Datenschutz & Compliance

5 haeufigste DSGVO-Fehler auf Unternehmenswebsites

6 Min. Lesezeit
Kurze Antwort

Die fuenf haeufigsten DSGVO-Fehler auf Unternehmenswebsites: Google Fonts ohne lokales Hosting, kein rechtssicherer Cookie-Banner, unvollstaendige Datenschutzerklaerung, kein AVV mit Analytics-Anbietern und fehlende Rechtsgrundlage fuer Formular-Daten. Alle fuenf sind klar und loesbar.

Warum diese Fehler so haeufig vorkommen

DSGVO-Anforderungen für Websites sind seit 2018 in Kraft und gut dokumentiert. Trotzdem werden dieselben Fehler auf Unternehmenswebsites immer wieder gefunden – oft seit Jahren unkorrigiert. Die häufigste Begründung: Die Webagentur hat sich darum gekümmert. Das mag bei der Erstellung so gewesen sein. Aber Websites werden weiterentwickelt, neue Tools kommen hinzu, Anbieter ändern ihre Infrastruktur. Was 2019 korrekt war, kann 2024 ein Verstoß sein.

Das Risiko ist nicht theoretisch. Abmahnanwälte und Wettbewerber nutzen automatisierte Scan-Tools, die Websites systematisch auf DSGVO-Verstöße prüfen. Das LG München I hat 2022 in einem richtungsweisenden Urteil die Einbindung von Google Fonts über das CDN als Verstoß gegen die DSGVO eingestuft und 100 Euro Schadensersatz zugesprochen. Klingt gering – aber dieses Urteil hat zu einer Abmahnwelle geführt.

Die gute Nachricht: Die fünf häufigsten Fehler, die wir im Folgenden beschreiben, sind alle behebbar. Kein einziger erfordert eine grundlegende Neugestaltung der Website. Es geht um Konfiguration, Dokumentation und eine gelegentliche Überprüfung, ob eingesetzte Tools noch DSGVO-konform betrieben werden.

INREMA prüft im Rahmen von Website-Audits regelmäßig die DSGVO-Konformität mittelständischer Websites. Die fünf Fehler in diesem Artikel sind keine theoretischen Konstrukte – sie stammen aus realen Prüfungen realer Websites.

Die 5 haeufigsten Fehler

  • Google Fonts via CDN: Jeder Seitenaufruf überträgt IP-Adresse des Besuchers an Google-Server in den USA
  • Falscher Cookie-Banner: Tracking-Cookies feuern vor Einwilligung oder Ablehnen ist versteckt
  • Veraltete Datenschutzerklärung: Eingesetzte Tools nicht aufgeführt, Rechtsgrundlagen fehlen
  • Kein AVV mit Dienstleistern: Google Analytics, Mailchimp & Co. ohne Auftragsverarbeitungsvertrag
  • Formulare ohne Rechtsgrundlage: Kontaktformular ohne Hinweis auf Datenschutz und Rechtsgrundlage
  • Unsichere externe Einbettungen: YouTube, Google Maps, Social Widgets ohne Zwei-Klick-Lösung
  • Fehlende Löschkonzepte: Daten aus Formularen und Anfragen werden unbegrenzt gespeichert

Schritt fuer Schritt zur DSGVO-konformen Website

  1. Technischen Bestand aufnehmen

    Welche externen Dienste sind auf der Website eingebunden? Systematisch prüfen: Fonts (Google Fonts?), Analytics (Google Analytics, Matomo?), Social-Widgets (Facebook, LinkedIn?), Karten (Google Maps?), Videos (YouTube, Vimeo?), Chat-Tools, CRM-Formulare. Jeder externe Dienst ist ein potenzieller DSGVO-Kontaktpunkt. Diese Liste ist Ausgangspunkt aller weiteren Maßnahmen.

  2. Google Fonts lokal hosten

    Fonts auf fonts.google.com auswählen, herunterladen und auf dem eigenen Server einbinden. Anleitung: CSS-Datei anpassen, @font-face mit lokalem Pfad statt Google-CDN-URL. Einmalig 30–60 Minuten Aufwand, dauerhaft rechtssicher. Kein externer Request, keine IP-Übermittlung an Google, kein DSGVO-Risiko mehr.

  3. Cookie-Banner korrekt konfigurieren

    Eine professionelle Consent Management Platform einrichten: Cookiebot, Usercentrics oder Borlabs Cookie. Cookies vollständig kategorisieren: technisch notwendig vs. Analyse vs. Marketing. Tracking-Skripte erst nach expliziter Einwilligung laden. Ablehn-Option sichtbar und gleichwertig zur Akzeptieren-Option platzieren. Nachweisbare Einwilligungen speichern und auf Anfrage herausgeben können.

  4. Datenschutzerklärung auf aktuellen Stand bringen

    Alle eingesetzten Tools vollständig und aktuell dokumentieren. Rechtsgrundlage für jede Verarbeitung benennen (Art. 6 DSGVO). Kontaktdaten des Datenschutzbeauftragten oder der verantwortlichen Person vollständig aufführen. Betroffenenrechte klar benennen. Löschfristen für alle Datenkategorien angeben. Nach jeder Änderung am technischen Stack die Datenschutzerklärung aktualisieren.

  5. AVVs prüfen und abschließen

    Bei allen Dienstleistern die personenbezogene Daten im Auftrag verarbeiten: Auftragsverarbeitungsvertrag abschließen. Google Analytics: in der Konsole unter Datenschutz. Mailchimp: im Account unter Einstellungen. HubSpot, Salesforce, Freshdesk: ebenfalls im jeweiligen Account-Bereich. Nachweis über abgeschlossene AVVs speichern und regelmäßig prüfen ob die Dienstleister ihre Infrastruktur geändert haben.

Eine DSGVO-konforme Website ist kein Bürokratieakt. Sie ist Grundlage für das Vertrauen Ihrer Kunden – und Schutz vor teuren Abmahnungen.

Abmahnwellen sind real – nicht nur für Großunternehmen

Nach dem Urteil des LG München I zu Google Fonts wurden innerhalb von Monaten Tausende Abmahnschreiben an Websitebetreiber verschickt – viele davon an mittelständische Unternehmen, die noch nie von diesem Urteil gehört hatten. Die geforderten Beträge lagen zwischen 100 und 500 Euro pro Fall, zuzüglich Anwaltskosten. Wer mehrfach abgemahnt wurde, ohne seine Website zu korrigieren, stand vor ernsthaften rechtlichen Konsequenzen. DSGVO-Konformität ist kein Thema das man auf später verschieben kann.

Fehler 2 im Detail: Der falsche Cookie-Banner

Ein Cookie-Banner der nur optisch vorhanden ist, aber technisch keinen Effekt hat, ist schlimmer als kein Banner. Er suggeriert Konformität, bietet aber keine. Google Analytics lädt trotzdem, Facebook Pixel feuert beim ersten Seitenaufruf, Remarketing-Cookies werden gesetzt bevor der Nutzer auf Akzeptieren geklickt hat. Das ist kein grauer Bereich – das ist ein klarer Verstoß.

Die Anforderungen sind klar: Einwilligung muss vor der Verarbeitung eingeholt werden, Ablehnen muss so einfach sein wie Akzeptieren, einmal gegebene Einwilligung muss widerrufbar sein, und der Betreiber muss nachweisen können, wer wann was eingewilligt hat. Eine Cookie-Bar die nur einen OK-Button hat und keine Auswahlmöglichkeit bietet, erfüllt diese Anforderungen nicht.

Der Aufwand für eine korrekte Implementierung ist überschaubar. Cookiebot und Usercentrics bieten fertige Lösungen die sich in die meisten CMS-Systeme integrieren lassen. Der Aufwand für die Ersteinrichtung liegt bei zwei bis vier Stunden. Der Aufwand für eine Abmahnung ist deutlich höher.

DSGVO-Check-Routine einführen

Alle sechs Monate eine kurze Prüfung einplanen: Welche neuen Tools oder Dienste wurden seit dem letzten Check hinzugefügt? Sind alle AVVs noch aktuell? Hat die Datenschutzerklärung die neueste Technik abgebildet? Gibt es neue Urteile oder Leitlinien, die unsere bisherige Praxis in Frage stellen? Diese Routine kostet pro Durchgang zwei bis drei Stunden und verhindert, dass aus kleinen Versäumnissen teure Probleme werden.

Kurzcheck: 7 Punkte die jede Website erfüllen sollte

  • Google Fonts lokal gehostet – kein CDN-Request an Google-Server
  • Cookie-Banner mit echter Ablehn-Option und technischer Wirksamkeit
  • Datenschutzerklärung aktuell und alle eingesetzten Tools dokumentiert
  • AVVs mit allen Auftragsverarbeitern abgeschlossen und gespeichert
  • Kontaktformular mit Datenschutzhinweis und benannter Rechtsgrundlage
  • YouTube und Google Maps nur mit Zwei-Klick-Lösung oder Consent eingebettet
  • Impressum vollständig nach §5 DDG mit verantwortlicher Person und Kontaktdaten

Die 5 Fehler im Überblick

Zusammenfassung
  • Google Fonts via CDN ist seit LG München I 2022 als DSGVO-Verstoß eingestuft – Fonts lokal hosten
  • Falsche Cookie-Banner schützen nicht – Einwilligung muss vor Tracking-Start erfolgen
  • Datenschutzerklärung veraltet oder unvollständig – nach jeder Technikänderung aktualisieren

Wir pruefen Ihre Website auf die haeufigsten DSGVO-Fehler und zeigen, was in welcher Reihenfolge zu beheben ist.

DSGVO-Check anfragen

Häufige Fragen

Was droht bei DSGVO-Verstoessen?
Bussgelder bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes. Abmahnungen durch Wettbewerber und Verbraucherschutzverbande. Schadensersatzansprueche betroffener Personen. In der Praxis beginnen die meisten Konsequenzen mit Abmahnungen.
Muss ich Google Fonts wirklich lokal hosten?
Ja, wenn Sie DSGVO-konform sein wollen. Das LG Muenchen I hat 2022 entschieden, dass die Einbindung ueber Google-CDN ohne Einwilligung einen DSGVO-Verstoss darstellt. Das lokale Hosting dauert 30 Minuten und ist dauerhaft abgesichert.
Reicht ein DSGVO-Generator fuer die Datenschutzerklaerung?
Als Ausgangspunkt ja. Aber die Erklaerung muss an die tatsaechlich eingesetzten Tools angepasst werden. Ein Generator, der nicht weiss, dass Sie Hotjar, Mailchimp und HubSpot nutzen, kann diese Dienste nicht aufnehmen.
Was ist ein AVV und wann brauche ich einen?
Ein Auftragsverarbeitungsvertrag regelt, wie ein Dienstleister personenbezogene Daten in Ihrem Auftrag verarbeitet. Pflicht bei: Webhosting, Analytics-Tools, E-Mail-Marketing-Diensten, CRM-Systemen und jedem anderen Dienst, der Zugriff auf personenbezogene Daten Ihrer Kunden hat.

War dieser Artikel hilfreich?

Verwandte Artikel
Datenschutz & Compliance
5 häufigste DSGVO-Fehler auf Unternehmenswebsites
8 Min. Lesezeit
Datenschutz & Compliance
Cookie-Banner falsch konfiguriert: Die häufigsten Muster und Risiken
7 Min. Lesezeit
Datenschutz & Compliance
Cookie-Recht: Was rechtlich vorgeschrieben ist und was nur nervt
6 Min. Lesezeit

Haben Sie weitere Fragen?

Unser Team hilft Ihnen persönlich und direkt weiter.

← Zur Kategorie Kontakt aufnehmen