Ein Cookie-Banner zu haben bedeutet nicht, dass Sie konform sind. Die meisten Unternehmen haben etwas getan — ein Banner installiert, eine Datenschutzerklärung hinzugefügt, ein Kästchen angekreuzt. Etwas zu tun und konform zu sein ist nicht dasselbe. Die automatisierten Prüftools der CNIL kümmern sich nicht um die bloße Existenz des Banners; sie testen, ob es tatsächlich funktioniert.
Hier sind die 12 Prüfpunkte, die den tatsächlichen Stand der DSGVO-Konformität Ihrer Website offenlegen. Gehen Sie sie ehrlich durch.
⚠️ Haftungsausschluss: Dieser Artikel dient ausschließlich zu Informationszwecken und stellt keine Rechtsberatung dar. Die Anforderungen der DSGVO variieren je nach Rechtsordnung und ändern sich im Laufe der Zeit. Wenden Sie sich für eine auf Ihre Situation zugeschnittene Beratung an eine qualifizierte Anwältin oder einen qualifizierten Anwalt.
DSGVO-Konformität ist kein binärer Zustand — sie ist eine Kombination aus technischer Konfiguration, rechtlicher Dokumentation und Prozessen. Sie können eine perfekte Datenschutzerklärung haben und dennoch Compliance-Lücken aufweisen, weil Ihr Cookie-Banner keine Skripte blockiert. Sie können eine perfekte Cookie-Einwilligung haben und dennoch Compliance-Lücken aufweisen, weil Ihre Datenschutzerklärung Ihren Analyse-Anbieter nicht nennt.
Alle 12 Prüfpunkte unten sind relevant. 10 von 12 zu bestehen bedeutet nicht, dass Sie „weitgehend konform“ sind — es bedeutet, dass Sie 2 Verstöße haben, gegen die eine Aufsichtsbehörde vorgehen könnte.
Öffnen Sie Ihre Website in einem Inkognito-/privaten Browserfenster. Öffnen Sie die Entwicklertools (F12 → Tab „Netzwerk“). Laden Sie die Seite, ohne in Ihrem Cookie-Banner etwas anzuklicken. Achten Sie auf ausgehende Anfragen an:
google-analytics.comgoogletagmanager.comconnect.facebook.net (Meta Pixel)static.hotjar.comlinkedin.com/li.lms-analyticsWenn eine davon erscheint, bevor Sie mit Ihrem Cookie-Banner interagieren: durchgefallen. Dies ist der am häufigsten geahndete DSGVO-Verstoß in Frankreich und Deutschland. Die automatisierten Prüftools der CNIL suchen genau danach.
Lösung: Konfigurieren Sie Ihre Consent-Management-Plattform so, dass diese Skripte blockiert werden, bis die Einwilligung erteilt ist.
Öffnen Sie Ihren Cookie-Banner. Zählen Sie die Klicks, um alle Cookies zu akzeptieren. Zählen Sie die Klicks, um alle Cookies abzulehnen.
Wenn das Ablehnen mehr Klicks, eine andere optische Gewichtung oder mehr Scrollen erfordert als das Akzeptieren: durchgefallen. Die Leitlinien der CNIL von 2021 sind eindeutig. Für genau diese Gestaltungsschwäche wurden bereits erhebliche Bußgelder verhängt.
Lösung: Fügen Sie eine Schaltfläche „Alle ablehnen“ auf derselben optischen Ebene wie „Alle akzeptieren“ hinzu — gleiche Größe, gleiche Farbgewichtung, gleicher Schritt.
Möchten Sie einen Scan, der beides automatisch prüft? Kostenlosen CNIL-Konformitätsscan starten →
Lesen Sie Ihre Datenschutzerklärung. Erstellen Sie eine separate Liste aller Drittanbieter-Tools auf Ihrer Website: Google Analytics, HubSpot, Mailchimp, Ihren Zahlungsdienstleister, Ihren Live-Chat-Anbieter, Ihr CDN.
Wenn ein Tool auf Ihrer Website nicht in Ihrer Datenschutzerklärung genannt wird: durchgefallen. Die DSGVO verpflichtet Sie, jede Stelle offenzulegen, die personenbezogene Daten von Ihrer Website erhält.
Lösung: Fügen Sie Ihrer Datenschutzerklärung eine Tabelle der Auftragsverarbeiter hinzu, die jedes Tool, die jeweils erhaltenen Daten und den Verarbeitungsort aufführt.
Suchen Sie den Abschnitt in Ihrer Datenschutzerklärung, der erläutert, wie lange Sie Daten speichern.
Wenn dieser Abschnitt nicht existiert oder „so lange wie nötig“ ohne einen definierten Zeitraum angibt: durchgefallen. Art. 13 und 14 DSGVO verlangen die Angabe von Speicherfristen. Vage Formulierungen werden in mehreren CNIL-Entscheidungen als Verstoß angeführt.
Lösung: Definieren Sie konkrete Speicherfristen für jede Datenkategorie: Kontaktformular-Einsendungen (X Monate), Kaufunterlagen von Kunden (X Jahre), Newsletter-Kontakte (X Jahre ab der letzten Interaktion).
Verwenden Sie eine Browser-Erweiterung (Cookie Editor, EditThisCookie) oder prüfen Sie die Entwicklertools (Anwendung → Cookies), um jeden auf Ihrer Website gesetzten Cookie zu sehen. Vergleichen Sie dies mit dem, was Ihr Banner angibt.
Wenn Cookies gesetzt werden, die nicht in Ihrem Banner oder Ihrer Cookie-Richtlinie deklariert sind: durchgefallen. Plugin-Updates, Einbettungen von Drittanbietern und Social-Media-Widgets fügen häufig nicht deklarierte Cookies hinzu.
Lösung: Prüfen Sie Ihre tatsächlichen Cookies, aktualisieren Sie die Konfiguration Ihrer Consent-Plattform und generieren Sie Ihre Cookie-Erklärung neu.
Frankreich (Mentions légales): Muss enthalten: Firmenname, Rechtsform, eingetragene Anschrift, SIRET-Nummer, Name des Publikationsdirektors, Hosting-Anbieter.
Deutschland (Impressum): Muss enthalten: Unternehmensname, ladungsfähige Anschrift (kein Postfach), Telefonnummer, E-Mail, Handelsregisternummer, USt-IdNr., inhaltlich verantwortliche Person.
Wenn ein erforderliches Element fehlt: durchgefallen. Verstöße gegen die Impressumspflicht werden in Deutschland über privatrechtliche Abmahnungen durchgesetzt — Wettbewerber können für solche Mängel Abmahnungen verschicken, ohne dass eine Behörde eingeschaltet wird.
Lösung: Gleichen Sie dies mit den Anforderungen des DDG §5 (Deutschland) oder von Artikel 6 LCEN (Frankreich) ab.
Sehen Sie sich den Quelltext Ihrer Website an (Strg+U) oder prüfen Sie den Tab „Netzwerk“ auf Anfragen an fonts.googleapis.com oder fonts.gstatic.com.
Wenn externe Google-Fonts-Anfragen erscheinen: durchgefallen (speziell in Deutschland). Das LG München hat 2022 entschieden, dass das Laden von Google Fonts über Googles CDN gegen die DSGVO verstößt, weil bei jedem Seitenaufruf die IP-Adressen der Besucher ohne Einwilligung an Google übermittelt werden.
Lösung: Hosten Sie Ihre Schriften selbst:
fonts.googleapis.com URL in Ihrem HTML..woff2 Dateien./fonts/ Verzeichnis auf Ihrer eigenen Domain hoch.<link> Tag durch eine lokale @font-face Deklaration.Suchen Sie Ihr Kontaktformular. Gibt es einen sichtbaren Hinweis, der erläutert: welche Daten erhoben werden, wer sie verarbeitet, wie lange sie gespeichert werden und welche Rechte die Nutzer haben?
Wenn Nutzer ein Formular absenden können, ohne darüber informiert zu werden, wie ihre Daten verwendet werden: durchgefallen. Art. 13 DSGVO verlangt die Information zum Zeitpunkt der Erhebung.
Lösung: Fügen Sie unter jedem Formular, das personenbezogene Daten erhebt, einen einzeiligen Hinweis mit einem Link zu Ihrer Datenschutzerklärung hinzu.
Können Sie in der Verwaltung Ihrer Consent-Management-Plattform (CMP) ein Protokoll darüber einsehen, wann die Einwilligung eingeholt wurde und was akzeptiert oder abgelehnt wurde?
Wenn Ihre CMP keine Einwilligungsnachweise speichert: durchgefallen. Die DSGVO verlangt, dass Sie nachweisen können, dass die Einwilligung wirksam eingeholt wurde (Art. 7 Abs. 1).
Lösung: Aktivieren Sie die Protokollierung der Einwilligungen in Ihrer CMP.
Die DSGVO gibt Nutzern das Recht auf Auskunft, Berichtigung, Löschung und Einschränkung der Verarbeitung ihrer Daten.
Wenn es keinen Mechanismus gibt, über den Nutzer Anträge auf ihre Rechte stellen können, oder wenn niemand in Ihrer Organisation weiß, was beim Eingang eines solchen Antrags zu tun ist: durchgefallen.
Lösung: Fügen Sie Ihrer Datenschutzerklärung eine eigene E-Mail-Adresse hinzu (z. B. privacy@ihrunternehmen.com). Dokumentieren Sie intern, was beim Eingang eines Antrags geschieht.
Öffnen Sie Ihre Website. Achten Sie auf das Schlosssymbol. Versuchen Sie, http:// aufzurufen — es sollte auf https:// weiterleiten.
Wenn Ihre Website HTTP nicht auf HTTPS umleitet oder Ihr Zertifikat Warnungen aufweist: durchgefallen. Die Übermittlung personenbezogener Daten über unverschlüsselte Verbindungen ist ein Datensicherheitsmangel, den Aufsichtsbehörden anführen.
Lösung: Stellen Sie sicher, dass SSL korrekt konfiguriert ist und der gesamte HTTP-Verkehr auf HTTPS umgeleitet wird.
Die DSGVO verpflichtet Sie, Ihre Aufsichtsbehörde innerhalb von 72 Stunden nach Entdeckung einer Verletzung zu benachrichtigen (Art. 33).
Wenn „Datenschutzverletzung“ eher Verwirrung als ein Reaktionsverfahren auslöst: durchgefallen.
Lösung: Dokumentieren Sie ein einseitiges Verfahren zur Reaktion auf Verletzungen. Es muss existieren und bekannt sein.
| Bestandene Prüfpunkte | Was es bedeutet |
|---|---|
| 12/12 | Sie sind gut aufgestellt. Führen Sie zur Bestätigung einen technischen Scan durch. |
| 9–11/12 | Wahrscheinlich bei mindestens einem CNIL-/deutschen Durchsetzungsmuster angreifbar |
| 6–8/12 | Mehrere aktive Risiken. Priorisieren Sie umgehend die Prüfpunkte 1, 2 und 6. |
| Unter 6/12 | Dringender Handlungsbedarf. Beginnen Sie mit der Cookie-Einwilligung. |
Wenn Sie heute nur drei Prüfungen durchführen, dann diese:
Diese drei decken die Verstöße ab, die von der CNIL und der deutschen Abmahnpraxis am effizientesten erkannt werden.
Die 12-Punkte-Checkliste oben ist eine manuelle Prüfung. Ein automatischer Scan erfasst, was sich von Hand schwerer überprüfen lässt.
Vollständiger PDF-Bericht mit priorisierter Maßnahmenliste: 49 €.
Mein Entwickler sagt, meine Website sei DSGVO-konform. Stimmt das?
Entwickler bauen; sie prüfen nicht die rechtliche Konformität. Sofern Ihr Entwickler nicht ausdrücklich die Konfiguration der Cookie-Einwilligung, den Inhalt der Datenschutzerklärung und die Vollständigkeit des Impressums anhand der aktuellen DSGVO und der länderspezifischen Anforderungen überprüft hat, bezieht sich sein „Es ist konform“ auf den Code, nicht auf die Konformität.
Ich habe einen Cookie-Banner. Bedeutet das nicht, dass ich konform bin?
Nicht für sich allein. Prüfpunkt 1 und Prüfpunkt 2 oben beschreiben die zwei häufigsten Arten, auf die ein Cookie-Banner an der Konformität scheitert: Tracking-Skripte, die ausgelöst werden, bevor mit dem Banner interagiert wird, und ein Banner-Design, bei dem das Ablehnen schwerer ist als das Akzeptieren.
Was ist der am häufigsten geahndete Verstoß in Frankreich?
Mängel bei der Cookie-Einwilligung — insbesondere Tracking-Skripte, die vor der Einwilligung laden (Prüfpunkt 1), und Banner, die das Ablehnen schwerer machen als das Akzeptieren (Prüfpunkt 2). Die CNIL setzt seit 2021 automatisierte Prüfungen ein, um diese im großen Stil durchzusetzen.
Was ist der am häufigsten geahndete Verstoß in Deutschland?
Im Hinblick auf die behördliche Durchsetzung: Tracking-Skripte vor der Einwilligung und Google Analytics ohne Einwilligung. Im Hinblick auf private Abmahnungen: unvollständiges Impressum (Prüfpunkt 6) und fehlerhafte Widerrufsbelehrungen im E-Commerce. Beide Kategorien führen zu Hunderten von Durchsetzungsmaßnahmen pro Jahr.
Wie oft sollte ich diese Checkliste erneut durchgehen?
Mindestens einmal pro Quartal und unmittelbar nach: dem Hinzufügen eines neuen Marketing- oder Analyse-Tools, einem Wechsel Ihrer Website-Plattform, einem Redesign oder wenn eine Durchsetzungs-Aktualisierung der CNIL/des BfDI veröffentlicht wird. Siehe Warum Compliance keine einmalige Prüfung ist für das vollständige Bild.
Gelten diese Anforderungen auch für Websites kleiner Unternehmen?
Ja. Die DSGVO gilt unabhängig von der Unternehmensgröße. Das Abmahnsystem in Deutschland ist gerade gegenüber kleinen Unternehmen wirksam, weil die Kosten einer Auseinandersetzung die Kosten einer Einigung übersteigen. Die automatisierten Prüfungen der CNIL unterscheiden nicht nach Unternehmensgröße.
Weiterführende Lektüre:
Quellen: DSGVO-Artikel 7, 13, 14, 33 · CNIL-Durchsetzungsentscheidungen 2022–2025 · CNIL-Cookie-Leitlinien (2021, aktualisiert 2022) · DDG §5 (Deutschland) · LCEN Artikel 6 (Frankreich) · LG München I Az. 3 O 17493/20
🩸 — Sitetals Redaktion