Datenschutz & Compliance

5 häufigste DSGVO-Fehler auf Unternehmenswebsites

8 Min. Lesezeit
Kurze Antwort

Die fünf häufigsten DSGVO-Fehler auf Unternehmenswebsites sind: Google Fonts direkt von Google geladen, Analytics ohne Consent, veraltete Datenschutzerklärung, Cookie-Banner ohne echte Ablehnoption und Kontaktformulare ohne Datenschutzhinweis. Alle sind behebbar.

Die meisten DSGVO-Verstöße auf Websites sind nicht böse Absicht — sondern fehlende Kenntnis. Wer die fünf häufigsten Fehler kennt, kann sie gezielt beheben.

Datenschutzkonformität auf Websites scheitert selten an Böswilligkeit. Sie scheitert an drei strukturellen Problemen: Agenturen, die Websites bauen, haben häufig keinen Rechtshintergrund und orientieren sich an dem, was sie immer so gemacht haben. Datenschutzerklärungen werden von Websites Dritter kopiert und nicht auf das eigene Unternehmen angepasst. Und wenn sich der Tool-Stack ändert — neues Analytics-System, neues Kontaktformular, neuer CDN-Anbieter — wird die Datenschutzerklärung nicht aktualisiert. Das Ergebnis: eine Website, die nach außen seriös wirkt, aber bei näherer Betrachtung mehrere DSGVO-Verstöße aufweist. Die gute Nachricht: Die häufigsten Fehler sind bekannt, gut dokumentiert und in den meisten Fällen mit überschaubarem Aufwand zu beheben.

  1. Google Fonts direkt von Google geladen

    Wenn Google Fonts über den Google-Server eingebunden werden, wird beim Seitenaufruf automatisch die IP-Adresse des Besuchers an Google übertragen. Das geschieht ohne Einwilligung des Nutzers und ist nach dem Urteil des LG München I (Az. 3 O 17493/20) ein DSGVO-Verstoß. Die Lösung ist technisch einfach: Fonts lokal herunterladen und vom eigenen Server ausliefern. Google Fonts Datenschutz-konform einzubinden kostet typischerweise weniger als eine Stunde Entwicklungszeit.

  2. Google Analytics ohne Cookie-Consent aktiv

    Google Analytics setzt Cookies und überträgt Nutzungsdaten an Google-Server in den USA. Beides ist ohne ausdrückliche Einwilligung des Nutzers nicht zulässig. Viele Websites laden Analytics im Hintergrund, bevor der Nutzer den Cookie-Banner überhaupt gesehen hat. Korrekt ist: Analytics darf erst nach aktiver Zustimmung geladen werden. Consent-Management-Plattformen wie Cookiebot, Usercentrics oder Borlabs Cookie ermöglichen das technisch korrekte Laden nach Einwilligung.

  3. Datenschutzerklärung veraltet oder fehlt

    Eine Datenschutzerklärung muss alle Verarbeitungen beschreiben, die auf der Website tatsächlich stattfinden. Wer vor drei Jahren eine Erklärung erstellt und seitdem neue Tools eingebunden hat, betreibt eine de facto falsche Datenschutzerklärung. Das ist nicht nur ein formales Problem: Es ist ein Hinweis auf fehlende Compliance, den Aufsichtsbehörden und Abmahner gezielt suchen. Regel: Nach jedem Tool-Wechsel und mindestens einmal jährlich aktualisieren.

  4. Cookie-Banner ohne echte Ablehnoption (Dark Pattern)

    Viele Cookie-Banner sind so gestaltet, dass Ablehnen schwieriger ist als Akzeptieren: Die Ablehnoption fehlt ganz, ist klein gedruckt, erfordert mehrere Klicks oder ist optisch versteckt. Das ist ein Dark Pattern und nach DSGVO-Auslegung der Aufsichtsbehörden nicht zulässig. Eine wirksame Einwilligung setzt voraus, dass Ablehnen genauso einfach ist wie Zustimmen — ein Klick, gleich prominent. Wer das nicht umsetzt, riskiert Bußgelder und Abmahnungen.

  5. Kontaktformular ohne Datenschutzhinweis und ohne AVV

    Jedes Kontaktformular verarbeitet personenbezogene Daten. Direkt am Formular muss deshalb ein Hinweis stehen, der erklärt, welche Daten zu welchem Zweck gespeichert werden und wie lange. Zusätzlich: Wer einen externen Formular-Anbieter nutzt — ob Typeform, Formstack, Gravity Forms mit externem Host oder ähnliches — ist Auftragsverarbeiter-Verhältnis und braucht einen Auftragsverarbeitungsvertrag (AVV) mit dem Anbieter. Ohne AVV fehlt die Rechtsgrundlage für die Verarbeitung.

Das LG München I hat im Januar 2022 bestätigt, dass das Einbinden von Google Fonts über die Google-CDN-URL ohne Einwilligung einen DSGVO-Verstoß darstellt und zur Zahlung von Schadensersatz verpflichtet. Seither läuft eine Abmahnwelle. Websites, die Fonts noch immer über fonts.googleapis.com einbinden, sind ein leichtes Ziel — der Verstoß ist mit einfachen Browser-Tools in Sekunden nachweisbar.
  • Google Fonts herunterladen und lokal über den eigenen Server ausliefern (fonts.google.com → Download)
  • Google Analytics und alle Tracking-Skripte nur nach aktiver Einwilligung laden (Consent Management Platform einrichten)
  • Datenschutzerklärung mit einem Generator wie e-recht24.de oder datenschutz.org erstellen und auf das eigene Tool-Set anpassen
  • Cookie-Banner prüfen: Ablehnen muss mit einem Klick möglich sein, gleich prominent wie Akzeptieren
  • Alle Kontaktformulare mit einem Datenschutzhinweis direkt am Formular versehen
  • AVV mit allen Auftragsverarbeitern abschließen: Formular-Anbieter, Hosting, Newsletter-Tool, CRM
  • SSL-Zertifikat aktiv prüfen (HTTPS auf allen Seiten)
  • Externe Ressourcen im Browser-Netzwerk-Tab prüfen: Welche Domains werden aufgerufen?

Eine systematische DSGVO-Prüfung der eigenen Website beginnt mit dem Browser-Netzwerk-Tab. Seite laden, Netzwerk-Tab öffnen, alle Anfragen ansehen: Welche externen Domains werden aufgerufen? Jede externe Domain ist ein potenzieller Datentransfer. Anschließend den Cookie-Banner testen: Welche Cookies werden gesetzt, bevor der Nutzer etwas geklickt hat? Das zeigt sofort, ob Analytics und Tracking korrekt eingebunden sind.

Danach die Datenschutzerklärung gegen das tatsächliche Tool-Set prüfen: Ist jeder Dienst erwähnt, der auf der Website aktiv ist? Fehlen AVVs für externe Anbieter? Ist die Rechtsgrundlage für jede Verarbeitung benannt? Dieser Abgleich dauert typischerweise 30 bis 60 Minuten — und deckt in den meisten Fällen mehrere Lücken auf.

Kostenlose Einstiegspunkte für die eigene Website-Prüfung: Das Browser-Plugin Privacy Badger (EFF) zeigt Tracker in Echtzeit. Der Cookiebot-Scanner unter cookiebot.com/de/cookie-scanner/ analysiert Cookies und gibt eine übersichtliche Auswertung. Für die Datenschutzerklärung bietet e-recht24.de einen Generator mit Plausibilitätsprüfung. Diese drei Tools zusammen decken den größten Teil der häufigsten Fehler auf — kostenlos und ohne technisches Vorwissen.

Wir prüfen Ihre Website auf DSGVO-Konformität und zeigen konkret, was umzusetzen ist — priorisiert nach Risiko und Aufwand.

Website-Datenschutz-Check anfragen

Häufige Fragen

Ist Google Fonts wirklich ein DSGVO-Verstoß?
Ja, wenn Fonts direkt über die Google-Server eingebunden werden. Das LG München I hat das 2022 bestätigt: Dabei wird die IP-Adresse des Besuchers ohne Einwilligung an Google übertragen. Lösung: Fonts lokal herunterladen und vom eigenen Server ausliefern.
Welche Strafe droht bei DSGVO-Verstößen auf der Website?
Die Bandbreite reicht von Verwarnungen durch Aufsichtsbehörden über Bußgelder bis zu zivilrechtlichen Abmahnungen. Für kleine und mittlere Unternehmen sind zivilrechtliche Abmahnungen (Anwaltskosten, Vertragsstrafen) in der Praxis oft die unmittelbarere Gefahr.
Brauche ich einen Anwalt um meine Website DSGVO-konform zu machen?
Für die meisten technischen Maßnahmen nicht. Google Fonts lokal hosten, Analytics korrekt einbinden, Cookie-Banner konfigurieren — das ist technisch lösbar ohne Anwalt. Für die rechtssichere Datenschutzerklärung und AVVs empfiehlt sich zumindest einmalig eine anwaltliche Prüfung.
Wie oft muss ich meine Datenschutzerklärung aktualisieren?
Mindestens einmal jährlich und nach jedem Wechsel von Tools, Diensten oder Hosting-Anbietern. Die Datenschutzerklärung muss immer den tatsächlichen Stand der Datenverarbeitung widerspiegeln — nicht den Stand beim letzten Agenturprojekt.

War dieser Artikel hilfreich?

Verwandte Artikel
Datenschutz & Compliance
5 haeufigste DSGVO-Fehler auf Unternehmenswebsites
6 Min. Lesezeit
Datenschutz & Compliance
Cookie-Banner falsch konfiguriert: Die häufigsten Muster und Risiken
7 Min. Lesezeit
Datenschutz & Compliance
DSGVO-konforme Website: 10 Punkte die wirklich geprüft werden müssen
8 Min. Lesezeit

Haben Sie weitere Fragen?

Unser Team hilft Ihnen persönlich und direkt weiter.

← Zur Kategorie Kontakt aufnehmen