Zurück zum Blog
7 Min. Lesezeit
Compliance

DSGVO: rechtliche Seiten, Drittanbieter-Tracker und Cookie-Banner unter der Lupe

Eine fehlende Datenschutzerklärung ist ein rechtlicher blinder Fleck. Ein Cookie-Banner ohne Ablehnen-Button ist ein tickendes Bußgeld. Die Tests #34 und #57 erkennen beides, bevor es eine Aufsichtsbehörde tut.

Kernpunkte
  • Test #34 erkennt Signale für rechtliche Seiten: Impressum, Datenschutzerklärung, AGB, Cookie-Richtlinie. 3 von 4 Kategorien fehlen = Bewertung 20/100
  • Test #57 erkennt Cookie-Einwilligungsmechanismen: bekannte CMP-Plattformen, TCF v2 API, Consent Mode, generische Banner-Muster. Kein Banner = Bewertung 20/100
  • DSGVO-Bußgelder können 4 % des Jahresumsatzes oder 20 Millionen Euro erreichen — Agenturen, die Compliance-Prüfungen in ihre Audits einbeziehen, nutzen eine angstgetriebene Nachfrage

DSGVO-Compliance ist nicht optional. Seit 2018 muss jede Website, die europäische Nutzer anspricht, klare rechtliche Seiten anzeigen, vor dem Setzen von Cookies eine Einwilligung einholen und einen echten Ablehnungsmechanismus bieten. Dennoch laden 2026 erschreckend viele WordPress-Seiten Google Analytics noch vor jeder Einwilligung — oder haben schlicht kein Cookie-Banner.

Die Konsequenzen sind nicht theoretisch. Allein 2024 verhängten europäische Datenschutzbehörden über 2 Milliarden Euro an Bußgeldern. Kleine Unternehmen sind nicht ausgenommen: Die französische CNIL sanktioniert regelmäßig KMU wegen fehlender Datenschutzerklärungen und nicht konformer Cookie-Banner. Für Agenturen und Freelancer ist dies sowohl ein Risiko als auch eine Chance.

Orilyt führt zwei ergänzende Tests durch. Test #34 prüft, ob die Website Pflichtseiten anzeigt — Impressum, Datenschutzerklärung, AGB. Test #57 erkennt, ob ein Cookie-Einwilligungsmechanismus existiert und korrekt implementiert ist. Zusammen decken sie die zwei Säulen der DSGVO-Compliance einer Website ab.

DSGVO-Compliance-Tests: Erkennung rechtlicher Seiten, Überprüfung des Cookie-Banners und Analyse von Drittanbieter-Trackern

Test #34: Sind Ihre rechtlichen Seiten vorhanden?

Test #34 scannt den vollständigen HTML-Quellcode der auditierten Seite nach Schlüsselwort-Signalen in vier Kategorien:

  1. Impressum (mentions légales / legal notice) — in Deutschland, Frankreich und den meisten EU-Ländern gesetzlich vorgeschrieben. Der Test sucht nach „Impressum", „legal notice", „mentions légales" in Links, Überschriften und Text
  2. Datenschutzerklärung — der Eckpfeiler der DSGVO-Compliance. Der Test sucht nach „Datenschutzerklärung", „privacy policy", „personenbezogene Daten" und Entsprechungen in FR, EN, ES, DE
  3. Allgemeine Geschäftsbedingungen (AGB) — wesentlich für E-Commerce- und SaaS-Seiten. Schlüsselwörter: „Allgemeine Geschäftsbedingungen", „terms and conditions", „Nutzungsbedingungen"
  4. Cookie-Richtlinie — eine eigene Seite, die erklärt, welche Cookies die Website verwendet. Der Test erkennt „Cookie-Richtlinie", „cookie policy" und verwandte Ausdrücke

Die Bewertung ist einfach: 2 oder mehr Kategorien erkannt = Bewertung 100. Nur 1 Kategorie gefunden = Bewertung 70 (etwas fehlt). Keine rechtlichen Signale = Bewertung 20. Der Test verwendet mehrsprachige Schlüsselwort-Erkennung in Französisch, Englisch, Spanisch und Deutsch.

Eine Website ohne Datenschutzerklärung ist wie ein Geschäft ohne Tür — jeder kann sehen, was drinnen passiert, und das Gesetz wird es bemerken.

Test #57: Gibt es ein Cookie-Einwilligungsbanner?

Test #57 verfolgt einen anderen Ansatz. Statt nach Text zu suchen, scannt er den HTML-Code nach technischen Signaturen von Consent-Management-Plattformen (CMP):

  1. Bekannte CMP-Plattformen — der Test erkennt über 20 Plattformen: Cookiebot, OneTrust, Axeptio, Tarteaucitron, Complianz, Didomi, Iubenda, Borlabs Cookie und weitere. Wird ein Plattform-Skript oder -Identifier gefunden, Bewertung = 100
  2. IAB TCF v2 API — der Industriestandard für Einwilligung. Der Test prüft auf die __tcfapi-Funktion und Google Consent Mode Signale
  3. Generische Banner-Muster — CSS-Klassen wie „cookie-consent", „cookie-banner", „gdpr-banner", Data-Attribute wie data-consent-type und Schaltflächentexte wie „Alle Cookies akzeptieren" in vier Sprachen

Wird eine bekannte CMP-Plattform erkannt, ist die Bewertung 100. Werden nur generische Signale gefunden (ohne erkanntes CMP), beträgt die Bewertung 80 — ein Einwilligungsmechanismus existiert, ist aber möglicherweise nicht robust. Wird nichts gefunden, fällt die Bewertung auf 20.

Das vollständige Fehlen eines Einwilligungsmechanismus ist der risikoreichste Befund. Es bedeutet, dass Cookies und Tracker frei ausgelöst werden — ein direkter Verstoß gegen die ePrivacy-Richtlinie und die DSGVO.

Die 4 häufigsten Verstöße

Nach der Analyse tausender WordPress-Seiten tauchen immer wieder dieselben Verstöße auf:

  1. Keine Datenschutzerklärung — die Website hat keine Seite, die erklärt, welche personenbezogenen Daten erhoben werden, warum und von wem. Dies ist die grundlegendste DSGVO-Anforderung und die am häufigsten fehlende
  2. Tracking-Skripte laden vor der Einwilligung — Google Analytics, Facebook Pixel oder HotJar feuern sofort beim Seitenaufruf, bevor der Besucher mit einem Cookie-Banner interagiert hat. Dies ist ein direkter Verstoß gegen das Prinzip der „vorherigen Einwilligung"
  3. Cookie-Banner ohne Ablehnungsoption — das Banner hat einen „Alle akzeptieren"-Button, aber kein gleichwertiges „Alle ablehnen". CNIL und andere Aufsichtsbehörden sind eindeutig: Ablehnen muss so einfach sein wie Akzeptieren
  4. Kein Cookie-Banner — die Website setzt Cookies ohne jegliche Benachrichtigung oder Einwilligungsmechanismus. Überraschend häufig bei Seiten, die „glauben, keine Cookies zu verwenden", aber Drittanbieter-Skripte laden, die welche setzen

Dies sind keine Randfälle. Sie betreffen die Mehrheit der WordPress-Seiten. Und jeder einzelne ist durch die Tests #34 und #57 von Orilyt erkennbar.

Wie man DSGVO-Verstöße behebt

Die gute Nachricht: Die meisten DSGVO-Compliance-Probleme lassen sich in unter einer Stunde beheben. Hier ist der empfohlene Workflow:

  1. Fehlende rechtliche Seiten hinzufügen — Datenschutzerklärung, Impressum und Cookie-Richtlinie erstellen. Für WordPress generieren Plugins wie Complianz oder Iubenda rechtlich solide Vorlagen. Für individuelle Seiten ein Muster Ihrer Datenschutzbehörde anpassen
  2. Eine Consent-Management-Plattform installieren — Tarteaucitron (kostenlos, französisch), Cookiebot oder Complianz (WordPress-Plugin) sind beliebte Optionen. So konfigurieren, dass alle Tracking-Skripte bis zur Einwilligung blockiert werden
  3. Vorherige Einwilligung überprüfen — nach der Installation die Website mit den Browser-Entwicklertools testen. Netzwerk-Tab öffnen, Cookies löschen und neu laden. Keine Tracking-Anfragen dürfen vor dem Klick auf „Akzeptieren" gesendet werden. Das ist der kritische Test
  4. Einen sichtbaren Ablehnen-Button hinzufügen — sicherstellen, dass das Cookie-Banner „Alle akzeptieren" und „Alle ablehnen" gleichwertig anbietet. Keine Dark Patterns (winziger Ablehnen-Link, vorausgewählte Checkboxen, verwirrende Formulierungen)

Führen Sie nach diesen Änderungen einen neuen Orilyt-Audit durch. Test #34 sollte 100 erreichen (rechtliche Seiten erkannt) und Test #57 sollte 100 erreichen (CMP-Plattform erkannt). Falls nicht, zeigt der Bericht genau, was noch fehlt.

DSGVO-Compliance als Geschäftsargument

Für Freelancer und Agenturen gehören DSGVO-Compliance-Befunde zu den überzeugendsten in jedem Audit. Sie verbinden rechtliche Dringlichkeit mit emotionaler Wirkung:

Im Orilyt-Bericht generieren die Tests #34 und #57 klare FIA-Empfehlungen:

  1. Fakt: „Keine Datenschutzerklärung erkannt" oder „Kein Cookie-Einwilligungsmechanismus gefunden"
  2. Auswirkung: „Die Website verstößt gegen Artikel 13 der DSGVO — Bußgelder können 4 % des Jahresumsatzes oder 20 Millionen Euro erreichen" oder „Drittanbieter-Tracker feuern ohne Einwilligung — jeder Besuch ist eine potenzielle Beschwerde"
  3. Aktion: „Eine Datenschutzerklärung erstellen und im Footer verlinken" oder „Eine Consent-Management-Plattform installieren und die vorherige Blockierung aller Tracking-Skripte konfigurieren"

Nichts motiviert einen Kunden schneller als das Wort „Bußgeld". Wenn ein Interessent sieht, dass seine Website keine Datenschutzerklärung und kein Cookie-Banner hat, wechselt das Gespräch von „Sollten wir das machen?" zu „Wie schnell können Sie das beheben?". DSGVO-Compliance-Audits verkaufen sich von selbst.

DSGVO-Bußgelder sind nicht den Tech-Riesen vorbehalten. Jede Website, die personenbezogene Daten ohne Einwilligung erhebt, ist gefährdet — und die meisten WordPress-Seiten sammeln mehr, als ihre Betreiber ahnen.

Compliance ist keine Funktion — es ist eine gesetzliche Pflicht

DSGVO-Compliance ist kein „Nice-to-have". Es ist Gesetz. Eine fehlende Datenschutzerklärung, ein nicht konformes Cookie-Banner oder Tracking-Skripte, die vor der Einwilligung laden — jedes davon kann eine behördliche Untersuchung auslösen. Die Tests #34 und #57 erkennen diese Probleme in Sekunden.

Für Agenturen ist DSGVO-Compliance die am einfachsten verkaufbare Zusatzleistung. Der Audit findet das Problem, der Bericht erklärt das Risiko in klarer Sprache, und die Behebung dauert unter einer Stunde. Der Kunde versteht die Dringlichkeit ohne technische Erklärung.

Führen Sie einen Audit durch. Prüfen Sie Tests #34 und #57. Wenn beide 100 erreichen, deckt die Website die Grundlagen ab. Wenn einer unter 70 liegt, gibt es Arbeit — und eine Dienstleistung zu verkaufen.

Prüfen Sie die DSGVO-Compliance jeder Website in 2 Minuten
Starten Sie einen kostenlosen Audit und prüfen Sie, ob rechtliche Seiten vorhanden sind und die Cookie-Einwilligung korrekt implementiert ist — neben 56 weiteren Tests.
Kostenlosen Audit starten
DSGVO Cookies Compliance Datenschutz Impressum WordPress
Zurück Sécurité Drupal, Joomla, Magento : les failles que personne ne vérifie Weiter Keyboard accessibility