DSGVO-Verstoß auf der Website: Was droht deutschen Unternehmen wirklich?

DSGVO-Verstöße auf Websites sind keine abstrakte Gefahr. Sie sind konkret, messbar und teuer. Trotzdem unterschätzen viele deutsche Unternehmer das Risiko — weil sie denken, ihre Website sei zu klein, um aufzufallen.

Die Realität sieht anders aus. In Stichproben-Audits über fünf Branchen hinweg haben wir festgestellt: Keine einzige der geprüften KMU-Websites war vollständig DSGVO-konform. Von fehlendem Cookie-Banner bis zu Tracking ohne Einwilligung — die Verstöße ziehen sich durch alle Unternehmensgrößen.

Die drei häufigsten DSGVO-Verstöße auf KMU-Websites

1. Tracking vor der Einwilligung

Google Analytics, Google Tag Manager oder Facebook Pixel laden, bevor der Nutzer zugestimmt hat. In unseren Audits war das der häufigste Befund — bei 4 von 5 geprüften Websites.

Besonders problematisch: Wenn der Google Tag Manager mehrere Container gleichzeitig lädt. Wir haben Fälle gefunden, in denen zwei GTM-Container parallel liefen — ein Überbleibsel aus einer Website-Migration. Die Konsequenz: Tags feuern unkontrolliert, selbst wenn ein Consent-Tool eingerichtet ist.

2. Fehlendes oder defektes Cookie-Banner

Manche Websites haben keinen Cookie-Banner. Andere haben einen, aber er funktioniert nicht: Die technische Verbindung zum Tag Manager fehlt, Skripte laden trotzdem, oder der „Ablehnen“-Button ist versteckt.

In unserer Stichprobe fehlte bei einer Website die Cookie-Einwilligungsverwaltung komplett — trotz eingebundener Drittanbieter-Skripte. Die Datenschutzkonferenz (DSK) hat klargestellt: Ohne echte Wahlfreiheit ist eine erteilte Einwilligung unwirksam.

3. Externe Drittanbieter-Einbindungen ohne Einwilligung

Google Fonts (extern geladen), YouTube-Embeds, Google Maps oder Social-Media-Widgets — jede dieser Einbindungen überträgt personenbezogene Daten an Drittanbieter. Ohne Einwilligung ist das nach DSGVO und TTDSG unzulässig.

Was droht bei DSGVO-Verstößen?

Abmahnungen

Seit dem LG-München-Urteil zu Google Fonts (2022) sind Massenabmahnungen ein lukratives Geschäft. Typische Forderung: 100 € pro Website-Aufruf mit externem Google-Fonts-Laden. Bei einer Website mit 10.000 monatlichen Besuchern rechnen Abmahner schnell mit sechsstelligen Summen.

Bußgelder

Die DSGVO erlaubt Bußgelder bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes. Für KMU sind die Beträge niedriger, aber auch 5.000 bis 50.000 € sind für ein kleines Unternehmen schmerzhaft. Die Datenschutzbehörde Hamburg hat 2025 erstmals branchenweite Prüfserien bei KMU-Websites angekündigt.

Vertrauensverlust

Kunden werden aufmerksamer. Ein fehlendes Cookie-Banner signalisiert: Dieses Unternehmen nimmt Datenschutz nicht ernst. Bei Dienstleistern — Zahnarzt, Anwalt, Agentur — wiegt das besonders schwer, weil Vertrauen die Grundlage der Geschäftsbeziehung ist.

Branchen mit besonders hohem Risiko

Nicht alle Branchen sind gleich betroffen. In unseren Audits waren diese Muster besonders auffällig:

• Zahnarztpraxen: Häufig WordPress-Websites mit veralteten Plugins. Cookie-Banner vorhanden, aber technisch nicht mit dem GTM verbunden. Doppelte GTM-Container nach Relaunch.
• Restaurants und Gastronomie: Einfache Websites ohne jede Einwilligungsverwaltung. Google Maps und Social-Media-Embeds laden unkontrolliert.
• Agenturen: Tracking korrekt eingerichtet — aber ohne Consent-Steuerung. Chat-Widgets ohne KI-Kennzeichnung (EU AI Act). Zwei DSGVO-Befunde trotz technisch versiertem Team.
• Anwaltskanzleien: Paradox: Kanzleien, die Mandanten in Datenschutzfragen beraten, haben selbst DSGVO-Lücken auf der eigenen Website. Mehrere GTM-Container, fehlende Regionalerkennung.
• Möbelhändler: Bot-Blocking verhindert teilweise die Prüfung, aber wo Zugang möglich war, fehlte die Cookie-Einwilligung.

Was einen guten DSGVO-Check ausmacht

Ein professioneller DSGVO-Audit prüft nicht nur, ob ein Cookie-Banner existiert. Er analysiert:

• Welche Skripte vor der Einwilligung laden (Netzwerk-Analyse)
• Ob der Cookie-Banner technisch mit dem Tag Manager verbunden ist
• Welche Drittanbieter-Verbindungen beim Seitenaufruf hergestellt werden
• Ob Google Fonts extern oder lokal eingebunden sind
• Ob die Datenschutzerklärung vollständig und aktuell ist

Nächster Schritt

DSGVO-Verstöße auf Ihrer Website müssen kein dauerhaftes Risiko sein. Die meisten Probleme sind in wenigen Stunden lösbar — wenn Sie wissen, wo sie liegen. Ein automatisierter Website-Audit zeigt Ihnen in unter zwei Minuten, welche konkreten DSGVO-Befunde auf Ihrer Website existieren.