Zwei Websites, gleicher Zweck, gleiche Sorgfalt des Betreibers — und trotzdem trackt die eine schon vor dem Cookie-Banner, die andere nicht. Ein überraschend großer Teil dieses Unterschieds steckt nicht im Verhalten des Betreibers, sondern im Baukasten, auf dem die Seite steht. Für unsere Studie haben wir 1.193.438 deutsche Websites daraufhin geprüft, ob sie schon vor der Einwilligung Daten an Dritte übertragen. Die Plattform war dabei nicht das Thema — das hier ist eine zusätzliche Auswertung: Bei einem Teil der getesteten Seiten lässt sich aus den Netzwerk-Anfragen (Request-Artefakten der Plattform) ablesen, worauf die Seite gebaut ist. Nur für diese Seiten vergleichen wir, wie oft sie vorab tracken — und da zeigt sich ein klares Muster: Die Quote reicht je nach Baukasten von 3 % bis 91 %.
unsere DSGVO-Studie, Stand Juni 2026
213.915 Seiten (streng gezählt)
rund 22 % — beim Rest bleibt die Plattform netzwerkseitig unsichtbar
Das Ranking: von 3 % bis 91 %
Für jede Plattform, die wir eindeutig erkennen konnten, haben wir gezählt, welcher Anteil ihrer Seiten vor der Einwilligung einen einwilligungspflichtigen Tracker feuert. Als Verstoß gilt dabei streng nur echtes Tracking — Analyse, Werbung, Retargeting, Session-Recording, A/B-Testing —, das lädt, bevor der Nutzer zugestimmt hat. Rein funktionale Dienste (Schriften, CDN, Captcha) und Consent-Mode-Signale zählen nicht mit.
Anteil der Seiten je Plattform, die vor der Einwilligung tracken. Rot = über dem Durchschnitt aller Seiten (17,9 %), grün = darunter. Nur Plattformen mit belastbarer Fallzahl.
Die vollständige Aufstellung — inklusive der kleineren Plattformen und der absoluten Zahlen:
| Plattform | Erfasste Seiten | davon Verstoß | Quote |
|---|---|---|---|
| Framer * | 1.119 | 1.052 | 94,0 % |
| Squarespace | 6.088 | 5.544 | 91,1 % |
| Weebly | 622 | 556 | 89,4 % |
| Duda | 15.037 | 10.342 | 68,8 % |
| Sitecore | 72 | 33 | 45,8 % |
| Shopify | 14.652 | 6.407 | 43,7 % |
| IONOS MyWebsite | 28.199 | 11.981 | 42,5 % |
| Ghost | 45 | 18 | 40,0 % |
| Webflow | 6.358 | 2.174 | 34,2 % |
| Shopware | 293 | 98 | 33,4 % |
| Webnode | 575 | 156 | 27,1 % |
| Showit | 101 | 23 | 22,8 % |
| WordPress (inkl. Elementor) | 93.908 | 20.723 | 22,1 % |
| Wix | 32.690 | 4.126 | 12,6 % |
| Tilda | 872 | 108 | 12,4 % |
| TYPO3 | 11.730 | 1.443 | 12,3 % |
| HPage | 341 | 38 | 11,1 % |
| Jimdo | 40.986 | 3.324 | 8,1 % |
| Tobit / chayns | 661 | 27 | 4,1 % |
| Strato | 16.226 | 521 | 3,2 % |
* Framer wird über seinen eigenen Analytics-Ping (events.framer.com) erkannt — bei diesen Seiten ist die Erkennung selbst schon der Verstoß. Die Quote ist deshalb methodisch nicht mit den übrigen Plattformen vergleichbar und in der Grafik oben ausgeklammert. Plattformen mit nur wenigen hundert Treffern (Sitecore, Ghost, Showit …) haben naturgemäß schwankende Quoten; die belastbaren Aussagen stehen bei den großen Fallzahlen.
Wie wir das messen — und warum das nur ein Ausschnitt ist
Dieser Punkt ist wichtig, damit die Zahlen richtig eingeordnet werden: Unser Scanner ist kein Wappalyzer und kein BuiltWith. Er bestimmt nicht, welches CMS im Quelltext einer Seite steckt. Er beobachtet, welche Netzwerk-Verbindungen eine Seite beim Laden aufbaut — und leitet daraus Tracker und Plattformen ab.
Eine Plattform taucht in dieser Auswertung deshalb nur dann auf, wenn sie sich über eine eindeutige Dritt-Verbindung oder ein eigenes Asset-CDN verrät: Wix über wixstatic.com, Webflow über website-files.com, Squarespace über sein CDN, WordPress über wordpress.org und die Elementor-Assets. Ein selbst gehostetes WordPress, TYPO3 oder Joomla, das alle Dateien von der eigenen Domain ausliefert, verrät sich über das Netzwerk nicht — für diese Auswertung ist es unsichtbar.
Konkret: Von den 1.193.438 Seiten der Studie konnten wir die Plattform nur bei 259.762 (rund 22 %) sicher zuordnen. Bei den übrigen knapp 78 % erkennen wir Tracker und Cookie-Banner ganz normal — nur eben nicht, worauf die Seite gebaut ist. Das hat zwei Konsequenzen:
- Es ist eine Stichprobe, kein Marktanteil. Sie ist systematisch zu den gehosteten Baukästen verschoben, weil die sich über ihr CDN am deutlichsten zu erkennen geben, während selbst gehostete Systeme untererfasst sind. Die absoluten Seitenzahlen sind Untergrenzen — es gibt weit mehr WordPress- und TYPO3-Seiten, als wir hier sehen.
- Die Verstoßquoten sind trotzdem belastbar. Sie vergleichen jeweils innerhalb einer erkannten Plattform — und dieser Anteil hängt nicht davon ab, wie viele Seiten wir insgesamt einer Plattform zuordnen können. Ob wir 30.000 oder 300.000 Wix-Seiten erkennen: der Anteil, der vorab trackt, bleibt aussagekräftig.
Ein Detail zur Sauberkeit der Zahlen: Elementor haben wir mit WordPress zusammengefasst. Elementor ist ein WordPress-Pagebuilder — jede Elementor-Seite ist eine WordPress-Seite, und getrennt gezählt würde sie WordPress künstlich kleinrechnen.
Die Baukästen mit eingebautem Tracking
An der Spitze stehen Plattformen, die ihr eigenes Tracking gleich mitliefern: Squarespace (91 %), Weebly (89 %) und Duda (69 %). Bei ihnen ist der Pre-Consent-Verstoß kein Konfigurationsfehler des Betreibers, sondern die Standardeinstellung der Plattform: Bordeigene Analyse, eingebettete Karten oder Video- und Werbe-Snippets laden bereits beim Seitenaufruf. Wer eine solche Seite ohne Zusatzarbeit veröffentlicht, trackt vorab — ohne es zu merken. Genau hier ist das Baukasten-Versprechen („einfach live gehen") zugleich die Falle.
Die sauberen Plattformen
Am anderen Ende — und das ist die eigentliche Überraschung — stehen ausgerechnet die „einfachen" Baukästen: Strato (3 %), Jimdo (8 %) und Wix (13 %) liegen deutlich unter dem Durchschnitt. Diese Plattformen bringen ein eigenes Consent-Management mit oder halten ihre bordeigene Analyse hinter der Einwilligung zurück, bis der Nutzer zugestimmt hat. Das Klischee „billiger Baukasten = Datenschutz-Katastrophe" stimmt hier also nicht — im Gegenteil: Die Design-lastigen Premium-Baukästen schneiden schlechter ab als die Massen-Homepage-Baukästen.
WordPress: exakt der Durchschnitt — und warum
WordPress (inklusive Elementor) landet mit 22,1 % praktisch auf dem Durchschnitt aller Seiten. Das ist folgerichtig: WordPress selbst trackt nichts. Ob eine WordPress-Seite vorab Daten abgibt, entscheiden die eingebauten Plugins — Google Analytics, der Meta-Pixel, ein Marketing-Stack. WordPress ist damit kein Risiko und keine Garantie, sondern ein Spiegel dessen, was der Betreiber einbaut. Der Hebel liegt hier vollständig bei der Konfiguration, nicht bei der Plattform. Dasselbe gilt für TYPO3 (12 %), das unter dem Schnitt liegt — TYPO3-Seiten werden überdurchschnittlich oft von Agenturen gebaut, die das Thema Einwilligung mitdenken.
Webflow, Shopify und IONOS: das Mittelfeld
Dazwischen liegen drei prominente Plattformen. Webflow (34 %) trackt fast doppelt so oft vorab wie der Durchschnitt — typischerweise über eingebettete Analyse- und Script-Dienste (etwa Finsweet-Bibliotheken oder Google-Einbindungen), die schon beim Laden feuern. Shopify (44 %) liegt hoch, weil Shops von Natur aus tracking-lastig sind: Shop-Analyse plus Werbe-Pixel gehören zum Standard-Setup. Und IONOS MyWebsite (42 %) zeigt, dass auch ein großer deutscher Anbieter mit seinen Voreinstellungen ein Pre-Consent-Problem auf die Straße bringt.
Was das für Betreiber und Agenturen heißt
Die praktische Lehre ist unbequem und einfach zugleich: Die Wahl der Plattform ist eine datenschutzrelevante Entscheidung — und die Voreinstellung ist kein Freifahrtschein. Wer auf Squarespace, Weebly oder Duda baut, sollte nicht davon ausgehen, dass „ein Cookie-Banner reicht": Bei diesen Plattformen ist das vorzeitige Tracking der Normalfall und muss aktiv abgestellt werden. Wer auf WordPress oder Webflow baut, trägt die Verantwortung bei den eingebauten Diensten selbst.
In allen Fällen gilt: Man sieht dem Cookie-Banner nicht an, ob dahinter tatsächlich etwas zurückgehalten wird. Das lässt sich nur messen — indem man beobachtet, welche Verbindungen eine Seite vor dem Klick aufbaut. Genau das macht unser kostenloser DSGVO-Scan: Er zeigt für eine einzelne Seite, welche Dienste vor der Einwilligung feuern — unabhängig davon, welcher Baukasten darunter steckt.
Methodik und Datenbasis
Grundlage ist unsere Studie zu DSGVO-Verstößen auf deutschen Websites 2026: 1.193.438 fehlerfrei geprüfte .de-Websites (Stand Juni 2026). Davon zeigen 46,5 % (555.185) ein Cookie-Banner, 17,9 % (213.915) tracken streng vor der Einwilligung, und auf 21,0 % (116.822) ist ein Banner vorhanden und es wird trotzdem vorab getrackt. Jede Seite wird mit einem echten Browser geladen; protokolliert wird, welche Dritt-Verbindungen vor und nach der Einwilligung entstehen. Weil sich die Plattform nur über ihre Netzwerksignatur erkennen lässt und dieser Erkennungskatalog erst seit der Studie vollständig ist (im Juni-Snapshot war z. B. Webflow noch gar nicht erkennbar), stammt die Plattform-Zuordnung aus dem aktuellen Re-Scan derselben Websites — Korpus, Banner-Quote und Verstoß-Definition bleiben die der Studie. „Verstoß" meint durchgängig den technischen Befund „einwilligungspflichtiger Tracker feuert vor der Zustimmung", nicht ein rechtskräftig festgestelltes Fehlverhalten. Stand der Daten: Juni 2026 (Korpus), Plattform-Zuordnung Juli 2026.
