43 % der KMU-Websites im DACH-Raum laden Tracker, ohne ein Cookie-Banner zu zeigen.
Eine empirische Auswertung von 5.743 Unternehmens-Websites aus acht Branchen in Deutschland, Österreich und der Schweiz. Methodisch transparent. Reproduzierbar. Unter Creative Commons frei nachnutzbar.
Die wichtigsten Zahlen im Überblick
Von 6.799 gescannten Sites konnten 5.743 vollständig ausgewertet werden. Die Prozentwerte beziehen sich auf diese Grundgesamtheit, sofern nicht anders angegeben.
Abb. 1 — Rot markiert die Indikatoren, die direkt auf ein Abmahnrisiko hinweisen.
Schweiz deutlich hinter DE und AT
In allen Kernindikatoren weist die Schweiz schlechtere Werte auf als Deutschland oder Österreich. Ein Teil der Differenz ist rechtlich erklärbar: Die DSGVO gilt dort nicht direkt. Sobald Schweizer Betriebe aber EU-Kundschaft adressieren, greift die DSGVO über das Marktortprinzip.
Abb. 2 — Vier Kernindikatoren im direkten Länder-Vergleich.
| Land | n | Impressum | DSE | Banner | Tracker ohne Banner |
|---|---|---|---|---|---|
| Deutschland | 2.757 | 88,8 % | 85,9 % | 36,7 % | 38,8 % |
| Österreich | 1.673 | 84,6 % | 78,2 % | 41,9 % | 40,6 % |
| Schweiz | 1.313 | 59,9 % | 63,5 % | 33,7 % | 54,8 % |
Branchenbild: Steuerberater führen, Restaurants am Ende
Rechtsaffine Berufsgruppen — Steuerberater, Anwälte, Dachdecker — führen bei formalen Compliance-Indikatoren. Restaurants und Hotels bilden den Schluss.
Abb. 3 — Branchen sortiert nach Anteil „Tracker ohne Banner“ (aufsteigend). Oben = sauberer, unten = problematischer.
Abb. 4 — Die Heatmap zeigt: Schweizer Restaurants und Ärzte bilden die größte Risikozone.
Wenn die Datenschutzerklärung da ist, fehlt sie trotzdem
Von 4.509 Sites mit erkennbarer Datenschutzerklärung nennen 72,2 % keinen Auftragsverarbeiter. 37,1 % verschweigen die Rechtsgrundlage nach Art. 6 DSGVO. Drei der vier häufigsten Lücken sind direkt mit Art. 13/14 DSGVO unvereinbar.
Abb. 5 — Lücken in Datenschutzerklärungen, aufgeschlüsselt nach Land. CH durchweg mit den höchsten Fehlerquoten.
Wer ist besonders betroffen?
Auftragsverarbeiter werden am häufigsten nicht genannt bei:
| Branche | Sites mit DSE | davon ohne AV-Angabe | Quote |
|---|---|---|---|
| Anwälte | 503 | 409 | 81,3 % |
| Ärzte | 829 | 639 | 77,1 % |
| Restaurants | 606 | 463 | 76,4 % |
| Steuerberater | 388 | 283 | 72,9 % |
| Tischler | 512 | 366 | 71,5 % |
| Hotels | 802 | 541 | 67,5 % |
| Elektriker | 487 | 319 | 65,5 % |
| Dachdecker | 382 | 234 | 61,3 % |
Google Fonts: die 100-Euro-Falle
LG München I, 20.01.2022, Az. 3 O 17493/20: Wer Google Fonts dynamisch über das Google-CDN einbindet, ohne vorher zu fragen, schuldet 100 Euro Schadensersatz. In der Schweiz besonders relevant — dort binden 48,1 % aller Sites Google Fonts ein.
Abb. 6 — Google-Fonts-Einbindung pro Land. Besonders heikel: der Anteil ohne Cookie-Banner.
Abb. 7 — Verbreitung der acht häufigsten Tracker-Typen. Google dominiert das Ökosystem.
Vollständige Studie als PDF
Die kompakte Web-Version oben enthält die wichtigsten Erkenntnisse. Die vollständige PDF-Version (24 Seiten, inkl. Methodik-Detail, Branchen-Tabellen pro Land, vollständige Tracker-Auflistung) erhalten Sie kostenlos per Mail.
Studien-PDF anfordern
Wir senden Ihnen eine Bestätigungs-Mail (Double-Opt-In). Erst nach Klick auf den Bestätigungs-Link erhalten Sie die Studie als PDF. Kein Spam, keine Datenweitergabe.
Lizenz: Creative Commons Namensnennung 4.0 (CC BY 4.0). Zitation, Weiterverwendung und Zweitanalyse sind ausdrücklich erwünscht.
Ist Ihre Website eine der 43 Prozent?
Mit dem gleichen Scanner, der diese Studie erstellt hat, prüft LegalMonitor Ihre Website kontinuierlich auf die in dieser Studie identifizierten Compliance-Lücken — und meldet Ihnen automatisch, sobald sich etwas ändert.
LegalMonitor kennenlernenStudie als PDF ladenMethodik in drei Sätzen
Vollständige Details im Studien-PDF (Abschnitt 2). Alle Artefakte sind nachprüfbar.
Datenquelle: Für jede Branche wurden die Websites über OpenStreetMap (OSM Overpass API, Stichtag 21.04.2026) identifiziert — alle OSM-Einträge mit gesetztem website-Tag. Aus dem Gesamtpool wurden pro Branche-Land-Bucket bis zu 400 URLs randomisiert gezogen (Fisher-Yates, Seed 20260421) und auf Hostname dedupliziert.
Scanner: Eigen-Entwicklung auf Basis von Microsoft Playwright (Headless Chromium). Transparent identifizierbarer User-Agent (SerahrLegalMonitor/1.0), robots.txt wird respektiert. Gescannt wird die Startseite sowie die Unterseiten „Impressum“, „Datenschutz“, „AGB“ mit 30 Sekunden Timeout pro Seite.
Grenzen: PDF-basierte Datenschutzerklärungen werden nicht inhaltlich geparst (circa 70 Sites im Sample). Banner-Erkennung ist heuristisch. OSM-Sample enthält einen Bias zu digital affineren Betrieben. Die realen DACH-Zahlen dürften ungünstiger sein, nicht günstiger.
Verifikation & Reproduzierbarkeit
Die Studie ist so konzipiert, dass Dritte sie unabhängig reproduzieren oder die Rohdaten auf Integrität prüfen können.
Kryptographische Fingerabdrücke (SHA-256)
a16171e4c9530b9371830c223bcf333ef9fec0f7cafe29f005f1b070b91139be8dd68c157de0324c90fd98ee2364caf6b6e393ec2e42a70b0cdf785575ebba53da296086a16d922232b819a9da705e709b04d8c09603dc001c76ce24eaff0883Zugang zu Rohdaten
Die aggregierten Rohdaten werden für wissenschaftliche Zweitanalysen, journalistische Verifikation und aufsichtsbehördliche Nutzung auf Anfrage unter Vertraulichkeitsvereinbarung herausgegeben. Namentliche Zuordnung einzelner URLs im Sample wird dabei nicht weitergegeben, um die Anonymität der Studienteilnehmer zu wahren.
Kontakt: studie@serahr.de mit Stichwort „DSGVO-Studie 2026 Datenzugang“.
Häufige Fragen
Wie kann ich sicher sein, dass die Zahlen nicht erfunden sind?
Drei Mechanismen schützen die Integrität dieser Studie: Erstens ist die Methodik vollständig offengelegt — jeder kann sie mit dem dokumentierten Stichtag, den OSM-Queries und den Scanner-Spezifikationen eigenständig reproduzieren. Zweitens sind die SHA-256-Hashes der Rohdaten öffentlich; eine nachträgliche Manipulation wäre sofort erkennbar. Drittens geben wir qualifizierten Medien und Forschenden auf Anfrage Zugriff auf die anonymisierten Rohdaten — eine unabhängige Zweitanalyse ist jederzeit möglich.
Warum wurden die Websites nicht namentlich genannt?
Unsere Studie dient der Quantifizierung einer strukturellen Lücke, nicht dem Prangerstellen einzelner Betriebe. Einzelne Anbieter zu benennen hätte weder statistischen Mehrwert noch wäre es rechtlich sinnvoll — und es entspricht unserer Auffassung guter wissenschaftlicher Praxis bei Compliance-Studien dieser Art.
Gilt die DSGVO in der Schweiz?
Nicht direkt. Die Schweiz ist nicht Teil der EU; seit 1. September 2023 gilt dort das revidierte Datenschutzgesetz (revDSG). Es verlangt Information, aber keine explizite Einwilligung für Tracking-Cookies. Sobald ein Schweizer Unternehmen allerdings EU-Kundschaft ansprechen möchte (typisches Beispiel: deutsche Gäste in einem Zürcher Hotel), greift Art. 3 Abs. 2 DSGVO (Marktortprinzip) — und damit auch die deutschen und österreichischen Einwilligungspflichten für Tracking.
Werden die Seiten-Betreiber über die Befunde informiert?
Nein. Eine automatische Benachrichtigung der 6.799 gescannten Betriebe entspräche einer unzulässigen Cold-E-Mail im Sinne des UWG — das wäre ein klarer Rechtsverstoß unsererseits. Unsere Studie beschränkt sich auf Aggregate. Wer selbstständig eine Überprüfung der eigenen Website wünscht, findet unter serahr.de/legal-monitor ein entsprechendes Angebot.
Was plant Serahr als Folge dieser Studie?
Wir planen eine Wiederholung der Studie zum gleichen Stichtag in 2027 (21. April 2027), um Longitudinal-Daten zu erzeugen. Ob sich die Situation der KMU-Compliance in zwölf Monaten messbar verbessert, wird dann auswertbar sein. Die Methodik bleibt konstant.
Zitations-Empfehlung
Ahrens, T. (2026): Tracker ohne Einwilligung — DSGVO-Compliance-Status kleiner und mittlerer Unternehmen im DACH-Raum. Serahr-Studie Nr. 1, Stichtag 21.04.2026. Lizenz: Creative Commons Namensnennung 4.0 (CC BY 4.0).