Hey @Silvio Kumpert Ich habe mir deine Seite technisch angeschaut, und da sind ein paar Dinge drin, die ich nicht als Kleinkram sehen würde: Google Maps wird offenbar direkt ohne Consent geladen. Das ist DSGVO-seitig ein echtes Problem, weil dabei schon beim Seitenaufruf Daten an Google gehen können. Dazu kommt: In der Datenschutzerklärung steht Calendly, der Buchungslink geht aber zu Cal.com. Das wirkt nicht sauber gepflegt und kann Vertrauen kosten. Security-seitig fehlen außerdem CSP und HSTS. CSP ist gerade gegen XSS/Injection-Themen wichtig, HSTS sorgt dafür, dass HTTPS konsequent erzwungen wird. Wenn man mit Kundendaten, Formularen oder DSGVO-Argumenten arbeitet, sollte sowas nicht fehlen. Auch das Kontaktformular würde ich mir nochmal anschauen. Kein sichtbarer CSRF-Schutz, dangerouslySetInnerHTML im Code und API-Routen per robots.txt zu „verstecken“ ist eher Security-by-obscurity als echte Absicherung. Positiv: kein GA/Meta-Pixel, Hosting bei Hetzner, keine externen Google Fonts, Honeypot im Formular. Aber unterm Strich: Gerade wenn man Qualität oder DSGVO-Konformität als Argument nutzt, muss die eigene Seite technisch sauberer sein. Sicherheit geht vor Vibe. Immer. 😊