Website DSGVO-konform machen: Die 5 häufigsten Fehler beheben
Was über 2,9 Mio. Audits über die häufigsten DSGVO-Fehler verraten – und wie Sie sie beheben
Fast jede dritte geprüfte Website zeigt schwerwiegende Datenschutz-Auffälligkeiten. In über 2,9 Mio. automatisierten Audits (Stand: Mai 2026) haben wir die häufigsten DSGVO-Verstöße identifiziert – von Tracking ohne Einwilligung bis zu externen Schriftarten, die IP-Adressen an US-Server übermitteln. Die gute Nachricht: Die meisten lassen sich schnell beheben.
Unsere Audits prüfen Websites mit einem Google Chrome Browser in einer Smartphone-Variante: Wir rufen die Seite auf, interagieren mit dem Cookie-Banner und analysieren, welche Daten übertragen werden. Das Ergebnis: ein klares Bild – mit wiederkehrenden Mustern.
Häufige Fragen zu Website
Was sind die häufigsten DSGVO-Fehler auf Websites?
Die häufigsten DSGVO-Fehler: Tracking ohne Einwilligung (knapp jede dritte Website), extern geladene Google Fonts, fehlende oder fehlerhafte Cookie-Banner, unverschlüsselte Formulare und fehlende Datenschutzerklärung – das sind die Top 5 aus unseren Audits.
→ Mehr dazuWelche Strafen drohen bei DSGVO-Verstößen?
Bußgelder bis zu 20 Mio. € oder 4 % des weltweiten Jahresumsatzes. Zusätzlich drohen Abmahnungen durch Wettbewerber und Verbraucherschutzverbände – bereits ab dem ersten nachweisbaren Verstoß.
Wie kann ich Datenschutz-Verstöße vermeiden?
Drei Sofortmaßnahmen: 1) Cookie-Banner korrekt konfigurieren, 2) Google Fonts lokal hosten, 3) alle Formulare auf HTTPS umstellen. Ein automatisierter Audit zeigt, ob Ihre Website DSGVO-konform ist und deckt die häufigsten Probleme in Minuten auf – und zeigt, wie Sie DSGVO-Verstöße vermeiden. Bei Unsicherheiten hilft Ihr Datenschutzbeauftragter bei der rechtlichen Einordnung.
→ Mehr dazuWas zählt als DSGVO-Verstoß?
Ein DSGVO-Verstoß liegt vor, wenn ein Unternehmen die Vorgaben der Datenschutz-Grundverordnung nicht einhält. Klingt nach einem Problem für Konzerne? Ist es nicht. Die DSGVO gilt für jedes Unternehmen, das personenbezogene Daten verarbeitet – auch für den regionalen Handwerksbetrieb mit eigener Website.
Die häufigsten Datenschutz-Verstöße auf Websites entstehen bei der Verarbeitung personenbezogener Daten ohne Rechtsgrundlage. Dazu gehören personenbezogene Daten wie IP-Adressen, Cookie-Kennungen und Geräteinformationen. Sobald ein Tracking-Tool oder ein eingebetteter Inhalt solche Daten über Cookies oder andere Mechanismen erhebt, greifen die Vorgaben der DSGVO und des BDSG (Bundesdatenschutzgesetz).
Ergänzend zur DSGVO regelt das TDDDG (§ 25) den Zugriff auf Endeinrichtungen – etwa das Setzen von Cookies, aber auch das Auslesen von Details aus dem Endgerät für Statistiken. Unternehmen müssen sicherstellen, dass ihre Website datenschutzkonform ist und beide Regelwerke einhält: die DSGVO für die Datenverarbeitung und das TDDDG für den Zugriff auf das Endgerät.
Wichtig: Dieser Artikel ersetzt keine Rechtsberatung. Im Zweifel sollten Sie Ihren Datenschutzbeauftragten oder einen spezialisierten Berater hinzuziehen. Was wir liefern: eine datenbasierte Analyse, die zeigt, wo die häufigsten Probleme liegen – damit Sie wissen, wo Sie hinschauen müssen.
Das Gesamtbild: So steht es um den Datenschutz*
Wie sieht die Lage also wirklich aus? Wie viele Websites sind wirklich DSGVO-konform? Wir haben die Zahlen.
| Privacy-Bewertung | Websites | Anteil |
|---|---|---|
| Grün – keine Mängel | 1.533.707 | 51,4 % |
| Grün-Orange – geringe Mängel | 141.689 | 4,7 % |
| Orange – Handlungsbedarf erkannt | 415.806 | 13,9 % |
| Rot – dringender Handlungsbedarf | 894.844 | 30,0 % |
Über die Hälfte aller Websites zeigt in unseren Audits keine datenschutzrelevanten Mängel.*
Über die Hälfte der Websites (51,4 %) besteht unseren Datenschutz-Check ohne Beanstandungen. Darunter befinden sich zahlreiche Websites, die keinerlei einwilligungspflichtige Dienste verwenden und keine externen Dienste einbinden – die stehen automatisch sauber da. Aber fast jede dritte Website (30,0 %) zeigt schwerwiegende Mängel – Tracking ohne Consent, ungeschützte Datenübertragungen an Dritte oder die fehlende Abfrage nach einem Consent für zustimmungspflichtige Dienste.
Hinweis zur Methodik: Alle Zahlen basieren auf dem aktuellen Stand unserer automatisierten Erkennung. Unsere Prüfverfahren werden kontinuierlich weiterentwickelt – Ergebnisse und Schlussfolgerungen können sich bei verbesserten Erkennungsmethoden jederzeit ändern. Unsere Analyse ist keine Rechtsberatung – bei konkreten Fragen wenden Sie sich an Ihren Datenschutzbeauftragten.
Verstoß 1: Tracking ohne Einwilligung – der häufigste Datenschutz-Fehler
Der häufigste und zugleich schwerwiegendste Verstoß: Tracking-Dienste laden und setzen Cookies, bevor der Nutzer zugestimmt hat – oder obwohl er abgelehnt hat. Bei über 850.000 Websites hat unser Audit genau dieses Problem festgestellt. Betroffen sind vor allem die Tools Google Tag Manager, Google Analytics, Google Ads und Facebook Pixel.
Erstaunlicherweise sind auch diverse Websites darunter, die das vermeintlich datenschutzkonforme Analytics-Tool Matomo einsetzen. Hier wird häufig gegen die Anforderungen aus dem TDDDG verstoßen, die seit Dezember 2021 gelten. Meist sind die Betreiber vollkommen überrascht, dass sie einen Datenschutzverstoß haben. Sie setzen Matomo ein? Dann starten Sie ganz schnell unser kostenloses Audit.
Ohne Einwilligung dürfen keine nicht-essenziellen Cookies gesetzt und keine Informationen vom Endgerät des Nutzers ausgelesen werden (§ 25 TDDDG, Art. 6 Abs. 1 DSGVO). Dieser DSGVO-Verstoß betrifft die unrechtmäßige Verarbeitung personenbezogener Daten – häufig ohne dass Betreiber es bemerken. Welche Dienste am häufigsten betroffen sind, zeigt unsere detaillierte Analyse: Tracking ohne Einwilligung – Was unsere Audits aufdecken.
Verstoß 2: Google Fonts extern geladen
Google Fonts ist auf über 643.715 der geprüften Websites im Einsatz. Bei 35,4 % davon stufen unsere Audits den Datenschutz als problematisch ein. Der Grund: Beim Laden von fonts.googleapis.com werden personenbezogene Daten wie die IP-Adresse des Nutzers an Google-Server übermittelt – eine Datenübermittlung in ein Drittland ohne Rechtsgrundlage.
Das Landgericht München hat bereits 2022 entschieden, dass die dynamische Einbindung von Google Fonts ohne Einwilligung einen Datenschutzverstoß darstellt (LG München I, Urteil vom 20.01.2022, Az. 3 O 17493/20).
Und ja – dieses Urteil wird gerne zitiert, um die Dringlichkeit zu betonen. Es ging dabei aber nur um eine einzelne Website, und es gibt – soweit wir wissen – keine höchstrichterliche Entscheidung hierzu. Der Konsens unter Datenschutzbeauftragten zielt allerdings klar in dieselbe Richtung. Aber ganz ehrlich? Es ist so einfach, dieses Risiko loszuwerden.
Lösung: Google Fonts lokal hosten. Schriftdateien herunterladen und vom eigenen Server ausliefern. Damit entfällt die Datenübertragung vollständig.
Verstoß 5: YouTube und Google Maps ohne Consent
Videos einbetten klingt harmlos – ist es aber nicht. Eingebettete Inhalte werden oft übersehen: YouTube-Videos (auf über 95.000 Websites mit Datenschutz-Verstößen) und Google reCAPTCHA (über 65.000 Sites) laden Drittanbieter-Scripts und setzen Cookies – auch ohne Einwilligung.
Lösungen:
- YouTube: Datenschutzmodus verwenden (
youtube-nocookie.com) oder Zwei-Klick-Lösung einsetzen (Vorschaubild mit Hinweis, Video erst nach Klick laden). - Google Maps: Statische Karte als Vorschau zeigen, interaktive Karte erst nach Einwilligung laden.
- reCAPTCHA: Alternativen wie hCaptcha, Friendly Captcha oder Open-Source-Lösungen wie ALTCHA prüfen, die Sie selbst hosten können.
Datenschutz-Score: So verteilen sich die Websites*
| Score-Bereich | Websites | Einordnung |
|---|---|---|
| 80–100 | 1.675.397 | Sehr gut – kaum oder keine Mängel |
| 60–79 | 415.807 | Gut – einzelne Verbesserungspotenziale |
| 40–59 | 368.789 | Verbesserungsbedarf – mehrere Auffälligkeiten |
| 20–39 | 57.363 | Schlecht – deutliche Verstöße |
| 0–19 | 468.694 | Kritisch – schwerwiegende Datenschutzmängel |
Die Verteilung ist stark polarisiert – die meisten Websites zeigen entweder sehr gute oder sehr schlechte Ergebnisse.
56,1 % der Websites erreichen einen Datenschutz-Score von 80 oder höher. Aber über 468.694 Websites landen im kritischen Bereich unter 20 Punkten – hier fehlt in der Regel ein funktionierendes Consent-System bei gleichzeitig aktivem Tracking ohne Einwilligungsabfrage.
Welche Bußgelder drohen bei Datenschutz-Verstößen?
DSGVO-Verstöße können teuer werden. Sehr teuer. Die Verordnung sieht Bußgelder von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes vor – je nachdem, welcher Betrag höher ist. Auch das BDSG enthält eigene Bußgeldvorschriften für Datenschutz-Verstöße in Deutschland.
In der Praxis haben europäische Datenschutzbehörden bereits Bußgelder in Milliardenhöhe verhängt. Allein 2023 und 2024 summierten sich die DSGVO-Bußgelder auf mehrere Hundert Millionen Euro. Betroffen waren Unternehmen aller Größen – vom internationalen Technologiekonzern bis zum regionalen Online-Shop.
Typische Bußgeld-Auslöser bei Websites:
- Tracking ohne Einwilligung: Verarbeitung personenbezogener Daten durch Analytics- oder Werbedienste ohne gültige Rechtsgrundlage
- Fehlende Datenschutzerklärung: Unternehmen müssen in einer vollständigen Datenschutzerklärung transparent darlegen, welche Daten sie verarbeiten und warum
- Drittlandtransfer ohne Absicherung: Übermittlung personenbezogener Daten an Server außerhalb der EU ohne geeignete Garantien
- Fehlende oder unwirksame Einwilligung: Cookie-Banner, die nicht den DSGVO-Vorgaben entsprechen
Neben Bußgeldern drohen Abmahnungen durch Wettbewerber oder Verbraucherschutzverbände. Auch betroffene Personen – also die Besucher Ihrer Website – können Auskunfts- und Löschungsansprüche geltend machen. DSGVO-konform zu agieren ist nicht nur rechtlich geboten – es schützt auch vor finanziellen Risiken.
DSGVO-Verstöße vermeiden: Was Betreiber jetzt tun sollten
Die gute Nachricht: Mit wenigen gezielten Maßnahmen wird Ihre Website DSGVO-konform – die häufigsten Fehler lassen sich schnell beheben.
- Kostenlos prüfen: Unseren Audit starten – Sie sehen in Sekunden, wie Ihre Website abschneidet.
- Cookie-Banner prüfen: Haben Sie ein Cookie Banner? Bietet es eine gleichwertige Möglichkeit, Cookies abzulehnen? Wie schneiden die beliebtesten Cookie-Banner ab?
- Google Fonts lokal hosten: Der einfachste Fix mit sofortiger Wirkung.
- Tag Manager aufräumen: Alle Tags und Marketing-Tools an Consent-Trigger binden, Consent Mode v2 aktivieren.
- Eingebettete Inhalte und Kontaktformulare prüfen: YouTube, Maps, reCAPTCHA und Kontaktformulare – alle brauchen eine datenschutzkonforme Integration.
- Regelmäßig testen: Nach jedem Update erneut prüfen – neue Plugins können das Setup brechen.
- Datenschutzbeauftragten einbinden: Besprechen Sie die Ergebnisse mit Ihrem DSB oder einem externen Datenschutzberater. Unsere Audits liefern die Fakten – die rechtliche Einordnung gehört in Expertenhand.
Quellen und Methodik
- Alle Zahlen basieren auf exatics-Audits deutscher Websites (Stand: Mai 2026, über 2,9 Mio. Bewertungen)
- Prüfung durch automatisierte Chromium-Browser mit echtem Banner-Klick (Ablehnung, wo möglich)
- Privacy-Score: 0–100, basierend auf Cookies, Tracking-Tools, Datenübertragungen und Cookie-Banner-Qualität
- LG München I: Google Fonts Urteil (20.01.2022)
- exatics: Tracking ohne Einwilligung
- exatics: Cookie-Banner-Vergleich
- exatics: Dark Patterns in Cookie-Bannern
Weiterführende Artikel
- Welche Consent-Tools nutzt Deutschland?
- Ist Ihr Cookie-Banner wirklich korrekt eingerichtet?
- Google Analytics und der Consent Mode
- Adblocker und Analytics: Warum Besucher unsichtbar sind
- Was ist exatics Audit? – Alle Prüfkategorien
* Aufgrund einer notwendigen Änderung in den Bewertungen verschiedener Services und der Korrektur von Bewertungen für die Effizienz von Consent-Bannern haben sich unsere Ratings korrigiert.
Vertiefende Fragen zu Website
Haftet der Website-Betreiber oder der Cookie-Banner-Anbieter?
Der Website-Betreiber haftet als Verantwortlicher im Sinne der DSGVO. Auch wenn der Cookie-Banner-Anbieter einen Fehler verursacht, bleibt die datenschutzrechtliche Verantwortung beim Betreiber – regelmäßige Prüfung ist daher Pflicht.
Sind Google Fonts wirklich ein Datenschutz-Problem?
Ja – wenn sie extern von Google-Servern geladen werden. Dabei wird die IP-Adresse des Besuchers an Google in die USA übermittelt, was ohne Einwilligung einen Verstoß gegen die DSGVO darstellt. Die Lösung ist einfach: Schriftarten herunterladen und vom eigenen Server ausliefern. Damit entfällt die Datenübertragung vollständig.
Muss ich ein Cookie-Banner haben, auch wenn ich keine Cookies setze?
Nicht zwingend. Wenn Ihre Website keine Cookies setzt und keine einwilligungspflichtigen Drittanbieterdienste lädt, brauchen Sie kein Cookie-Banner. Sobald aber ein externer Dienst wie Google Maps, YouTube oder ein Analytics-Tool eingebunden ist, wird in der Regel eine Einwilligung benötigt – und damit ein funktionierendes Consent-System.