Zum Inhalt
EA Projekt-Entwicklung Logo EA Projekt-Entwicklung

Cookie-Banner-Theater und DSGVO 2026

Wenn ich mir KMU-Websites in Österreich anschaue, ist die Trefferquote bei DSGVO-Verstößen über 80 Prozent. Das ist kein Übertreiben. Cookie-Banner, die nichts blockieren. Google Fonts, die ohne Einwilligung von Google-Servern geladen werden. Tracker, die im Quelltext stehen, obwohl der Banner auf „Ablehnen" steht. Und dazwischen Datenschutz-Erklärungen, die aus einem Generator von 2019 kommen.

Warum das bei Ihnen ein Risiko ist

Abmahn-Anwälte in Deutschland scannen Sites automatisiert. In Österreich passiert das seltener, aber die Datenschutzbehörde nimmt Beschwerden sehr ernst. Eine Konkurrenzfirma, ein verärgerter Ex-Mitarbeiter, ein wachsamer Kunde, schon läuft das Verfahren. Strafen reichen von einem warnenden Brief bis zu fünfstelligen Bußgeldern. Der Aufwand für Sie ist in jedem Fall hoch.

Dazu kommt: Wer DSGVO-Verstöße akzeptiert, signalisiert auch dem Kunden, dass Datenschutz Nebensache ist. Das ist 2026 ein Vertrauens-Killer, besonders bei Kanzleien, Therapie-Praxen, Steuerberatern.

Die drei häufigsten Fehler

Google Fonts vom Google-CDN. Jedes Mal, wenn jemand Ihre Site öffnet, geht die IP-Adresse an Google. Ohne Einwilligung. Lösung: Schriften selbst hosten, lokal ausliefern. Bei mir Standard, bei jeder Site, ohne Aufpreis.

Cookie-Banner, der nichts blockiert. Der Klassiker: schöner Banner, drei Buttons, im Hintergrund läuft trotzdem Google Analytics, der Facebook-Pixel oder LinkedIn-Insight. Der Banner ist Deko, die Tracker laufen sowieso. Korrekt wäre: Tracker werden erst geladen, wenn der Nutzer aktiv zustimmt.

Datenschutz-Erklärung aus dem Generator. „Wir nutzen Google Analytics", obwohl die Site seit zwei Jahren auf Plausible umgestellt ist. „Eingebettete YouTube-Videos", obwohl gar keine eingebunden sind. Oder umgekehrt: Tools laufen, sind aber in der Erklärung nicht erwähnt. Eine Datenschutz-Erklärung muss zur tatsächlich eingesetzten Technik passen, sonst ist sie wertlos.

Was eine DSGVO-feste Site 2026 ausmacht

  • Schriften selbst gehostet. Cabinet Grotesk, Inter, was auch immer. Lokal im static/-Ordner, kein Google-CDN.
  • Keine Tracker ohne Einwilligung. Plausible oder Cloudflare Web Analytics laufen Cookie-frei und sind aus DSGVO-Sicht meist unkritisch. Google Analytics nur mit aktivem Opt-in.
  • Cookie-Banner, der echt blockiert. Tools wie Borlabs, Cookiebot, oder eine pragmatische selbstgebaute Lösung, die Tracker erst nach Zustimmung lädt.
  • Maps eingebettet mit Click-to-Load. Erst auf Klick wird die Google-Maps-Karte geladen. Standard-Embed verbietet sich.
  • YouTube nur als „YouTube-NoCookie"-Embed oder gleich als statisches Vorschaubild mit Klick zum externen Player.
  • Datenschutz-Erklärung passt zur Realität. Wird bei jeder Änderung der Site mit-aktualisiert. Ein Generator-Text vom Anwalt einmal im Jahr ist nicht genug, wenn dazwischen Tools dazukommen.

Was Sie selbst prüfen können

Öffnen Sie Ihre Site in Chrome, drücken Sie F12, gehen Sie in den Reiter „Netzwerk", laden Sie die Seite neu. In der Liste sehen Sie jede Datei, die geladen wird. Tauchen Domains wie fonts.gstatic.com, google-analytics.com, facebook.net, linkedin.com ohne dass Sie zugestimmt haben? Dann ist die Site nicht DSGVO-fest.

Das ist kein Hexenwerk, aber wenn Sie das selbst nicht prüfen wollen, mache ich es als kurzes Audit. 30 Minuten Telefonat, ich schaue mir die Site live an und sage Ihnen Punkt für Punkt, was passt und was nicht.

Was DSGVO-Sanierung kostet

In Kombination mit einer Wartung: meistens nichts extra. Sie ist Teil der monatlichen Pauschale.

Als Einzelauftrag: 250 bis 600 €, je nach Umfang und Schwere der Mängel. Audit-Bericht, Umstellungen, Aktualisierung der Datenschutz-Erklärung, Test. Festpreis nach kurzem Check.

Wenn Sie eine bestehende Site haben und nicht sicher sind, ob sie DSGVO-fest ist, melden Sie sich: 0699 1203 8521, office@projekt-entwicklung.at. 30 Minuten Erstgespräch kostet nichts.