Kostenloser DSGVO-Check für Websites

Impressum, Datenschutz & Cookie-Banner in 30 Sekunden prüfen

Wir analysieren deine Website auf die häufigsten Abmahnfallen: fehlendes oder unvollständiges Impressum nach §5 TMG, unvollständige Datenschutzerklärung nach DSGVO Art. 13, Cookies ohne Einwilligung nach TTDSG §25, extern eingebundene Google Fonts, Tracking-Pixel ohne Consent und ungesicherte iFrames. Konkrete Befunde, konkrete Lösungswege — keine Werbe-Floskeln.

§5 TMG · ImpressumspflichtDSGVO Art. 13 · InformationspflichtTTDSG §25 · Cookie-ConsentLG München · Google Fonts

Jetzt prüfen

Website prüfen

URL eingeben und in Sekunden den Status sehen

Wir rufen die Seite einmalig serverseitig auf, analysieren das HTML und prüfen über 30 Einzelpunkte. Keine Speicherung, kein Login.

Was wir konkret prüfen

Über 30 Einzelpunkte aus 8 Risiko-Bereichen

Jeder Punkt wird mit Rechtsgrundlage und konkreter Lösungsempfehlung ausgegeben — nicht mit pauschalen „könnte problematisch sein"-Floskeln.

§5 TMG

Impressum

Existenz und Erreichbarkeit eines Impressum-Links
Vollständige Anschrift, kein Postfach
Kontaktmöglichkeit (E-Mail/Telefon) nach §5 Abs. 1 Nr. 2 TMG
Verantwortlicher / Geschäftsführer / Inhaber benannt
Register-Eintragung (HRB, Amtsgericht)
USt-ID nach §27a UStG
EU-OS-Plattform-Link nach Art. 14 ODR-VO

DSGVO Art. 13

Datenschutzerklärung

Existenz und Erreichbarkeit der Datenschutzerklärung
Mindestlänge / Tiefe der Information
Abschnitte zu Rechtsgrundlagen (Art. 6), Betroffenenrechten (Art. 15-22)
Cookies-Abschnitt
Tracking-Tools namentlich genannt
Auftragsverarbeitung (Art. 28)
Widerspruchs- & Beschwerderecht

TTDSG §25 · BGH I ZR 7/16

Cookie-Banner & Consent

Bekannte CMP erkannt (Cookiebot, Usercentrics, Borlabs, Klaro, Orestbida CookieConsent u.a.)
Generischer Cookie-Hinweis (ohne CMP-Funktionsumfang)
Hinweis auf Tracker ohne Consent-Banner — kritischer Verstoß

LG München 3 O 17493/20

Google Fonts & Web-Schriften

Extern eingebundene Google Fonts erkennen
Andere externe Font-CDNs (Typekit, FontAwesome, cdnfonts.com)
Lösung: lokal hosten → 100 € Schadensersatz vermeiden

DSGVO Art. 6(1)(a)

Tracking & Analytics

Google Analytics / Tag Manager
Meta-Pixel, LinkedIn Insight, TikTok, Pinterest, Bing UET
Hotjar, Microsoft Clarity (Session-Recording)
Matomo / Plausible — Cookieless-Modus prüfen

Schrems II

iFrames & Drittland-Transfer

YouTube im Standard- vs. erweiterten Datenschutzmodus
Google Maps direkt eingebunden
Vimeo & andere Video-Embeds

Mittelschwer

reCAPTCHA & Social Plugins

Google reCAPTCHA (überträgt IP an Google)
Facebook-Like-Plugin / Twitter-Widget / Instagram-Embed

DSGVO Art. 32

Technische Maßnahmen

SSL/TLS-Verschlüsselung (HTTPS)
Server-set Cookies beim ersten Aufruf
HSTS-Header (im SEO-Check enthalten)

Praxisbeispiele

Die häufigsten DSGVO-Fehler bei KMU-Websites

Aus über 200 von FastglobeIT geprüften Websites: das sind die Top-Probleme, die wir immer wieder finden — und die uns Abmahnungen kosten würden.

Google Fonts vom CDN geladen

Anwaltskanzleien haben 2022 in einer Welle systematisch IP-Adressen über Google Fonts abgemahnt — 100 bis 170 € Schadensersatz pro Aufruf wurden gefordert. Auch wenn das Bundesamt für Sicherheit in der Informationstechnik (BSI) die Welle als rechtsmissbräuchlich einstufte: der Verstoß bleibt. Lokal hosten ist eine 10-Minuten-Aufgabe und beseitigt das Risiko dauerhaft.

„Diese Seite verwendet Cookies. OK" — ohne Wahlmöglichkeit

Der reine Hinweis ohne ablehnende Schaltfläche ist seit dem BGH-Urteil zu „Planet49" (28.05.2020, I ZR 7/16) unwirksam. Ablehnen muss genauso einfach möglich sein wie zustimmen, vor Zustimmung darf NICHTS geladen werden. „Weiter surfen = Zustimmung" gibt es seit DSGVO nicht mehr.

Google Analytics lädt sofort beim Seitenaufruf

Selbst wenn das Cookie-Banner gezeigt wird: Wenn der GA-Code im Quelltext steht und nicht conditionally geladen wird, läuft er bevor der Nutzer zustimmt. Häufig zu sehen in WordPress-Themes mit hartcodiertem <script> im Header. Lösung: GA über das CMP-Tool laden, niemals direkt im Theme.

Datenschutzerklärung nennt das halbe Tool-Stack nicht

Auf der Seite sind Hotjar, LinkedIn-Pixel und ein WhatsApp-Button — in der Datenschutzerklärung steht nur Google Analytics. Lösung: Bei jedem neuen Tool die Erklärung erweitern. Generierte Texte (z.B. von eRecht24) decken nur die populärsten Dienste ab.

YouTube-Video direkt eingebettet

Sobald der Browser den iFrame lädt, werden Daten an Google übertragen — auch wenn das Video noch nicht abgespielt wird. Lösung: `youtube-nocookie.com` als Domain (Modus „Erweiterter Datenschutz") oder ein Klick-zum-Laden-Wrapper, der den iFrame erst nach Nutzer-Klick erzeugt.

Google Maps im Header oder Footer

Maps-iFrames laden bei jedem Seitenaufruf — auch auf Unterseiten ohne Adressbezug. Für die Anfahrtsseite ist das in der Datenschutzerklärung zu nennen; idealerweise statische Karte oder Klick-zum-Laden. Wer das Maps-iFrame global im Footer hat, transferiert IP-Adressen ohne Notwendigkeit.

FAQ

Häufige Fragen zu DSGVO, Impressum und Datenschutz

Die wichtigsten Antworten zu Pflichten, Risiken und konkreten Maßnahmen — keine pauschalen Floskeln, sondern konkrete Hinweise zu den relevanten Urteilen.

Wie hoch ist das Risiko einer DSGVO-Abmahnung wirklich?

In Deutschland sind DSGVO-Abmahnungen seit dem BGH-Urteil vom 28.03.2024 (Az. I ZR 222/19) klar abmahnfähig nach UWG durch Wettbewerber. Spezialisierte Kanzleien (z.B. nach der Google-Fonts-Welle 2022) und Verbraucherschutzverbände greifen ein. Typische Forderungen: 100–500 € Schadensersatz pro betroffenem Nutzer, dazu Anwaltskosten ab ca. 800 € sowie Unterlassungserklärung. Bei systematischen Verstößen können Behörden zusätzlich Bußgelder verhängen (bis 4 % des Jahresumsatzes).

Welche Pflichtangaben gehören laut §5 TMG ins Impressum?

Vollständiger Name (bei juristischen Personen plus Rechtsform und Vertretungsberechtigte), ladungsfähige Anschrift (Straße + PLZ + Ort, KEIN Postfach), E-Mail-Adresse, Telefon (oder gleichwertige direkte Kommunikation), Handelsregister/Vereinsregister mit Amtsgericht und Nummer, USt-ID nach §27a UStG falls vorhanden, Aufsichtsbehörde bei erlaubnispflichtigen Tätigkeiten, Berufskammer und gesetzliche Berufsbezeichnung bei reglementierten Berufen. Bei B2C-Angeboten zusätzlich Link zur EU-Online-Streitschlichtungsplattform (Art. 14 ODR-VO).

Was muss in die Datenschutzerklärung laut DSGVO?

Nach DSGVO Art. 13/14: Verantwortlicher mit Kontaktdaten, Datenschutzbeauftragter (falls Pflicht), Zwecke der Verarbeitung und Rechtsgrundlagen (Art. 6), Empfänger oder Empfänger-Kategorien, geplante Speicherdauer, Hinweise auf Betroffenenrechte (Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch), Widerrufsrecht bei Einwilligung, Beschwerderecht bei Aufsichtsbehörde, ggf. Drittlandtransfer mit Garantien. Jeder eingesetzte Dienst (Google Analytics, Maps, Fonts, YouTube, Hosting, Newsletter, Formulare) muss namentlich genannt werden.

Wieso sind Google Fonts gefährlich, wenn sie extern eingebunden werden?

Beim Aufruf einer Seite mit extern eingebundenen Google Fonts überträgt der Browser die IP-Adresse des Besuchers an Google-Server in den USA — ohne dass der Nutzer das verhindern kann. Das LG München I urteilte am 20.01.2022 (Az. 3 O 17493/20), dass diese unverhinderte Übermittlung an Google ohne Einwilligung gegen die DSGVO verstößt und einen immateriellen Schadensersatzanspruch (im Urteil: 100 €) auslöst. Lösung: Google Fonts lokal hosten — kostet 10 Minuten Aufwand, beseitigt das Problem komplett und beschleunigt die Seite zusätzlich.

Wann brauche ich überhaupt ein Cookie-Banner?

Sobald die Seite Cookies, LocalStorage-Einträge oder Tracking-Pixel setzt, die NICHT technisch zwingend notwendig sind, brauchst du Einwilligung — §25 TTDSG. „Technisch notwendig" sind nur: Login-Session, Warenkorb, Sicherheits-Token, Spracheinstellung. Alles andere (Analytics, Marketing, Komfort, A/B-Tests, externe Schriften, Maps, YouTube-Embeds, Social-Plugins) braucht aktive Einwilligung BEVOR der Code geladen wird. Bloße „Cookie-Hinweise" ohne Wahlmöglichkeit sind seit dem BGH-Urteil „Planet49" (28.05.2020, I ZR 7/16) unzulässig.

Mein Cookie-Banner hat einen „Alle akzeptieren"-Button. Ist das in Ordnung?

Nur wenn „Ablehnen" und „Akzeptieren" gleichberechtigt prominent sind (gleiche Farbe, gleiche Größe, gleiche Klickwege). Ein groß-grüner „Akzeptieren"-Button mit kleinem grauem „Einstellungen"-Link ist nicht DSGVO-konform — das ist „Dark Pattern" und wurde mehrfach gerichtlich als unwirksame Einwilligung gewertet (z.B. CNIL gegen Google + Facebook, Bußgelder in dreistelliger Millionenhöhe).

Reicht ein Datenschutz-Generator wie eRecht24 oder Datenschutz-Generator.de?

Sie sind ein guter Startpunkt, ersetzen aber keine individuelle Prüfung. Generierte Texte decken Standard-Dienste ab — wenn deine Seite spezielle Tools nutzt (CRM, Webinar-Plattform, Chatbot, Pixel anderer Anbieter), musst du diese manuell ergänzen. Pflegehinweis: Bei jedem neuen Tool muss die Datenschutzerklärung aktualisiert werden.

Werden meine Daten bei diesem Check gespeichert?

Nein. Die geprüfte URL wird einmalig serverseitig abgerufen, das HTML analysiert und das Ergebnis direkt an dich zurückgegeben. Wir speichern weder URL, Ergebnisse noch Cookies — keine Datenbank, kein Logging. Auch sind keine Tracking-Tools auf dieser Seite aktiv.

Kann FastglobeIT die Probleme für mich beheben?

Ja. Wir prüfen Websites manuell auf alle Pflichten, lokalisieren Google Fonts, integrieren rechtskonforme Cookie-Banner (z.B. Borlabs, Cookiebot, Klaro), erstellen Datenschutzerklärungen mit Anwalts-geprüften Bausteinen und bauen YouTube-/Maps-Embeds DSGVO-konform um. Schreib uns über das Kontaktformular.

Beratung anfragen

Weitere Tools

Mehr kostenlose Helfer für Website-Betreiber

Wenn dir der DSGVO-Check geholfen hat, schau dir auch unsere anderen Tools an — alle kostenlos, ohne Anmeldung und mit gleichem Anspruch an Konkretheit.