DSGVO

Häufige DSGVO-Fehler auf Websites — Typische Abweichungen und wie sie entstehen

Die meisten DSGVO-Abweichungen auf Websites entstehen nicht aus Unwissenheit über die Regeln — sondern weil der tatsächliche technische Zustand einer Website für den Betreiber nicht vollständig sichtbar ist. Die Absicht, konform zu sein, und der technische Zustand sind zwei verschiedene Dinge.

Wie DSGVO-Abweichungen entstehen

Websites werden nach der initialen Einrichtung kontinuierlich verändert: Plugins werden installiert, Themes aktualisiert, Drittanbieter-Dienste hinzugefügt, Inhalte angepasst. Jede dieser Änderungen kann neue datenschutzrechtliche Implikationen erzeugen — die Datenschutzerklärung wird dabei selten synchron aktualisiert.

Das Ergebnis ist ein Zustand, den niemand bewusst herbeigeführt hat: eine Datenschutzerklärung, die bei der Erstellung korrekt war, aber den aktuellen technischen Zustand der Website nicht mehr abbildet.

Diese strukturelle Drift ist typisch für Websites, die länger als sechs Monate ohne explizite Datenschutzprüfung betrieben werden. Sie entsteht nicht durch Nachlässigkeit, sondern durch das Auseinanderfallen von Website-Weiterentwicklung und Compliance-Dokumentation — zwei Prozesse, die in der Praxis unabhängig voneinander laufen.

Datenschutzerklärung bei Launch korrekt ≠ nach Änderungen weiterhin vollständig

Plugin als „DSGVO-konform" beworben ≠ datenschutzkonform in dieser konkreten Konfiguration

Kein bekanntes Problem ≠ kein tatsächlicher Verstoß

Ob diese Konfiguration auf Ihrer Website tatsächlich so umgesetzt ist, lässt sich ohne technische Analyse nicht feststellen. Eine visuelle Prüfung der Website reicht dafür nicht aus.

Tatsächlich umgesetzte Datenverarbeitungen weichen in vielen Fällen von der Dokumentation ab — durch Dienste, die nach der Erstellung der Datenschutzerklärung hinzugekommen sind oder deren Konfiguration sich geändert hat.

Der technische Zustand Ihrer Website stimmt in vielen Fällen nicht mit der Datenschutzerklärung überein.

Die Analyse bildet genau diese technische Prüfung ab — tatsächliche Erreichbarkeit, technische Einbindung und reale Lade- und Verarbeitungsprozesse.

Website prüfen

Warum sich DSGVO-Abweichungen von außen erkennen lassen

Die beschriebenen Abweichungen sind nicht nur intern detektierbar — sie sind von außen technisch messbar. Welche externen Dienste eine Website beim Seitenaufruf aktiviert, ist durch HTTP-Traffic-Analyse ohne Quellcode-Zugang feststellbar. Ob Tracking-Skripte vor der Einwilligungsentscheidung feuern, ist im Netzwerk-Tab nachvollziehbar. Ob die Datenschutzerklärung einen erkannten Dienst nennt, lässt sich durch Textabgleich prüfen.

Automatisierte Prüfsysteme führen genau diese Analysen systematisch und skaliert durch. Die Dokumentation einer Abweichung — erkannter Dienst, fehlende Nennung in der Datenschutzerklärung, Tracking-Request vor Einwilligung — erfolgt vor der Abmahnung und bevor der Betreiber von der Prüfung weiß.

Die häufigsten DSGVO-Abweichungen in der Praxis

Externe Dienste ohne Datenschutz-Abdeckung

Google Fonts, Kartendienste, YouTube-Einbettungen, Social-Media-Buttons, Chat-Widgets — alle diese Dienste übertragen Nutzerdaten an externe Server, sobald eine Seite geladen wird. Wenn sie nach der Erstellung der Datenschutzerklärung eingebunden wurden, sind sie dort nicht erwähnt. Diese Lücke ist von außen durch Netzwerkanalyse erkennbar — dem Betreiber aber in vielen Fällen nicht bewusst.

Cookie-Banner ohne technische Wirkung

Das häufigste Einzelproblem: Der Cookie-Banner erscheint, aber Tracking-Skripte laufen bereits beim initialen Seitenaufruf — bevor der Nutzer eine Entscheidung getroffen hat. Das passiert, wenn Skripte direkt im <head> eingebunden sind statt über einen Consent-gesteuerten Loader. Das Consent-Tool zeigt den Banner an, kontrolliert aber nicht den Ladzeitpunkt der Skripte.

Google Fonts lokal nicht eingebunden

Google Fonts, die über das Google-CDN geladen werden (fonts.googleapis.com), übertragen bei jedem Aufruf die IP-Adresse des Nutzers an Google-Server. Die Alternative — lokales Einbinden der Schriftdateien — wird in vielen Fällen nicht umgesetzt, weil sie technischen Aufwand erfordert. Der ursprüngliche CDN-Aufruf bleibt bestehen, ohne dass es dem Betreiber auffällt.

Veraltete Datenschutzerklärung

Datenschutzerklärungen, die vor mehreren Jahren mit einem Generator erstellt wurden, bilden den aktuellen Stand der Website selten ab. Anbieter wie Google haben ihre Datenverarbeitungsbedingungen seither mehrfach geändert. Neue Dienste wurden eingebunden. Die Erklärung wurde nicht aktualisiert.

Fehlende oder unvollständige Auftragsverarbeitungsverträge

Dienstleister, die im Auftrag des Betreibers Nutzerdaten verarbeiten — Hosting-Anbieter, E-Mail-Dienste, Analytics-Tools, Newsletter-Plattformen — erfordern Auftragsverarbeitungsverträge nach Art. 28 DSGVO. Diese werden in vielen Fällen nicht systematisch abgeschlossen. Ob sie vorhanden sind, ist ohne Überprüfung der Anbieter-Accounts und der Vertragsunterlagen nicht feststellbar.

Rechtsgrundlagen fehlen oder sind falsch

Für jeden Verarbeitungsvorgang muss eine konkrete Rechtsgrundlage nach Art. 6 DSGVO benannt sein. In der Praxis fehlen Rechtsgrundlagen in vielen Fällen für einzelne Dienste oder sind falsch angegeben — zum Beispiel „Einwilligung" für Verarbeitungen, bei denen tatsächlich „berechtigtes Interesse" die zutreffende Grundlage wäre, oder umgekehrt.

Typische Fehlannahme

Annahme: „Meine Website wurde von einer Agentur DSGVO-konform eingerichtet — seitdem hat sich das nicht verändert."

Tatsächlich: DSGVO-Konformität ist kein statischer Zustand, der einmal hergestellt und dann gehalten wird. Jede Änderung an der Website — ein neues Plugin, ein Update, ein neuer Dienst, eine geänderte Konfiguration — kann den Zustand verändern. Agenturen richten Compliance zum Zeitpunkt der Übergabe ein; danach liegt die Verantwortung beim Betreiber. Ohne regelmäßige Prüfung entsteht unweigerlich eine Drift zwischen dokumentiertem und tatsächlichem Zustand — und diese Drift ist für den Betreiber unsichtbar, für externe Prüfsysteme jedoch reproduzierbar erkennbar.

Warum die Abweichungen ohne Prüfung nicht erkennbar sind

Viele der beschriebenen Probleme sind beim normalen Surfen vollständig unsichtbar. Ob ein Tracking-Skript vor oder nach der Einwilligung lädt, ist nur mit Browser-Entwicklerwerkzeugen oder Netzwerkanalyse-Tools feststellbar. Ob externe Dienste Daten übertragen, zeigt sich erst bei Analyse der HTTP-Requests. Ob die Datenschutzerklärung mit dem aktuellen technischen Zustand übereinstimmt, erfordert einen Abgleich beider Zustände.

Wer diese Prüfungen nicht vorgenommen hat, kann die Frage „Ist meine Website DSGVO-konform?" nicht verlässlich beantworten — und auch nicht anhand der Tatsache beurteilen, dass keine Beschwerden eingegangen sind. Beschwerdelosigkeit ist kein Indikator für Konformität; externe Prüfungen durch Wettbewerber oder Datenschutzbehörden erfolgen ohne Ankündigung.

Der entscheidende Zustand ist nicht das, was auf der Website sichtbar ist, sondern das, was im Hintergrund technisch passiert. Dieser Zustand ist ohne Analyse nicht zugänglich.

Die Analyse bildet genau diese technische Prüfung ab — tatsächliche Erreichbarkeit, technische Einbindung und reale Lade- und Verarbeitungsprozesse.

Website prüfen

Wenn diese Prüfung nicht durchgeführt wurde, gibt es keine verlässliche Grundlage für die Annahme, dass die Website DSGVO-konform ist.

Diese Inhalte stellen keine Rechtsberatung dar. Für verbindliche Einschätzungen wenden Sie sich an eine qualifizierte Fachperson.

Die Einschätzung, dass die eigene Website korrekt umgesetzt ist, basiert in vielen Fällen nicht auf einer technischen Prüfung, sondern auf Annahmen über den Zustand der Implementierung.

Diese Annahmen sind ohne externe Analyse nicht verifizierbar.

In vielen Fällen besteht bereits eine Abweichung zwischen dem angenommenen und dem tatsächlichen Zustand der Website.

Ob auf Ihrer Website DSGVO-Abweichungen bestehen, lässt sich ohne technische Prüfung nicht feststellen.

Die Analyse bildet genau diese Prüfung ab.

Website prüfen