DSGVO-Compliance: 62% der Webseiten nutzen illegale Dark Patterns

Die Datenschutz-Grundverordnung feiert 2026 ihren zehnten Geburtstag – doch viele Webseiten sind alles andere vorbildlich. Aktuelle Prüfungen und Gerichtsurteile zeigen: Bei Cookie-Bannern und der Einbindung externer Dienste hapert es gewaltig. Experten fordern nun umfassende Compliance-Checks.

Dunkle Muster und verbotene Tracking-Skripte

Eine Analyse von 200 Webseiten aus dem deutschsprachigen Raum und der Türkei fördert alarmierende Ergebnisse zutage. Die Forscher stellten fest, dass 62 Prozent der untersuchten Seiten sogenannte „Dark Patterns" einsetzen – also Gestaltungstricks, die Nutzer zu datenintensiven Einstellungen drängen. Besonders gravierend: 41 Prozent der Webseiten luden Tracking-Skripte, bevor der Nutzer überhaupt seine Zustimmung gegeben hatte. Das ist ein klarer Verstoß gegen europäische Datenschutzstandards.

Anzeige: 62 % der Webseiten setzen illegale Dark Patterns ein – das Risiko für Bußgelder steigt. Mit dieser 6-Punkte-Checkliste prüfen Sie in wenigen Schritten, ob Ihre Seite DSGVO-konform ist. Jetzt kostenlose Checkliste anfordern

Die technische Umsetzung der Cookie-Banner hat zudem handfeste Folgen für die Performance. Bei 78 Prozent der geprüften Seiten stieg die Ladezeit (LCP) um mehr als 500 Millisekunden – eine Ewigkeit im digitalen Zeitalter. Der Berliner Datenschutzbeauftragte hatte bereits 2024 einen Bußgeldkatalog speziell für Dark Patterns veröffentlicht. Die möglichen Strafen: bis zu vier Prozent des Jahresumsatzes.

Nürnberger Urteil schafft Klarheit beim Kopplungsverbot

Die Rechtsprechung zur Frage, wann eine Einwilligung wirklich „freiwillig" ist, entwickelt sich weiter. Das Amtsgericht Nürnberg entschied im Juli 2025: Das Kopplungsverbot – also die Bedingung, dass ein Vertrag nur mit Datenweitergabe zustande kommt – gilt nicht absolut. Im konkreten Fall durfte die Einwilligung auch dann als freiwillig gelten, wenn sie an einen Vertrag gekoppelt war.

Die Richter sahen zudem die Übermittlung von Daten an Auskunfteien zur Betrugsprävention als gerechtfertigt an – gestützt auf das „berechtigte Interesse" nach Artikel 6 DSGVO. Wer Schadensersatz nach Artikel 82 DSGVO verlangt, muss künftig konkrete Verluste nachweisen. Bloßes „Unbehagen" reicht nicht.

Analytics-Tools: Die häufigsten Fehler

Für Unternehmen, die im Mai 2026 ihre digitale Infrastruktur überprüfen, gilt eine klare Unterscheidung: Technisch notwendige Cookies fallen unter das TDDDG, für Statistik- und Marketing-Cookies ist eine ausdrückliche Einwilligung nötig. Bei Analysetools wie Matomo tappen viele in die Falle. Zwar lassen sich selbst gehostete Versionen so konfigurieren, dass keine Daten in Drittländer abfließen – doch auch hier müssen Cookies vor der Einwilligung blockiert werden.

Die aktuellen Datenschutzerklärungen aus verschiedenen Branchen – von der Freizeitindustrie bis zum Pharmaeinzelhandel – zeigen einen Trend zu detaillierteren Angaben. Sie nennen nun häufig die genaue Speicherdauer für Server-Logfiles (oft sieben bis 30 Tage) und listen externe Dienstleister wie Google Ireland oder spezialisierte Plugin-Anbieter wie Elfsight explizit auf.

Anzeige: Tracking-Skripte laden vor der Einwilligung? Das ist ein klarer Verstoß. Erfahren Sie, wie Sie Cookie-Banner ohne Dark Patterns umsetzen und Analytics-Tools rechtskonform einsetzen. DSGVO-Praxisleitfaden jetzt sichern

Prüfcheck für Betreiber: Diese Punkte sind entscheidend

Datenschutz-Experten empfehlen Webseiten-Betreibern, sich auf sechs Kernbereiche zu konzentrieren:

• Datenfluss kartieren: Alle Stellen erfassen, an denen personenbezogene Daten anfallen – Kontaktformulare, Newsletter, CRM-Schnittstellen.
• Drittland-Transfers prüfen: Tools identifizieren, die Daten in Länder außerhalb der EU übertragen. Oft sind Standardvertragsklauseln (SCC) nötig.
• Technische Sicherheit testen: SSL/TLS-Verschlüsselung und Plugin-Sicherheit regelmäßig überprüfen – besonders bei WordPress.
• Betroffenenrechte gewährleisten: Prozesse für Auskunfts- und Löschungsanfragen etablieren und regelmäßig testen.
• Gesundheitsdaten besonders behandeln: Im Gesundheitswesen gelten spezielle Ausnahmen für die Verarbeitung sensibler Daten wie Rezepte oder Hilfsmittel. Die gesetzlichen Aufbewahrungsfristen betragen hier bis zu zehn Jahre.
• Einwilligungsmechanismen auditieren: Cookie-Banner auf Dark Patterns und korrekte technische Umsetzung prüfen – vor dem Laden von Skripten muss die Einwilligung erfolgen.

de | wirtschaft | 69455992 |