Was Sie heute prüfen sollten
- Google Fonts: lokal eingebunden, kein CDN-Aufruf?
- AVV mit allen Drittanbietern unterschrieben?
- Cookie-Banner mit gleichwertigem Ablehnen-Button?
- Aufsichtsbehörde im Impressum vollständig?
1. Google Fonts per CDN
Risiko: Übertragung der Nutzer-IP an Google ohne Einwilligung. Das LG München I hat 2022 Schadenersatz zugesprochen (Az. 3 O 17493/20). Seitdem gibt es Abmahnwellen - manche seriös, viele von Trittbrettfahrern.
Lösung: Fonts lokal einbinden. Der Google Webfonts Helper liefert WOFF2-Dateien und passenden CSS-Code. Prüfen Sie mit den DevTools im Network-Tab: Keine Requests an fonts.googleapis.com oder fonts.gstatic.com erlaubt.
2. Fehlender AVV mit Hoster oder Analytics
Risiko: DSGVO-Verstoß durch fehlende vertragliche Absicherung der Auftragsverarbeitung. Bußgelder bis 20 Millionen Euro oder 4 Prozent des Jahresumsatzes.
Lösung: AVV mit jedem Hoster, jedem Analytics-Tool, jedem Newsletter-Dienst, jedem CRM. Die meisten Anbieter stellen den AVV online als Klick-Vertrag bereit. Mehr Details auf DSGVO für Webdesigner.
3. Fehlende Aufsichtsbehörde im Impressum
Risiko: Wettbewerbsrechtliche Abmahnung. Mitbewerber und Verbände nehmen das gerne zum Anlass. Die Kosten liegen meist bei 500 bis 1.500 Euro Anwaltsgebühren.
Lösung: Bei jedem Kunden prüfen, ob er einer Zulassungspflicht unterliegt - siehe Branchen-Übersicht. Adresse vollständig angeben, einmal im Jahr aktualisieren.
4. Cookie-Banner ohne gleichwertigen Ablehnen-Button
Risiko: Abmahnungen und Bußgelder. Das OLG Köln hat 2024 entschieden: Akzeptieren und Ablehnen müssen optisch und funktional gleichwertig sein (Az. 6 U 80/23).
Lösung: Beide Buttons gleich groß, gleich auffällig, auf der ersten Ebene. Kein verstecktes Ablehnen-Menü unter „Einstellungen". Details auf Cookie-Banner.
5. Kontaktformular ohne saubere Datenschutzerklärung
Risiko: Jedes Formular, das personenbezogene Daten erfasst, ist informationspflichtig. Fehlt der Hinweis, drohen Abmahnungen.
Lösung: Kontaktformular, Newsletter-Anmeldung und Bestellformular in der Datenschutzerklärung mit Zweck, Rechtsgrundlage und Speicherdauer beschreiben. Pflichtfelder auf das Nötigste reduzieren.
6. BFSG-Verstöße seit 28. Juni 2025
Risiko: Bußgelder bis 100.000 Euro durch die MLBF, dazu zivilrechtliche Ansprüche. Betroffen sind unter anderem B2C-Online-Shops mit mehr als 10 Mitarbeitern oder über 2 Millionen Euro Umsatz.
Lösung: WCAG 2.2 AA als Mindeststandard. Barrierefreiheits-Erklärung und Feedback-Mechanismus auf der Website. Mehr auf Barrierefreiheit (BFSG).
7. YouTube und Google Maps ohne Consent
Risiko: Beim Laden der Seite gehen Daten an Google. Ohne Einwilligung Datenschutzverstoß.
Lösung: Iframes hinter eine Consent-Wall, etwa als 2-Klick-Lösung. Für YouTube: youtube-nocookie.com nutzen. Für Karten: OpenStreetMap als datensparsame Alternative.
8. Externe Dienste ohne Drittland-Hinweis
Risiko: Alle US-Dienste (Fonts, Maps, Analytics, CDN, reCAPTCHA, Typeform, HubSpot) müssen in der Datenschutzerklärung mit Drittland-Hinweis erscheinen.
Lösung: Liste aller eingebundenen Dienste pflegen. In der Datenschutzerklärung pro Dienst einen Abschnitt mit Anbieter, Zweck, Rechtsgrundlage, Drittland-Hinweis und Schutzmaßnahmen aufnehmen.
Audit-Checkliste in 10 Minuten
- DevTools öffnen, Network-Tab, nach „google" filtern. Erlaubt: nichts vor Consent.
- Quelltext-Suche nach „fonts.googleapis.com" - muss leer sein.
- Impressum: § 5 DDG-Pflichten komplett? Aufsichtsbehörde mit Adresse?
- Datenschutzerklärung: aktuelle Verweise auf DDG / TDDDG, alle Dienste aufgeführt?
- Cookie-Banner: „Ablehnen"-Button auf erster Ebene, gleich auffällig?
- Kontaktformular: Hinweis auf Datenschutzerklärung verlinkt?
- BFSG-Check: ist der Kunde betroffen? Wenn ja: Erklärung und Feedback-Kanal vorhanden?
Für einen tieferen Audit biete ich einen pauschalen Impressums- und Datenschutz-Check an.