte das Problem dokumentiert und zur Korrektur eingereicht werden. Denn es l\u00e4sst sich ja mit einer \u00c4nderung der Datenschutzerkl\u00e4rung heilen.<\/p>\n<h2>Der Fehler wurde zeitnah korrigiert<\/h2>\n<p><strong>Erg\u00e4nzung:<\/strong> Ich habe den oben beschriebenen Fehler am 16. Juni 2026 formlos an die im Impressum angegebene E-Mail-Adresse gemeldet. Der Fehler wurde zeitnah korrigiert, denn am 17. Juni 2026 erreichte mich von der CDU Landesgesch\u00e4ftsstelle die folgende R\u00fcckmeldung:<\/p>\n<blockquote><p>haben Sie vielen Dank f\u00fcr Ihren aufmerksamen und sachlichen Hinweis. Sie haben v\u00f6llig recht und wir nehmen das sehr ernst.<br \/>\nDer Hintergrund: Wir haben die Seite vor einigen Monaten technisch umgestellt und dabei sind an dieser Stelle offenkundig die alten Texte einfach mitkopiert worden. Die Datenschutzerkl\u00e4rung war damit tats\u00e4chlich nicht aktuell. Das war ein Fehler auf unserer Seite, das darf nat\u00fcrlich nicht passieren.<br \/>\nWir haben Impressum und Datenschutzerkl\u00e4rung inzwischen \u00fcberarbeitet und an das tats\u00e4chliche Setup angepasst, insbesondere mit Blick auf das Hosting und die beteiligten Dienstleister. Wir hoffen, dass nun alles stimmig ist.<br \/>\nSollte Ihnen dennoch etwas auffallen, sprechen wir gerne auch pers\u00f6nlich mit Ihnen. F\u00fcr Ihren Hinweis sind wir Ihnen ausdr\u00fccklich dankbar.<\/p><\/blockquote>\n<p>Das ist doch mal eine positive Meldung, es wurde z\u00fcgig korrigiert, und gut ist. So sollte es laufen, denn Fehler k\u00f6nnen immer passieren.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Heute noch ein kleines Beispiel zu Abh\u00e4ngigkeiten bei an Dienstleister ausgelagerten Aufgaben und wie das schief gehen kann. Der Ministerpr\u00e4sident von Th\u00fcringen betreibt eine Webseite unter eigenem Namen, mit ausf\u00fchrlicher Datenschutzerkl\u00e4rung. Kann man als pers\u00f6nliche Homepage interpretieren. Problematisch wird es, &hellip; <a href=\"https:\/\/borncity.com\/blog\/2026\/06\/16\/abhaengigkeiten-fails-bei-der-webseite-von-mario-vogt\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[908],"tags":[6932,4338,15607],"class_list":["post-326371","post","type-post","status-publish","format-standard","hentry","category-internet","tag-dsgvo","tag-internet","tag-webseiten"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/326371","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=326371"}],"version-history":[{"count":10,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/326371\/revisions"}],"predecessor-version":[{"id":326561,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/326371\/revisions\/326561"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=326371"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=326371"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=326371"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}