Anmelden

Website auf Datenschutz prüfen – So geht es richtig

9 Kategorien, echte Daten, konkrete Ergebnisse

Wie steht es wirklich um den Datenschutz auf Ihrer Website? Wir haben über 2,3 Mio. Websites automatisiert geprüft. Das Ergebnis ist ernüchternd: Die Mehrheit hat messbare Datenschutzprobleme. Cookie-Banner, die nicht funktionieren. Tracking, das vor der Einwilligung läuft. Externe Dienste, die niemand auf dem Schirm hatte. Das sind keine Einzelfälle – das ist der Normalzustand auf deutschen Websites.

Die gute Nachricht: Die meisten dieser Probleme sind eindeutig gegen die DSGVO – und lassen sich mit dem richtigen Vorgehen finden und beheben. Vorausgesetzt, Sie wissen, wo Sie suchen müssen. Genau das zeigt dieser Ratgeber – systematisch, in neun Prüfkategorien, mit konkreten Handlungsempfehlungen.

Erleichterte Frau am Schreibtisch nach erfolgreichem Website-Datenschutz-Check

Hinweis: Die folgenden Ausführungen basieren auf unserer technischen Analyse von über 2,3 Mio. Websites und stellen keine Rechtsberatung dar. Für die rechtliche Bewertung konsultieren Sie bitte Ihren Datenschutzbeauftragten.

Häufige Fragen zu Website auf Datenschutz

Wie kann ich meine Website auf Datenschutz prüfen?

Am einfachsten starten Sie mit den Browser-Entwicklertools: Öffnen Sie Ihre Website im Inkognito-Modus, drücken Sie F12 und prüfen Sie im Netzwerk-Tab, welche externen Verbindungen vor der Cookie-Zustimmung aufgebaut werden. Für eine vollständige Prüfung aller neun Audit-Kategorien empfiehlt sich ein automatisierter Check, der auch dynamisch geladene Scripts und zeitversetztes Tracking erkennt.

Welche Bereiche umfasst ein DSGVO-Check für Websites?

Ein umfassender DSGVO-Check prüft neun Bereiche: Cookie-Banner und Consent-Verwaltung, Tracking und Analytics, externe Dienste und Drittanbieter, HTTPS und Verschlüsselung, Datenschutzerklärung, Impressum, Sicherheits-Header, Datenqualität der Webanalyse und Nachhaltigkeit bzw. Seitengewicht. Erst die Kombination aller Bereiche ergibt ein vollständiges Bild.

Wie oft sollte ich meine Website auf DSGVO-Konformität prüfen?

Mindestens vierteljährlich – und zusätzlich nach jeder größeren Änderung an CMS, Theme oder Plugins. Plugin-Updates, neue Marketing-Tools oder CMS-Aktualisierungen können Datenschutz-Einstellungen unbemerkt verändern. Ein kontinuierliches Monitoring erkennt solche Veränderungen automatisch.

Warum ein Datenschutz-Check mehr als eine Pflichtübung ist

Viele Webseitenbetreiber glauben, mit einem Cookie-Banner sei das Thema Datenschutz erledigt. Wäre schön – ist es aber nicht.

Ein Cookie-Banner ist nur die sichtbare Oberfläche. Darunter lauern Dutzende potenzielle Verstöße: externe Schriftarten, die IP-Adressen übertragen. Tracking-Pixel, die vor der Einwilligung feuern. Fehlende Sicherheits-Header, die das Angriffsrisiko deutlich erhöhen. Das ist wie eine Haustür mit Schloss, während das Kellerfenster offen steht.

Fakt ist: Ein DSGVO-Verstoß kann teuer werden – und das nicht nur durch Bußgelder. Abmahnungen, Vertrauensverlust bei Nutzern und negative Auswirkungen auf die Suchmaschinenoptimierung kommen obendrauf. Wer seine Website systematisch prüft, schützt sich gleich auf mehreren Ebenen.

Die 9 Kategorien eines umfassenden Datenschutz-Audits

Ein seriöser DSGVO-Check deckt nicht nur Cookies ab, sondern prüft Ihre Website in allen datenschutzrechtlich relevanten Bereichen. Wir haben diese Bereiche in neun Audit-Kategorien strukturiert – von der Consent-Verwaltung bis zur Nachhaltigkeit.

1. Cookie-Banner und Consent-Verwaltung

Das Cookie-Banner – oder genauer: die Consent-Management-Plattform (CMP) dahinter – ist die erste Verteidigungslinie. Aber funktioniert Ihre tatsächlich? Unsere Audits zeigen: Bei 94,6 % aller geprüften Cookie-Banner gibt es mindestens ein Problem – von falsch gesetzten Cookies bis zu manipulativer Nutzerführung. Die häufigsten Mängel:

  • Tracking vor Einwilligung – 17,1 % der CMPs lassen Dienste laufen, bevor der Nutzer zugestimmt hat
  • Dark Patterns – Manipulative Gestaltung, die Nutzer zur Zustimmung drängt
  • Fehlendes Banner – 23,2 % der Websites, die eines bräuchten, haben keines

2. Tracking und Analytics

Webanalyse ist kein Datenschutzproblem – falsch eingesetzte Webanalyse schon. Google Analytics läuft auf 10,9 % der geprüften Websites. Davon senden 59,4 % Daten an Google, noch bevor der Nutzer eingewilligt hat. Das ist häufig rechtlich problematisch und sollte in der Regel erst nach Einwilligung ausgelöst werden (Details hängen von Zweck, Rechtsgrundlage und Konfiguration ab) – und es verfälscht zusätzlich die eigenen Daten. Wer datenschutzfreundliche Alternativen sucht, findet sie bei Matomo, Plausible oder etracker.

3. Externe Dienste und Drittanbieter

Jeder externe Dienst auf Ihrer Website ist eine potenzielle Datenübertragung. Google Fonts, Google Maps, YouTube-Videos, Social-Media-Plugins – sie alle übertragen IP-Adressen und oft mehr. Allein Google Fonts haben wir auf 462.475 Websites gefunden (19,6 %). Und irgendeinen Google-Dienst nutzen 33,9 % aller geprüften Websites.

4. Verschlüsselung und HTTPS

HTTPS ist heute praktisch De-facto-Standard – 98,3 % der von uns geprüften Websites nutzen es. Aber HTTPS allein reicht nicht. Ohne HSTS ist insbesondere der erste Besuch (z. B. über http:// oder unverschlüsselte Links) anfällig für Downgrade-Angriffe; HSTS reduziert dieses Risiko deutlich. Nur 15,7 % der Websites setzen HSTS ein. Und eine Content-Security-Policy, die vor eingeschleusten Scripts schützt? Gerade einmal 6,4 %.

5. Datenschutzerklärung

Klingt trivial, ist es aber nicht: Die Datenschutzerklärung muss vollständig sein und alle tatsächlich eingesetzten Dienste nennen. Wer Google Analytics einsetzt, aber nur Matomo in der Datenschutzerklärung erwähnt, hat ein Problem. Prüfen Sie, ob Ihre Datenschutzbestimmungen zur technischen Realität passen – nicht umgekehrt. Mit einem exatics Audit haben Sie alle Fakten an der Hand: Welche Dienste tatsächlich laden, welche Cookies gesetzt werden, welche Daten wohin fließen. Damit kann Ihr Datenschutzbeauftragter die Erklärung perfekt ausarbeiten.

6. Impressum und rechtliche Pflichtangaben

Das Impressum ist nach § 5 DDG Pflicht für geschäftsmäßige Websites. Fehlende oder unvollständige Angaben sind ein eigener Abmahngrund – unabhängig vom Datenschutz. Ein oft übersehener Punkt: Das Impressum sollte von jeder Unterseite leicht und unmittelbar erreichbar sein – in der Praxis meist mit maximal zwei Klicks.

7. Sicherheits-Header

HTTP-Sicherheits-Header schützen Ihre Besucher vor Angriffen wie Cross-Site-Scripting oder Clickjacking. Sie kosten nichts, brauchen keine Einwilligung und verbessern Ihre Sicherheitsbewertung messbar. Trotzdem fehlen sie auf der großen Mehrheit aller Websites. Nur 9,0 % erreichen in unseren Audits eine gute Sicherheitsbewertung. In unserem Ratgeber zu HTTP Security Headers erklären wir ausführlich, welche Header Ihre Website wirklich braucht und wie Sie sie einrichten.

8. Datenqualität

Die Datenqualität misst, wie zuverlässig Ihre Webanalyse-Daten wirklich sind. Adblocker, falsch konfigurierte Cookie-Banner und fehlende Consent-Raten verfälschen Ihre Zahlen. Nur 23,4 % aller Websites haben eine gute Datenqualität. Kurz gesagt: Die meisten Unternehmen treffen Entscheidungen auf Basis von Daten, die nicht stimmen.

9. Nachhaltigkeit und Seitengewicht (ergänzende technische Kategorie)

Diese Kategorie ist kein klassisches DSGVO-Kriterium, sondern eine ergänzende technische Dimension – sie berührt Datenschutz indirekt über Datenminimierung und Angriffsfläche. Was hat Nachhaltigkeit mit Datenschutz zu tun? Mehr als Sie denken. Jedes überflüssige Tracking-Script, jede extern geladene Schriftart, jeder unnötige Drittanbieter-Request vergrößert Ihre Seite – und überträgt Daten. Die durchschnittliche Website überträgt 3,6 MB pro Aufruf — wie drastisch die Bandbreite zwischen sparsamen und überladenen Websites ist, zeigen unsere Nachhaltigkeits-Statistiken aus echten Audits. Weniger Ballast bedeutet weniger Datenübertragung, schnellere Ladezeiten und weniger Angriffsfläche. Dreifach gewonnen.

Website manuell auf Datenschutz prüfen – eine Checkliste

Sie möchten selbst Hand anlegen, bevor Sie tief in die Technik gehen? Diese Checkliste zeigt Ihnen, wo Sie suchen müssen – und was die Entwicklertools verraten. Ein Hinweis: Sie werden nicht alles finden, was Sie finden sollten. Aber Sie finden die größten Löcher.

Browser-Entwicklertools nutzen

  1. Öffnen Sie Ihre Website im Inkognito-Modus (wichtig: keine gespeicherten Cookies)
  2. Drücken Sie F12 für die Entwicklertools
  3. Wechseln Sie zum Tab Netzwerk und laden Sie die Seite neu
  4. Prüfen Sie vor der Cookie-Zustimmung: Welche externen Requests werden gesendet?
  5. Suchen Sie nach Verbindungen zu google-analytics.com, fonts.googleapis.com, facebook.net und ähnlichen Drittanbieter-Domains

Finden Sie externe Requests vor der Einwilligung? Dann haben Sie bereits den ersten konkreten Handlungsbedarf. Schnell gefunden. Klar dokumentiert.

Weitere manuelle Prüfpunkte

  • Cookie-Banner testen – Klicken Sie auf „Ablehnen". Werden danach trotzdem Tracking-Cookies gesetzt? Prüfen Sie unter Application → Cookies
  • Datenschutzerklärung abgleichen – Werden alle Dienste genannt, die Sie im Netzwerk-Tab sehen?
  • HTTPS prüfen – Erscheint das Schloss-Symbol? Leitet http:// korrekt auf https:// weiter?
  • Impressum prüfen – Vollständig? Von jeder Seite erreichbar?
  • Kontaktformulare – Werden Daten verschlüsselt übertragen? Gibt es einen Hinweis auf die Datenverarbeitung?

Das Problem bei der manuellen Prüfung: Sie sehen nur, was gerade passiert. Dynamisch nachgeladene Scripts, zeitversetztes Tracking oder geräteabhängige Einbindungen bleiben unsichtbar. Für einen vollständigen Check braucht es mehr.

Automatisierter Datenschutz-Check – was exatics prüft

Ein manueller Check ist ein guter Anfang. Aber für eine vollständige Prüfung brauchen Sie ein Werkzeug, das tiefer schaut als der menschliche Blick in die Entwicklertools.

Unser Audit startet einen echten Browser, lädt Ihre Website vollständig und analysiert alle neun Kategorien automatisch. Dabei erfassen wir:

  • Alle Netzwerk-Requests – auch solche, die erst nach Nutzer-Interaktion oder per JavaScript ausgelöst werden
  • Cookie-Verhalten vor und nach Consent – Setzt Ihre CMP die Einwilligung korrekt um?
  • Externe Dienste – Google Fonts, Analytics, Tag Manager, Werbepixel und Dutzende weitere Drittanbieter
  • Sicherheits-Header – HSTS, CSP, X-Frame-Options und weitere HTTP-Header
  • Seitengewicht und Ressourcen – Wie viel Daten überträgt Ihre Website pro Aufruf?

Das Ergebnis: Ein detaillierter Bericht mit konkreten Handlungsempfehlungen. Keine vagen Hinweise, sondern präzise Angaben – welcher Dienst, welches Problem, welche Lösung. Das ist messbar. Und wir messen es.

Jetzt Website kostenlos auf Datenschutz prüfen

Häufige Datenschutz-Verstöße – und wie Sie sie beheben

Was sind die echten Probleme? Die Antwort ist ernüchternd: Die fünf häufigsten Datenschutz-Verstöße wiederholen sich wie ein Muster – auf Website um Website. Die gute Nachricht: Alle fünf sind lösbar.

  1. Google Fonts extern eingebunden – Betrifft 19,6 % aller Websites. Das ist wie Strom sparen, während die Haustür sperrangelweit offensteht. Lösung: Schriften lokal hosten. Aufwand: 30 Minuten.
  2. Tracking ohne Einwilligung – 17,1 % der Cookie-Banner lassen Tracking vor dem Consent zu. Lösung: CMP korrekt konfigurieren, Scripts blockieren.
  3. Kein Cookie-Banner trotz Tracking – 23,2 % der Websites, die eines bräuchten, haben keines. Lösung: CMP implementieren.
  4. Fehlende Sicherheits-Header – Nur 9,0 % haben eine gute Sicherheitsbewertung. Lösung: HSTS, CSP und weitere Header in der Serverkonfiguration setzen.
  5. Google Analytics ohne Consent-Prüfung – 59,4 % der GA-Installationen senden Daten vor der Einwilligung. Lösung: Analytics nur nach explizitem Opt-in laden.

Alle fünf lassen sich technisch lösen – ohne die Website neu zu bauen. Was es braucht: eine saubere Analyse und konsequente Umsetzung. Punkt.

Wie oft sollten Sie Ihre Website prüfen?

Einmal geprüft, für immer sicher? So funktioniert das leider nicht.

Websites verändern sich ständig. Ein Plugin-Update kann externe Fonts wieder aktivieren. Ein neuer Marketing-Pixel wird eingebaut. Ein CMS-Update verändert die Header-Konfiguration. Was gestern DSGVO-konform war, kann morgen ein Verstoß sein.

Das ist wie einen Zaun instand zu halten: Wer nicht regelmäßig nach neuen Löchern schaut, merkt den Schaden erst, wenn das Vieh weg ist.

Unsere Empfehlung: Prüfen Sie Ihre Website mindestens vierteljährlich – und zusätzlich nach jeder größeren Änderung am CMS, Theme oder Plugin-Stack. Wer auf Nummer sicher gehen will, nutzt ein kontinuierliches Monitoring. Probleme erkennen, bevor sie zum Risiko werden. Nicht danach. Vorher.

Jetzt kostenlose Datenschutz-Analyse starten

Weiterführende Artikel

Vertiefende Fragen zu Website auf Datenschutz

Welche Datenschutz-Verstöße sind auf deutschen Websites am häufigsten?

Die fünf häufigsten Verstöße sind: extern eingebundene Google Fonts (19,5 % aller Websites), Tracking vor der Einwilligung (17,2 % der Cookie-Banner), fehlendes Cookie-Banner trotz Tracking-Bedarf (23,1 %), fehlende Sicherheits-Header und Google Analytics ohne korrekte Consent-Prüfung. Alle diese Probleme lassen sich technisch lösen, erfordern aber eine systematische Analyse.

Reicht ein Cookie-Banner für die DSGVO-Konformität meiner Website?

Nein. Ein Cookie-Banner ist nur eine von neun Prüfkategorien. Selbst ein korrekt konfiguriertes Banner hilft nicht, wenn externe Dienste wie Google Fonts IP-Adressen ohne Einwilligung übertragen, Sicherheits-Header fehlen oder die Datenschutzerklärung unvollständig ist. In unseren Audits haben 95,2 % aller Cookie-Banner mindestens ein Problem – das Banner allein ist also keine Garantie.