Seit Mai 2018 ist die DSGVO in Kraft — und trotzdem verstoßen schätzungsweise 70% aller deutschen Unternehmenswebsites gegen mindestens eine Vorschrift. Die Konsequenzen: Abmahnungen ab 150 €, Bußgelder bis zu 20 Millionen Euro, und ein massiver Vertrauensverlust bei Kunden. In dieser Checkliste gehen wir jeden kritischen Punkt durch — mit konkreten Handlungsempfehlungen und Code-Beispielen.
Die 10 häufigsten DSGVO-Verstöße auf Websites
| Verstoß | Häufigkeit | Bußgeld-Risiko | Lösung |
|---|---|---|---|
| Google Fonts über CDN | 65% aller Websites | Hoch (100–500 €/Abmahnung) | Self-Hosting mit next/font oder lokale WOFF2-Dateien |
| Google Analytics ohne Einwilligung | 45% | Sehr hoch | Server-side Analytics oder Consent-basiert mit Opt-in |
| Fehlende Cookie-Einwilligung | 40% | Hoch | Cookie-Banner mit echtem Opt-in vor dem Laden von Tracking-Scripts |
| Fehlende SSL-Verschlüsselung | 15% | Mittel | Let's Encrypt oder über Hosting-Provider (Vercel, Netlify) |
| Unvollständiges Impressum | 30% | Mittel | Alle Pflichtangaben nach § 5 TMG prüfen |
| Fehlende Datenschutzerklärung | 10% | Hoch | Individuelle DSE mit allen genutzten Diensten |
| Kontaktformular ohne Hinweis | 50% | Mittel | Datenschutzhinweis direkt am Formular + Checkbox |
| YouTube/Vimeo-Embeds ohne Consent | 35% | Mittel | Zwei-Klick-Lösung oder Fassade mit Vorschaubild |
| Social-Media-Buttons mit Tracking | 25% | Mittel | Einfache Links statt eingebetteter SDK-Buttons |
| Fehlender AV-Vertrag mit Hostern | 55% | Hoch | Auftragsverarbeitungsvertrag mit jedem Dienstleister abschließen |
Google Fonts: Der häufigste Abmahngrund
Seit dem LG München-Urteil vom Januar 2022 ist klar: Google Fonts über CDN ist eine DSGVO-Verletzung, weil die IP-Adresse des Besuchers an Google-Server in den USA übermittelt wird. Die Lösung ist einfach — Fonts lokal hosten. In Next.js geht das mit einer einzigen Zeile:
import { Inter } from 'next/font/google';
// Next.js lädt die Font-Dateien beim Build herunter
// und hostet sie automatisch lokal — kein CDN-Request.
const inter = Inter({ subsets: ['latin'] });Das Ergebnis: Null externe Requests, schnellere Ladezeit und 100% DSGVO-konform. Es gibt keinen einzigen Grund, Fonts noch über Google CDN zu laden.
Cookie-Banner: Was wirklich nötig ist
Nicht jede Website braucht ein Cookie-Banner. Die Faustregel: Wenn Ihre Website nur technisch notwendige Cookies setzt (Session-Cookies, Spracheinstellungen), brauchen Sie keinen Banner. Erst wenn Tracking-Tools wie Google Analytics, Facebook Pixel oder Marketing-Cookies zum Einsatz kommen, wird eine aktive Einwilligung (Opt-in) erforderlich.
- 01Kein Cookie-Banner nötig: Rein statische Website ohne Analytics, ohne YouTube-Embeds, ohne Tracking
- 02Einfacher Hinweis genügt: Website mit technisch notwendigen Cookies (z.B. Session-ID)
- 03Vollständiger Consent-Banner nötig: Google Analytics, Facebook Pixel, Marketing-Cookies, eingebettete YouTube-Videos
- 04Zwei-Klick-Lösung: Externe Inhalte (Maps, Videos) erst nach explizitem Klick laden
Unsere DSGVO-Checkliste zum Abhaken
- 01☐ SSL-Verschlüsselung aktiv (https://)
- 02☐ Impressum vollständig und mit max. 2 Klicks erreichbar
- 03☐ Datenschutzerklärung vollständig, aktuell und individuell
- 04☐ Alle Schriftarten lokal gehostet (keine Google Fonts CDN)
- 05☐ Keine externen Tracking-Scripts ohne vorherige Einwilligung
- 06☐ Cookie-Banner mit echtem Opt-in (nicht nur 'OK'-Button)
- 07☐ Kontaktformular mit Datenschutz-Hinweis und Pflichtfeld-Checkbox
- 08☐ YouTube/Maps-Embeds mit Zwei-Klick-Lösung oder Fassade
- 09☐ AV-Verträge mit allen Dienstleistern geschlossen (Hosting, CMS, E-Mail)
- 10☐ Verarbeitungsverzeichnis erstellt und dokumentiert
- 11☐ Auskunfts- und Löschanfragen-Prozess definiert
- 12☐ Datenschutzbeauftragter benannt (bei >20 Mitarbeitern mit regelmäßiger Datenverarbeitung)
Praxis: So bauen wir DSGVO-konforme Websites
Bei defuse. ist DSGVO kein nachträglicher Patch — es ist Teil der Architektur. Unsere Next.js-Websites verwenden ausschließlich lokal gehostete Fonts, verzichten auf externe Analytics (oder setzen auf Consent-basiertes Server-Side-Tracking), laden keine externen Ressourcen ohne explizite Einwilligung und generieren statische HTML-Seiten, die keine Datenbank-Verbindung benötigen. Das Ergebnis: Null externe Requests, null Tracking, null Abmahnrisiko.
Sie sind unsicher, ob Ihre Website DSGVO-konform ist? Wir bieten einen kostenlosen DSGVO-Quick-Check an — schreiben Sie uns, und wir analysieren Ihre Seite innerhalb von 24 Stunden.