Inhalte Anzeigen

„Herr Müller, wir brauchen für unsere Webseite jetzt so einen Cookie-Banner.“
„Okay, schauen Sie mal, was es da kostenlos gibt, und nehmen Sie einfach irgendwas.“
„Und die Datenschutzerklärung?“
„Ich hab da was von einer anderen Webseite kopiert. Das reicht doch.“
„Wie? Das Kontaktformular ist nicht DSGVO-konform? Dann nehmen wir’s halt raus.“
„Nutzen wir eigentlich noch Google Analytics?“
„Keine Ahnung – das hat damals jemand anders gemacht …“

So oder so ähnlich dürfte es 2019 in vielen kleinen und mittelständischen Betrieben abgelaufen sein.

Und heute?

Ich wollte es genau wissen und habe deshalb 45 Webseiten von Handwerksbetrieben im Raum Potsdam unter die Lupe genommen, anhand klar definierter Prüfkriterien zur DSGVO-Konformität. Mein Ziel war es, einen ersten Eindruck davon zu gewinnen, wie Datenschutz in der Praxis kleiner und mittlerer Unternehmen (KMU) tatsächlich umgesetzt wird.

Die Wahl der Webseiten

Stichprobengröße:

45 KMU-Websites ( 1 ) aus dem Handwerksbereich, verteilt auf fünf Gewerke:

  • Dachdecker,
  • Fließenleger,
  • Elektroinstallation,
  • Maler & Lackierer,
  • Sanitär.

Hinweis: Die Digitalisierungsbereitschaft unterscheidet sich deutlich zwischen den Gewerken und wurde bei der Auswahl nicht gewichtet. Auch das ungleiche Branchengewicht kann zu einer leichten Verzerrung zugunsten digitalisierungsstärkerer Gewerke führen.

Auswahlkriterien:

Um eine möglichst realitätsnahe Streuung der Sichtbarkeit abzubilden, wurden verschiedene Quellen genutzt. Die Auswahl erfolgte annähernd gleichverteilt über die Kanäle:

  • 15 aus der Google Suche
  • 15 aus Branchenbuch „Meine Stadt, Gelbe Seiten, Cylex“
  • 15 aus Google Maps

Diese Mischung reduziert den Visibility Bias (z. B. durch stark SEO-optimierte Seiten) und ermöglicht auch eine realistischere Betrachtung lokaler Anbieter mit geringer Online-Sichtbarkeit.

Direkt zur Auswertung

Die Prüfkriterien (Stand Juni 2025)

Die Bewertung orientierte sich an zentralen, praxisrelevanten Anforderungen der DSGVO, wobei eine effiziente Analyse im Fokus stand.

Achtung jetzt wird es trocken aber wichtig für die rechtliche Einordnung!

Bewertungsscore anzeigen
Auswertung ansehen

Folgende Kriterien wurden einbezogen:

1. Cookie-Einwilligung

Webseiten müssen vor dem Setzen nicht technisch notwendiger Cookies oder dem Laden externer Dienste die aktive Einwilligung der Nutzer einholen. Ohne vorherige Zustimmung dürfen Analyse-Cookies, Werbe-Tracker oder ähnliche Technologien nicht eingesetzt werden.

In der Praxis bedeutet dies, dass alle entsprechenden Skripte (z. B. für Tracking, externe Medien) bis zur Einwilligung blockiert bleiben. Zudem muss für Nutzer eine einfache Möglichkeit bestehen, eine einmal erteilte Einwilligung jederzeit zu widerrufen – und zwar genauso leicht, wie sie gegeben wurde.

Cookie-Banner sollten daher nicht nur die Auswahl erlauben, sondern auch einen klaren Hinweis auf die Widerrufsmöglichkeit und einen leicht zugänglichen „Opt-out“-Mechanismus (z. B. über einen dauerhaften Einstellungs-Button) bieten.

Rechtliche Grundlage: Gemäß § 25 Abs. 1 TTDSG (Telekommunikation-Telemedien-Datenschutz-Gesetz, seit 2024 umbenannt in Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz, TDDDG) dürfen Cookies und ähnliche Informationen nur mit ausdrücklicher, informierter, freiwilliger, aktiver und vorheriger Einwilligung der Nutzer gespeichert oder ausgelesen werden.
Dies gilt für alle nicht unbedingt erforderlichen Cookies unabhängig davon, ob die dabei erfassten Daten personenbezogen sind. Die Einwilligung muss den Vorgaben der DSGVO entsprechen (Art. 4 Nr. 11, Art. 7 DSGVO). Insbesondere darf sie nicht durch voreingestellte Häkchen erschlichen werden und muss wirklich aktiv erfolgen. Außerdem verlangt Art. 7 Abs. 3 DSGVO, dass eine erteilte Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen werden kann und der Widerruf ebenso einfach wie die Erteilung sein muss. Diese Anforderungen wurden durch Urteile (z. B. EuGH Planet49, 2019) und Aufsichtsbehörden bekräftigt und sollten durch ein korrekt gestaltetes Consent-Management auf der Website umgesetzt werden.

2. Datenschutzerklärung

Jede Website benötigt eine leicht zugängliche und verständliche Datenschutzerklärung, die alle vorgeschriebenen Informationen vollständig aufführt. Darin muss der Nutzer klar erfahren, wer für die Datenverarbeitung verantwortlich ist und wie, zu welchem Zweck und auf welcher Rechtsgrundlage seine personenbezogenen Daten verarbeitet werden.

Für jede Datenverarbeitung sind die Rechtsgrundlage (z. B. Art. 6 Abs. 1 lit. a DSGVO bei Einwilligung, lit. b bei Vertragserfüllung etc.) und der Zweck anzugeben. Zudem müssen die Kategorien personenbezogener Daten (sofern nicht direkt beim Betroffenen erhoben) und die Empfänger oder Kategorien von Empfängern der Daten benannt werden.

Ebenfalls zwingend zu nennen ist, ob eine Datenübermittlung in ein Drittland stattfindet – und wenn ja, auf Basis welcher Absicherung (z. B. Angemessenheitsbeschluss der EU-Kommission oder Standardvertragsklauseln).

Weitere Pflichtangaben sind die Dauer der Speicherung bzw. die Kriterien für die Festlegung der Speicherdauer, die Betroffenenrechte (etwa Recht auf Auskunft, Löschung, Widerspruch), das Beschwerderecht bei einer Aufsichtsbehörde sowie – falls einschlägig – Informationen zur Widerruflichkeit einer Einwilligung und zum Bestehen automatisierter Entscheidungsfindung. Diese Informationen müssen zum Zeitpunkt der Datenerhebung bereitgestellt werden (bei direkten Erhebungen nach Art. 13 DSGVO, bei Drittquellen nach Art. 14 DSGVO).

Rechtliche Grundlage: Die Pflicht zu vollständigen Datenschutz-Informationen ergibt sich unmittelbar aus Art. 13 und 14 DSGVO (Informationspflichten). Anders als früher § 13 Telemediengesetz (TMG) gibt es im TTDSG keine separate Vorschrift zur Datenschutzerklärung – maßgeblich sind allein die Vorgaben der DSGVO. Ein Verweis auf „§ 13 TTDSG“ in diesem Kontext wäre falsch. Stattdessen verlangen Art. 13 Abs. 1 und Abs. 2 DSGVO detaillierte Angaben, darunter etwa die Speicherdauer und die Übermittlung in Drittländer samt Angabe eines Angemessenheitsbeschlusses oder geeigneter Garantien. Werden diese Informationspflichten verletzt (z. B. fehlende Angabe der Rechtsgrundlage oder Aufbewahrungsdauer), drohen nicht nur Sanktionen der Aufsichtsbehörden, sondern auch Abmahnungen im Rahmen des Wettbewerbsrechts. Eine aktuelle, DSGVO-konforme Datenschutzerklärung ist daher essenzieller Bestandteil jeder Website.

Direkt zur Auswertung

3. Impressum

Betreiber von Webseiten, die nicht rein privat sind, müssen ein Impressum (Anbieterkennzeichnung) leicht erkennbar, unmittelbar erreichbar und ständig verfügbar bereitstellen. Darin sind die wesentlichen Informationen über den Diensteanbieter aufzuführen. Mindestens anzugeben sind der Name bzw. die Firma des Anbieters (bei juristischen Personen inklusive Rechtsform und Vertretungsberechtigtem) und die Anschrift (ladungsfähige postalische Adresse).

Weiterhin vorgeschrieben sind Angaben zur schnellen Kontaktaufnahme: in der Regel eine E-Mail-Adresse und ein weiterer direkter Kommunikationsweg (etwa Telefonnummer) für unmittelbare Anfragen. Sofern einschlägig, müssen auch Registereintragungen (Handelsregister, Vereinsregister o. ä. inklusive Registernummer) und die Umsatzsteuer-Identifikationsnummer genannt werden. Diese Anforderungen gelten für alle geschäftsmäßigen, in der Regel gegen Entgelt angebotenen Online-Dienste – also praktisch alle Websites mit kommerziellem, berufsbezogenem oder wirtschaftlichem Hintergrund.

Mehr Infos zur Impressumspflicht.

4. Tracking/Analyse

Der Einsatz von Tracking- und Analysetools (wie z. B. Google Analytics, Matomo, Meta-Pixel von Facebook/Instagram) ist datenschutzrechtlich besonders kritisch und erfordert strenge Vorkehrungen. Vor einer Nutzung solcher Tools muss eine gültige Nutzereinwilligung eingeholt werden, da sie typischerweise Cookies setzen oder auf andere Weise auf dem Endgerät der Nutzer zugreifen, ohne für die Bereitstellung des Dienstes technisch erforderlich zu sein. Nach § 25 Abs. 1 TTDSG ist hierfür eine vorherige Zustimmung der Webseitennutzer nötig.

Die Einwilligung sollte über das Cookie-Banner oder ein Consent-Management-Tool gezielt für das jeweilige Analyse-Tool abgefragt werden, da rein berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO) als Rechtsgrundlage für Tracking nach aktueller Rechtslage nicht ausreichen. Zudem müssen die Einwilligungs-Banner klar über die Datenverarbeitung informieren (z. B. dass Nutzungsverhalten aufgezeichnet wird und ggf. an Dritte fließt) und dürfen standardmäßig deaktivierte Opt-ins voraussetzen, um wirksam zu sein.

Neben der Einwilligung sind weitere Aspekte zu beachten. Oft fungieren die Drittanbieter der Tracking-Tools als Auftragsverarbeiter für den Website-Betreiber, was den Abschluss eines schriftlichen Auftragsverarbeitungsvertrags nach Art. 28 DSGVO erfordert. Allerdings wird bei einigen Diensten, insbesondere beim Meta-Pixel und teils auch Google Analytics, die Rolle der Drittanbieter nicht rein als Auftragsverarbeiter gesehen. Hier kann eine gemeinsame Verantwortlichkeit nach Art. 26 DSGVO vorliegen, weil Anbieter und Website-Betreiber gemeinsam über Zwecke und Mittel der Datenverarbeitung entscheiden (zumindest hinsichtlich der Datenerhebung auf der Website). Dies wurde durch Gerichtsentscheidungen wie dem Fashion ID-Urteil des EuGH (2019) und Einschätzungen der Datenschutzaufsichtsbehörden untermauert.

In der Praxis bedeutet das: Bei Diensten wie dem Meta-Pixel muss der Webseitenbetreiber mit Meta eine Vereinbarung über gemeinsame Verantwortung schließen (Meta stellt hierfür ein „Page Insights“-Addendum bereit), und Google hat für Analytics entsprechende „Controller-Controller“-Klauseln eingeführt.

In der Datenschutzerklärung ist auf eine gemeinsame Verantwortlichkeit hinzuweisen, und den Nutzern ist das Wesentliche der Vereinbarung (wer welche Datenschutzpflicht erfüllt) zu erklären (Art. 26 Abs. 2 DSGVO). Zudem muss beachtet werden, wohin die durch Tracking-Tools erhobenen Daten fließen. Viele Analysetools übertragen Daten (etwa IP-Adresse, Gerätekennungen, Nutzungsverhalten) an Server von Drittanbietern, die nicht in der EU stehen (Google und Meta etwa verarbeiten Daten in den USA). Solche Drittlandübermittlungen sind in Abschnitt 7 gesondert behandelt, hier gilt es sicherzustellen, dass geeignete Schutzmechanismen vorhanden sind, oder die Einwilligung umfasst auch die Zustimmung zum Auslandstransfer. In der Summe sind Tracking-Tools nur dann datenschutzkonform einsetzbar, wenn vor der Aktivierung eine informierte Einwilligung vorliegt, Verträge und interne Dokumentationen (Verzeichnis von Verarbeitungstätigkeiten, ggf. DPIA) angepasst wurden und die Datenverarbeitung völlig transparent gegenüber dem Nutzer gemacht wird. Andernfalls haben Aufsichtsbehörden in der Vergangenheit Maßnahmen ergriffen, bis hin zu Untersagungen (z. B. österreichische und französische Behörden 2022 im Fall von Google Analytics) und es besteht ein erhebliches Abmahn- und Bußgeldrisiko.

5. Kontaktformulare & Einwilligungsmanagement

Kontaktformulare auf Webseiten sind praktisch, aber sie erheben personenbezogene Daten (z.B. Name, E-Mail-Adresse, Telefon, Nachrichtentext) und unterliegen damit den Anforderungen der DSGVO.
Bereits beim Ausfüllen oder Absenden des Formulars muss für den Nutzer ersichtlich sein, was mit seinen Daten geschieht. In unmittelbarer Nähe zum Formular oder durch einen klar erkennbaren Link zur Datenschutzerklärung, sind die nach Art. 13 DSGVO erforderlichen Informationen bereitzustellen. Dazu gehören insbesondere der Zweck der Datenerhebung (z.B. Bearbeitung der Kontaktanfrage), die Rechtsgrundlage, die Speicherdauer bzw. Kriterien für eine Löschung sowie Hinweise auf die Rechte der Betroffenen. Oft wird die Bearbeitung einer Kontaktanfrage auf Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahme auf Anfrage der Person) oder Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Beantwortung von Anfragen) gestützt. Dies sollte transparent in der Datenschutzerklärung erläutert werden. Werden die eingegebenen Daten für mehrere Zwecke verwendet (z. B. Anfrage beantworten und Newsletter anmelden), müssen diese Zwecke voneinander getrennt und jeweils spezifisch angegeben werden, damit der Nutzer differenziert einwilligen kann. Ein „kombiniertes“ Opt-in für verschiedene Zwecke ist unzulässig.
Granularität der Einwilligung ist hier das Stichwort: Für jeden eigenständigen Verarbeitungszweck muss eine separate Zustimmung eingeholt werden.

Erwägungsgrund 32 DSGVO stellt klar, dass bei Verarbeitungsvorgängen mit mehreren Zwecken die Einwilligung für alle diese Zwecke jeweils gegeben werden muss. Praktisch umgesetzt bedeutet das z.B., dass im Formular einzelne Ankreuzfelder für Newsletter, für Werbeeinwilligungen oder für die Weitergabe an Partner getrennt angeboten werden, anstatt einer Pauschalerklärung. Wichtig ist auch, dass die Einwilligungserklärung im Formular freiwillig ist. Sie darf nicht als Vorauswahl angehakt sein und die Leistung (z.B. die Beantwortung der Anfrage) nicht vom Ankreuzen unnötiger Zusatzfelder abhängig machen (Koppelungsverbot, Art. 7 Abs. 4 DSGVO).

Nutzer müssen erkennen können, dass sie z.B. einen Newsletter freiwillig abonnieren und die Antwort auf ihre Anfrage nicht davon abhängt. Zudem muss eine erteilte Einwilligung jederzeit widerrufbar sein; ein Hinweis hierauf („Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen“) gehört in die Einwilligungserklärung hinein. Wird im Kontaktformular beispielsweise die Zustimmung zu einer späteren werblichen Ansprache eingeholt, sollte der Widerruf so einfach möglich sein wie etwa eine Abmeldemöglichkeit im Newsletter (oder per formloser Mitteilung).

Hinweis: Oftmals wird fälschlich angenommen, § 26 BDSG (Bundesdatenschutzgesetz) könne als Rechtsgrundlage für Daten aus Kontaktformularen dienen. § 26 BDSG gilt jedoch ausschließlich für Beschäftigtendaten, insbesondere im Kontext von Bewerbungen oder Arbeitsverhältnissen. Für allgemeine Kontakt- oder Anfrageformulare auf der Website findet § 26 BDSG keine Anwendung, es sei denn, es handelt sich konkret um ein Bewerbungsformular für eine Stelle im Unternehmen. In normalen Kontaktformularen sind stattdessen die allgemeinen Rechtsgrundlagen der DSGVO (wie oben genannt) maßgeblich. Wenn das Formular allerdings der Übermittlung von Bewerbungsunterlagen dient, sollte die Verarbeitung dieser Bewerberdaten tatsächlich auf § 26 Abs. 1 BDSG gestützt und der Zweck “Durchführung des Bewerbungsverfahrens” angegeben werden und natürlich wiederum Art. 13-Informationen (etwa zur Aufbewahrung der Bewerbungsdaten) nicht vergessen werden.

Direkt zur Auswertung

6. SSL-Verschlüsselung

Die Verschlüsselung der Verbindung (SSL/TLS) ist heute für jede Website obligatorisch, die personenbezogene Daten verarbeitet. Sei es ein Kontaktformular, ein Login-Bereich oder ein Online-Shop. SSL-Verschlüsselung sorgt dafür, dass Daten, die Nutzer eingeben oder abrufen, nicht von Dritten unterwegs mitgelesen oder manipuliert werden können. Technisch erkennbar ist dies an der „https://“-URL und dem Schlosssymbol im Browser.

In Deutschland und Europa ist eine verschlüsselte Datenübertragung nicht nur Stand der Technik, sondern auch ein rechtlicher Erwartungswert: Gemäß Art. 32 DSGVO (Sicherheit der Verarbeitung) und dem Grundsatz der Vertraulichkeit aus Art. 5 Abs. 1 lit. f DSGVO müssen Verantwortliche geeignete technische und organisatorische Maßnahmen treffen, um personenbezogene Daten vor unbefugtem Zugriff zu schützen. Die Verschlüsselung von Datenübertragungen wird in Art. 32 Abs. 1 lit. a DSGVO ausdrücklich als Beispiel genannt und in der deutschen Umsetzung (§ 64 Abs. 2 BDSG) hervorgehoben. Dort wird klargestellt, dass der Schutz von Daten (etwa bei ihrer Übermittlung) insbesondere durch den Einsatz von Verschlüsselungsverfahren nach dem Stand der Technik erreicht werden kann.

Für Website-Betreiber bedeutet dies konkret: Formulare zur Eingabe personenbezogener Daten oder Zahlungsinformationen müssen über SSL/TLS abgesichert sein. Fehlt die Verschlüsselung (erkennbar an einem „http://“ statt „https://“), stellt dies einen Verstoß gegen die DSGVO dar, da die Sicherheit der Verarbeitung nicht gewährleistet ist. Die Aufsichtsbehörden haben wiederholt betont, dass unverschlüsselte Kontaktformulare unzulässig sind. In Einzelfällen kam es bereits zu Abmahnungen und Bußgeldern, wenn z. B. ein Kontaktformular ohne HTTPS angeboten wurde. Besonders im E-Commerce (Checkout-Prozess) wäre eine fehlende SSL-Verschlüsselung gravierend und leicht abmahnfähig.

Betreiber sollten daher sicherstellen, dass ihre gesamte Website (und insbesondere alle Bereiche mit Dateneingabe) durchgehend per HTTPS ausgeliefert wird. In der Praxis ist dies heute mit kostenlosen TLS-Zertifikaten (z.B. Let’s Encrypt) einfach umzusetzen. Zusätzlich sollten auch E-Mails, die über ein Formular generiert werden, möglichst verschlüsselt versendet oder abgerufen werden (Stichwort TLS bei der E-Mail-Kommunikation), um den Schutz der Daten end-to-end zu gewährleisten. Kurzum: SSL-Verschlüsselung ist ein unverzichtbarer Standard, um dem „Stand der Technik“ im Sinne von Art. 32 DSGVO gerecht zu werden und das Vertrauen der Nutzer zu gewinnen.

7. Einbindung externer Dienste & Drittlanddatenübermittlung

Viele Websites binden externe Dienste ein wie Google Maps, YouTube-Videos, Social-Media-Plugins (Like-Buttons, Feeds) oder Captcha-Dienste. Bei jeder solchen dynamischen Einbindung ist datenschutzrechtlich zu prüfen, ob dabei ein Zugriff auf das Endgerät der Nutzer erfolgt oder personenbezogene Daten an Dritte fließen.

In fast allen Fällen gilt: Externe Inhalte erst nach Einwilligung laden. Der Grund dafür liegt wieder in § 25 TTDSG (Schutz der Endgeräte). Sobald ein externes Element z.B. ein Cookie setzen oder Pixel auslesen könnte, ist das ein „Zugriff auf die Endeinrichtung“ und damit ohne Einwilligung unzulässig. Selbst wenn kein klassisches Cookie gesetzt wird, erfolgt doch beim Laden externer Inhalte eine Verbindung zu den Servern des Drittanbieters, wobei zumindest die IP-Adresse des Nutzers und weitere Geräteinformationen übertragen werden. Diese Datenübermittlung erfordert nach aktueller Auffassung ebenfalls eine vorherige Einwilligung, da sie für den Nutzer nicht zwingend erforderlich ist, um den Webservice zu nutzen.

Praktisch sollte dies durch ein zweistufiges Verfahren gelöst werden: Externe Inhalte (Karten, Videos, Social Plugins etc.) sind zunächst blockiert (Platzhalter oder Hinweisbox) und werden erst geladen, wenn der Nutzer aktiv zustimmt (z.B. „Karte von Google Maps anzeigen?“ anklicken und Einwilligung erteilen). So wird gewährleistet, dass keine unerlaubten Drittverbindungen im Hintergrund entstehen.

Ein weiterer kritischer Punkt bei externen Diensten ist die Datenübermittlung in Drittstaaten außerhalb der EU/des EWR, insbesondere in die USA. Viele bekannte Dienste (Google, Meta/Facebook, Twitter, Cloudflare, Vimeo u.a.) hosten ihre Inhalte auf Servern in den USA oder anderen Ländern ohne EU-Datenschutzniveau. Damit personenbezogene Daten (wie IP-Adressen oder Cookies) dorthin übertragen werden dürfen, müssen die strengen Voraussetzungen der Art. 44–49 DSGVO (Kapitel V) erfüllt sein.

Zunächst ist zu prüfen, ob ein gültiger Angemessenheitsbeschluss der EU-Kommission für das betreffende Drittland besteht (aktuell gibt es z. B. seit Juli 2023 einen Angemessenheitsbeschluss für die USA im Rahmen des „EU-US Data Privacy Framework“, sofern der konkrete Dienstanbieter zertifiziert ist). Falls kein Angemessenheitsbeschluss vorliegt, muss der Export der Daten auf geeignete Garantien gestützt werden, in der Praxis meist Standarddatenschutzklauseln (Standard Contractual Clauses, SCC) gemäß Art. 46 Abs. 2 lit. c DSGVO. Diese Vertragsklauseln verpflichten den Empfänger im Drittland, EU-Datenschutzstandards einzuhalten.

Allerdings hat der EuGH in der Schrems-II-Entscheidung (2020) klargestellt, dass SCC allein oft nicht genügen. Der Datenexporteur muss zusätzlich prüfen, ob im Empfängerland ein mit der EU vergleichbares Schutzniveau tatsächlich durchsetzbar ist. Dazu sind zusätzliche Maßnahmen und eine Transfer Impact Assessment (TIA) erforderlich

Ein TIA dokumentiert die Risiken für die Betroffenen im Zielland (z. B. Zugriffsmöglichkeiten durch Geheimdienste) und welche technischen/organisatorischen Maßnahmen man ergreift, um diese Risiken abzumildern. Gängige zusätzliche Schutzmaßnahmen sind etwa End-to-End-Verschlüsselung, Pseudonymisierung der Daten vor dem Transfer oder vertragliche Zusicherungen des Empfängers, im Fall von Behördenanfragen die Daten nicht herauszugeben.

In der Praxis sollten Webseitenbetreiber für jeden eingebundenen externen Dienst genau festhalten, ob ein Drittlandtransfer stattfindet und auf welcher Grundlage. In der Datenschutzerklärung muss transparent erläutert werden, dass und wohin Daten fließen. Beispielsweise sollte bei der Einbindung einer Google-Map nicht nur „Google Maps“ genannt sein, sondern auch ein Hinweis wie „Dabei können personenbezogene Daten (insbesondere Ihre IP-Adresse) in die USA an die Google LLC übertragen werden.“ Ebenso ist anzugeben, ob der Dienstleister unter dem EU-US Data Privacy Framework zertifiziert ist oder ob man SCC abgeschlossen hat, inklusive Hinweis auf die Möglichkeit von Behördenzugriffen im Empfängerland, falls keine Angemessenheit besteht.

Werden solche Hinweise oder Einwilligungen unterlassen, drohen gravierende Datenschutzverstöße: Nach Schrems II haben europäische Aufsichtsbehörden (etwa in Österreich, Frankreich) bestimmte US-Dienste auf Websites für unzulässig erklärt, solange kein adäquater Schutz nachgewiesen werden konnte. Theoretisch könnte man sich auf Art. 49 DSGVO (Ausnahmeregelungen für Einzel-Fälle, z. B. ausdrückliche Einwilligung der Betroffenen in den Transfer trotz Risiko) berufen, doch sehen die Behörden diese nur als letzte Notlösung. Wenn Einwilligungen für externe Dienste eingeholt werden, sollte daher möglichst zugleich eine informierte Einwilligung in die damit verbundene Drittlandübermittlung eingeholt werden.

Beispiel: Ein Video-Embed könnte einen Hinweis tragen „Mit Ihrer Einwilligung werden Daten an YouTube (Google) in den USA übertragen; dort besteht evtl. kein dem EU-Recht entsprechender Datenschutz – Details siehe Datenschutzerklärung.“ Der Nutzer kann dann bewusst zustimmen oder ablehnen.

Zusammengefasst sind bei externen Diensten zwei Ebenen zu prüfen: (1) Telemedienrechtlich nach TTDSG, ob ein Zugriff auf das Gerät stattfindet (was fast immer der Fall ist – daher Einwilligung erforderlich), und (2) Datenschutzrechtlich nach DSGVO, ob personenbezogene Daten fließen und wie deren Schutz bei internationalen Transfers gewährleistet wird. Beide Aspekte müssen in die Bewertung und Gestaltung (Consent-Banner, Datenschutzerklärung, Verträge mit Dienstleistern) einbezogen werden.

Direkt zur Auswertung

8. Google Fonts oder andere dynamisch geladene Schriften

Ein häufig diskutiertes Beispiel für externe Einbindungen sind Google Fonts, eine Schriftarten-Bibliothek von Google. Viele Websites laden Schriftarten bei jedem Besuch direkt vom Google-Server (dynamische Einbindung), was aus Datenschutzsicht problematisch ist.

Beim Aufruf einer solchen Seite wird die IP-Adresse des Nutzers an Google übertragen, und zwar bereits bevor der Nutzer irgendetwas klicken oder zustimmen kann. Auch wenn Google Fonts keine Cookies setzen, liegt hierin ein Zugriff auf Informationen der Endeinrichtung bzw. zumindest eine Übermittlung personenbezogener Daten an einen Dritten.

Da dieser Vorgang für die Darstellung der Seite nicht zwingend technisch notwendig ist (die Schrift könnte auch lokal vom Server der Website bereitgestellt werden), ist datenschutzrechtlich eine Einwilligung erforderlich, bevor Google Fonts extern geladen werden. Nach aktueller Rechtslage sollte man also Google Fonts nicht ohne vorheriges Opt-In des Nutzers vom Google-Server beziehen. Andernfalls verstößt man gegen das Prinzip der Freiwilligkeit und Kontrolle der Nutzer über ihre Daten. Tatsächlich hat das Landgericht München I im Januar 2022 entschieden (Az. 3 O 17493/20), dass die remote Einbindung von Google Fonts ohne Einwilligung rechtswidrig ist. In dem Fall wurde der Website-Betreiber zur Unterlassung verpflichtet und einem Nutzer wegen Verletzung des allgemeinen Persönlichkeitsrechts (informationelle Selbstbestimmung) Schadensersatz nach Art. 82 DSGVO zugesprochen. Das Gericht stellte klar, dass bereits die automatische Weiterleitung der IP-Adresse an Google einen Eingriff darstellt und ohne gültige Rechtsgrundlage (hier fehlende Einwilligung) nicht hinnehmbar ist.

Neben der Einwilligungsthematik greift auch hier die Problematik der Drittlandübermittlung: Google Fonts wird von Google LLC bereitgestellt, einem Unternehmen in den USA. Wird die Schriftart von Google-Servern geladen, fließen dabei personenbezogene Daten (wie IP-Adressen) in die USA. Wie im vorigen Abschnitt erläutert, ist dafür eine besondere Absicherung nötig (Angemessenheitsbeschluss oder geeignete Garantien nach Art. 44 ff. DSGVO). Google ist inzwischen nach dem neuen EU-US Data Privacy Framework zertifiziert, was den Datentransfer erleichtern kann, dennoch sollten Webseitenbetreiber vorsichtig sein. Im Zweifel sind Standardvertragsklauseln nebst Transferfolgenabschätzung erforderlich, um sich abzusichern.

Diese Formalitäten sind für eine bloße Schriftart-Einbindung kaum praxisgerecht, weshalb die Aufsichtsbehörden empfehlen, Google Fonts möglichst lokal einzubinden. Die lokale Einbindung bedeutet, dass die Schriftdateien auf dem eigenen Webserver gehostet werden und keine Verbindung zu Google entsteht. Das LG München hat ausdrücklich darauf hingewiesen, dass die lokale Nutzung datenschutzrechtlich unbedenklich ist, da keine personenbezogenen Daten an Dritte fließen.

Empfehlung: Wenn externe Ressourcen wie Schriftarten, Skripte oder Stylesheets von Drittanbietern genutzt werden sollen, prüfen Sie stets, ob sich diese Dateien lokal hosten lassen. Damit umgehen Sie die Notwendigkeit einer Einwilligung und eines Drittlandtransfers für diese Elemente vollständig.

Falls eine dynamische Einbindung unumgänglich ist, müssen Sie die Nutzer vorab informieren und um Erlaubnis fragen (z. B. via vorgeschaltetem Hinweisbanner: „Wir laden Schriftarten von Google-Servern. Möchten Sie diese laden? (Ja/Nein)“). In der Datenschutzerklärung sollte Google Fonts samt Datenübermittlung in die USA transparent beschrieben sein, inklusive Hinweis auf eventuell bestehende Risiken trotz getroffener Vorkehrungen. Durch diese Maßnahmen oder eben den Verzicht auf dynamische externe Bezüge, lässt sich das Risiko von Abmahnungen erheblich senken. Die Abmahnwelle 2022 im Zusammenhang mit Google Fonts hat gezeigt, dass selbst vermeintlich kleine Verstöße (eine Schriftart laden) erhebliche Konsequenzen haben können. Umso mehr gilt: Privacy by Design. Bereits bei der Gestaltung der Website sollte auf datensparsame und rechtskonforme Einbindungen geachtet werden, bevor Probleme auftreten.

Nicht negativ bewertet, aber kritisch beobachtet wurden Details wie:

  • fehlende oder nicht klickbare Verlinkungen im Cookie-Banner
  • keine Kennzeichnung externer Links
  • unklare Gestaltung von Checkboxen
  • Cookie-Banner nicht erneut aufrufbar
  • missverständliche Benennung der Buttons im Banner

Diese und weitere Feinheiten tragen ebenfalls zur DSGVO-Konformität bei, flossen jedoch nicht in die Gesamtbewertung ein.

Der Bewertungs Score

Alle Webseiten wurden anhand von acht festgelegten Prüfkriterien (siehe „Die Prüfkriterien (Stand Juni 2025“) auf ihre DSGVO-Konformität untersucht. Zusätzlich wurde das Kriterium „Hosting-Transparenz“ aufgenommen.
Ein Hostinganbieter ist in der Regel ein Auftragsverarbeiter, da er personenbezogene Daten wie IP-Adressen oder Serverlogs im Auftrag des Webseitenbetreibers verarbeitet.

Für jedes korrekt umgesetzte Kriterium wurde ein Punkt vergeben, sodass insgesamt bis zu 9 Punkte erreichbar waren.

Einige Kriterien wurden als K.o.-Kriterien gewertet. Das bedeutet: Wenn sie nicht erfüllt wurden, galt die gesamte Webseite als nicht bestanden – unabhängig von der Gesamtpunktzahl.

Diese K.o.-Kriterien waren:

  • Fehlender/nicht funktionierender Cookie Banner
  • Tracking/Analyse ohne Einwilligung
  • Einbindung externer Dienste & Drittlanddatenübermittlung ohne Einwilligung
  • Einbindung von Google Fonts oder ähnliche CDN-Fonts ohne Einwilligung

Ausschlaggebend ist in diesen Fällen die unrechtmäßige Übermittlung personenbezogener Daten an Dritte, was potenziell abmahnfähig ist.

Theoretisch können auch unvollständige oder fehlerhafte Datenschutztexte zu Abmahnungen führen. Ich bewerte solche Fälle jedoch milder, da hier meist kein konkreter Schaden für die Website-Besucher entsteht und der Betreiber in der Regel schnell nachbessern kann.

Zur Auswertung – Zwischen Pflicht und Praxis

Die DSGVO-Lücke im Handwerk

Nur 15 von 45 Webseiten haben den DSGVO-Check bestanden.

Die übrigen 30 sind aufgrund gravierender K.o.-Kriterien wie nicht blockierender Cookiebanner, extern eingebundener Fonts oder unzulässigem Tracking durchgefallen und damit potenziell abmahnfähig.

DSGVO Check Bestanden - nicht bestanden Pie Chart
Abb. 1: DSGVO Check – bestanden vs. nicht bestanden

Lediglich drei Webseiten erreichten die volle Punktzahl (siehe Abbildung 2 unten).
Dabei handelte es sich jedoch um Seiten, die komplett auf funktionale Elemente wie Kontaktformulare, Karten, Newsletter oder Analyse-Tools verzichtet haben.

DSGVO Check Handwerk Gesamtpunktzahl Chart
Abb. 2: Verteilung der DSGVO Gesamtpunktzahl

Viele Webseiten wirken nur deshalb konform, weil sie auf nahezu jede interaktive oder datenverarbeitende Funktion verzichten. Das senkt zwar das Risiko aber auch den Nutzen und die Zielerreichung erheblich.

Besonders häufig waren Datenschutzerklärungen inhaltlich unzutreffend oder veraltet. In vielen Fällen wurden scheinbar Textbausteine übernommen, die nicht zur tatsächlichen technischen Umsetzung der Webseite passten.
Ein wiederkehrendes Problem war der fehlende Hinweise zum Umgang mit Bewerberdaten, obwohl auf den Seiten offene Stellen ausgeschrieben waren.

DSGVO Kriterien Punkte Chart
Abb. 3: DSGVO Kriterien – Gesamtpunktzahl je Kategorie

Zu den häufigsten K.o.-Kriterien zählte die Einbindung von Drittanbietern ohne vorherige Einwilligung – darunter Google Maps, YouTube, reCAPTCHA, Facebook-Widgets, Google Rezensionen oder Marketingtools wie HubSpot.

Ebenso kritisch ist das Nachladen von Ressourcen über externe Domains, etwa durch Content Delivery Networks (CDN) oder Baukastensysteme. Diese initialisieren oft Cookies und Tracking-Skripte und wurden in den meisten Fällen weder benannt in der Datenschutzerklärung noch eine Einwilligung eingeholt.

DSGVO Check K.o.-Kriterien Chart
Abb. 4: Häufigkeit der K.o. Kriterien Verstöße

Fazit: Viele Probleme wären leicht zu beheben

Datenschutz ist keine Einbahnstraße.

Er schützt nicht nur die Rechte der Nutzer, sondern stärkt auch das Vertrauen in Unternehmen, insbesondere im Handwerk, wo persönliche Empfehlungen und Kundennähe zählen.

Wer digitale Angebote bereitstellt, sollte auch die Verantwortung für einen rechtskonformen und transparenten Umgang mit Daten übernehmen.
Viele der häufigsten DSGVO-Verstöße lassen sich mit überschaubarem Aufwand beheben. Es fehlt hier an klarer Anleitung.

Eine datenschutzkonforme Webseite benötigt Aufmerksamkeit und Know-how, sodass auch interaktive oder datenverarbeitende Funktionen (Statistik, Karten, Kontaktformulare etc.) sauber genutzt werden können.

Im zweiten Teil meiner Reihe #Check45 nehme ich die Webseiten von 45 Rechtsanwaltskanzleien im Raum Potsdam unter die Lupe. Ob sie den Datenschutz wirklich im Griff haben? Es bleibt spannend.

1 Die Analyse basiert auf einer gezielten Stichprobe von 45 Webseiten kleiner und mittelständischer Handwerksbetriebe im Raum Potsdam. Die Auswahl erfolgte bewusst gewerkeübergreifend (5 Branchen) und aus unterschiedlichen Quellen (Google-Suche, Branchenverzeichnisse, Kartenplattformen), um eine möglichst breite Sichtbarkeitsspanne abzubilden. Die Ergebnisse verstehen sich als explorativer Befund und bilden keinen statistisch repräsentativen Querschnitt, sondern sollen einen realitätsnahen Einblick in den Umsetzungsstand der DSGVO in der Praxis liefern. Die Check45-Reihe wird fortlaufend erweitert – u. a. um weitere Regionen und Gewerke.

Transparenzhinweis:
Diese Analyse stellt keine Rechtsberatung im Sinne des Rechtsdienstleistungsgesetzes (RDG) dar. Die Bewertung basiert auf öffentlich einsehbaren Informationen, gängigen Datenschutzstandards und technischen Best Practices. Für eine verbindliche rechtliche Einschätzung empfehle ich die Konsultation eines Fachanwalts für IT- und Datenschutzrecht.

DSGVO-Check-Paket für Handwerksbetriebe – mit 30 % Rabatt*.


Um den Einstieg zu erleichtern, erhalten Handwerksbetriebe mein DSGVO-Check-Paket aktuell mit 30 % Preisnachlass * – individuell angepasst und praxisnah umsetzbar.

Zum DSGVO-Check-Paket

*Das Angebot gilt für die Dauer der Check45-Reihe.

Quellenangaben

EU-Verordnungen & Richtlinien

  1. DSGVO (Datenschutz-Grundverordnung)
  2. Erwägungsgründe zur DSGVO

Nationale Gesetze (Deutschland)

  1. Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG, vormals TTDSG)
  2. Bundesdatenschutzgesetz (BDSG 2018)
  3. Digitale-Dienste-Gesetz (DDG)

Urteile und Entscheidungen

  1. EuGH – Planet49 (2019)
  2. EuGH – Fashion ID (2019)
  3. EuGH – Schrems II (2020)
  4. LG München I – Google Fonts Urteil (2022)

EU-US Data Privacy Framework

  1. Angemessenheitsbeschluss der EU-Kommission (USA, 2023)
  1. Zertifizierte US-Unternehmen (offizielle Liste)

Weitere Hilfreiche Quellen

  1. Datenschutzkonferenz (DSK) – Orientierungshilfen & FAQs
  1. BfDI – Bundesbeauftragter für den Datenschutz (Deutschland)
  1. EDSA – Europäischer Datenschutzausschuss (EDPB)