Das stille Compliance-Risiko – Wie unkontrollierte Tracker auf Unternehmenswebsites zur DSGVO-Schwachstelle werden

Wann wurden die Tracker das letzte Mal auf der Unternehmenswebsite geprüft? Vermutlich nicht so oft wie die Firewall-Regeln oder die Endpoint-Security-Richtlinien. IT-Sicherheitsteams investieren Millionen in Netzwerkmonitoring und Schwachstellenscans, doch die eigene Website bleibt oft ein blinder Fleck – ein „ungepatchtes Leck“, das klassische Sicherheitstools gar nicht sehen. Marketingabteilungen betreiben Tracking meist ohne tiefe IT-Abstimmung, Sicherheitsteams haben andere Prioritäten, und so können Drittanbieter-Tracker unbemerkt Daten abfließen lassen. 

Das ist kein akademisches Gedankenspiel, sondern ein handfestes Compliance-Risiko, das an das blinde Einführen von Technologien ohne Datenschutz-Check erinnert – genau das Szenario, das der Beitrag KI im Unternehmen: Innovation ja, aber nicht im Datenschutz-Blindflug beschreibt.  Nur dass es hier nicht um KI geht, sondern um Hunderte von Javascript-Schnipseln, die täglich Besucherdaten an Dritte senden – und damit Tür und Tor für Bußgelder öffnen.

 

Die DSGVO-Bußgeldrealität: Milliardenrisiko für Unternehmen

Die Zahlen sind alarmierend. Bis März 2025 wurden laut ODC Legal insgesamt 2.245 Verstöße mit rund 5,65 Milliarden Euro sanktioniert. Allein 2024 summierten sich die europaweiten Bußgelder auf 1,2 Milliarden Euro – ein scheinbarer Rückgang um 33 Prozent gegenüber dem Vorjahr, der aber fast ausschließlich auf die Rekordstrafe von 1,2 Milliarden Euro gegen Meta im Jahr 2023 zurückgeht.

Die prominenten Einzelfälle verdeutlichen, dass es längst nicht mehr nur um die Datenverarbeitung von US-Giganten geht. Im Oktober 2024 verhängte die irische Datenschutzbehörde 310 Millionen Euro gegen Linkedin wegen unzureichender Rechtsgrundlage für Werbedaten. 

Nur drei Monate zuvor traf es Uber: 290 Millionen Euro von den Niederlanden für die unzulässige Übermittlung von Fahrerdaten in die USA. Diese Fälle dokumentiert der CMS Law Enforcement Tracker. Besonders brisant: Die französische CNIL belegte Google im September 2025 mit 325 Millionen Euro Strafe, weil Werbung in Gmail ohne Einwilligung geschaltet und Cookie-Consent-Verstöße bei über 74 Millionen Konten begangen wurden – ein Verstoß, den die CNIL ausführlich begründet.

In Deutschland liegen die Gesamtbußgelder seit Inkrafttreten der DSGVO bei 89,1 Millionen Euro. Der Fokus der Aufsichtsbehörden liegt dabei zunehmend auf Mängeln bei Integrität und Vertraulichkeit der Datenverarbeitung. 

Zwar treffen die höchsten Strafen vor allem Tech-Konzerne, aber auch mittelständische Unternehmen rücken ins Visier – die Summe der kleineren Fälle steigt kontinuierlich. Der maximale Bußgeldrahmen beträgt 20 Millionen Euro oder 4% des weltweiten Jahresumsatzes; für weniger schwere Verstöße gilt eine Obergrenze von 10 Millionen Euro oder 2% des Umsatzes. 

Spätestens wenn die niederländische Behörde prüft, ob die Geschäftsführer von Clearview AI persönlich haftbar gemacht werden können, nachdem bereits 30,5 Millionen Euro gegen das Unternehmen verhängt wurden, wird klar: Das Risiko hat eine persönliche Dimension.

Tracker als Einfallstor: Der unkontrollierte Datenabfluss

Die Universität Bamberg hat 2022 100 deutschsprachige Websites unter die Lupe genommen und 19 entfernt, sodass 81 Seiten analysiert wurden. Erschreckendes wurde dokumentiert: 79 Prozent der Seiten banden bereits Tracker ein, bevor der Nutzer den Cookie-Banner überhaupt sah – im Schnitt zwei Tracker. 

Nur 17 Prozent waren datensparsam implementiert. Und selbst wer im Banner ablehnte, hatte im Schnitt noch zwei aktive Drittanbieter – auf einer Website waren es sogar 20. 

Akzeptierte man hingegen alles, kontaktierten die Seiten durchschnittlich 18 verschiedene Unternehmen; ein Viertel der Websites lud mehr als 26 Tracker ein. Die gesamte Studie findet sich auf der Seite der Universität Bamberg.

Internationale Analysen bestätigen das Bild. Die 2025 veröffentlichte Metastudie von Ignite.video wertete Websites aus und stellte fest: 43 Prozent setzen Tracking-Cookies ohne gültige Einwilligung. 

Google allein ist für 47,3 Prozent aller Pixel-Tracking-Verstöße verantwortlich, Meta für 8,8 Prozent. Besonders gravierend: 57,5 Prozent der Websites löschen Cookies nach einem Widerruf nicht; drei von vier informieren beim Widerruf mindestens einen Drittanbieter nicht korrekt, sodass das Tracking munter weiterläuft. 

Die technische Umsetzung scheitert oft, weil Consent-Management-Plattformen nicht sauber in das Backend integriert sind oder Widerrufe nicht an alle Tag-Manager weitergereicht werden.

Auch die Banner selbst sind ein Problem: Nur magere 15 Prozent der untersuchten Cookie-Banner in Ländern erfüllten die Mindestanforderungen, und eine separate Analyse über europäischer Websites ergab, dass 49 Prozent gegen „ePrivacy Directive“ verstoßen.

Ein Blick auf die schiere Menge der Tracker unterstreicht die Dimension. Die „NordVPN Studie“ zeigt, dass deutsche Websites im Schnitt 16 Tracker pro Seite aufweisen. 

Auf Tech-Seiten sind es sogar 41, auf Nachrichtenportalen 24. Jeder dieser Tracker lädt JavaScript-Code von Dritten nach, schafft ein Supply-Chain-Risiko und eine Datenabflussstelle, die von traditionellen Vulnerability-Scans überhaupt nicht erfasst wird.

Rechtlicher Rahmen: TDDDG und DSGVO in der Praxis

Seit dem 14. Mai 2024 ist das Telekommunikation-Digitale-Dienste-Datenschutzgesetz (TDDDG) in Deutschland das maßgebliche Gesetz für Cookie-Einwilligungen. § 25 TDDDG verlangt für fast alle Cookies und Tracking-Dienste eine ausdrückliche Einwilligung, bevor Daten gesetzt werden. 

Während die DSGVO die generellen Grundsätze der Datenverarbeitung regelt, konkretisiert das TDDDG die spezifischen Anforderungen an Einwilligungen für Cookies und ähnliche Technologien.

Die DSGVO bleibt das Dach, das internationale Datenübermittlungen streng reguliert. Das Schrems-II-Urteil des EuGH hat die Latte hoch gehängt. Ein anschauliches Beispiel liefert die Noyb zur Nutzung von Google-Analytics: 2022 erklärte die österreichische Datenschutzbehörde den Dienst für illegal, weil personenbezogene Daten unzulässig an US-Behörden gelangen können. 

Es war die erste von 101 koordinierten Musterbeschwerden in Europa. Inzwischen haben mehrere Aufsichtsbehörden ähnlich entschieden – und die Tatsache, dass viele Unternehmen Google-Analytics weiterhin ungeprüft einsetzen, macht diese zu einer tickenden Compliance-Bombe.

Unternehmensrealität: Fehlende Transparenz und Ressourcenmangel

Es mangelt vielen Firmen nicht an gutem Willen, sondern an Klarheit und Kapazität. Eine Umfrage von Usercentrics und Sapio Research unter 150 deutschen Entscheidungsträgern, über die Adzine.de berichtet, ergab: 65 Prozent der Unternehmen wissen nicht sicher, ob ihr Cookie-Banner den lokalen und europäischen Datenschutzvorgaben vollständig entspricht. 

Als größte Hürden nennen sie unklare gesetzliche Bestimmungen (49 Prozent), mangelnde interne Ressourcen (33 Prozent) und die Komplexität bei der Aktualisierung von Tracking-Technologien (33 Prozent). 

Die Regulierung ist zudem im Fluss – Datenschutzbehörden veröffentlichen immer detailliertere Leitlinien, die die Anforderungen konkretisieren, aber auch Unsicherheit schaffen, weil sie sich von Land zu Land unterscheiden.

Interessant ist die unterschiedliche Risikowahrnehmung: Kleine Unternehmen fürchten vor allem Bußgelder der Behörden, während große Unternehmen primär den Verlust des Verbrauchervertrauens und Image-Schäden als Risiko sehen. 

Diese Diskrepanz zwischen den hohen technischen und rechtlichen Anforderungen und der tatsächlichen Umsetzung zeigt: Die Compliance-Lücke ist für viele noch abstrakt – sie wird erst konkret, wenn der Bußgeldbescheid kommt.

Von der Blindstelle zum Risikoregister: Praktische Schritte zur Absicherung

Wie also sollten Unternehmen das stille Risiko aus der Grauzone in das Risikomanagement übernehmen? Hier sind vier konkrete Schritte, die sich sofort umsetzen lassen.

Schritt 1: Transparenz schaffen

„Führen Sie regelmäßig automatisierte Scans Ihrer gesamten Webpräsenz durch, um alle aktiven Drittanbieter-Tracker zu identifizieren. Experten empfehlen, das Tracking-Inventar bei jeder größeren Website-Änderung und mindestens quartalsweise zu scannen. 

Spezialisierte Consent-Management-Plattformen (CMP) helfen, diesen Überblick zu gewinnen und gleichzeitig die Einwilligungsprozesse zu steuern. 

Ein Beispiel: iubenda Cookie Consent – die italienische Compliance-Plattform bietet neben dem Cookie-Banner auch einen integrierten Tracker-Scan, einen Generator für Datenschutz- und Cookie-Richtlinien sowie ein Accessibility-Widget. iubenda ist Google-zertifizierter CMP-Partner und IAB TCF 2.2-validiert und betreut über 150.000 Kunden in mehr als 100 Ländern.“

Schritt 2: Consent-Management implementieren und prüfen

„Gestalten Sie den Einwilligungsbanner DSGVO/TDDDG-konform: Tracker werden erst nach positivem Consent geladen und nach einem Widerruf sauber entfernt. 

Die Einwilligungsprotokolle müssen vorhaltbar sein, damit Sie im Zweifel nachweisen können, wer wann zugestimmt hat. Prüfen Sie außerdem regelmäßig mit Testklicks, ob das Banner wirklich das tut, was es soll – sonst nützt die schönste Konfiguration nichts.“

Schritt 3: Drittanbieter-Prozesse absichern

„Dokumentieren Sie die Datenflüsse zu allen Tracking-Anbietern, überprüfen Sie die entsprechenden Verträge auf Aktualität und sorgen Sie für ordentliche Auftragsverarbeitungsverträge (AVV). 

Insbesondere bei internationalen Übermittlungen – etwa in die USA – brauchen Sie geeignete Garantien.“

Schritt 4: Integration ins IT-Risikomanagement

„Machen Sie Tracker-Governance zu einem festen Bestandteil Ihres Risikoregisters, berichten Sie regelmäßig über den Compliance-Status und beziehen Sie die Website-Sicherheit in Ihre Audits ein – genauso selbstverständlich wie Firewalls, IDS und Endpoint Protection. Nur so lässt sich die Lücke dauerhaft schließen.“

Caveats & Counterpoints: Technologie allein reicht nicht

Ein Tool wie Jubenda oder eine andere CMP kann nicht zaubern: Ein falsch konfigurierter Banner oder inkonsistente interne Prozesse führen auch mit bester Software zu Verstößen. Hinzu kommt, dass Nutzer Cookie-Banner oft als störend empfinden; Dark Patterns und Zustimmungsmüdigkeit untergraben die Akzeptanz und erschweren ein konsistentes Einwilligungsmanagement. 

Und dann ist da noch die ungleiche Vollzugspraxis: Solange die spektakulärsten Bußgelder vor allem auf Big-Tech zielen, könnte bei KMU ein falsches Sicherheitsgefühl entstehen. 

Compliance ist deshalb kein einmaliger Scan, sondern ein fortlaufender Prozess, der organisatorische, rechtliche und technische Maßnahmen miteinander verzahnt.

Fazit: Tracker-Compliance als unverzichtbarer Bestandteil der IT-Sicherheitsstrategie

Unkontrollierte Tracker sind kein Soft-Thema, sondern ein handfestes Datenschutz- und Sicherheitsrisiko mit erheblichem Bußgeld- und Reputationspotenzial. Die Studien belegen: Ein Großteil der Unternehmenswebsites ist nicht rechtskonform, und selbst wo Einwilligungstools im Einsatz sind, versagt häufig die technische Umsetzung. 

IT-Sicherheitsverantwortliche müssen Tracker-Governance in ihr Risikoregister aufnehmen und genauso konsequent prüfen wie andere Schutzmaßnahmen. Mit dem wachsenden Einsatz KI-gestützter Tracking-Technologien wird das Risiko weiter steigen. 

Wer also Millionen in Firewalls und Endpoint-Protection steckt, sollte den eigenen Webauftritt nicht länger als blinden Fleck behandeln – sonst wird die Compliance-Lücke irgendwann teuer.