DSGVO Website Check: Ist deine Seite wirklich konform? (Gratis-Test)

Auf einen Blick

Über 90 Prozent aller deutschen Unternehmenswebsites verstoßen gegen die DSGVO. Die häufigsten Fehler: extern geladene Google Fonts, fehlerhafte Cookie-Banner, unvollständiges Impressum. Bußgelder von bis zu 20 Millionen EUR sind möglich. In der Praxis kosten schon kleine Verstöße 500 bis 50.000 EUR. Ein DSGVO Website Check zeigt dir in 60 Sekunden, wo deine Seite verwundbar ist.

Kostenloser DSGVO Website Check

Prüfe jetzt in 60 Sekunden, ob deine Website DSGVO-konform ist. Kein Login, kein Abo. Sofort-Ergebnis mit konkreten Handlungsempfehlungen.

Jetzt DSGVO Check starten →

Warum ein DSGVO Check 2026 wichtiger ist denn je

Die DSGVO gilt seit 2018. Trotzdem verschärft sich die Lage für Website-Betreiber Jahr für Jahr. Drei Entwicklungen machen einen regelmäßigen DSGVO Website Check 2026 zur Pflicht:

BGH-Urteil 2025: Cookie-Banner unter der Lupe

Der Bundesgerichtshof hat 2025 klargestellt: Dark Patterns in Cookie-Bannern sind unzulässig. Das betrifft alle Banner, bei denen der "Ablehnen"-Button kleiner, farblich zurückhaltender oder schwerer zu finden ist als "Akzeptieren". Wer seinen Banner seit 2024 nicht angepasst hat, riskiert Abmahnungen.

Abmahnwellen durch spezialisierte Kanzleien

Seit dem Google-Fonts-Urteil des LG München (Januar 2022) haben sich Abmahnkanzleien auf DSGVO-Verstöße spezialisiert. Das Geschäftsmodell: Websites automatisiert scannen, Verstöße dokumentieren, Abmahnungen verschicken. Kosten pro Abmahnung: 170 bis 500 EUR. Manche Kanzleien verschicken hunderte Abmahnungen pro Woche.

Besonders betroffen: kleine Unternehmen, die sich keinen Anwalt leisten können und deshalb schnell zahlen.

EuGH verschärft den Datenschutz weiter

Der Europäische Gerichtshof hat mit mehreren Urteilen die Anforderungen weiter erhöht. Seit 2024 gilt: Jede Datenübertragung in die USA braucht eine dokumentierte Rechtsgrundlage. Das EU-US Data Privacy Framework bietet zwar eine Basis, aber nur für zertifizierte US-Unternehmen. Ob dein Font-Anbieter, dein Analytics-Tool oder dein Map-Service dazugehört, musst du selbst prüfen.

Konkrete Bußgelder: Was wirklich droht

Die Theorie kennt jeder: bis zu 20 Millionen EUR oder 4 Prozent des Jahresumsatzes. Aber was passiert in der Praxis?

  • 100 EUR pro Besucher für extern geladene Google Fonts (LG München, 2022)
  • 10.000 EUR für ein fehlendes Cookie-Opt-in bei einem Onlineshop (LfDI Baden-Württemberg, 2023)
  • 35.000 EUR für eine fehlende Datenschutzerklärung (BayLDA, 2024)
  • 900.000 EUR als höchstes deutsches DSGVO-Bußgeld 2024 (für einen Mittelständler)
  • 1,2 Milliarden EUR gegen Meta (irische DPC, 2023, internationaler Rekord)

Für KMU liegen die typischen Strafen zwischen 500 und 50.000 EUR. Dazu kommen Anwaltskosten, Zeitaufwand und Reputationsschaden. Ein regelmäßiger DSGVO Check deiner Website kostet dagegen nichts.

Was prüft ein DSGVO Website Check?

Ein gründlicher DSGVO Website Check untersucht alle Bereiche deiner Website, die personenbezogene Daten verarbeiten. Das ist mehr, als die meisten denken.

1. Impressum

Nach § 5 DDG (ehemals TMG) Pflicht für jede geschäftliche Website. Der Check prüft: Ist ein Impressum vorhanden? Ist es von jeder Seite in maximal zwei Klicks erreichbar? Enthält es alle Pflichtangaben (Name, Anschrift, Kontakt, Vertretungsberechtigte, Register)?

2. Datenschutzerklärung

Jede Website, die personenbezogene Daten verarbeitet, braucht eine Datenschutzerklärung nach Art. 13 DSGVO. Schon das Erfassen von IP-Adressen durch den Hoster zählt. Der Check prüft: Existiert die Seite? Ist sie verlinkt? Ist sie aktuell?

3. Cookie-Banner und Einwilligungsmanagement

Seit dem TDDDG (ehemals TTDSG) braucht jedes nicht-essenzielle Cookie eine aktive Einwilligung. Der Check prüft: Gibt es einen Banner? Bietet er eine echte Wahlmöglichkeit? Werden Cookies vor der Einwilligung gesetzt? Sind "Akzeptieren" und "Ablehnen" gleichwertig dargestellt?

4. Externe Ressourcen (Google Fonts, Analytics, Maps)

Jeder externe Dienst, der beim Seitenaufruf Daten an Dritte sendet, ist ein potenzieller DSGVO-Verstoß. Der Check prüft: Werden Schriftarten von Google-Servern geladen? Ist Google Analytics oder ein anderes Tracking-Tool aktiv? Werden Google Maps, YouTube-Videos oder Social-Media-Buttons ohne Einwilligung eingebunden?

5. SSL-Verschlüsselung

HTTPS ist seit 2018 de facto Pflicht. Ohne SSL-Verschlüsselung werden alle Daten, die Besucher eingeben (Kontaktformulare, Newsletter-Anmeldungen), unverschlüsselt übertragen. Der Check prüft: Ist ein gültiges SSL-Zertifikat aktiv? Leitet HTTP korrekt auf HTTPS um?

6. Kontaktformulare

Jedes Kontaktformular verarbeitet personenbezogene Daten. Der Check prüft: Ist ein Hinweis auf die Datenschutzerklärung vorhanden? Werden die Daten verschlüsselt übertragen? Gibt es eine Einwilligungserklärung?

Wer eine vollständige Checkliste aller DSGVO-Pflichtpunkte sucht: Unsere DSGVO-Checkliste für KMU-Websites listet alle 10 Punkte zum Abhaken auf.

DSGVO Website Check kostenlos: So funktioniert unser Tool

Wir haben einen kostenlosen DSGVO Website Check gebaut, der die wichtigsten Datenschutz-Probleme deiner Website in unter 60 Sekunden findet. Ohne Login, ohne Abo, ohne Haken.

So funktioniert der Check

  1. URL eingeben: Du gibst die Adresse deiner Website ein.
  2. Automatische Analyse: Das Tool prüft deine Seite auf die häufigsten DSGVO-Verstöße: Impressum, Datenschutzerklärung, SSL, Cookie-Verhalten, externe Fonts, Tracking-Scripts und mehr.
  3. Sofort-Ergebnis: Du bekommst einen übersichtlichen Report mit einer Ampelbewertung. Grün = in Ordnung. Gelb = Optimierungspotenzial. Rot = akuter Handlungsbedarf.
  4. Konkrete Handlungsempfehlungen: Zu jedem Problem siehst du, was genau falsch ist und wie du es behebst.

Was unser Tool besser macht als andere

  • Aktuell: Der Check berücksichtigt die Rechtslage 2026, einschließlich BGH-Urteile und TDDDG-Anforderungen
  • Verständlich: Kein Juristendeutsch. Jedes Problem wird so erklärt, dass du es ohne Anwalt verstehst
  • Kostenlos: Wirklich kostenlos. Kein Freemium, kein "Ergebnis nur gegen E-Mail-Adresse"
  • Schnell: 60 Sekunden statt tagelanger manueller Prüfung

Willst du gleichzeitig auch die Barrierefreiheit deiner Website prüfen? Ab 2025 gelten mit dem Barrierefreiheitsstärkungsgesetz neue Pflichten. Unser separater Check hilft dir dabei.

Teste deine Website jetzt kostenlos

URL eingeben, 60 Sekunden warten, Ergebnis lesen. Unser DSGVO Website Check findet die Probleme, die Abmahnanwälte auch finden. Nur schneller und kostenlos.

DSGVO Check starten →

Die 10 häufigsten DSGVO-Verstöße auf Websites

Diese Fehler finden wir bei fast jeder Website, die wir prüfen. Die gute Nachricht: Die meisten lassen sich in unter einer Stunde beheben.

1. Google Fonts von externen Servern laden

Das Problem: Beim Laden einer Schriftart von fonts.googleapis.com wird die IP-Adresse deines Besuchers an Google (USA) übertragen. Ohne Einwilligung ist das ein Datenschutzverstoß.

Der Fix: Fonts herunterladen und lokal auf deinem Server hosten. Technisch einfach, rechtlich zwingend.

2. Kein oder mangelhafter Cookie-Banner

Das Problem: Banner ohne echte Wahlmöglichkeit ("Nur OK-Button"), vorausgewählte Checkboxen, versteckter Ablehnen-Button, oder Cookies die vor der Einwilligung geladen werden.

Der Fix: Cookie-Banner mit gleichwertigen Optionen (Akzeptieren/Ablehnen). Technisch sicherstellen, dass Cookies erst nach Einwilligung gesetzt werden. Tools wie Klaro oder Cookiebot helfen.

3. Fehlende oder veraltete Datenschutzerklärung

Das Problem: Keine Datenschutzerklärung vorhanden, oder eine Vorlage von 2018, die seitdem nicht aktualisiert wurde. Neue Tools (Chatbots, Booking-Widgets, Newsletter) sind nicht aufgeführt.

Der Fix: Datenschutzerklärung mit einem Generator erstellen (z. B. Datenschutz-Generator.de von Dr. Schwenke) und bei jeder Änderung aktualisieren.

4. Unvollständiges Impressum

Das Problem: Fehlende Pflichtangaben (Telefonnummer, Handelsregister, USt-ID), falscher Firmenname, oder Impressum nur über drei Klicks erreichbar.

Der Fix: Impressum nach § 5 DDG prüfen und vervollständigen. Link in Navigation oder Footer, erreichbar in maximal zwei Klicks.

5. Google Analytics ohne Einwilligung

Das Problem: Google Analytics wird geladen, bevor der Besucher dem Cookie-Banner zugestimmt hat. Oder: Analytics ist aktiv, aber in der Datenschutzerklärung nicht erwähnt.

Der Fix: Analytics erst nach Cookie-Opt-in laden. Besser noch: datenschutzfreundliche Alternative wie Plausible oder Matomo nutzen.

6. Kontaktformular ohne Datenschutzhinweis

Das Problem: Kontaktformulare, die personenbezogene Daten erfassen (Name, E-Mail, Nachricht), ohne Hinweis auf die Datenverarbeitung.

Der Fix: Checkbox mit Link zur Datenschutzerklärung hinzufügen. Darf nicht vorausgewählt sein.

7. Fehlende SSL-Verschlüsselung

Das Problem: Website läuft noch über HTTP statt HTTPS. Alle eingegebenen Daten werden unverschlüsselt übertragen.

Der Fix: SSL-Zertifikat aktivieren. Bei den meisten Hostern kostenlos (Let's Encrypt). HTTP auf HTTPS umleiten.

8. Social-Media-Buttons mit Tracking

Das Problem: Facebook Like-Button, Twitter Share-Widget oder LinkedIn-Plugins, die beim Seitenaufruf Tracking-Code laden, ohne dass der Besucher zugestimmt hat.

Der Fix: Eingebettete Buttons durch einfache Text-Links zu den Profilen ersetzen. Kein Tracking, kein Problem.

9. YouTube-Videos ohne 2-Klick-Lösung

Das Problem: Eingebettete YouTube-Videos laden beim Seitenaufruf Cookies und übertragen Daten an Google, bevor der Besucher irgendetwas angeklickt hat.

Der Fix: YouTube-nocookie-URL verwenden (youtube-nocookie.com statt youtube.com). Oder: 2-Klick-Lösung mit Vorschaubild, die das Video erst nach Klick lädt.

10. Fehlende AV-Verträge (unsichtbar, aber teuer)

Das Problem: Kein Auftragsverarbeitungsvertrag mit Hoster, Newsletter-Tool, Analytics-Anbieter oder CRM. Das sieht man der Website nicht an, ist aber eine Pflicht nach Art. 28 DSGVO.

Der Fix: Mit jedem Dienstleister, der in deinem Auftrag personenbezogene Daten verarbeitet, einen AV-Vertrag abschließen. Die meisten Anbieter stellen ihn kostenlos zum Download bereit.

Du willst alle Punkte systematisch abhaken? Unsere DSGVO-Checkliste für KMU führt dich Schritt für Schritt durch den gesamten Prozess.

Google Fonts, Analytics, Maps: Die größten Fallstricke

Drei Dienste von Google verursachen den Großteil aller DSGVO-Abmahnungen im Zusammenhang mit Websites. Hier die aktuelle Rechtslage 2026.

Google Fonts: Das 100-EUR-pro-Besucher-Problem

Im Januar 2022 verurteilte das LG München einen Website-Betreiber zur Zahlung von 100 EUR Schadensersatz, weil seine Website Google Fonts von externen Servern lud. Die Begründung: Durch den Abruf wird die IP-Adresse des Besuchers ohne Einwilligung an Google in die USA übertragen.

Was als Einzelfall begann, wurde zum Massenphänomen. Abmahnkanzleien scannen seitdem automatisiert Millionen von Websites und verschicken standardisierte Abmahnungen. Die Kosten pro Abmahnung: 170 bis 500 EUR. Bei einer Website mit 1.000 Besuchern pro Monat könnte der theoretische Schadensersatz bei 100.000 EUR liegen.

Die Lösung: Google Fonts herunterladen und lokal hosten. Das dauert 15 Minuten und kostet nichts. Es gibt sogar einen Google Webfonts Helper, der die nötigen CSS-Snippets automatisch generiert.

Google Analytics: Nur mit Opt-in

Google Analytics 4 (GA4) setzt Cookies und überträgt Daten an Google-Server. Ohne aktive Einwilligung deiner Besucher ist das nach TDDDG und DSGVO nicht erlaubt. Die österreichische Datenschutzbehörde hat Google Analytics 2022 sogar komplett für unzulässig erklärt.

In Deutschland ist die Nutzung mit Einwilligung weiterhin möglich, aber du brauchst:

  • Cookie-Opt-in vor dem Laden des Scripts
  • AV-Vertrag mit Google
  • IP-Anonymisierung (bei GA4 standardmäßig aktiv)
  • Begrenzte Speicherdauer
  • Erwähnung in der Datenschutzerklärung

Alternative: Plausible Analytics (EU-gehostet, cookie-frei, DSGVO-konform ohne Banner) oder Matomo (selbst gehostet).

Google Maps: Zwei-Klick oder gar nicht

Eine eingebettete Google-Maps-Karte lädt beim Seitenaufruf Cookies und überträgt IP-Adressen an Google. Ohne Einwilligung ist das ein Verstoß.

Die Lösung: Statisches Kartenbild als Platzhalter zeigen. Erst nach Klick ("Karte laden") das interaktive Google Maps einbetten. Oder: OpenStreetMap als datenschutzfreundliche Alternative verwenden.

Was tun, wenn dein Check Fehler zeigt?

Du hast deinen DSGVO Website Check durchgeführt und siehst rote Ampeln. Keine Panik. Die meisten Probleme sind in ein paar Stunden behoben. Die Frage ist: Selbst machen oder Profi beauftragen?

Selbst fixen: Diese Probleme schaffst du allein

  • SSL aktivieren: Bei deinem Hoster einschalten (oft ein Klick)
  • Google Fonts lokal hosten: CSS anpassen, Font-Dateien hochladen (15 Minuten)
  • Impressum ergänzen: Fehlende Angaben hinzufügen
  • Datenschutzerklärung aktualisieren: Generator nutzen, Link prüfen
  • YouTube-nocookie umstellen: URL im Embed-Code ändern
  • Social-Media-Buttons ersetzen: Embed durch Text-Links austauschen

Profi beauftragen: Wenn es komplex wird

  • Cookie-Banner technisch sauber implementieren: Sicherstellen, dass wirklich keine Cookies vor der Einwilligung gesetzt werden, erfordert technisches Wissen
  • Datenschutzerklärung individuell erstellen lassen: Wenn du besondere Verarbeitungstätigkeiten hast (Onlineshop, Bewerberportal, Kundendatenbank)
  • AV-Verträge und Verarbeitungsverzeichnis: Bei mehr als drei bis fünf externen Diensten wird es unübersichtlich
  • Komplett-Relaunch: Wenn deine Website grundlegende strukturelle DSGVO-Probleme hat (z. B. US-Baukasten ohne europäische Alternative)

Du willst deine Website nicht nur DSGVO-konform, sondern auch modern und professionell? Ein Relaunch mit KI-Unterstützung bringt DSGVO-Konformität, SEO und schnelles Design in einem Paket zusammen. Unsere Festpreis-Pakete starten bei 1.499 EUR.

Zum Thema Barrierefreiheit: Seit 2025 gelten neue gesetzliche Pflichten für digitale Barrierefreiheit. Was das für deine Website bedeutet, erfährst du in unserem Artikel zur Barrierefreiheit-Pflicht 2025. Unseren kostenlosen Barrierefreiheit-Check kannst du direkt im Anschluss durchführen.

Probleme erkannt? Jetzt beheben.

Starte mit dem kostenlosen Check und finde heraus, wo deine Website steht. Danach weißt du genau, was zu tun ist.

DSGVO Check starten →

FAQ: Häufige Fragen zum DSGVO Website Check

Was prüft ein DSGVO Website Check genau?

Ein DSGVO Website Check prüft typischerweise: Impressum (Vollständigkeit, Erreichbarkeit), Datenschutzerklärung, Cookie-Banner (Opt-in statt Opt-out), externe Ressourcen wie Google Fonts oder Analytics, SSL-Verschlüsselung, Kontaktformulare und Social-Media-Einbindungen. Unser kostenloser DSGVO Check deckt alle diese Punkte automatisch ab.

Ist ein kostenloser DSGVO Check genauso gut wie eine Anwaltsprüfung?

Ein automatisierter DSGVO Check erkennt technische Verstöße zuverlässig: fehlende SSL-Verschlüsselung, extern geladene Google Fonts, fehlendes Impressum, problematische Cookie-Banner. Für die inhaltliche Prüfung deiner Datenschutzerklärung oder komplexe Verarbeitungstätigkeiten brauchst du einen Fachanwalt. Der kostenlose Check ist ein sehr guter erster Schritt, um die offensichtlichen Probleme sofort zu finden.

Wie hoch sind DSGVO-Bußgelder in der Praxis?

Die DSGVO erlaubt Bußgelder bis 20 Millionen EUR oder 4 Prozent des Jahresumsatzes. In der Praxis liegen Strafen für KMU zwischen 500 und 50.000 EUR. Dazu kommen Abmahnkosten ab 170 EUR pro Fall. Ein einzelner Google-Fonts-Verstoß kostete ein Unternehmen 2022 bereits 100 EUR Schadensersatz pro Besucher.

Kann ich Google Analytics noch DSGVO-konform nutzen?

Ja, aber nur unter strengen Voraussetzungen: aktive Cookie-Einwilligung (Opt-in), AV-Vertrag mit Google, IP-Anonymisierung, begrenzte Speicherdauer und Hinweis in der Datenschutzerklärung. Datenschutzfreundlichere Alternativen sind Plausible Analytics oder Matomo (selbst gehostet), die teilweise ohne Cookie-Einwilligung funktionieren.

Sind Google Fonts auf meiner Website ein DSGVO-Problem?

Ja, wenn sie direkt von Google-Servern geladen werden. Dabei wird die IP-Adresse deiner Besucher an Google in die USA übertragen, ohne Einwilligung. Das LG München hat 2022 dafür 100 EUR Schadensersatz pro Besucher zugesprochen. Die Lösung: Google Fonts lokal auf deinem eigenen Server hosten. Unser DSGVO Check prüft automatisch, ob deine Website Fonts von externen Servern lädt.

Wie oft sollte ich einen DSGVO Check durchführen?

Mindestens einmal pro Quartal und nach jeder größeren Änderung an deiner Website: neues Plugin installiert, neues Tool eingebunden, Hoster gewechselt, Cookie-Banner geändert. Auch nach Gesetzesänderungen oder neuen Gerichtsurteilen lohnt sich ein erneuter Check. Da unser Tool kostenlos ist, kannst du es so oft nutzen wie du willst.

Reicht ein Cookie-Banner mit nur einem "OK"-Button?

Nein, das ist seit dem TDDDG (ehemals TTDSG) nicht mehr rechtskonform. Dein Cookie-Banner braucht eine echte Wahlmöglichkeit: "Akzeptieren" und "Ablehnen" müssen gleichwertig dargestellt sein. Der BGH hat 2025 bestätigt, dass Dark Patterns in Cookie-Bannern unzulässig sind. Außerdem dürfen nicht-essenzielle Cookies erst nach aktiver Einwilligung geladen werden.

Was muss in einem Impressum stehen?

Nach § 5 DDG (ehemals TMG) mindestens: vollständiger Name und Anschrift, Kontaktdaten (E-Mail, Telefon oder Kontaktformular), bei juristischen Personen die Rechtsform und den Vertretungsberechtigten, Handelsregisternummer falls vorhanden, Umsatzsteuer-ID falls vorhanden, und branchenspezifische Angaben (z. B. Kammer bei Handwerkern). Das Impressum muss von jeder Seite aus in maximal zwei Klicks erreichbar sein.