Alle Artikel

Fast die Hälfte der Hotel-Websites trackt vor der Einwilligung — DSGVO-Analyse von über 19.000 Hotel-Seiten

Verstößt Ihre Hotel-Website gegen die DSGVO? Unsere Analyse von 23.614 Websites deutscher Hotels, Pensionen und Gasthöfe zeigt: 47,4 % der Seiten mit echter Web-Präsenz übertragen Daten an Dritte, bevor der Gast einwilligt — und 37,6 % tun das trotz vorhandenem Cookie-Banner. Dazu Daten zu Tracking-Kategorien, Google-Dominanz, der Leak-Quote je Cookie-Banner und der überraschenden Schwäche der teuren Premium-Banner. So machen Sie Ihre Hotel-Website rechtssicher und vermeiden Abmahnungen.

Fast die Hälfte der Hotel-Websites trackt vor der Einwilligung — DSGVO-Analyse von über 19.000 Hotel-Seiten

Ein Gast plant seinen Urlaub. Er öffnet die Website des Hotels, das ihm empfohlen wurde — um die Zimmer anzusehen, die Lage zu prüfen, vielleicht direkt zu buchen. Die Seite lädt, und in genau diesem Moment, bevor er auf irgendetwas geklickt hat, kennen bereits mehrere fremde Server seine IP-Adresse, seinen ungefähren Standort, seinen Browser-Fingerabdruck und die Unterseite, die er gerade betrachtet. Kein Klick, kein „Akzeptieren", keine Einwilligung — allein der Aufruf der Startseite genügt.

Wir haben 23.614 Websites deutscher Hotels, Pensionen und Gasthöfe mit unserem automatisierten Pre/Post-Consent-Scanner analysiert. 19.401 davon waren erreichbar und lieferten ein auswertbares Ergebnis. Das Bild ist eindeutig: Fast die Hälfte aller Hotel-Websites mit echter Web-Präsenz überträgt Daten an Dritte, bevor der Besucher einwilligt. Und das ist kein Phänomen einzelner Tracking-Junkies — bei mehr als der Hälfte dieser Fälle reicht ein einziger eingebetteter Dienst, um den Verstoß auszulösen.

47,4 %
Tracking vor Einwilligung
6.596 von 13.908 Web-Präsenzen
37,6 %
Verstoß trotz Cookie-Banner
4.236 Websites
54 %
Google ist beteiligt
an jedem zweiten Verstoß
19.401
Erfolgreich gescannt
Juli 2026

Hotels gelten im Netz als professioneller aufgestellt als die klassische Restaurant-Website: mehr Budget, eine Buchungsmaschine, eine betreuende Agentur. Und tatsächlich haben 81 % der Hotel-Seiten mit Web-Präsenz ein Cookie-Banner — deutlich mehr als in der Gastronomie. Nur nützt das erstaunlich wenig: Bei mehr als jedem dritten dieser Banner feuert das Tracking trotzdem, bevor irgendjemand zugestimmt hat. Ein Banner allein ist eben kein Schutz — es kommt darauf an, ob es die Skripte wirklich sperrt.

Warum gerade Hotels betroffen sind

Eine Hotel-Website muss zwei Dinge leisten: gefunden werden und Vertrauen aufbauen. Beides führt fast zwangsläufig zu Drittanbietern. Die Anfahrt kommt von Google Maps, die Bewertungen von Trustindex, Google-Rezensionen oder TripAdvisor, das Zimmer-Rundum-Video von YouTube, der Buchungs-Chat von einem externen Dienst, dazu Google Analytics fürs Marketing und der Meta Pixel fürs Retargeting der Urlaubs-Interessenten. Jeder dieser Bausteine baut beim Seitenaufruf sofort eine Verbindung zu einem fremden Server auf — und liefert dabei personenbezogene Daten aus, lange bevor der Cookie-Banner überhaupt fertig geladen ist.

Hinzu kommt der Buchungsdruck: Wer Zimmer verkauft, will jeden Interessenten messen, wiedererkennen und erneut ansprechen. Analytics, Werbe- und Retargeting-Skripte sind hier nicht Beiwerk, sondern Geschäftsmodell — und werden entsprechend früh und reichlich eingebunden. Der bequeme Standardweg (Karte per Copy-and-paste-Embed, Bewertungs-Widget aus dem Marketplace, Pixel fürs Meta-Advertising) führt geradewegs in den Verstoß. Niemand handelt böswillig; der Default ist einfach nicht datenschutzkonform.

„Pre-Consent" bezeichnet das Zeitfenster zwischen dem Aufruf einer Seite und dem Klick auf „Alle akzeptieren". In diesem Fenster dürfen ausschließlich technisch notwendige Dienste aktiv sein. Alles andere — Analyse, Werbung, Karten, eingebettete Videos, Bewertungs-Widgets — ist ohne vorherige Einwilligung rechtswidrig. Und zwar unabhängig davon, ob ein Cookie-Banner vorhanden ist.

47,4 % 6.596 Websites Mind. ein Pre-Consent-Verstoß
52,6 % 7.312 Websites Kein Pre-Consent-Verstoß

Basis: 13.908 Hotel-Websites mit echter Web-Präsenz (Cookie-Banner oder ≥ 1 Drittdienst; von 19.401 erfolgreich gescannten) · Juli 2026

Der wichtigste Befund liegt nicht im „Ob", sondern im „Trotzdem". Von den 6.596 Websites mit Pre-Consent-Verstoß haben 4.236 ein aktives Cookie-Banner — es blockiert das Tracking trotzdem nicht. Diese Zahl lässt sich aus zwei Blickwinkeln lesen, die man nicht verwechseln sollte: Bezogen auf alle 11.264 Hotel-Seiten mit Cookie-Banner tracken 37,6 % trotz Banner vor der Einwilligung — das ist die Zahl aus dem Überblick oben. Betrachtet man umgekehrt nur die 6.596 Verstöße selbst, so passieren knapp zwei von drei (64,2 %) mit installiertem Consent-Tool; nur 2.360 stammen von Seiten ganz ohne Banner. So oder so erzeugt das Banner eine trügerische Sicherheit — der Betreiber glaubt, alles geregelt zu haben, während im Hintergrund weiter Daten abfließen.

Aufschlüsselung der 6.596 Verstöße: 64,2 % haben ein Cookie-Banner — es blockiert das Tracking trotzdem nicht

Welche Art von Tracking? Die Kategorien im Überblick

Nicht jeder Drittdienst ist gleich. Wir ordnen jeden erkannten Dienst einer Kategorie zu — von harmloser wirkender Reichweitenmessung bis zu Werbe- und Retargeting-Infrastruktur. Bei Hotel-Websites dominieren zwei Blöcke klar: Analyse (Google Analytics & Co.) und Karten (fast immer Google Maps für die Anfahrt).

Anzahl der Hotel-Websites mit mindestens einem Pre-Consent-Dienst je Kategorie (Mehrfachnennung möglich, Basis 13.908)

Bemerkenswert ist die dritte Gruppe hinter Analyse und Karten: Werbung und Retargeting zusammen betreffen über 1.800 Seiten. Das ist kein technisches Versehen wie eine falsch eingebundene Karte, sondern bewusst gesetzte Marketing-Infrastruktur, die den Besucher über Websites hinweg verfolgt — und die vor der Einwilligung besonders eindeutig unzulässig ist. Dazu kommt eine für Hotels typische Kategorie, die anderswo kaum auffällt: Monitoring (755 Seiten), meist der Fehler-Tracker Sentry, den ein Theme oder Buchungs-Widget unbemerkt mitbringt.

Steigt man von den Kategorien auf die einzelnen Dienste hinab, wird das Muster noch konkreter. Zwei Google-Dienste führen die Liste mit deutlichem Abstand an — und dahinter reiht sich der übliche Verdächtigenkreis aus Werbung, Video und, hotel-typisch, Bewertungs-Widgets ein.

Die zehn häufigsten Dienste mit Pre-Consent-Verbindung (Anzahl Websites, von 13.908 Web-Präsenzen)

Platz 1: Google Analytics 4 — 1.570 Websites (11,3 %)

Das meistverbreitete Messwerkzeug der Welt ist auch bei Hotels die Nummer eins der Pre-Consent-Sünder. Damit kein Missverständnis entsteht: Die reinen cookielosen Consent-Mode-Pings zählen wir bewusst nicht als Verstoß (siehe Methodik). GA4 steht hier auf Platz 1, weil auf diesen Seiten das vollständige Analytics-Skript lädt und bereits vor der Einwilligung echte, personenbezogene Anfragen an Google gehen — kein bloßer Ping, sondern tatsächliche Datenerhebung. Der saubere Weg ist, das Skript vollständig hinter das Consent-Banner zu legen und den Google Consent Mode v2 im datenschutzfreundlichen Basic-Modus zu betreiben statt im Advanced Mode, der bereits vor der Einwilligung Signale an Google sendet.

Platz 2: Google Maps — 1.514 Websites (10,9 %)

Die interaktive Anfahrtskarte ist der klassischste aller Hotel-Verstöße. Sobald sie beim Seitenaufruf automatisch lädt, fließt die IP-Adresse des Gastes an Google — ohne Einwilligung. Die Lösung ist simpel und seit Jahren etabliert: ein statisches Vorschaubild, die echte Karte lädt erst nach einem aktiven Klick (Zwei-Klick-Lösung).

Platz 3: Sentry — 700 Websites (5,0 %)

Sentry ist ein Fehler-Monitoring-Dienst, den kaum ein Hotelier bewusst installiert hat. Er steckt in Themes, Buchungs-Widgets und Page-Buildern und meldet beim Seitenaufruf technische Fehler an einen externen Server — inklusive IP. Ein „unsichtbarer" Dienst, den man nur mit einem Scan überhaupt findet.

Plätze 4–7: Googles Werbe- und Video-Infrastruktur

Google DoubleClick (687), YouTube (490) und Google Ads (401) bilden zusammen mit dem Meta Pixel (455) den Werbe- und Video-Block. Das eingebettete Zimmer- oder Image-Video von YouTube lädt beim Aufruf automatisch Tracking nach; DoubleClick und Google Ads sind reine Werbe- und Conversion-Infrastruktur. Der Meta Pixel dient dem Retargeting von Urlaubs-Interessenten auf Facebook und Instagram und ist ohne Einwilligung besonders klar rechtswidrig.

Plätze 8–10: die hotel-typischen Widgets

Was die Hotellerie von anderen Branchen unterscheidet, sind die letzten Plätze: Trustindex (275) und weiter hinten das TripAdvisor-Widget (143) binden Bewertungen ein — und tracken dabei mit; PagePulse (274) ist ein Analyse-Dienst aus dem Hotel-Marketing-Umfeld; OpenStreetMap (210) taucht als vermeintlich „datenschutzfreundliche" Kartenalternative auf, ist aber ebenfalls ein Drittdienst und ohne Consent nicht automatisch zulässig. Dazu gesellen sich Buchungs- und Chat-Widgets wie Dialogshift (179) und das Barrierefreiheits-Overlay Eye-Able.

Ein Konzern dominiert: Google

Zählt man alle Google-Dienste zusammen — Analytics, Maps, Ads, DoubleClick, YouTube, reCAPTCHA —, so ist an 54,0 % aller Pre-Consent-Verstöße Google beteiligt (3.565 von 6.596 Websites). Meta (Facebook/Instagram) folgt mit großem Abstand bei 9,2 % (607 Websites). Das ist keine Randnotiz, sondern strategisch relevant: Wer bei einer Hotel-Website die Google-Einbindungen sauber hinter das Consent-Gate legt, entschärft mehr als die Hälfte aller Verstöße auf einen Schlag. Der Datenschutz einer typischen Hotel-Website steht und fällt mit dem Umgang mit einem einzigen Konzern.

Es braucht keinen Tracking-Wildwuchs — ein Dienst genügt

Man könnte vermuten, die Verstöße stammten von wenigen, mit Skripten überladenen Seiten. Das Gegenteil ist der Fall. Bei 56,9 % der Verstöße reicht ein einziger consent-pflichtiger Dienst aus, um die Seite rechtswidrig zu machen (3.755 von 6.596 Websites). Im Schnitt feuern pro Verstoß-Seite nur 1,9 solcher Dienste.

Und dieser eine Dienst ist meist genau der, den man erwartet: Bei den Seiten mit nur einem einzigen Auslöser ist es zu 21,3 % Google Maps, zu 17,4 % Google Analytics und zu 9,5 % Sentry. Das ist die gute Nachricht in diesen Zahlen: Für die Mehrheit der betroffenen Hotels ist der Weg zur Rechtssicherheit kein Großprojekt, sondern das Beheben eines einzigen, gut bekannten Problems — meistens die Anfahrtskarte oder das Analytics-Skript.

Das Gegenstück existiert allerdings auch: Die am stärksten belastete Hotel-Website in unserem Korpus lud 47 verschiedene consent-pflichtige Dienste vor der Einwilligung. Zwischen der einen vergessenen Karte und dem kompletten Marketing-Stack liegt das ganze Spektrum.

81 % der Hotel-Websites mit Web-Präsenz haben ein Cookie-Banner — der Markt ist also gut durchdrungen. Doch welche Tools kommen zum Einsatz? Das Feld ist stark zersplittert: Der größte Einzelblock sind selbstgebaute oder generische Banner ohne erkennbares Standardprodukt, gefolgt von Borlabs Cookie (dem WordPress-Platzhirsch) und Complianz.

Verbreitung der Consent-Tools — Anteil an allen Hotel-Websites mit Cookie-Banner (n = 11.264)

Welches Cookie-Banner blockiert wirklich?

Ein Banner zu haben und ein Banner zu haben, das die Skripte tatsächlich sperrt, sind zwei verschiedene Dinge. Wir haben für jedes verbreitete Consent-Tool die Leak-Quote berechnet: den Anteil der Seiten, die trotz dieses Banners vor dem Consent tracken. Niedriger ist besser.

Anteil der Websites, die trotz des jeweiligen Cookie-Banners vor dem Consent tracken (in %). Niedriger ist besser. Basis: die am häufigsten installierten Consent-Tools mit mindestens 200 Seiten.

Das Ergebnis ist unbequem — vor allem für alle, die glauben, ein teures Premium-Tool sei automatisch die sichere Wahl. Die schlechtesten Werte liefern ausgerechnet zwei bekannte Namen: Wix Cookie Consent (68,9 %) und Consentmanager (65,2 %) — zwei von drei Seiten mit diesem Banner tracken trotzdem. Auch die beiden professionellen, oft kostenpflichtigen Consent-Management-Plattformen Cookiebot (51,4 %) und Usercentrics (47,5 %) lecken bei fast jeder zweiten Installation. Der Grund ist fast nie das Tool selbst, sondern die Konfiguration: Ein an sich sperrfähiges Banner wird ohne echtes Skript-Blocking eingebaut, oder die Tracker werden am Consent-Mechanismus vorbei direkt ins Theme geladen.

Am anderen Ende stehen Jimdo Cookie Control (19,9 %), Klaro (22,2 %) und Borlabs Cookie (29,6 %) — nicht, weil sie technisch überlegen wären, sondern weil sie in ihrer Standardkonfiguration Skripte zunächst blockieren. Die Lehre ist eindeutig: Der Name auf dem Banner sagt nichts über die Rechtssicherheit aus. Entscheidend ist, ob das Tool im konkreten Einbau die Skripte wirklich sperrt — und das lässt sich nur durch einen Pre/Post-Consent-Scan der echten Seite feststellen, nicht aus dem Datenblatt.

Die blinde Flanke: Seiten ganz ohne Banner

Bleiben die 19 % der Web-Präsenzen, die überhaupt kein Cookie-Banner haben, aber Drittdienste laden — in unserem Korpus 2.644 Seiten. Hier ist das Ergebnis am dramatischsten: 89,3 % von ihnen tracken vor der (nicht vorhandenen) Einwilligung. Das ist keine Überraschung, sondern Logik: Wo kein Banner ist, kann auch nichts blockieren. Wer einen externen Dienst einbindet und auf ein Consent-Tool verzichtet, produziert praktisch garantiert einen Verstoß.

Diese Gruppe ist der einfachste Sanierungsfall überhaupt — und zugleich der gefährlichste, weil hier nicht einmal der Anschein von Compliance gewahrt wird. Für eine Abmahnung oder eine Behördenanfrage ist eine Seite ohne jedes Banner das dankbarste Ziel.

Was rechtlich auf dem Spiel steht

Die Rechtslage ist eindeutiger, als viele Betreiber annehmen. Das Setzen und Auslesen von Informationen auf dem Endgerät — und dazu zählt bereits das Abrufen von Ressourcen bei einem Drittanbieter — ist nach § 25 TDDDG (der deutschen Umsetzung der ePrivacy-Richtlinie) nur mit vorheriger Einwilligung zulässig, sofern es nicht technisch zwingend erforderlich ist. Die anschließende Verarbeitung der Daten (etwa die IP-Adresse, die an Google fließt) braucht zusätzlich eine Rechtsgrundlage nach Art. 6 DSGVO — und die ist ohne Einwilligung bei Analyse-, Werbe- und Retargeting-Diensten nicht gegeben.

Dass daraus reale Forderungen werden, ist keine Theorie. Das Landgericht München sprach bereits mit Urteil vom 20. Januar 2022 (Az. 3 O 17493/20) für die ungefragte Übertragung einer IP-Adresse an Google (im Fall: Google Fonts) 100 Euro Schadensersatz zu — pro Betroffenem. Dasselbe Prinzip greift bei jeder Google-Maps-Einbindung, die beim Seitenaufruf die IP an Google sendet. Verantwortlich ist der Betreiber des Hotels, nicht der Dienstleister, der das Embed eingefügt hat — und auch nicht automatisch die Agentur. Wer als Agentur fremde Websites betreut, sollte die Verantwortlichkeiten daher in einem Auftragsverarbeitungsvertrag sauber regeln.

DSGVO-Checkliste für Hotel-Websites

  • Google Maps hinter ein Consent-Gate legen — statisches Vorschaubild einbinden, die interaktive Karte erst nach Klick nachladen. Erledigt den zweithäufigsten Hotel-Verstoß.
  • Google Analytics & Ads im Banner blockieren — kein Mess- oder Werbeskript darf vor dem Consent laden. Google Consent Mode v2 im datenschutzfreundlichen Basic-Modus einrichten, nicht im Advanced Mode.
  • Bewertungs-Widgets zähmen — Trustindex, Google-Rezensionen und TripAdvisor-Einbindungen erst nach Einwilligung laden oder durch eine statische, serverseitig gerenderte Variante ersetzen.
  • YouTube-Videos datenschutzfreundlich einbindenyoutube-nocookie.com plus Vorschaubild-Lösung, statt das Zimmer-Video beim Seitenaufruf automatisch zu laden.
  • Meta Pixel ausschließlich consent-gesteuert auslösen — das Retargeting der Urlaubs-Interessenten darf erst nach Einwilligung starten.
  • Unsichtbare Dienste aufspüren — Monitoring-Tools wie Sentry, die Theme oder Buchungs-Widget mitbringen, prüfen und abschalten oder consent-pflichtig machen.
  • Das Banner auf echtes Script-Blocking prüfen — nicht am Namen des Tools festmachen. Cookiebot, Usercentrics oder Wix schützen nur, wenn sie die Skripte tatsächlich sperren. Mit einem Pre/Post-Consent-Scan der echten Seite verifizieren.
  • Schriftarten lokal hosten — alle fonts.googleapis.com-Requests entfernen. Aufwand: rund 15 Minuten.
  • AVVs abschließen — mit Google, Meta, dem Buchungs-/Channel-Manager-Anbieter und dem Hoster nach Art. 28 DSGVO.
  • Regelmäßig scannen — ein Theme- oder Plugin-Update schleppt jederzeit neue Verstöße ein. Ohne wiederkehrenden Scan bemerkt das niemand; ein DSGVO-Scanner prüft Pre- und Post-Consent automatisch und meldet neue Dienste.

Wie du als Agentur den Überblick über alle Kunden-Websites behältst und solche Verstöße automatisch erkennst, erklärt unser Leitfaden Tracking vor Cookie Consent erkennen.

Wie wir gemessen haben

Grundlage sind 23.614 Websites aus dem Hotel-, Pensions- und Gasthof-Segment, jeweils der jüngste Scan (Juli 2026). 4.213 Domains (17,8 %) waren nicht erreichbar oder lieferten kein auswertbares Ergebnis und fließen nicht in die Quoten ein. Von den 19.401 erfolgreich gescannten Seiten bilden 13.908 die Auswertungsbasis — jene mit „echter Web-Präsenz", also einem Cookie-Banner oder mindestens einem eingebundenen Drittdienst. Geparkte Domains, leere Baustellen-Seiten und reine Weiterleitungen ohne jeden Drittdienst (5.483 Seiten) bleiben außen vor, damit die Quoten nicht künstlich geschönt werden. Als „Verstoß" zählt nur ein consent-pflichtiger Dienst, der vor jeder Interaktion feuert — technisch notwendige Verbindungen und cookielose Consent-Mode-Pings werden ausgenommen. Diese Methodik ist identisch zu unserer Gastronomie-Analyse, sodass beide Branchen direkt vergleichbar sind.

Wichtig zur Einordnung: Diese Auswertung betrachtet die Tracking-Ebene — was an Drittdiensten feuert und ob das Banner es blockiert. Sie ist kein vollständiges rechtliches Audit des Banner-Designs (gleichwertiger „Ablehnen"-Button, granulare Kategorien, Widerruf) und keine Impressums-Prüfung. Beides sind eigenständige Ebenen, die über die Rechtssicherheit einer Seite mitentscheiden.

In eigener Sache: Wie wir das mit Complianty angehen

Die Zahlen in diesem Artikel stammen nicht aus einer Stichprobe von Hand, sondern aus genau dem Scanner, den Agenturen mit Complianty für ihre eigenen Kundenprojekte nutzen. Der Pre/Post-Consent-Scan lädt jede Seite in einem frischen Browser-Kontext, protokolliert alle Requests vor und nach dem Consent-Klick, ordnet sie über einen Katalog aus rund 2.000 Signaturen echten Diensten zu — und markiert jeden Dienst, der vor der Einwilligung feuert, als Befund. Genau die Auswertung, die diesem Artikel zugrunde liegt, liefert das Tool für jede einzelne Website auf Knopfdruck.

Für Agenturen, die 10, 30 oder 100 Hotel-Websites betreuen, ist das der entscheidende Unterschied zwischen einem einmaligen Audit und einer laufenden Überwachung: Jeder wöchentliche Re-Scan meldet neue Dienste, die ein Theme- oder Plugin-Update eingeschleppt hat, bevor daraus eine Abmahnung wird.

Fazit

Hotel-Websites sind besser ausgestattet als der Branchendurchschnitt — mehr Banner, mehr Budget, mehr Professionalität. Und trotzdem trackt fast die Hälfte vor der Einwilligung, und zwei von drei Verstößen passieren mit installiertem Cookie-Banner. Die Ursache ist selten böser Wille und fast nie exotisch: eine automatisch ladende Google-Maps-Karte, ein Analytics-Skript am Banner vorbei, ein Bewertungs-Widget aus dem Marketplace. Für die Mehrheit der betroffenen Hotels ist die Sanierung ein überschaubares Projekt — bei 57 % genügt es, einen einzigen Dienst zu entschärfen. Der erste Schritt ist immer derselbe: die eigene Seite ehrlich vor und nach dem Consent messen, statt sich auf das bloße Vorhandensein eines Banners zu verlassen.