Blog

Ich habe 10 Webagenturen geprüft, die DSGVO-Konformität verkaufen. 7 waren es selbst nicht.

Kevin Kulik
DSGVO Datenschutz Webentwicklung Compliance
DSGVO Audit — Network Tab zeigt Tracking vor Consent

Die Idee war simpel

Ich wollte wissen: Halten sich Webagenturen, die DSGVO-Konformität als Service verkaufen, eigentlich an ihre eigenen Standards?

Nicht mit einem Fragebogen. Nicht mit einem Scan-Tool. Sondern so, wie es ein Datenschutzbeauftragter oder eine Aufsichtsbehörde tun würde: Browser öffnen, DevTools aufmachen, schauen was passiert. Bevor ich auf irgendeinen Cookie-Banner klicke.

Was ich geprüft habe

10 Webagenturen aus NRW, die auf ihren Websites DSGVO, Datenschutz oder “rechtssichere Websites” als Leistung anbieten. Keine Exoten, keine Einmann-Hobbyisten. Etablierte Agenturen mit echten Kunden.

Für jede Seite habe ich dokumentiert:

  • Werden Tracking-Scripts geladen, bevor ich dem Cookie-Banner zustimme?
  • Werden Cookies gesetzt, bevor ich irgendwas klicke?
  • Laden externe Dienste (Google Fonts, Chat-Widgets, Analytics) Nutzerdaten ohne Einwilligung?

Kein Hacking, kein Spezialwerkzeug. Nur ein Browser und die eingebauten Entwicklertools, die jeder kostenlos nutzen kann.

Die Ergebnisse

3 von 10 Agenturen waren sauber. Kein Tracking vor Consent, keine problematischen Cookies, keine externen Dienste vor Einwilligung. Respekt.

7 von 10 Agenturen hatten Verstöße. Und zwar nicht kleine. Hier die häufigsten Befunde:

Google Analytics & Google Ads ohne Einwilligung

Network Tab zeigt Requests an Google Tag Manager und Google Analytics, vor jeder Einwilligung.

Mehrere Agenturen laden Google Analytics oder Google Ads Tracking, bevor der Besucher dem Cookie-Banner zustimmt. Bei einer Agentur waren es gleich drei Google-Tracking-Scripts parallel: ein veraltetes Universal Analytics und zwei GA4-Properties. Dazu Cookies wie _ga, _gid und _gcl_au, gesetzt beim ersten Seitenaufruf.

Eine andere Agentur hatte keinen sichtbaren Cookie-Banner, aber Google Ads und Google Analytics liefen trotzdem. Dazu ein Chat-Widget eines Drittanbieters.

Matomo & HubSpot: “selbst gehostet” heißt nicht “erlaubt”

Zwei Agenturen nutzen Matomo, eine davon zusätzlich HubSpot. Selbst gehostetes Matomo ist datenschutzfreundlicher als Google Analytics, aber es ist nicht von der Einwilligungspflicht befreit, wenn es Cookies setzt oder personenbezogene Daten verarbeitet. Beide Agenturen laden Matomo vor dem Consent.

Application Tab zeigt: cmplz_marketing steht auf "deny", trotzdem sind Drittanbieter-Cookies gesetzt.

Bei einer Agentur, die einen 3.000-Wörter-Artikel über DSGVO-Konformität veröffentlicht hat, zeigte der Cookie-Tab: cmplz_marketing = deny. Der Besucher hat Marketing-Cookies abgelehnt. Trotzdem waren Drittanbieter-Cookies von einem Chat-Widget und einem Video-Dienst gesetzt. Komplett am Consent-Banner vorbei.

Externe Dienste ohne Einwilligung

Google Fonts von googleapis.com, Chat-Widgets von Drittanbietern, reCAPTCHA. Alles Dienste, die beim Laden die IP-Adresse des Besuchers an externe Server übermitteln. Ohne Einwilligung, ohne Hinweis.

SSL-Zertifikat ungültig

Eine Agentur war schlicht nicht erreichbar. Das SSL-Zertifikat war ungültig, keine sichere Verbindung möglich. Bei einer Agentur, die Webdesign als Dienstleistung verkauft.

Warum das ein Problem ist

Seit dem EuGH-Urteil zu Google Fonts (LG München, Januar 2022) und den laufenden Entscheidungen der Datenschutzbehörden ist die Rechtslage klar:

  • Externe Ressourcen die Nutzerdaten übermitteln, brauchen eine Einwilligung
  • Tracking-Cookies dürfen nicht vor der Einwilligung gesetzt werden
  • “Berechtigtes Interesse” reicht für Marketing-Cookies nicht aus

Die Bußgelder der DSGVO liegen bei bis zu 20 Millionen Euro oder 4% des Jahresumsatzes. Realistischer sind Abmahnungen, die schnell vierstellig werden.

Was mich daran stört

Es geht mir nicht darum, Kollegen schlecht zu machen. Fehler passieren. Konfigurationen veralten. Plugins ändern ihr Verhalten nach Updates.

Was mich stört: Dieselben Agenturen, die DSGVO-Konformität als Service verkaufen, haben ihre eigenen Websites nicht im Griff. Wenn du einem Kunden sagst “Wir machen deine Website rechtssicher” und deine eigene Website beim ersten Seitenaufruf sechs Tracking-Cookies setzt, dann ist das nicht ein Versehen. Das ist ein Vertrauensproblem.

Was du tun kannst

Wenn du selbst prüfen willst, ob deine Website betroffen ist:

  1. Browser öffnen (Chrome oder Firefox)
  2. DevTools öffnen (F12)
  3. Tab “Application” → Cookies: Sind dort schon Einträge, bevor du dem Banner zugestimmt hast?
  4. Tab “Network”: Lade die Seite neu. Siehst du Anfragen an googletagmanager.com, google-analytics.com, fonts.googleapis.com oder andere externe Dienste?
  5. Wenn ja: Diese Daten werden ohne deine Einwilligung übertragen.

So sieht es aus wenn es richtig gemacht ist

Network Tab einer sauber konfigurierten Website. Keine externen Requests, keine Cookies vor Consent.

Leerer Cookie-Tab. Keine Tracking-Cookies, kein Drittanbieter-Code vor Einwilligung.

Keine externen Requests, keine Cookies, kein Tracking. Nicht vor der Einwilligung. Das ist kein Hexenwerk. Das ist Standard, wenn man es ernst meint.

Oder schick mir deine URL an hi@contegus.com. Ich schau mir das an und sage dir innerhalb von 48 Stunden, was ich finde. Kostenlos, kein Haken. Wenn alles sauber ist, sage ich dir das. Wenn nicht, sage ich dir auch das.

Alle geprüften Agenturen wurden anonymisiert. Es geht nicht darum, einzelne Unternehmen bloßzustellen, sondern ein systematisches Problem sichtbar zu machen. Die Prüfungen wurden am 22. März 2026 durchgeführt.