Die 7 häufigsten DSGVO-Fehler auf deutschen Websites — und wie man sie behebt
Bußgelder, Abmahnungen, Beschwerden bei der Datenschutzbehörde: Diese 7 DSGVO-Verstöße finden sich auf den meisten deutschen Websites — und sind leicht zu beheben.
Warum DSGVO-Konformität für jede Website wichtig ist
Seit Inkrafttreten der DSGVO im Mai 2018 wurden in der EU Bußgelder von insgesamt über 4 Milliarden Euro verhängt. Davon entfällt ein erheblicher Teil auf Deutschland, wo Datenschutzbehörden zunehmend aktiv gegen Verstöße vorgehen — auch gegen kleine und mittelständische Unternehmen.
Hier sind die 7 häufigsten Fehler, die wir bei der Prüfung tausender Websites festgestellt haben:
Fehler 1: Keine oder unvollständige Datenschutzerklärung
Eine Datenschutzerklärung ist Pflicht für jede Website, die personenbezogene Daten verarbeitet — und das tun praktisch alle Websites (Webserver-Logs, Kontaktformulare, Analytics).
Was muss drin stehen?- Name und Kontaktdaten des Verantwortlichen
- Rechtsgrundlagen der Verarbeitung (Art. 6 DSGVO)
- Zwecke der Datenverarbeitung
- Empfänger der Daten (Hosting-Anbieter, Analytics-Dienste)
- Speicherdauer
- Betroffenenrechte (Auskunft, Löschung, Widerspruch, Beschwerde)
Fehler 2: Google Fonts über externe Server laden
Wer Google Fonts über die Google CDN-URL einbindet, überträgt dabei die IP-Adresse des Besuchers an Google. Das Landgericht München hat das 2022 als DSGVO-Verstoß eingestuft und 100 Euro Schadensersatz zugesprochen.
Lösung: Google Fonts lokal hosten. Mit dem Tool "google-webfonts-helper" lassen sich Font-Dateien einfach herunterladen.Fehler 3: Google Analytics ohne Einwilligung
Google Analytics ist einer der verbreitetsten Tracking-Dienste — und einer der häufigsten Quellen von DSGVO-Beschwerden. Ohne Cookie-Consent und gültige Einwilligung ist der Einsatz rechtswidrig.
Lösungsoptionen:- Cookie-Consent korrekt implementieren
- Auf datenschutzfreundliche Alternativen wechseln (Matomo self-hosted, Fathom, Plausible)
- Google Analytics 4 mit IP-Anonymisierung und korrektem Consent-Mode verwenden
Fehler 4: Kontaktformular ohne Datenschutzhinweis
Wer ein Kontaktformular betreibt, verarbeitet personenbezogene Daten. Beim Formular selbst muss ein kurzer Hinweis erscheinen, der auf die Datenschutzerklärung verweist.
Format: "Ihre Daten werden ausschließlich zur Bearbeitung Ihrer Anfrage verwendet. Mehr Informationen in unserer [Datenschutzerklärung]."
Fehler 5: Kein Auftragsverarbeitungsvertrag (AVV) mit Dienstleistern
Wer externe Dienste einsetzt, die personenbezogene Daten verarbeiten (Hosting, E-Mail-Marketing, CRM), benötigt einen AVV nach Art. 28 DSGVO. Viele Anbieter stellen diese automatisch bereit — aber der Vertrag muss tatsächlich abgeschlossen werden.
Typische AVV-Pflichten bestehen mit: Webhosting-Anbieter, Newsletter-Tool (Mailchimp, Brevo), CRM (HubSpot, Salesforce), Cloud-Diensten (Google Drive, Dropbox).
Fehler 6: Eingebettete Social Media Buttons mit Tracking
Standard-Social-Media-Buttons (Facebook Like, Twitter Share) laden beim Seitenaufruf bereits Daten zu den jeweiligen Netzwerken — auch wenn der Nutzer gar nichts klickt.
Lösung: Shariff-Lösung oder 2-Klick-Buttons einsetzen, die erst beim Aktivieren eine Verbindung herstellen.Fehler 7: Datenschutzerklärung nicht aktuell gehalten
Die Datenschutzerklärung muss den tatsächlichen Stand der Datenverarbeitung widerspiegeln. Wer neue Tools einbaut (neues CRM, neues Analytics-Tool, neuer Chatbot), muss die Datenschutzerklärung aktualisieren.
Empfehlung: Mindestens einmal jährlich prüfen und bei jeder technischen Änderung anpassen.Wie prüfe ich meine Website?
ImpressumGuard analysiert automatisch, welche Tracking-Scripts aktiv sind, ob ein Cookie-Banner vorhanden ist und ob eine Datenschutzerklärung mit den Pflichtinhalten gefunden wird. Der kostenlose Check gibt Ihnen innerhalb von 15 Sekunden einen Überblick.