Stellen Sie sich vor, Sie besuchen die Website einer Anwaltskanzlei, weil Sie rechtliche Hilfe suchen. Noch bevor Sie irgendetwas angeklickt haben, wurde Ihre IP-Adresse bereits an Google-Server in den USA übermittelt – ganz ohne Ihre Einwilligung. Nicht über ein Cookie. Einfach weil die Kanzleiwebsite ihre Schriftart von Google lädt, die Kontaktkarte direkt von Google Maps einbettet und das Analyse-Tool sofort beim Seitenaufruf feuert. Die Kanzlei, die Sie vielleicht wegen eines Datenschutzverstoßes beauftragen wollen, begeht in diesem Moment selbst einen. Kein Einzelfall, kein Zufall. Wir haben 1.284 Anwaltswebsites gescannt. Das Ergebnis: 74,7 % übermitteln personenbezogene Daten, bevor der Nutzer seine Einwilligung erteilt hat.
Die Kernergebnisse auf einen Blick
Methodik – was wir gemessen haben
Complianty scannt Websites mit einem Chromium-Browser im Headless-Modus und protokolliert alle ausgehenden Netzwerkanfragen in zwei Phasen: vor und nach dem Klick auf den Cookie-Banner. Was vor dem Klick Daten überträgt, gilt als Pre-Consent-Verstoß – unabhängig davon, ob die Website überhaupt einen Banner hat. Für diese Auswertung haben wir 1.284 deutsche Anwaltswebsites im Mai 2026 gescannt. Die Klassifizierung der erkannten Tools erfolgt über eine kuratierte Fingerprint-Datenbank mit über 40 Tracking- und Analysediensten.
Wichtiger Hinweis: Die gescannten Websites stammen aus dem Complianty-Nutzerkreis – keine Zufallsstichprobe des gesamten deutschen Anwaltsmarkts. Agenturen, die aktiv DSGVO-Monitoring betreiben, sind bereits sensibler für das Thema als der Durchschnitt. Die tatsächlichen Zahlen in der Breite dürften noch schlechter ausfallen. Genau diese Scan-Technologie läuft im Hintergrund von Complianty – automatisch, jede Woche, für alle Kunden-Websites, die du mit Complianty überwachst. Was du hier siehst, ist dieselbe Analyse, die Complianty für deine Kunden still im Hintergrund durchführt.
Das Ausmaß: Drei von vier Kanzleien betroffen
Von 1.284 gescannten Anwaltswebsites — Mai 2026
Von 1.284 gescannten Anwaltswebsites hatten 959 mindestens eine Datenübertragung an einen externen Server, bevor der Nutzer seine Einwilligung erteilt hatte – 74,7 Prozent. Besonders drastisch: 430 Kanzleien – jede dritte – hatten überhaupt kein Cookie Consent Tool auf ihrer Website. Und 574 Kanzleien hatten zwar ein CMP installiert, waren aber trotzdem nicht konform. Von allen Kanzleien mit Cookie-Banner hatten 67,2 % trotzdem Verstöße – was zeigt, dass ein Banner allein das Problem nicht löst.
Googles Infrastruktur dominiert – aber aus zwei verschiedenen Gründen
Schaut man auf die Top 10, fällt ein Muster sofort ins Auge: 7 der 10 häufigsten Verstöße kommen direkt von Google. Das ist kein Zufall – es ist die direkte Folge des typischen WordPress-Ökosystems. Während der nackte WordPress-Core heute datenschutzfreundlich ausgeliefert wird, bringen die in der Praxis fast immer installierten Page-Builder, kommerziellen Themes und Drittanbieter-Plugins diese Google-Dienste oft tief im Code verankert mit – und aktivieren sie standardmäßig ohne Consent-Prüfung. Wichtig zu verstehen: Diese Verstöße haben technisch zwei völlig verschiedene Ursachen, die auch zwei völlig verschiedene Lösungen erfordern.
Häufigkeit der externen Datenübertragungen vor Einwilligung – Top 10 aus 1.284 Anwaltswebsites, Mai 2026
Kategorie 1: Ressourcen-Ladeverstöße – das CMP kommt zu spät
Google Fonts (509 Kanzleien, 39,6 %), Google Static (213), Google CDN (121) und WordPress (176) gehören zur selben Kategorie: Sie sind keine Tracking-Tools im klassischen Sinne, sondern Ressourcen – Schriftarten, Scripts, Stylesheets –, die der Browser direkt beim Laden der Seite von externen Servern anfordert. Dabei überträgt er automatisch die IP-Adresse des Nutzers. Das Landgericht München hat im Januar 2022 klargestellt, dass genau das – das Laden von Google Fonts von externen Servern ohne Einwilligung – eine DSGVO-Verletzung darstellt (Art. 6 Abs. 1 DSGVO, fehlendes Einwilligung als Rechtsgrundlage) und 100 € Schadensersatz pro Vorfall begründet.
Der entscheidende Unterschied zu Tracking-Scripts: Ein CMP blockiert diese Ressourcen im Standard-Setup nicht, da externe Fonts meist direkt über die CSS-Dateien des Themes geladen werden – ohne dass das CMP ein passendes Script-Target dafür hat. Das Problem sitzt nicht in der CMP-Konfiguration, sondern direkt im Theme-Code oder in den Plugin-Einstellungen. Lösung: lokales Hosting der Fonts, Deaktivierung externer Ressourcen im Theme. Hinweis zu Google Static und Google CDN: Diese beiden Einträge in der Top-10-Liste sind keine eigenständigen Dienste, sondern die technischen Auslieferungs-Domains für eben diese Fonts sowie für Maps- und reCAPTCHA-Komponenten. Wer Fonts lokal hostet und Maps absichert, bringt Google Static und Google CDN meist automatisch zum Verschwinden.
Kategorie 2: Tracking-Skripte – das CMP ist falsch konfiguriert
Google Analytics 4 (173 Kanzleien, 13,5 %), Google (138), Google Tag Manager (95) und Google reCAPTCHA (72) sind echte Tracking- und Analyse-Dienste. Sie setzen Cookies, übertragen Nutzerdaten und sind eindeutig einwilligungspflichtig. Hier könnte ein korrekt konfiguriertes CMP helfen – tut es aber nicht, weil die Scripts entweder direkt im Theme hartcodiert sind oder im GTM ohne Consent-Trigger laufen. Auffällig auf Platz 10: Sentry (41 Kanzleien) – das Error-Tracking-Tool wird von Entwicklern routinemäßig als „technisch notwendig" eingestuft. Sentry kann DSGVO-konform betrieben werden (IP-Anonymisierung + AVV), im Standard-Setup überträgt es jedoch die ungekürzte IP-Adresse und Gerätedaten an US-Server, bevor eine Einwilligung vorliegt – und ist damit einwilligungspflichtig.
Google Maps (191 Kanzleien, 14,9 %) ist ein Sonderfall: Die eingebettete Kontaktkarte ist ein Ressourcen-Load (lädt Google-Infrastruktur direkt beim Seitenaufruf) und enthält gleichzeitig Tracking-Komponenten. Auch hier hilft kein CMP – die Karte muss entweder als Two-Click-Lösung eingebunden oder durch eine datenschutzfreundliche Alternative ersetzt werden.
Die CMP-Konfiguration: Zwei Problemtypen, zwei Lösungen
854 Kanzleien hatten ein erkanntes Cookie Consent Tool – 66,5 % der untersuchten Websites. Die ernüchternde Erkenntnis: 574 davon hatten trotzdem Verstöße. Das liegt an den zwei Problemkategorien aus dem vorigen Abschnitt: CMPs können nur einen Teil davon lösen.
Erkannte Cookie Consent Tools auf Anwaltswebsites – installierte Basis (exkl. 305 generische/unbekannte Lösungen)
Unter den namentlich erkannten Tools dominiert Borlabs Cookie mit 161 Installationen – das WordPress-Plugin ist in der deutschsprachigen Welt das meistgenutzte CMP. Dahinter folgen Cookiebot (80) und Complianz (72). 305 Websites (35,7 % aller CMP-Installationen) hatten ein Tool, das wir nicht eindeutig zuordnen konnten – häufig selbst entwickelte Lösungen oder wenig verbreitete Plugins, die nur ein Banner anzeigen, ohne das Tracking technisch zu blockieren.
Für Tracking-Skripte wie GA4 gilt: Borlabs, Cookiebot und Co. können blockieren, was sie verwalten – aber nur, wenn die Scripts auch tatsächlich über das CMP eingebunden und mit Consent-Triggern verknüpft sind. Hartcodierte Scripts im Theme oder GTM-Tags ohne Consent-Logik laufen am CMP vorbei. Für Ressourcen-Ladeverstöße wie Google Fonts ist das CMP schlicht das falsche Werkzeug: Diese Datenübertragungen passieren auf CSS-Ebene, bevor JavaScript läuft. Wer Google Fonts lokal hostet, braucht dafür kein CMP – und wer sie nicht lokal hostet, hilft sich mit keinem CMP der Welt.
Warum das für Anwälte besonders brisant ist
Der rechtliche Rahmen ist klar: Das Übermitteln personenbezogener Daten an Dritte ohne Rechtsgrundlage verstößt gegen Art. 5 Abs. 1 lit. a und Art. 6 Abs. 1 DSGVO – unabhängig davon, ob es sich um Tracking-Scripts oder Ressourcen-Loads handelt. Die möglichen Konsequenzen:
- Bußgelder nach Art. 83 DSGVO – in der Praxis bei kleinen Unternehmen meist im drei- bis fünfstelligen Bereich, theoretisch bis 4 % des globalen Jahresumsatzes
- Schadensersatzansprüche nach Art. 82 DSGVO – Betroffene können immaterielle Schäden geltend machen; das LG München hat in einem Pilotfall 100 € pro Vorfall für unerlaubte Google-Fonts-Einbindung zugesprochen
- Abmahnungen – ironischerweise gerade von Wettbewerbern oder Kanzleien, die selbst nicht konform sind
- Reputationsschäden – für eine Kanzlei, die auf dem Vertrauen ihrer Mandanten aufbaut, besonders schwerwiegend
Die Ironie ist unübersehbar: Datenschutzanwälte, die täglich Mandanten zu DSGVO-konformem Verhalten beraten und Abmahnschreiben verfassen, betreiben auf der eigenen Website uneingewilligtes Tracking. Das ist nicht nur ein rechtliches Risiko – es ist ein Glaubwürdigkeitsproblem.
Die drei häufigsten Fixes für Kanzlei-Kunden
Die gute Nachricht für Agenturen: Die meisten der gefundenen Verstöße lassen sich technisch beheben. In vielen Fällen reichen wenige Stunden Arbeit pro Kunden-Website.
1. Google Fonts lokal hosten
Das Problem: Viele kommerzielle Themes (Avada, Divi, Enfold) und Page-Builder laden Schriften
direkt von fonts.googleapis.com – das übermittelt bei jedem Seitenaufruf die
IP-Adresse des Besuchers an Google. Kein CMP kann das verhindern, weil es auf CSS-Ebene passiert.
Der Fix für deine Kanzlei-Kunden: Schriften einmalig herunterladen, auf dem eigenen Server hosten
und im Theme die externen Referenzen deaktivieren. Viele Themes bieten dafür eine eigene
Einstellung; ansonsten hilft das Plugin OMGF (Optimize My Google Fonts).
2. GA4 und GTM mit Consent-Triggern verknüpfen
Das Problem: GTM und GA4 werden im <head> hartcodiert und feuern sofort beim
Seitenaufruf – auch wenn ein CMP vorhanden ist. Der Fix: Im CMP das Script als einwilligungspflichtig
markieren und den Consent Mode v2 für GA4 aktivieren. Im GTM selbst alle Tags mit einem
Consent-Trigger versehen. Ohne diese GTM-seitige Konfiguration hilft auch ein korrekt
eingerichtetes Borlabs oder Cookiebot nicht.
3. Google Maps absichern
Das Problem: Eingebettete Google Maps laden beim Seitenaufruf sofort Google-Ressourcen – ebenfalls unabhängig vom CMP. Der Fix: Eine Two-Click-Lösung einbauen (die Karte lädt erst nach einem aktiven Klick des Nutzers) oder auf datenschutzfreundliche Alternativen wie OpenStreetMap umsteigen. Für WordPress: Plugins wie OSM oder Leaflet Maps Marker.
Fazit – und was das für Agenturen bedeutet
Drei von vier Anwaltswebsites übertragen personenbezogene Daten an externe Server, bevor der Nutzer seine Einwilligung erteilt hat. Das ist kein Randproblem – das ist Standard. Die häufigste Ursache ist nicht böse Absicht, sondern technische Unkenntnis: kommerzielle Themes und Page-Builder, die Google-Dienste tief im Code verankert mitliefern, und CMPs, die nur für Tracking-Scripts funktionieren – nicht für Ressourcen-Ladeverstöße auf CSS-Ebene.
Für Agenturen, die Kanzleien betreuen oder als neue Kunden ansprechen wollen, sind diese Zahlen mehr als eine Statistik: Sie sind ein konkreter Gesprächseinstieg. 74,7 % der Kanzleien haben nachweisbare Verstöße – und die meisten wissen es nicht. Ein kostenloser Scan als Türöffner, gefolgt von einem klaren Fix-Angebot, ist ein Argument, das Anwälte verstehen: Sie beraten ihre Mandanten täglich genau zu solchen Risiken.
Wie Pre-Consent-Datenübertragungen technisch entstehen und wie du sie auf Kunden-Websites erkennst, erklärt unser Artikel Tracking vor Cookie Consent: Wie du DSGVO-Verstöße erkennst. Die vollständige DSGVO-Checkliste für den Website-Launch findest du in unserer DSGVO-Checkliste für Webagenturen.