Was ist der Unterschied zwischen einem technischen DSGVO-Audit und einem Datenschutzbeauftragten?

Ich prüfe, was Ihre Website technisch tut: Welche externen Server kontaktiert sie? Welche Cookies setzt sie? Werden Daten ohne Einwilligung übertragen? Ein Datenschutzbeauftragter hingegen bewertet Ihre gesamte Datenverarbeitung im Unternehmen — Verarbeitungsverzeichnis, Auftragsverarbeitungsverträge, Mitarbeiterschulungen, Löschkonzepte. Beides ergänzt sich, ersetzt sich aber nicht.

Kann ich für Google Fonts wirklich abgemahnt werden?

Ja. Das LG München hat 2022 (Az. 3 O 17493/20) entschieden, dass die dynamische Einbindung von Google Fonts die IP-Adresse an Google übermittelt und damit gegen die DSGVO verstößt. Es sprach 100 € Schadenersatz zu. Seitdem gab es tausende Abmahnschreiben, auch gegen kleine Unternehmen. Die technische Lösung: Schriftarten lokal hosten, sodass kein Kontakt zu Google-Servern entsteht.

Reicht ein Cookie-Banner als DSGVO-Maßnahme?

Nein. Ein Cookie-Banner ist nur eine von vielen Maßnahmen. Es muss technisch korrekt implementiert sein: Vor der Einwilligung dürfen keine nicht-essenziellen Cookies gesetzt und keine externen Dienste geladen werden. Außerdem muss „Ablehnen“ genauso prominent sein wie „Akzeptieren“ — sonst ist der Banner selbst ein Verstoß (sogenanntes Dark Pattern, vgl. EDPB Guidelines 03/2022).

Was passiert mit meinen Daten während des Audits?

Ich analysiere ausschließlich die öffentlich zugängliche Website — also das, was jeder Besucher sieht. Ich benötige keinen Zugang zu Ihrem Backend, CMS oder Server. Die einzigen Daten, die ich verarbeite, sind die URL Ihrer Website und unsere Kommunikation. Der Audit-Bericht wird Ihnen zugestellt und nicht an Dritte weitergegeben.

Kann ich die Ergebnisse des Audits an meinen bestehenden Webentwickler weitergeben?

Ja, genau dafür ist der Bericht gedacht. Jede Fundstelle enthält eine technische Beschreibung, die ein Entwickler direkt umsetzen kann. Sie entscheiden selbst, ob Ihr Dienstleister die Probleme behebt oder ob ich das übernehme.

DSGVO · Datenschutz · Abmahnung

Verstößt Ihre Website gegen die DSGVO?

Google Fonts, YouTube-Embeds, Tracking ohne Consent — viele Websites übertragen personenbezogene Daten ohne Einwilligung. Ich prüfe Ihre Website technisch und zeige Ihnen genau, wo Risiken bestehen.

DSGVO-Check anfragen

Hintergrund

Warum Websites ein Datenschutz-Risiko sind

Die DSGVO gilt seit dem 25. Mai 2018. Trotzdem laden die meisten Websites auch heute noch externe Ressourcen, die personenbezogene Daten an Drittanbieter übermitteln — oft ohne dass der Betreiber es weiß oder der Besucher zugestimmt hat.

Der Grund: Viele Website-Baukästen und Templates integrieren standardmäßig Google Fonts über CDN, binden YouTube-Videos direkt ein oder setzen Tracking-Cookies vor jeder Einwilligung. Was technisch bequem ist, kann rechtlich problematisch sein.

Konkretes Risiko: Das LG München hat 2022 entschieden, dass allein die Einbindung von Google Fonts über fonts.googleapis.com einen DSGVO-Verstoß darstellt (Az. 3 O 17493/20, Urteil vom 20.01.2022).

Typische Verstöße

Die 8 häufigsten DSGVO-Verstöße auf Websites

Diese Probleme finde ich regelmäßig bei der Prüfung von Unternehmens-Websites. Die meisten sind technisch in wenigen Stunden behebbar — aber solange sie bestehen, sind es echte Abmahnrisiken.

1. Google Fonts via CDN

Die häufigste Ursache für Abmahnungen. Wenn Ihre Seite Schriftarten von fonts.googleapis.com lädt, wird bei jedem Seitenaufruf die IP-Adresse Ihrer Besucher an Google in den USA übermittelt — ohne Einwilligung, ohne Rechtsgrundlage. Lösung: Schriften lokal hosten.

2. Tracking ohne Einwilligung

Google Analytics, Facebook Pixel, Hotjar — wenn solche Dienste vor der Einwilligung im Cookie-Banner geladen werden, ist das ein Verstoß. „Laden bevor der Nutzer klickt" ist der häufigste Implementierungsfehler.

3. YouTube & Google Maps Embeds

Ein eingebettetes YouTube-Video oder eine Google-Maps-Karte überträgt die IP-Adresse des Besuchers sofort an Google — auch wenn das Video nicht abgespielt wird. Korrekt: Erst einen Platzhalter anzeigen und den Embed erst nach Klick/Einwilligung laden.

4. Cookie-Banner mit Dark Patterns

„Alle akzeptieren" als großer grüner Button, „Einstellungen" als kleiner grauer Link — das ist ein Dark Pattern und kein gültiger Consent. „Ablehnen" muss genau so prominent und erreichbar sein wie „Akzeptieren".

5. Kontaktformulare ohne Zweckangabe

Jedes Formular, das personenbezogene Daten erhebt, braucht eine Angabe zum Verarbeitungszweck und einen Link zur Datenschutzerklärung. Fehlt die Checkbox mit Verweis auf die Datenschutzerklärung, fehlt die informierte Einwilligung.

6. Fehlende oder generische Datenschutzerklärung

Eine Datenschutzerklärung muss konkret beschreiben, welche Daten Sie auf Ihrer Website erheben und warum. Generische Vorlagen, die nicht zu Ihrer tatsächlichen Datenverarbeitung passen, erfüllen die Anforderungen nicht.

7. HTTP statt HTTPS

Formulardaten über eine unverschlüsselte HTTP-Verbindung zu übertragen, verstößt gegen die technischen Schutzpflichten der DSGVO (Art. 32 DSGVO). Im Jahr 2026 sollte jede Website ausnahmslos über HTTPS erreichbar sein.

8. Externe CDNs und Ressourcen

jQuery von cdnjs.cloudflare.com, Icons von FontAwesome CDN, Bootstrap von StackPath — jede externe Ressource überträgt die IP-Adresse Ihrer Besucher an den CDN-Betreiber. Lösung: Alle Ressourcen selbst hosten.

Schnelltest

5 Punkte, die Sie sofort selbst prüfen können

Diese Checks ersetzen kein vollständiges Audit — aber sie decken die häufigsten Abmahnrisiken ab und kosten Sie nur 10 Minuten.

Google Fonts prüfen

Öffnen Sie Ihre Website, drücken Sie F12 (Entwicklertools), wechseln Sie zum Tab „Netzwerk" und laden Sie die Seite neu. Suchen Sie nach „fonts.googleapis.com" oder „fonts.gstatic.com". Wenn Sie Treffer sehen, laden Ihre Schriften extern — das ist ein DSGVO-Verstoß.

Cookie-Banner testen

Öffnen Sie Ihre Seite im Inkognito-Modus. Erscheint ein Cookie-Banner? Ist „Ablehnen" genauso sichtbar wie „Akzeptieren"? Drücken Sie „Ablehnen" und prüfen Sie in den Entwicklertools, ob trotzdem Cookies gesetzt wurden.

Externe Dienste identifizieren

Im Netzwerk-Tab der Entwicklertools: Filtern Sie nach Drittanbieter-Domains. Jede Domain, die nicht Ihre eigene ist, überträgt potenziell IP-Adressen. Typische Treffer: Google, Facebook, Hotjar, Cloudflare, YouTube.

HTTPS prüfen

Rufen Sie Ihre Website mit „http://" (ohne s) auf. Werden Sie automatisch auf „https://" weitergeleitet? Wenn nicht, ist Ihre Seite unverschlüsselt erreichbar — ein Sicherheits- und DSGVO-Problem.

Datenschutzerklärung checken

Ist die Datenschutzerklärung von jeder Seite (auch von Unterseiten) in maximal 2 Klicks erreichbar? Listet sie konkret auf, welche Dienste Sie einsetzen (Analytics, Fonts, Kontaktformular, Hosting)?

Wichtig zu wissen

Was ein technisches DSGVO-Audit abdeckt

Mein Audit prüft die technische Umsetzung Ihrer Website: Welche externen Dienste werden geladen? Werden Cookies ohne Consent gesetzt? Sind Formulare korrekt abgesichert? Sind alle eingesetzten Dienste in der Datenschutzerklärung genannt?

Was ich nicht abdecke: Verarbeitungsverzeichnisse (Art. 30 DSGVO), Auftragsverarbeitungsverträge mit Ihren Dienstleistern, die Bewertung Ihrer internen Datenflüsse oder eine vollständige rechtliche Beurteilung. Dafür empfehle ich einen spezialisierten Anwalt oder Datenschutzbeauftragten.

Mein Fokus: Ich finde die technischen Probleme, die ein Abmahnrisiko darstellen, und behebe sie auf Wunsch direkt. Das macht einen Datenschutzbeauftragten nicht überflüssig — aber es reduziert die naheliegendsten Risiken sofort.

Auch relevant: Datenschutz-Probleme überschneiden sich häufig mit Barrierefreiheits-Mängeln. Extern geladene Ressourcen beeinträchtigen nicht nur die DSGVO-Konformität, sondern oft auch Ladezeit und Zugänglichkeit.

Barrierefreiheits-Audit

Seit Juni 2025 ist digitale Barrierefreiheit Pflicht. Ich prüfe Ihre Website gegen WCAG 2.1 AA und identifiziere konkrete Mängel.

Zur Barrierefreiheits-Prüfung

Komplettes Website-Audit

DSGVO, Barrierefreiheit und technische Qualität in einer zusammenhängenden Prüfung.

Zum Website-Audit

BFSG-Ratgeber

Bin ich vom Barrierefreiheitsstärkungsgesetz betroffen? Was muss meine Website erfüllen?

Zum BFSG-Ratgeber

FAQ

Häufige Fragen zum DSGVO-Audit

Ich prüfe, was Ihre Website technisch tut: Welche externen Server kontaktiert sie? Welche Cookies setzt sie? Werden Daten ohne Einwilligung übertragen? Ein Datenschutzbeauftragter hingegen bewertet Ihre gesamte Datenverarbeitung im Unternehmen — Verarbeitungsverzeichnis, Auftragsverarbeitungsverträge, Mitarbeiterschulungen, Löschkonzepte. Beides ergänzt sich, ersetzt sich aber nicht.
Ja. Das LG München hat 2022 (Az. 3 O 17493/20) entschieden, dass die dynamische Einbindung von Google Fonts die IP-Adresse an Google übermittelt und damit gegen die DSGVO verstößt. Es sprach 100 € Schadenersatz zu. Seitdem gab es tausende Abmahnschreiben, auch gegen kleine Unternehmen. Die technische Lösung: Schriftarten lokal hosten, sodass kein Kontakt zu Google-Servern entsteht.
Nein. Ein Cookie-Banner ist nur eine von vielen Maßnahmen. Es muss technisch korrekt implementiert sein: Vor der Einwilligung dürfen keine nicht-essenziellen Cookies gesetzt und keine externen Dienste geladen werden. Außerdem muss „Ablehnen“ genauso prominent sein wie „Akzeptieren“ — sonst ist der Banner selbst ein Verstoß (sogenanntes Dark Pattern, vgl. EDPB Guidelines 03/2022).
Ich analysiere ausschließlich die öffentlich zugängliche Website — also das, was jeder Besucher sieht. Ich benötige keinen Zugang zu Ihrem Backend, CMS oder Server. Die einzigen Daten, die ich verarbeite, sind die URL Ihrer Website und unsere Kommunikation. Der Audit-Bericht wird Ihnen zugestellt und nicht an Dritte weitergegeben.
Ja, genau dafür ist der Bericht gedacht. Jede Fundstelle enthält eine technische Beschreibung, die ein Entwickler direkt umsetzen kann. Sie entscheiden selbst, ob Ihr Dienstleister die Probleme behebt oder ob ich das übernehme.

Quellen & Rechtsgrundlagen

DSGVO — Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016, anwendbar seit 25.05.2018
LG München I, Urteil vom 20.01.2022, Az. 3 O 17493/20 — Schadenersatz wegen dynamischer Google-Fonts-Einbindung
Art. 32 DSGVO — Sicherheit der Verarbeitung (technische und organisatorische Maßnahmen)
Art. 30 DSGVO — Verzeichnis von Verarbeitungstätigkeiten
EDPB: Guidelines 03/2022 on Deceptive Design Patterns in Social-Media-Interfaces — anwendbar auf Cookie-Banner und Consent-Dialoge

Kontakt

DSGVO-Check anfragen?

Schreiben Sie mir Ihre URL — ich schaue mir die Seite an und sage Ihnen ehrlich, ob ein Audit sinnvoll ist.

E-Mailinfo@michaelsack-web.de WhatsAppDirekt schreiben