Alle Artikel

Mehr als die Hälfte der Restaurant-Websites trackt vor der Einwilligung — DSGVO-Analyse von 61.000 Gastro-Seiten

Verstößt Ihre Restaurant-Website gegen die DSGVO? Unsere Analyse von über 61.000 Gastronomie-Seiten zeigt: 54,8 % der Seiten mit echter Web-Präsenz übertragen Daten an Dritte, bevor der Gast einwilligt — und 42,6 % tun das trotz vorhandenem Cookie-Banner. Dazu Daten zu Tracking-Kategorien, Google-Dominanz, der Leak-Quote je Cookie-Banner, Impressum-Mängeln und Banner-Audits. So machen Sie Ihre Gastro-Website rechtssicher und vermeiden Abmahnungen.

Mehr als die Hälfte der Restaurant-Websites trackt vor der Einwilligung — DSGVO-Analyse von 61.000 Gastro-Seiten

Ein Gast sucht abends das Lieblingsrestaurant — um einen Tisch zu reservieren oder schnell die Speisekarte zu überfliegen. Die Seite lädt, und in genau diesem Moment, bevor er irgendetwas angeklickt hat, kennen bereits mehrere fremde Server seine IP-Adresse, seinen Browser-Fingerprint und die Seite, die er gerade aufruft. Kein Klick, kein „Akzeptieren", keine Einwilligung — allein der Aufruf der Startseite genügt.

Wir haben über 61.000 Websites aus der deutschen Gastronomie — Restaurants, Gasthäuser, Pizzerien, Cafés und Bars — mit unserem automatisierten Pre/Post-Consent-Scanner analysiert. Das Ergebnis ist eindeutig: Mehr als die Hälfte der Restaurant-Websites mit echter Web-Präsenz überträgt Daten an Dritte, bevor der Besucher einwilligt. Und das ist kein Phänomen einzelner Tracking-Junkies — bei mehr als der Hälfte der Fälle reicht ein einziger eingebetteter Dienst, um den Verstoß auszulösen.

54,8 %
Tracking vor Einwilligung
23.629 von 43.105 Web-Präsenzen
42,6 %
Verstoß trotz Cookie-Banner
13.917 Websites
87 %
Cookie-Banner rechtlich mangelhaft
Banner-Audit, n ≈ 17.300
61.306
Erfolgreich gescannt
Juni 2026

Diese Analyse bleibt nicht beim Tracking stehen. Wir haben die Gastro-Websites auf den drei Ebenen geprüft, die zusammen über die Rechtssicherheit einer Seite entscheiden: was an Drittdiensten feuert (61.306 erfolgreich gescannte Websites), ob ein vollständiges, erreichbares Impressum existiert (10.357 ausgewertete Impressums-Prüfungen) und ob das Cookie-Banner selbst sauber gebaut ist (über 17.000 vollständige Banner-Audits). Das Ergebnis vorweg: Auf allen drei Ebenen ist die Mehrheit angreifbar — und die Schwächen verstärken sich gegenseitig.

Warum gerade Restaurants betroffen sind

Gastronomie lebt im Netz von zwei Dingen: gefunden werden und appetitlich aussehen. Beides führt fast zwangsläufig zu Drittanbietern. Die Anfahrt kommt von Google Maps, die Stimmungsbilder aus dem Instagram-Feed, das Reservierungssystem von einem externen Anbieter, das Imagevideo von YouTube. Jeder dieser Bausteine baut beim Seitenaufruf sofort eine Verbindung zu einem fremden Server auf — und liefert dabei personenbezogene Daten aus, lange bevor der Cookie-Banner überhaupt fertig geladen ist.

Hinzu kommt: Gastro-Websites werden selten von Datenschutz-Spezialisten gebaut. Sie entstehen mit Website-Baukästen, WordPress-Themes oder bei der regionalen Agentur um die Ecke. Der bequeme Standardweg — Schriftart direkt von Google, Karte per Copy-and-paste-Embed, Pixel fürs Facebook-Marketing — führt geradewegs in den Verstoß. Niemand handelt böswillig; der Default ist einfach nicht datenschutzkonform.

„Pre-Consent" bezeichnet das Zeitfenster zwischen dem Aufruf einer Seite und dem Klick auf „Alle akzeptieren". In diesem Fenster dürfen ausschließlich technisch notwendige Dienste aktiv sein. Alles andere — Analyse, Werbung, Karten, eingebettete Videos — ist ohne vorherige Einwilligung rechtswidrig. Und zwar unabhängig davon, ob ein Cookie-Banner vorhanden ist.

54,8 % 23.629 Websites Mind. ein Pre-Consent-Verstoß
45,2 % 19.476 Websites Kein Pre-Consent-Verstoß

Basis: 43.105 Gastro-Websites mit echter Web-Präsenz (Cookie-Banner oder ≥ 1 Drittdienst; von 61.306 erfolgreich gescannten) · Juni 2026

Der eigentlich brisante Befund steckt aber nicht in der Gesamtquote, sondern in der Frage, wer verstößt. Man könnte vermuten: die Seiten ohne Cookie-Banner. Falsch.

Aufschlüsselung der 23.629 Verstöße: 58,9 % haben ein Cookie-Banner — es blockiert das Tracking trotzdem nicht

13.917 der 23.629 Verstöße entfallen auf Websites, die ein Cookie-Banner installiert haben. Anders gerechnet: Von allen Gastro-Seiten mit Banner trackt fast die Hälfte (42,6 %) trotzdem vor der Einwilligung. Das Banner ist da, es blinkt, es fragt höflich um Erlaubnis — und während es das tut, sind GA4 und Google Maps längst gestartet. Ein Cookie-Banner, der nur anzeigt, aber technisch nichts blockiert, ist aus DSGVO-Sicht wertlos und erzeugt eine gefährliche Scheinsicherheit: Der Betreiber glaubt, alles geregelt zu haben.

Welche Art von Tracking? Die Kategorien im Überblick

Bevor wir zu den einzelnen Diensten kommen, lohnt der Blick auf die Art der Datenflüsse. Ordnet man jede consent-pflichtige Pre-Consent-Verbindung ihrer Funktion zu, ergibt sich ein klares Muster:

Anzahl der Gastro-Websites mit mindestens einem Pre-Consent-Dienst je Kategorie (Mehrfachnennung möglich, Basis 43.105)

An der Spitze steht mit 10.448 Websites (24,2 %) die Analyse — Reichweiten- und Statistik-Tools, die ausschließlich der Auswertung dienen und damit nie eine Rechtfertigung für den Pre-Consent-Betrieb haben. Dicht dahinter folgen Karten-Dienste (17,8 %), also vor allem eingebettete Anfahrtskarten. Erst danach kommen Werbung (11,6 %) und Retargeting (8,0 %). Bemerkenswert ist Platz fünf: Monitoring (7,7 %) — technische Fehler-Tracker, die kaum ein Wirt bewusst einsetzt. Anders gesagt: Der typische Gastro-Verstoß ist kein aggressives Werbe-Tracking, sondern eine Mischung aus Statistik, Karte und unsichtbarer Technik.

Welche Dienste feuern konkret vor dem Consent-Klick? Hier die zehn häufigsten Verbindungen, gemessen an der Anzahl betroffener Websites:

Anzahl der Websites mit Pre-Consent-Verbindung zum jeweiligen Dienst (von 43.105 Web-Präsenzen). Die Adobe-Dienste auf den Plätzen 4–6 gehören zu einem gebündelten Stack (Adobe Experience Cloud).

#DienstKategorieWebsitesAnteil
1Google MapsKarten6.08314,1 %
2Google Analytics 4Analyse5.34912,4 %
3SentryMonitoring3.2137,5 %
4Adobe Audience ManagerRetargeting1.8344,3 %
5Adobe Launch (DTM)Analyse1.8274,2 %
6Adobe Advertising CloudWerbung1.8064,2 %
7Meta PixelWerbung1.6653,9 %
8Google DoubleClickRetargeting1.5793,7 %
9YouTubeVideo1.4053,3 %
10Google AdsWerbung1.3623,2 %

Die vier prägnantesten Fälle im Detail — der Reihe nach:

Platz 1: Google Maps — 6.083 Websites (14,1 %)

Kein Restaurant kommt ohne Anfahrt aus, und kaum eines löst das ohne Google Maps. Das Problem: Die klassische interaktive Karte baut schon beim Laden der Seite eine Verbindung zu Google auf und überträgt die IP-Adresse des Besuchers in die USA — ohne Einwilligung. Die Lösung ist die Zwei-Klick-Lösung: zunächst nur ein statisches Vorschaubild anzeigen, die echte Karte erst nach einem aktiven Klick nachladen. Aufwand: überschaubar. Wirkung: der häufigste Gastro-Verstoß ist erledigt.

Platz 2: Google Analytics 4 — 5.349 Websites (12,4 %)

GA4 ist kein Infrastrukturdienst, sondern reine Reichweitenmessung — und hat damit keinerlei Rechtfertigung für den Betrieb vor dem Consent. Trotzdem läuft es auf jeder achten Gastro-Seite ungefragt mit. Häufige Ursache: Der Tracking-Code hängt direkt im Theme oder im Google Tag Manager, ohne dass ein Consent-Signal vorgeschaltet ist.

Platz 3: Sentry — 3.213 Websites (7,5 %)

Der heimliche Aufsteiger. Sentry ist ein Fehler-Monitoring-Dienst, den fast nie der Betreiber bewusst eingebaut hat — er steckt in Themes, Page-Buildern und Baukasten-Systemen und meldet JavaScript-Fehler an einen externen Server, oft samt URL und technischen Metadaten. Niemand weiß, dass er da ist. Genau das macht ihn gefährlich: Was man nicht kennt, blockiert man auch nicht.

Plätze 4–6: Der Adobe-Experience-Cloud-Stack — je rund 1.820 Websites

Auf den Plätzen 4 bis 6 liegt mit nahezu identischen Werten ein gebündelter Stack: Adobe Audience Manager (4,3 %), Adobe Launch/DTM (4,2 %) und Adobe Advertising Cloud (4,2 %) gehören alle zur Adobe Experience Cloud und feuern typischerweise zusammen. Dass sie ausgerechnet in der Gastronomie auftauchen, liegt an größeren Ketten und Franchise-Systemen, die ein zentrales Marketing-Setup über alle Standorte ausrollen.

Platz 7: Meta Pixel — 1.665 Websites (3,9 %)

Restaurants vermarkten sich stark über Instagram und Facebook — und schalten dafür gern den Meta Pixel. Feuert er vor dem Consent, ist das ein klarer Verstoß, der zudem juristisch besonders heiß ist. Was die aktuellen Urteile rund um den Meta Pixel für die Praxis bedeuten, lesen Sie im Detail in unserem Artikel Meta Pixel & DSGVO 2026.

Plätze 8–10: Google-Werbeinfrastruktur

Den Rest der Top 10 stellt erneut Google: Google DoubleClick (3,7 %) und Google Ads (3,2 %) sind Werbe- und Retargeting-Infrastruktur, YouTube (3,3 %) sind eingebettete Videos. Alle drei senden ohne datenschutzfreundliche Einbindung schon beim ersten Seitenaufruf Daten an Google — und leiten direkt zur eigentlichen Dimension dieser Auswertung über.

Ein Konzern dominiert: Google

Zählt man alle Google-Dienste zusammen — Maps, Analytics, Ads, DoubleClick, YouTube, reCAPTCHA, Fonts und die zugehörige Infrastruktur —, zeigt sich die eigentliche Dimension: Auf 12.115 Restaurant-Websites ist mindestens ein Google-Dienst der Auslöser des Verstoßes. Das ist mehr als jeder zweite Verstoß (51,3 %) und mehr als ein Viertel aller Web-Präsenzen überhaupt. Zum Vergleich: Meta-Dienste (Pixel, Facebook, Instagram) erscheinen auf 2.555 Seiten (10,8 % der Verstöße) vor dem Consent.

Für die Praxis ist das eine gute Nachricht: Wer das Google-Problem löst — Karte hinter ein Consent-Gate, Analytics und Ads sauber blockieren —, beseitigt in einem Aufwasch die Mehrheit aller Verstöße. Es ist kein Kampf gegen hundert verschiedene Tracker, sondern in erster Linie gegen eine Handvoll Google-Einbindungen.

Es braucht keinen Tracking-Wildwuchs

Die wichtigste Erkenntnis aus den Daten ist zugleich die beruhigendste: Ein Verstoß bedeutet nicht, dass eine Seite mit Trackern vollgestopft ist. Bei 53 % aller Verstöße (12.511 Seiten) feuert genau ein einziger consent-pflichtiger Dienst vor der Einwilligung — im Median ist es ein Tool pro betroffener Seite, im Schnitt knapp zwei. Und wenn es nur ein einziger ist, dann ist es in 26,8 % der Fälle Google Maps, in 16,6 % Google Analytics und in 15,9 % der unsichtbare Fehler-Tracker Sentry — drei Handgriffe, die den Großteil der Gastronomie betreffen.

Für Betreiber und Agenturen ist das eine gute Nachricht: Der typische Gastro-Verstoß ist kein struktureller Komplettumbau, sondern oft mit ein, zwei gezielten Handgriffen behoben — Karte hinter ein Consent-Gate, Analytics korrekt blockieren, fertig. Die teuren Fälle mit 30, 40 oder mehr Diensten sind die seltene Ausnahme, nicht die Regel.

53,3 % der erfolgreich gescannten Gastro-Websites haben irgendeine Form von Consent-Management installiert. Klingt nach Fortschritt — die 13.917 Verstöße trotz Banner zeigen aber, dass es nicht auf das Vorhandensein, sondern auf Qualität und Konfiguration ankommt.

Verbreitung der Consent-Tools — Anteil an allen Gastro-Websites mit Cookie-Banner (n = 32.656)

Mit 29,9 % die mit Abstand größte Kategorie ist „Generic / Eigenbau": selbstgebastelte Banner, einfache JavaScript-Popups und Plugins, die nur ein Hinweisfeld einblenden, aber keine Skripte sperren. Aus DSGVO-Sicht oft wirkungslos. Dahinter folgen die WordPress-Klassiker Borlabs Cookie (10,3 %) und Complianz (9,9 %) sowie die Baukasten-Banner von Wix (6,3 %) und Jimdo (3,5 %). Borlabs und Complianz sind grundsätzlich fähige Werkzeuge — wenn sie richtig konfiguriert werden. Der typische Fehler: Google Maps und eingebettete Videos werden nicht als externe Ressourcen erkannt, der Tag Manager lädt ohne Consent-Signal. Das Tool wäre in der Lage zu blockieren — es wurde nur nie dazu gebracht.

Welches Cookie-Banner blockiert wirklich?

Die eigentlich spannende Frage lautet nicht „welches Banner ist am häufigsten?", sondern „welches hält, was es verspricht?". Dafür haben wir für jedes Consent-Tool ausgerechnet, wie viele der Seiten, die es einsetzen, trotzdem vor der Einwilligung tracken — die Leak-Quote:

Anteil der Websites, die trotz des jeweiligen Cookie-Banners vor dem Consent tracken (in %). Niedriger ist besser. Basis: die zehn am häufigsten installierten Tools.

Das Bild ist eindeutig: Reine Hinweis-Banner und Baukasten-Lösungen schneiden am schlechtesten ab. Beim Wix-Baukasten-Banner tracken 69,6 % der Seiten trotzdem vor dem Consent, beim „Generic / Eigenbau"-Topf 53,9 % — sie zeigen einen Hinweis an, blockieren technisch aber nichts. Auch eigentlich fähige Tools liegen hoch, wenn sie falsch eingerichtet sind: Usercentrics (49,5 %), CookieYes (48,7 %), Cookiebot (43,4 %) und Cookie Law Info (40,2 %).

Am besten — wenn auch nicht fehlerfrei — schneiden ab: Jimdo Cookie Control (15,4 %), Cookieconsent (24,3 %), Borlabs Cookie (27,1 %) und Real Cookie Banner (31,2 %). Entscheidend ist die Einordnung: Diese Quote misst die gelebte Praxis, nicht die theoretische Leistungsfähigkeit eines Tools. Dass Cookiebot oder Usercentrics hier nicht besser abschneiden, liegt keineswegs an mangelnder technischer Kapazität — der Fehler sitzt meist vor dem Bildschirm: Sie werden in der Praxis schlicht falsch konfiguriert. Selbst das beste Banner leakt, wenn niemand die Dienste in die richtigen Kategorien einsortiert. Kein Tool schützt von allein.

Die zweite Baustelle: das Impressum

Sauberes Tracking nützt wenig, wenn die Pflichtangaben fehlen. Wir haben für 10.357 Gastro-Seiten ausgewertet, ob ein vollständiges, erreichbares Impressum existiert — die zweithäufigste Abmahnursache nach dem Tracking. Das Ergebnis:

28,4 %
Kein erreichbares Impressum
2.946 Websites
2.075
Veralteter EU-Streitschlichtungs-Link
Plattform seit Juli 2025 offline
626
Keine E-Mail-Adresse
Pflicht seit dem DDG 2024
644
Unvollständige Anschrift
Straße oder PLZ fehlt

Mehr als jede vierte geprüfte Gastro-Website hat kein auffindbares Impressum — ein klarer Verstoß gegen die Impressumspflicht nach § 5 DDG. Besonders verbreitet ist ein Detail, das vielen gar nicht bewusst ist: 2.075 Seiten verlinken noch auf die EU-Plattform zur Online-Streitbeilegung. Diese Plattform wurde zum 20. Juli 2025 endgültig abgeschaltet — der einst verpflichtende Link ist heute schlicht falsch und gehört entfernt. Dazu kommen 626 Seiten ganz ohne E-Mail-Adresse (seit dem Digitale-Dienste-Gesetz 2024 ein Pflichtfeld) und 644 mit unvollständiger Anschrift.

Die dritte Baustelle: das Banner selbst

Bleibt die Frage, ob das Cookie-Banner — wenn es denn technisch blockiert — auch rechtlich korrekt gestaltet ist: Gibt es einen „Ablehnen"-Button, ist er gleichwertig zum „Akzeptieren", lassen sich Kategorien einzeln wählen, ist ein Widerruf möglich? Für über 17.000 Restaurants mit erkanntem Banner haben wir genau das auditiert (Seiten ganz ohne Banner sind hier ausgenommen). Für diese Auswertung haben wir unser Banner-Audit zuvor grundlegend überarbeitet — es erkennt jetzt unter anderem ein fehlendes Ablehnen auf der ersten Ebene und Tracking-Netzwerkanfragen, die erst nach dem Klick auf „Ablehnen" feuern.

Gesamtbewertung der vollständig auditierten Cookie-Banner (n ≈ 17.300 mit erkanntem Consent-Tool)

Das Ergebnis ist das deutlichste der gesamten Analyse: Nur rund jedes zehnte Banner (10 %) war einwandfrei — 87 % wiesen mindestens einen kritischen Mangel auf. Die häufigsten Gestaltungsfehler (Anteil der Banner mit dem jeweiligen Mangel):

  • Kein „Ablehnen"-Button auf der ersten Ebene (41 %): Es gibt nur „Akzeptieren" und „Einstellungen" — Ablehnen ist gar nicht oder nur versteckt hinter einem Menü möglich. Nach EuGH und DSK muss Ablehnen genauso leicht erreichbar sein wie Zustimmen.
  • Keine granularen Kategorien (33 %): Alles-oder-nichts statt einer Wahl pro Zweck.
  • Kein dauerhafter Widerruf sichtbar (27 %): Nach der Einwilligung ist kein dauerhafter Button oder Widget zum Widerruf erreichbar. Art. 7 Abs. 3 DSGVO verlangt, dass die Einwilligung jederzeit ebenso leicht widerrufen werden kann, wie sie erteilt wurde.
  • Dark Pattern bei der Prominenz (19 %): Der „Ablehnen"-Button ist unauffälliger gestaltet als „Akzeptieren".
  • Vorangekreuzte Kästchen (19 %): Kategorien sind schon aktiviert, bevor der Nutzer zustimmt — nach Art. 7 DSGVO unzulässig.
  • Pflicht-Links durch das Banner blockiert (8 %): Das Overlay verdeckt Impressum und Datenschutzerklärung dauerhaft, bis man zustimmt.

Der mit Abstand gravierendste Befund betrifft aber nicht die Gestaltung, sondern das Verhalten nach dem „Ablehnen". Unser überarbeitetes Audit betätigt den Ablehnen-Button jetzt auch bei den großen Consent-Tools programmatisch und misst, welche Tracker danach noch feuern — etwas, das zuvor unsichtbar blieb. Das Resultat ist ernüchternd:

Anteil der Seiten, die trotz aktiver Ablehnung weiter Tracker laden — je Consent-Tool

Bei Usercentrics und Cookiebot — den zwei meistgenutzten „Premium"-Cookie-Bannern — tracken 93 % der Gastro-Seiten weiter, obwohl der Besucher aktiv abgelehnt hat. Bei OneTrust sind es 88 %, bei CCM19 83 %. Der Klick auf „Ablehnen" wird schlicht ignoriert — ein klarer Verstoß gegen § 25 TDDDG. Bemerkenswert ist der Gegenpol: Bei Complianz respektieren gut 70 %, bei Borlabs Cookie rund 40 % der Seiten die Ablehnung tatsächlich. Das Problem ist also selten das Tool an sich, sondern seine Konfiguration — ein sauber eingerichtetes Consent-Tool blockt auch nach dem Ablehnen zuverlässig.

Was rechtlich auf dem Spiel steht

Die rechtliche Grundlage ist seit Jahren eindeutig. § 25 TDDDG (das frühere TTDSG) verlangt eine Einwilligung, bevor Informationen auf dem Endgerät des Nutzers gespeichert oder ausgelesen werden — unabhängig davon, ob dabei personenbezogene Daten verarbeitet werden. Kommt es zur Datenverarbeitung, braucht diese zusätzlich eine Rechtsgrundlage nach Art. 6 DSGVO. Für nicht notwendige Dienste ist das praktisch immer die Einwilligung — und die fehlt per Definition, wenn der Dienst vor dem Klick feuert.

Dass daraus reale Forderungen werden, ist keine Theorie mehr. Das Landgericht München sprach bereits mit Urteil vom 20. Januar 2022 (Az. 3 O 17493/20) für die ungefragte Übertragung einer IP-Adresse an Google (im Fall: Google Fonts) 100 Euro Schadensersatz zu — pro Betroffenem. Dasselbe Prinzip greift bei jeder Google-Maps-Einbindung, die beim Seitenaufruf die IP an Google sendet. Verantwortlich ist dabei der Betreiber des Restaurants, nicht der Praktikant, der das Embed eingefügt hat — und auch nicht automatisch die Agentur. Wer als Agentur fremde Websites betreut, sollte die Verantwortlichkeiten daher in einem Auftragsverarbeitungsvertrag sauber regeln.

DSGVO-Checkliste für Restaurant-Websites

  • Google Maps hinter ein Consent-Gate legen — statisches Vorschaubild einbinden, die interaktive Karte erst nach Klick nachladen. Erledigt den häufigsten Gastro-Verstoß.
  • Google Analytics & Ads im Banner blockieren — kein Mess- oder Werbeskript darf vor dem Consent laden. Google Consent Mode v2 im datenschutzfreundlichen Basic-Modus einrichten, nicht im Advanced Mode.
  • Instagram-Feed & Meta Pixel zähmen — Social-Embeds erst nach Einwilligung laden oder durch statische Bilder ersetzen; den Pixel ausschließlich consent-gesteuert auslösen.
  • YouTube-Videos datenschutzfreundlich einbindenyoutube-nocookie.com plus Vorschaubild-Lösung, statt das Video beim Seitenaufruf automatisch zu laden.
  • Schriftarten lokal hosten — alle fonts.googleapis.com-Requests entfernen. Aufwand: rund 15 Minuten.
  • Unsichtbare Dienste aufspüren — Monitoring-Tools wie Sentry, die das Theme mitbringt, prüfen und abschalten oder consent-pflichtig machen.
  • Ein Cookie-Banner mit echtem Script-Blocking einsetzen — kein reines Hinweisfeld, sondern ein Tool, das Skripte tatsächlich sperrt, bis eingewilligt wurde.
  • AVVs abschließen — mit Google, Meta, dem Reservierungsanbieter und dem Hoster nach Art. 28 DSGVO.
  • Impressum vervollständigen und erreichbar machen — Name, vollständige Anschrift, E-Mail und Telefon; mit höchstens zwei Klicks von jeder Seite erreichbar. Den toten Link zur EU-Online-Streitbeilegung ersatzlos entfernen.
  • Das Banner rechtlich sauber gestalten — gleichwertiger „Ablehnen"-Button, granulare Kategorien, jederzeit erreichbarer Widerruf, keine vorangekreuzten Kästchen, keine durch das Overlay blockierten Pflicht-Links.
  • Regelmäßig scannen — ein Theme- oder Plugin-Update schleppt jederzeit neue Verstöße ein. Ohne wiederkehrenden Scan bemerkt das niemand; ein DSGVO-Scanner prüft Pre- und Post-Consent automatisch und meldet neue Dienste.

Wie du als Agentur den Überblick über alle Kunden-Websites behältst und solche Verstöße automatisch erkennst, erklärt unser Leitfaden Tracking vor Cookie Consent erkennen.

Häufige Fragen zur DSGVO auf Restaurant-Websites (FAQ)

Braucht meine Restaurant-Website überhaupt ein Cookie-Banner?

Sobald Ihre Seite nicht zwingend notwendige Dienste lädt — Google Maps, Analytics, einen Instagram-Feed, ein eingebettetes Video oder ein externes Reservierungssystem — ist eine vorherige Einwilligung und damit ein technisch blockierendes Cookie-Banner Pflicht. Das trifft auf nahezu jede moderne Gastro-Website zu. Nur eine rein statische Seite ganz ohne externe Dienste käme ohne aus.

Darf ich Google Maps für die Anfahrt einbinden?

Ja, aber nicht im Standard-Ladezustand. Sobald die interaktive Karte beim Aufruf der Seite automatisch lädt, fließt die IP-Adresse des Gastes ohne Einwilligung an Google. Datenschutzkonform ist eine Zwei-Klick-Lösung: Erst ein statisches Vorschaubild, die echte Karte lädt erst nach einem aktiven Klick des Besuchers.

Ich habe doch ein Cookie-Banner — bin ich damit auf der sicheren Seite?

Nicht automatisch. Unsere Analyse zeigt: Fast die Hälfte (42,6 %) aller Gastro-Seiten mit Cookie-Banner trackt trotzdem vor der Einwilligung. Ein Banner muss Skripte technisch sperren, bis der Nutzer zugestimmt hat. Ein Hinweisfeld, das nur anzeigt, aber nichts blockiert, erfüllt die DSGVO nicht — und erzeugt eine trügerische Sicherheit.

Wer haftet bei einem Verstoß — ich als Wirt oder meine Agentur?

Verantwortlicher im Sinne der DSGVO ist in der Regel der Betreiber der Website, also das Restaurant. Eine Agentur, die die Seite erstellt und pflegt, kann über einen Auftragsverarbeitungsvertrag mit in die Pflicht genommen werden. Beide Seiten sollten die Zuständigkeiten daher klar und schriftlich regeln, statt sich auf mündliche Absprachen zu verlassen.

Welches Cookie-Banner-Tool schützt am besten vor Pre-Consent-Tracking?

Kein Tool schützt automatisch — entscheidend ist die Konfiguration. In unseren Daten schneiden Lösungen wie Borlabs Cookie, Cookieconsent und Real Cookie Banner besser ab als reine Hinweis- und Baukasten-Banner (Wix, Eigenbau-Lösungen, viele WordPress-Hinweisplugins), die zwar anzeigen, aber technisch nichts sperren. Aber auch das beste Tool leakt, wenn Dienste wie Google Maps nicht korrekt als consent-pflichtig hinterlegt werden. Prüfen Sie nach der Einrichtung immer mit einem Pre/Post-Consent-Scan, ob das Tracking wirklich erst nach dem Klick startet.

Muss ich den Link zur EU-Streitschlichtungsplattform noch im Impressum haben?

Nein — im Gegenteil. Die EU-Plattform zur Online-Streitbeilegung (OS-Plattform) wurde zum 20. Juli 2025 abgeschaltet. Ein Link darauf führt heute ins Leere und sollte entfernt werden. In unserer Analyse hatten allein 2.075 Restaurant-Websites diesen veralteten Link noch im Impressum stehen.

Methodik: Automatisierter Pre/Post-Consent-Scan von 61.306 erfolgreich erreichten Websites aus der deutschen Gastronomie (Restaurants, Gasthäuser, Pizzerien, Cafés, Bars), Juni 2026, mit aktuellem Fingerprint-Katalog. Phase 1: vollständige Aufzeichnung aller Netzwerkverbindungen vor jeder CMP-Interaktion. Phase 2: Aufzeichnung nach simuliertem Klick auf „Alle akzeptieren". Klassifizierung der Verbindungen gegen eine Fingerprint-Datenbank. Als Verstoß gewertet wird jede consent-pflichtige Drittverbindung in Phase 1. Consent-Mode-Signale (cookielose Stubs) werden nicht als Verstoß gezählt. Die Tracking-Quoten und Kategorie-Anteile beziehen sich auf 43.105 Seiten mit echter Web-Präsenz (Cookie-Banner oder mindestens ein eingebundener Drittdienst); geparkte oder inhaltsleere Domains sind bewusst ausgeschlossen, da sie keine datenschutzrelevante Oberfläche haben. Ergänzend wurden 10.357 Impressums-Prüfungen (Erreichbarkeit und Pflichtangaben nach § 5 DDG) und über 17.000 vollständige Cookie-Banner-Audits (Seiten mit erkanntem Consent-Tool) mit einem überarbeiteten Audit ausgewertet, das den „Ablehnen"-Button auch programmatisch betätigt und Tracking nach der Ablehnung misst; die jeweiligen Bezugsgrößen sind bei den einzelnen Kennzahlen genannt. Es handelt sich um eine eigene, automatisiert erhobene Auswertung — keine repräsentative Vollerhebung der deutschen Gastronomie.