Executive Summary
Für den DSGVO-Status-Report 2026 hat ScanCompliance.de zwischen Januar und März 2026 insgesamt 12.847 deutsche Unternehmenswebsites automatisiert auf technische Datenschutz-Auffälligkeiten geprüft. Die Ergebnisse zeigen ein gemischtes Bild: Während sich die allgemeine Compliance-Quote gegenüber dem Vorjahr um 8 Prozentpunkte verbessert hat, bestehen in zentralen Bereichen weiterhin erhebliche Defizite.
Besonders auffällig: Fast jede zweite Website (43 %) verfügt nach wie vor über kein funktionstüchtiges Cookie-Banner. Bei 31 % der geprüften Seiten werden Google Fonts extern eingebunden – ein Problem, dass seit dem Urteil des LG München I (Az. 3 O 17493/20) bekannt ist und zu Abmahnwellen geführt hat. 18 % der Websites weisen ein unvollständiges Impressum auf, und bei 12 % fehlt die Datenschutzerklärung gänzlich oder ist veraltet.
Ergebnisse nach Kategorie
Cookie-Banner
43 %Kein Banner vorhanden oder Banner ohne gleichwertige Ablehnen-Option. 28 % der vorhandenen Banner verwenden Dark Patterns (z.B. versteckte Ablehnen-Buttons, vorausgewählte Kategorien).
Google Fonts (extern)
31 %Schriftarten werden direkt von Google-Servern geladen, wodurch IP-Adressen der Besucher an Google übermittelt werden.
Impressum unvollständig
18 %Fehlende Pflichtangaben nach DDG (ehemals TMG), z.B. fehlende Handelsregisternummer, unvollständige Adresse oder fehlender Vertretungsberechtigter.
Datenschutzerklärung
12 %Datenschutzerklärung fehlt vollständig, ist nicht erreichbar oder enthält veraltete Rechtsgrundlagen-Verweise (z.B. noch BDSG alt statt DSGVO Art. 6).
SSL/HTTPS
7 %Kein gültiges SSL-Zertifikat oder keine automatische Weiterleitung von HTTP auf HTTPS. Dieser Wert hat sich gegenüber 2024 (14 %) deutlich verbessert.
Tracking vor Einwilligung
24 %Tracking-Scripte (Google Analytics, Meta Pixel etc.) werden vor der Cookie-Einwilligung geladen.
Branchenvergleich
Die Compliance-Quote variiert stark je nach Branche. Während große E-Commerce-Unternehmen durch professionelle Rechtsabteilungen und spezialisierte Dienstleister überdurchschnittlich gut abschneiden, zeigen sich bei kleinen Handwerksbetrieben und der Gastronomie deutliche Defizite.
| Branche | Stichprobe | Auffälligkeitsquote | Häufigstes Problem |
|---|---|---|---|
| E-Commerce | 3.241 | 52 % | Tracking vor Einwilligung |
| Gastronomie | 2.187 | 78 % | Kein Cookie-Banner |
| Handwerk | 2.934 | 81 % | Impressum unvollständig |
| Dienstleistung | 2.456 | 63 % | Google Fonts extern |
| Gesundheit | 1.029 | 58 % | Datenschutzerklärung veraltet |
| Sonstige | 1.000 | 64 % | Kein Cookie-Banner |
Besonders das Handwerk sticht mit einer Auffälligkeitsquote von 81 % hervor. Viele kleine Betriebe verlassen sich auf günstige Homepage-Baukästen, bei denen Datenschutz-Konfigurationen oft nicht standardmäßig aktiviert sind. Im E-Commerce-Bereich ist die Quote zwar niedriger, dafür sind die festgestellten Probleme tendenziell schwerwiegender – etwa das Laden von Tracking-Scripten ohne vorherige Einwilligung.
Regionale Unterschiede
Auch regional lassen sich signifikante Unterschiede feststellen. Websites aus Bayern schneiden im Durchschnitt besser ab als Websites aus anderen Bundesländern – möglicherweise ein Effekt der vergleichsweise strengen Praxis des Bayerischen Landesamts für Datenschutzaufsicht (BayLDA).
Die niedrigere Quote in Bayern korreliert mit einer höheren Anzahl behördlicher Prüfverfahren: Das BayLDA hat 2025 laut eigenen Angaben über 2.300 anlasslose Websiteprüfungen durchgeführt. In Berlin hingegen liegt der Fokus der Datenschutzbehörde stärker auf großen Plattformen und weniger auf der Breite der KMU-Websites. Der Trend zeigt allerdings in allen Regionen nach unten – die Compliance verbessert sich bundesweit.
Entwicklung gegenüber dem Vorjahr
Im Vergleich zu unserer Erhebung aus dem Frühjahr 2025 (damals 9.432 Websites) zeigt sich eine insgesamt positive Entwicklung. Die Gesamtquote der Websites mit mindestens einer Auffälligkeit sank von 75 % auf 67 % – ein Rückgang um 8 Prozentpunkte.
Der stärkste Rückgang zeigt sich bei den Kategorien Cookie-Banner und Google Fonts. Dies dürfte unter anderem auf die anhaltende Medienberichterstattung über Abmahnungen im Zusammenhang mit externen Google Fonts zurückzuführen sein. Auch die zunehmende Verbreitung von Cookie-Consent-Lösungen wie Cookiebot, Borlabs Cookie und Usercentrics hat offenbar zu einer Verbesserung beigetragen.
Weniger erfreulich ist die Situation beim Tracking vor Einwilligung: Obwohl der Wert von 29 % auf 24 % gesunken ist, zeigt eine genauere Analye, dass viele Websites zwar ein Cookie-Banner implementiert haben, die technische Umsetzung aber fehlerhaft ist – Scripte werden trotzdem vor der Einwilligung geladen, weil das Banner den Seitenaufbau nicht blockiert.
Handlungsempfehlungen
Basierend auf unseren Daten empfehlen wir Website-Betreibern folgende Maßnahmen, um die technische Datenschutz-Konformität zu verbessern:
1. Cookie-Banner implementieren oder überprüfen
Stellen Sie sicher, das Ihr Cookie-Banner eine gleichwertige Ablehnen-Option bietet, keine Kategorien vorab aktiviert sind und das Banner vor dem Laden von Tracking-Scripten erscheint.
2. Google Fonts lokal hosten
Laden Sie die benötigten Schriftarten herunter und binden Sie diese lokal auf Ihrem Server ein. Tools wie google-webfonts-helper vereinfachen diesen Prozess erheblich.
3. Impressum auf Vollständigkeit prüfen
Überprüfen Sie Ihr Impressum anhand der aktuellen Anforderungen des DDG. Achten Sie insbesondere auf Handelsregisternummer, Umsatzsteuer-ID und den Vertretungsberechtigten.
4. Datenschutzerklärung aktualisieren
Verweisen Sie auf die korrekten Rechtsgrundlagen (DSGVO Art. 6, Art. 13) und listen Sie alle eingesetzten Dienste und Tools vollständig auf.
5. Regelmäßige automatisierte Prüfung einrichten
Technische Auffälligkeiten können durch Updates, Plugin-Änderungen oder neue Dienste jederzeit auftreten. Eine regelmäßige automatisierte Prüfung schafft Sicherheit.
Methodik
Für diesen Report wurden 12.847 deutsche Unternehmenswebsites mit dem ScanCompliance.de-Scanner automatisiert geprüft. Die Auswahl erfolgte zufällig aus öffentlich verfügbaren Unternehmensverzeichnissen, gewichtet nach Branche und Bundesland. Jede Website wurde auf über 15 technische Prüfpunkte untersucht, darunter Cookie-Banner, externe Ressourcen, Impressum-Vollständigkeit, SSL-Konfiguration und Tracking-Verhalten.
Hinweis: Dieser Report stellt rein technische Befunde dar und ersetzt keine individuelle rechtliche Beratung. Die automatisierte Prüfung kann nicht alle Aspekte der DSGVO-Konformität abdecken. Für eine vollständige rechtliche Bewertung empfehlen wir die Konsultation eines spezialisierten Rechtsanwalts.
Wie steht Ihre Website da?
Prüfen Sie Ihre Website jetzt kostenlos auf technische Datenschutz-Auffälligkeiten. Automatisierte Analyse in unter 60 Sekunden.
Jetzt kostenlos prüfen