DSGVO Website-Check: 10 häufige Fehler auf deutschen Websites

Seit der DSGVO-Einführung im Mai 2018 sind deutschen Website-Betreibern die Grundpflichten bekannt. Trotzdem zeigen unsere Scans, dass dieselben Fehler immer wieder auftauchen — auf kleinen Unternehmenswebsites genauso wie auf mittelständischen Shops.

Hier sind die zehn häufigsten DSGVO-Fehler auf deutschen Websites, mit konkreten Lösungsansätzen für jeden.

Fehler 1: Kein Impressum oder Impressum nicht auffindbar

§ 5 TMG schreibt ein Impressum für jede kommerzielle Website vor. Der häufigste Fehler ist nicht das vollständige Fehlen, sondern ein Impressum, das nur auf einer Unterseite steht, keinen Footer-Link hat, oder unter einem unklaren Namen wie "Rechtliches" versteckt ist.

Fix: Impressum-Link im Footer auf jeder Seite. Linktext "Impressum". Maximal zwei Klicks von der Startseite.

Fehler 2: Keine Datenschutzerklärung

Fehlende Datenschutzerklärungen kommen vor allem bei Websites vor, die von einem Webdesigner gebaut und dann nie aktualisiert wurden. Wenn die Datenschutzerklärung nicht mehr dem aktuellen Stand entspricht (z.B. Google Analytics eingebunden, aber nicht erwähnt), ist das genauso problematisch wie gar keine.

Fix: Datenschutzerklärung erstellen oder aktualisieren. Sicherstellen, dass alle eingebundenen Dienste (Analytics, Fonts, Zahlungsanbieter, Chatbots) erwähnt sind.

Fehler 3: Cookie-Banner akzeptiert nur, lehnt nicht ab

Viele Cookie-Banner bieten auf der ersten Ebene nur "Alles akzeptieren" und "Einstellungen". "Alles ablehnen" ist erst nach einem weiteren Klick möglich. Deutsche Behörden und der EuGH verlangen, dass Ablehnen auf der ersten Ebene ebenso einfach zugänglich ist wie Akzeptieren.

Fix: "Ablehnen"-Button auf der ersten Bannerstufe ergänzen. Optisch gleichwertig zum Akzeptieren-Button gestalten.

Fehler 4: Tracking-Skripte laden vor der Einwilligung

Das ist technisch der häufigste Fehler, der von außen schwer zu sehen ist. Google Analytics, Meta Pixel oder Hotjar laden, noch während der Banner angezeigt wird. § 25 TTDSG schreibt vor: Tracking erst nach Einwilligung.

Fix: Prüfen Sie mit den Browser-Entwicklertools (F12 > Netzwerk), ob Anfragen an Drittanbieter gehen, bevor Sie den Banner weggeklickt haben. Bei Problemen: Consent-Management-Plattform korrekt konfigurieren oder wechseln.

Fehler 5: Google Fonts extern geladen

In unserem Scan-Datensatz laden etwa 60–70 % der deutschen KMU-Websites Google Fonts noch extern. Das LG München I hat 2022 klargestellt, dass das eine DSGVO-Verletzung ist (Az. 3 O 17493/20). Die Lösung — lokales Hosten — kostet 10 bis 30 Minuten.

Fix: Google Fonts lokal hosten. Für WordPress: Plugin OMGF installieren, fertig.

Fehler 6: Google Analytics ohne ausreichende Konfiguration

Google Analytics ist per se nicht verboten, aber Standard-GA4 erfüllt die deutschen DSGVO-Anforderungen nicht ohne Anpassungen. Konkret erforderlich:

• IP-Anonymisierung aktiviert (bei GA4 standardmäßig aktiv, bei Universal Analytics manuelle Einstellung nötig)
• Auftragsverarbeitungsvertrag (AVV) mit Google abgeschlossen
• In der Datenschutzerklärung erwähnt
• Hinter dem Cookie-Banner, d.h. erst nach Einwilligung geladen

Fix: Prüfen Sie diese vier Punkte in Ihrem Google Analytics-Setup. Alternativ: Wechsel auf Plausible Analytics oder Matomo (selbst gehostet), die ohne Einwilligung auskommen.

Fehler 7: YouTube-Einbettungen ohne Einwilligungsgate

Eingebettete YouTube-Videos setzen Cookies und übermitteln Daten an Google, noch bevor jemand das Video abspielt. Das erfordert eine Einwilligung oder zumindest den Einsatz des privacy-enhanced Modus (youtube-nocookie.com).

Fix: Videos auf youtube-nocookie.com umstellen, oder eine "Click-to-Play"-Lösung verwenden, die den iframe erst nach einem Klick lädt.

Fehler 8: Kontaktformular ohne Datenschutzhinweis

Jedes Formular, das personenbezogene Daten sammelt (auch ein einfaches Kontaktformular mit Name und E-Mail), muss bei der Eingabe einen Datenschutzhinweis anzeigen. Dieser muss erklären, zu welchem Zweck die Daten verarbeitet werden, auf welcher Rechtsgrundlage (Art. 6 DSGVO) und wer Empfänger ist.

Fix: Kurzer Hinweis unter dem Formular: "Ihre Angaben werden zur Bearbeitung Ihrer Anfrage verarbeitet (Art. 6 Abs. 1 lit. b DSGVO). [Link zur Datenschutzerklärung]"

Fehler 9: Sicherheitslücken in HTTP-Headern

Technische Sicherheitsheader sind streng genommen kein DSGVO-Thema, aber Art. 32 DSGVO schreibt "geeignete technische und organisatorische Maßnahmen" zur Datensicherheit vor. Fehlende Header wie Content-Security-Policy, X-Frame-Options oder Strict-Transport-Security zählen zu den Maßnahmen, die Datenschutzbehörden bei Prüfungen beachten.

Fix: Header konfigurieren, entweder in der Webserver-Konfiguration (nginx, Apache) oder über ein Hosting-Management-Tool. Die Details erklärt unser Artikel zur Website-Sicherheit und DSGVO.

Fehler 10: Keine oder falsche Widerrufsbelehrung im Online-Shop

Bei Webshops ist die Widerrufsbelehrung Pflicht (§ 312g BGB). Typische Fehler: veraltete Formulierung (nicht mehr aktuell nach der 2022er Reform), Widerrufsfrist falsch angegeben (14 Tage, nicht weniger), oder die Belehrung ist so versteckt, dass sie bei der Bestellung nicht angezeigt wird.

Fix: Widerrufsbelehrung aktualisieren, direkt im Bestellprozess anzeigen und als PDF zum Download anbieten.

So prüfen Sie Ihre Website systematisch

Manuell alle zehn Punkte durchzugehen kostet Zeit. Unser kostenloser Scanner prüft automatisch die meisten dieser Fehler:

• Impressum vorhanden und verlinkt?
• Datenschutzerklärung vorhanden?
• Cookie-Banner erkannt und Ablehnen-Option vorhanden?
• Externe Google-Fonts-Verbindungen?
• Tracking-Skripte im Lade-Verhalten?
• Sicherheitsheader konfiguriert?

Prüfen Sie jetzt Ihre Website kostenlos mit unserem DSGVO-Scanner. Das Ergebnis liegt in unter zwei Minuten vor.