Häufigste Datenschutz-Verstöße auf deutschen Websites
Jede fünfte deutsche Website hat schwerwiegende Datenschutz-Mängel. In über 173.000 automatisierten Audits (Stand: März 2026) haben wir die häufigsten Verstöße identifiziert — von Tracking ohne Einwilligung bis zu externen Schriftarten, die IP-Adressen an US-Server übermitteln.
Unsere Audits prüfen Websites mit einem echten Chromium-Browser: Wir rufen die Seite auf, interagieren mit dem Cookie-Banner und analysieren, welche Daten übertragen werden. Die Ergebnisse zeigen ein klares Bild — und wiederkehrende Muster.
Das Gesamtbild: So steht es um den Datenschutz
| Privacy-Bewertung | Websites | Anteil |
|---|---|---|
| Grün — keine Mängel | 84.037 | 48,6 % |
| Grün-Orange — geringe Mängel | 38.268 | 22,1 % |
| Orange — Verbesserungspotenzial | 16.867 | 9,7 % |
| Rot — schwerwiegende Mängel | 33.864 | 19,6 % |
Knapp die Hälfte aller Websites besteht den Datenschutz-Check — aber jede fünfte hat schwerwiegende Mängel.
Knapp die Hälfte der Websites (48,6 %) besteht unseren Datenschutz-Check ohne Beanstandungen. Aber jede fünfte Website (19,6 %) zeigt schwerwiegende Mängel — Tracking ohne Consent, ungeschützte Datenübertragungen an Dritte oder fehlende CMP-Funktionalität.
Verstoß 1: Tracking ohne Einwilligung
Der häufigste und schwerwiegendste Verstoß: Tracking-Dienste laden, bevor der Nutzer zugestimmt hat — oder obwohl er abgelehnt hat. Bei über 37.000 Websites hat unser Audit dieses Problem festgestellt.
| Dienst | Auf rot-bewerteten Sites | Problem |
|---|---|---|
| Google Tag Manager | 23.096 | Lädt Tags ohne Consent-Prüfung |
| Google Analytics | 21.815 | Datenerfassung vor Einwilligung |
| Google Ads | 13.090 | Conversion-Tracking ohne Consent |
| Facebook Pixel | 7.290 | Nutzerdaten an Meta übermittelt |
| Matomo | 6.744 | Oft mit Cookies, aber ohne CMP-Einbindung |
Rechtliche Grundlage: Ohne Einwilligung dürfen keine nicht-essenziellen Cookies gesetzt und keine Informationen vom Endgerät des Nutzers ausgelesen werden (§ 25 TDDDG, Art. 6 Abs. 1 DSGVO).
Mehr dazu in unserem Artikel: Tracking ohne Einwilligung — Was unsere Audits aufdecken
Verstoß 2: Google Fonts extern geladen
Google Fonts ist auf über 25.728 der geprüften Websites im Einsatz. Bei 40,3 % davon stufen unsere Audits die Privacy als problematisch ein. Der Grund: Beim Laden von fonts.googleapis.com wird die IP-Adresse des Nutzers an Google-Server übermittelt — eine personenbezogene Datenübermittlung in ein Drittland ohne Rechtsgrundlage.
Das Landgericht München hat bereits 2022 entschieden, dass die dynamische Einbindung von Google Fonts ohne Einwilligung einen Datenschutzverstoß darstellt (LG München I, Urteil vom 20.01.2022, Az. 3 O 17493/20).
Lösung: Google Fonts lokal hosten. Schriftdateien herunterladen und vom eigenen Server ausliefern. Damit entfällt die Datenübertragung vollständig.
Verstoß 3: Cookie-Banner ohne Ablehnmöglichkeit
Bei über 6.000 Websites bietet das Cookie-Banner keine gleichwertige Möglichkeit, Cookies abzulehnen. Typische Muster:
- Nur „Akzeptieren": Der Banner hat keinen „Ablehnen"-Button — der Nutzer muss sich durch mehrere Menüebenen klicken.
- Ablehnung versteckt: „Alle akzeptieren" ist prominent, „Einstellungen verwalten" ist klein und unauffällig.
- Vorab angekreuzte Checkboxen: Kategorien sind standardmäßig aktiviert — der Nutzer muss aktiv deaktivieren.
Diese Praktiken sind sogenannte Dark Patterns — Designentscheidungen, die Nutzer zur Zustimmung drängen. Sie verstoßen gegen die Anforderung der informierten, freiwilligen Einwilligung nach Art. 7 DSGVO.
Verstoß 4: Kein Cookie-Banner trotz Tracking
Bei über 50.000 Websites konnte unser Audit kein funktionierendes Cookie-Banner erkennen (CMP-Status: „disabled"). Das muss nicht immer ein Verstoß sein — wenn die Website keine Cookies setzt und keine Drittanbieterdienste lädt, ist kein Banner nötig.
Aber: Viele dieser Websites setzen trotzdem Tracking-Dienste ein. Wer Google Analytics, Facebook Pixel oder andere einwilligungspflichtige Dienste nutzt, braucht ein funktionierendes CMP.
Verstoß 5: YouTube und Google Maps ohne Consent
Eingebettete Inhalte werden oft übersehen: YouTube-Videos (auf über 4.800 rot-bewerteten Sites) und Google reCAPTCHA (über 3.000 Sites) laden Drittanbieter-Scripts und setzen Cookies — auch ohne Einwilligung.
Lösungen:
- YouTube: Datenschutzmodus verwenden (
youtube-nocookie.com) oder Zwei-Klick-Lösung einsetzen (Vorschaubild mit Hinweis, Video erst nach Klick laden). - Google Maps: Statische Karte als Vorschau zeigen, interaktive Karte erst nach Einwilligung laden.
- reCAPTCHA: Alternativen wie hCaptcha oder Friendly Captcha prüfen, die ohne Drittland-Datenübertragung auskommen.
Privacy-Score: So verteilen sich die Websites
| Score-Bereich | Websites | Einordnung |
|---|---|---|
| 80–100 | 122.305 | Sehr gut — kaum oder keine Mängel |
| 60–79 | 8.801 | Gut — einzelne Verbesserungspotenziale |
| 40–59 | 8.066 | Mäßig — mehrere Probleme |
| 20–39 | 7.372 | Schlecht — deutliche Verstöße |
| 0–19 | 26.492 | Kritisch — schwerwiegende Datenschutzmängel |
Die Verteilung ist stark polarisiert: Der Großteil schneidet sehr gut ab — oder fällt komplett durch.
70,7 % der Websites erreichen einen Privacy-Score von 80 oder höher. Aber über 26.492 Websites landen im kritischen Bereich unter 20 Punkten — hier fehlt in der Regel ein funktionierendes CMP bei gleichzeitig aktivem Tracking.
Was Websitebetreiber jetzt tun sollten
- Kostenlos prüfen: Unseren Audit starten — Sie sehen in Sekunden, wie Ihre Website abschneidet.
- CMP prüfen: Haben Sie ein Cookie-Banner? Bietet es eine gleichwertige Ablehnoption? Wie schneiden die Top-CMPs ab?
- Google Fonts lokal hosten: Der einfachste Fix mit sofortiger Wirkung.
- Tag Manager aufräumen: Alle Tags an Consent-Trigger binden, Consent Mode v2 aktivieren.
- Eingebettete Inhalte prüfen: YouTube, Maps, reCAPTCHA — alle brauchen Consent-Integration.
- Regelmäßig testen: Nach jedem Update erneut prüfen — neue Plugins können das Setup brechen.
Quellen und Methodik
- Alle Zahlen basieren auf exatics-Audits deutscher Websites (Stand: Februar 2026, 187.331 Bewertungen)
- Prüfung durch automatisierte Chromium-Browser mit echtem Banner-Klick (Ablehnung, wo möglich)
- Privacy-Score: 0–100, basierend auf Cookies, Tracking, Datenübertragungen und CMP-Qualität
- LG München I: Google Fonts Urteil (20.01.2022)
- exatics: Tracking ohne Einwilligung
- exatics: Cookie-Banner-Vergleich
- exatics: Dark Patterns in Cookie-Bannern