Compliance & DSGVO

Wie Sie die DSGVO-Konformität Ihrer Website 2026 prüfen

Ein Cookie-Banner beweist nichts. Die DSGVO-Konformität einer Website zeigt sich im Browser: was vor dem ersten Klick ausgelöst wird und was wirklich passiert, wenn man ablehnt. So prüfen Sie Ihre Website — von Hand und dann in 90 Sekunden.

Fred Gaveau28. Juni 2026~9 Min. Lesezeit

Die meisten Websites, die wir prüfen, zeigen ein Banner und halten sich für konform. Doch in den meisten Fällen werden Tracker — Google Analytics, Meta Pixel, Retargeting — ausgelöst, bevor der Besucher irgendwohin klickt, oder laufen nach einer Ablehnung weiter. Das Banner beruhigt, blockiert aber nichts. Ein DSGVO-Audit dient genau dazu, diese Lücke zwischen dem, was Sie glauben, und dem, was Ihre Website tatsächlich tut, zu messen.

Was ein DSGVO-Audit wirklich prüft

Ein nützliches Audit liest nicht Ihre Datenschutzerklärung — es beobachtet das technische Verhalten der Seite. Die zu kontrollierenden Punkte:

Tracker vor der Einwilligung — welche Cookies und Skripte beim Laden ausgelöst werden, vor jeder Besucheraktion.
Wirksamkeit der Ablehnung — Stoppen Marketing-Tracker nach einem Klick auf « Ablehnen » wirklich, oder verschwindet nur das Banner?
Nicht-EU-Transfers — an welche Server und CDNs die Daten gehen (oft in die USA, ohne Garantien).
Einwilligungsbanner — Vorhandensein und vor allem Symmetrie « Akzeptieren » / « Ablehnen ».
Google Consent Mode v2 — korrekt konfiguriert oder im Modus « standardmäßig gewährt »?
Getarnte Tracker (CNAME-Cloaking) — als First-Party-Subdomain getarnte Tracker.

Genau das listet unser kostenloser DSGVO-Audit auf: Er lädt Ihre Seite wie ein echter Besucher und durchläuft drei Phasen — vor der Einwilligung, nach der Annahme, nach der Ablehnung.

Die manuelle Methode: 10 Minuten mit den DevTools

Eine erste Einschätzung können Sie selbst vornehmen, ohne Tool. Öffnen Sie Ihre Website im privaten Fenster, dann die Entwicklertools des Browsers (F12):

Tab « Application » → Cookies: Laden Sie die Seite neu, ohne das Banner zu berühren. Jedes Cookie außer den strikt notwendigen (Warenkorb, Sitzung, Sicherheit, das Einwilligungs-Cookie selbst) sollte nicht da sein.
Tab « Network »: Achten Sie auf Drittanbieter-Domains. Sehen Sie Aufrufe an google-analytics.com, facebook.net oder doubleclick.net vor Ihrem Klick? Das ist eine Lücke.
Klicken Sie auf « Ablehnen » und laden Sie neu: Kommen dieselben Aufrufe zurück? Wenn ja, ist Ihre Ablehnung nicht wirksam.

Diese Methode ist zuverlässig, aber mühsam, und sie übersieht durch CNAME-Cloaking getarnte oder zeitverzögert ausgelöste Tracker. Daher der Nutzen eines automatischen Scans.

Merksatz

Konformität liest man nicht in einer Datenschutzerklärung: Sie zeigt sich im Browser, vor dem Klick und nach einer Ablehnung. Läuft in einer dieser beiden Phasen ein Marketing-Tracker, haben Sie eine Lücke zu schließen.

Die automatische Methode: 90 Sekunden

Unser Tool spielt diese drei Phasen für Sie durch und erstellt einen lesbaren Bericht: beobachtete Lücken, erkannte Tracker, Nicht-EU-Transfers, Banner-Status, Consent Mode. Er ist kostenlos, ohne Anmeldung und speichert keinen Bericht (alles lebt höchstens zwei Minuten im Arbeitsspeicher, aus Frankreich).

Starten Sie den DSGVO-Audit Ihrer Website →

Das Ergebnis lesen: die häufigsten Lücken

Vier Feststellungen kommen fast immer vor:

Analytics vor der Einwilligung — Google Analytics beim ersten Rendern geladen. Die Lücke Nr. 1; siehe auch unseren Beitrag über die SEO-Kosten des Cookie-Banners.
Unwirksame Ablehnung — das Banner schließt sich, aber die Pixel laufen weiter. Bei Shopify ist das fast systematisch: wie Sie es in fünf Minuten beweisen.
Werbe-Pixel — Meta, TikTok, Google Ads, oft von einem Tag-Manager abgelegt.
Nicht-EU-Abhängigkeiten — CDNs und Schriften in den USA gehostet, die die IP Ihrer Besucher preisgeben.

Beheben: wo anfangen

Die Logik ist nicht, « besser um Einwilligung zu bitten », sondern zu reduzieren, was sie nötig macht. Drei Prinzipien:

Trennen Sie die Zwecke: Reichweitenmessung auf der einen, Marketing auf der anderen Seite. Ein Messwerkzeug, das nichts auf dem Gerät liest oder schreibt, löst die Einwilligungspflicht nicht aus (Artikel 5(3) der ePrivacy-Richtlinie).
Blockieren Sie vor dem Klick: Kein nicht-essenzieller Tracker darf laufen, bevor der Besucher zustimmt, und eine Ablehnung muss sie wirklich abschalten.
Wählen Sie Tools, die die Debatte gar nicht erst eröffnen: Analytics ohne Cookie und ohne dauerhafte Kennung nimmt die Reichweitenmessung aus der Einwilligungsgleichung. Das ist Snorklees Ansatz — ohne Banner, ohne Cookie.

Ein Audit ist eine indikative technische Feststellung, keine Rechtsberatung: Es kann Falsch-Positive enthalten. Für eine Entscheidung lassen Sie es von einem DSB oder Juristen prüfen.

Über die DSGVO hinaus: Souveränität

« Konform » zu sein sagt nichts darüber, wohin Ihre Daten gehen. Eine Website kann die DSGVO einhalten und dennoch vollständig von US-Diensten abhängen. Um diese Abhängigkeiten zu kartieren, ergänzen Sie den DSGVO-Audit durch unseren Souveränitäts-Checker: Er zeigt, welche Dritten Ihre Besucher außerhalb der EU exponieren, und schlägt europäische Alternativen vor.

Kurz gesagt

Ihre Website zu prüfen heißt nicht, Ihre AGB neu zu lesen: Es heißt, den Browser zu öffnen und zu beobachten, was vor dem Klick und nach einer Ablehnung ausgelöst wird. Tun Sie es von Hand, um zu verstehen, und automatisieren Sie es dann, um es über die Zeit zu verfolgen.

Prüfen Sie die DSGVO-Konformität Ihrer Website kostenlos →

FAQ

Wie prüfe ich die DSGVO-Konformität meiner Website?
Öffnen Sie Ihre Website im privaten Fenster und prüfen Sie in den DevTools die vor jedem Klick und nach einer Ablehnung ausgelösten Cookies und Netzwerkanfragen: Nur strikt notwendige Elemente sollten erscheinen. Ein Audit-Tool automatisiert diese Feststellung über die drei Phasen (vor der Einwilligung, nach der Annahme, nach der Ablehnung).

Ist der DSGVO-Audit kostenlos?
Ja. Snorklees Audit ist zu 100 % kostenlos, ohne Anmeldung, und zeigt einen Bericht in etwa 90 Sekunden. Es wird kein Bericht gespeichert: Er lebt höchstens zwei Minuten im Arbeitsspeicher und wird dann gelöscht.

Reicht ein Cookie-Banner für die Konformität?
Nein. Ein Banner, das Tracker nicht daran hindert, vor dem Klick auszulösen — oder sie nach einer Ablehnung nicht abschaltet —, macht nicht konform. Konformität zeigt sich im technischen Verhalten der Seite, nicht im Vorhandensein eines Banners.

Was prüft ein Website-DSGVO-Audit?
Vor der Einwilligung gesetzte Tracker, die Wirksamkeit der Ablehnung, Datenübertragungen außerhalb der EU, Vorhandensein und Symmetrie des Banners, die Google-Consent-Mode-v2-Konfiguration und durch CNAME-Cloaking getarnte Tracker.

Veröffentlicht im Juni 2026. Rechtsrahmen: Artikel 5(3) der Richtlinie 2002/58/EG (ePrivacy) — allgemeine Information, keine individuelle Rechtsberatung. Ein automatisiertes Audit ist indikativ und kann Falsch-Positive oder Falsch-Negative enthalten.