Es ist eine der größten Ironien im Kanzleimarketing: Rechtsanwälte beraten Mandanten zu Datenschutzrecht – und betreiben selbst eine Website, die gegen die DSGVO verstößt. Nicht aus böser Absicht, sondern weil die technischen Details oft im Verborgenen liegen: ein Google Font, das still Daten an US-Server überträgt. Ein Analytics-Skript, das läuft, bevor der Besucher zugestimmt hat. Ein Kontaktformular ohne Auftragsverarbeitungsvertrag.
Die Konsequenzen reichen von Abmahnungen durch Mitbewerber bis zu DSGVO-Bußgeldverfahren. Für Kanzleien kommt ein Reputationsschaden hinzu, der weit über den rechtlichen Schaden hinausgeht: Wer selbst Datenschutz ignoriert, verliert das Vertrauen von Mandanten, die genau in diesem Bereich beraten werden wollen.
Dieser Beitrag zeigt die zehn häufigsten DSGVO-Fehler auf Kanzlei-Websites – mit konkreten Lösungen für WordPress. Für alles, was über die technische Umsetzung hinausgeht, steht unser Bereich Datenschutz und Compliance für Rechtsanwälte als Ressource zur Verfügung.
Wie oft sollte ich den DSGVO-Stand meiner Website prüfen?
Mindestens halbjährlich und nach jedem Plugin-Update oder neuen eingebetteten Dienst. DSGVO-Anforderungen ändern sich durch neue EuGH-Urteile und DSK-Beschlüsse laufend. Was 2023 ausreichend war, kann 2025 nicht mehr konform sein. Automatisierte DSGVO-Scanner wie der von eRecht24 oder Datenschutz.org erkennen die häufigsten Probleme. Für eine rechtssichere Einschätzung empfiehlt sich zusätzlich eine periodische Prüfung durch einen Datenschutzexperten.
Muss ich als Anwalt einen Datenschutzbeauftragten benennen?
In den meisten Fällen nicht – aber es gibt Ausnahmen. Kanzleien mit weniger als 20 Mitarbeitern, die personenbezogene Daten nicht als Kerntätigkeit verarbeiten, sind von der Pflicht zur Benennung eines Datenschutzbeauftragten grundsätzlich ausgenommen. Ausnahmen gelten, wenn sensible Datenkategorien (z. B. Gesundheitsdaten, Strafverfolgungsdaten) in großem Umfang verarbeitet werden. Im Zweifelsfall: Anwalt für Datenschutzrecht konsultieren.
Was passiert, wenn ich meinen Cookie-Banner falsch konfiguriert habe?
Abmahnrisiko durch Mitbewerber und potenzielle Bußgelder der Datenschutzbehörde. Mitbewerber und Abmahnkanzleien scannen systematisch nach DSGVO-Verstößen. Ein Cookie-Banner ohne echte Ablehnungsoption oder ein Analytics-Skript, das vor der Einwilligung lädt, ist ein häufig abgemahnter Verstoß. Bußgelder der Datenschutzbehörde sind bei kleinen Kanzleien seltener, aber nicht ausgeschlossen. Handeln Sie präventiv – die Korrektur dauert in der Regel nur wenige Stunden.
Fehler 1: Google Fonts extern eingebunden
Google Fonts ist eine der am weitesten verbreiteten DSGVO-Fallen für Kanzlei-Websites. Wenn Schriften über fonts.googleapis.com geladen werden, überträgt der Browser des Besuchers dessen IP-Adresse an Google-Server in den USA – ohne Einwilligung. Das Landgericht München hat dies 2022 als DSGVO-Verstoß eingestuft.
Lösung für WordPress: Google Fonts lokal einbinden. Laden Sie die benötigen Schriftdateien herunter (google-webfonts-helper.herokuapp.com ist ein hilfreiche Tool), speichern Sie sie auf Ihrem eigenen Server und binden Sie sie über CSS ein. Alternativ verwenden Sie ein Plugin wie OMGF (Optimize My Google Fonts), das diesen Prozess automatisiert.
Fehler 2: Google Analytics ohne Consent
Google Analytics darf erst nach aktiver Einwilligung des Besuchers aktiviert werden. Ein Analytics-Skript, das beim ersten Seitenaufruf bereits Daten überträgt, verstößt gegen DSGVO Art. 6. Das gilt auch für Google Tag Manager, wenn Analytics darüber geladen wird.
Lösung: Binden Sie Analytics über ein Consent-Management-Plugin ein, das sicherstellt, dass das Skript erst nach Einwilligung geladen wird. Empfohlene Tools für WordPress: Borlabs Cookie, Complianz oder Cookiebot. Alternativ: Matomo mit server-seitigem Betrieb, das ohne Einwilligung DSGVO-konform ist.
Fehler 3: Cookie-Banner ohne echte Wahl
Ein Cookie-Hinweis, der nur einen OK-Button zeigt, ohne die Option Ablehnen anzubieten, ist keine gültige Einwilligung. Das gilt auch für vorausgewählte Häkchen und Banner, die erst bei Weiterscrollen als Zustimmung werten. Der Europäische Gerichtshof hat die Anforderungen an eine gültige Einwilligung wiederholt präzisiert.
Lösung: Ihr Cookie-Banner muss mindestens zwei gleichwertige Optionen anbieten: Alle akzeptieren und Nur notwendige Cookies. Der Ablehnungs-Button darf optisch nicht kleiner oder weniger sichtbar sein. Technisch notwendige Cookies (Session, Login) benötigen keine Einwilligung.
Fehler 4: Kontaktformular ohne Mindestanforderungen
Kontaktformulare auf Kanzlei-Websites haben mehrere häufige DSGVO-Fehler:
- Beide Kontaktwege als Pflichtfelder: Email und Telefon duerfen nicht beide Pflichtfelder sein. Nur ein Kontaktweg ist zur Bearbeitung der Anfrage erforderlich.
- Keine SSL-Verschlüsselung: Das Formular muss über HTTPS laufen. Kein Formular auf einer HTTP-Seite.
- Verstecktes Newsletter-Opt-in: Eine vorausgewählte Checkbox für Newsletter-Anmeldung im Kontaktformular ist ungültig und abmahnbar.
- Fehlender AVV mit dem Anbieter: Wenn ein Drittanbieter (z.B. WP Forms, Gravity Forms) Formulardaten verarbeitet, brauchen Sie einen Auftragsverarbeitungsvertrag.
Fehler 5: Externe Dienste ohne Consent laden
Google Maps, YouTube-Embeds und reCAPTCHA laden beim Seitenaufruf Skripte und übertragen Daten an Google – ohne dass der Besucher zugestimmt hat. Das gilt auch für Social-Media-Buttons, die Tracking-Code laden.
Lösung: Externe Dienste erst nach Einwilligung laden. Für Google Maps: 2-Klick-Lösung (erst Platzhalter anzeigen, nach Klick laden). Für YouTube: privacy-enhanced mode nutzen (youtube-nocookie.com) oder 2-Klick-Embed. Ihr Consent-Management-Plugin sollte diese Dienste automatisch blockieren und erst nach Einwilligung freischalten.
| Achtung: Kanzleien sind besonders im Visier Wettbewerber und Abmahnkanzleien scannen systematisch nach DSGVO-Verstößen. Für Anwaltskanzleien ist das Risiko besonders hoch, da ein Datenschutzverstos die Reputation als Rechtsberater direkt beschädigt. |
Die vollständige DSGVO-Checkliste für Kanzlei-Websites
Die folgende Checkliste deckt alle wesentlichen Prüfpunkte ab. Kein Ersatz für eine rechtliche Einzelfallprüfung, aber ein solider Ausgangspunkt:
| Status | Pruefpunkt | Was zu tun ist |
| ☐ | HTTPS aktiv | SSL-Zertifikat aktiv, alle Seiten nur über https:// erreichbar, HTTP-Weiterleitungen eingerichtet |
| ☐ | Datenschutzerklärung vollständig | Alle Drittdienste aufgelistet (Analytics, Fonts, Maps, Formulare), Rechtsgrundlage je Verarbeitung angegeben |
| ☐ | Cookie-Banner mit echter Auswahl | Technisch notwendige Cookies ohne Einwilligung, alle anderen erst nach aktivem Opt-In; keine vorausgewählten Häkchen |
| ☐ | Google Fonts lokal eingebunden | Schriften von eigenem Server laden, nicht von fonts.googleapis.com; in WordPress per Plugin oder manuell |
| ☐ | Google Analytics nur mit Consent | Analytics-Tag läuft erst nach Cookie-Einwilligung; alternativ: Matomo ohne Consent (server-seitig) |
| ☐ | Kontaktformular: nur Pflichtfelder minimal | Nur ein Kontaktweg als Pflichtfeld (Email oder Telefon, nicht beide); kein verstecktes Newsletter-Opt-in |
| ☐ | Kontaktformular: AVV mit Hoster abgeschlossen | Auftragsverarbeitungsvertrag mit dem Formularanbieter (z.B. Contact Form 7 + Hoster) vorhanden |
| ☐ | Externe Dienste mit Consent verknüpft | Google Maps, YouTube, reCAPTCHA erst nach Einwilligung laden; Consent-Management-Plugin eingerichtet |
| ☐ | Impressum vollständig nach TMG | Vollständiger Name, Anschrift, Telefon, E-Mail, Berufskammer, Berufsbezeichnung, Berufsordnung |
| ☐ | Auftragsverarbeitungsvertrag mit Hoster | AVV mit dem Webhoster und allen Drittanbietern, die personenbezogene Daten verarbeiten |
DSGVO-Check für Ihre Kanzlei-Website
OMmatic prüft Ihre Kanzlei-Website auf die häufigsten DSGVO-Fehler und setzt die technischen Korrekturen in WordPress um.
Empfohlene Tools für WordPress-Kanzleien
Consent-Management
Borlabs Cookie (kostenpflichtig, ca. 39 EUR/Jahr) oder Complianz (Freemium) sind die zuverlässigsten Optionen. Beide unterstützen das TCF-2.0-Framework und lassen sich mit Google Tag Manager kombinieren. Wichtig: Das Plugin muss regelmäßig aktualisiert werden, da sich DSGVO-Anforderungen ändern.
Google Fonts lokal
OMGF (Optimize My Google Fonts) automatisiert die lokale Einbindung von Google Fonts in WordPress. Es lädt Schriften lokal, entfernt externe Google-Aufrufe und aktualisiert bei Bedarf. Kostenlos in der Grundversion, kostenpflichtige Erweiterungen für komplexere Setups.
Analytics ohne Einwilligung
Matomo (ehemals Piwik) kann server-seitig so konfiguriert werden, dass keine personenbezogenen Daten übertragen werden und keine Einwilligung benötigt wird. Anforderung: IP-Anonymisierung aktiviert, kein Cross-Site-Tracking, Daten bleiben auf dem eigenen Server. Für WordPress gibt es ein offizielles Matomo-Plugin.
Häufig gestellte Fragen
Brauche ich einen Anwalt für die DSGVO-Prüfung meiner Website?
Für die technischen Grundlagen nicht, für eine belastbare rechtliche Bewertung schon. Die in diesem Beitrag beschriebenen Maßnahmen sind technischer Natur und können von Ihrem Webentwickler oder einem Kanzleimarketing-Dienstleister umgesetzt werden. Eine individuelle rechtliche Prüfung Ihrer gesamten Datenverarbeitung empfehlen wir ergänzend.
Was ist das größte Risiko für Kanzleien bei DSGVO-Verstößen?
Abmahnungen durch Mitbewerber und Reputationsschaden. Bußgelder der Datenschutzbehörden sind bei kleineren Verstößen selten das größte Risiko. Gefährlicher ist eine Abmahnung durch einen Mitbewerber oder eine Mandantenbeschwerde, die Ihr Datenschutzverhalten öffentlich macht.
Genügt ein Datenschutzhinweis im Footer statt eines Cookie-Banners?
Nein, für Cookies, die einer Einwilligung benötigen, nicht. Ein Datenschutzhinweis im Footer informiert über Datenverarbeitung, ersetzt aber nicht die aktive Einwilligung für nicht-notwendige Cookies und Tracking-Tools. Beides ist erforderlich.
Wie oft sollte ich den DSGVO-Stand meiner Website prüfen?
Mindestens halbjährlich und nach jedem Plugin-Update oder neuen eingebetteten Dienst. DSGVO-Anforderungen ändern sich durch neue EuGH-Urteile und DSK-Beschlüsse laufend. Automatisierte DSGVO-Scanner wie der von eRecht24 erkennen die häufigsten Probleme. Für eine rechtssichere Einschätzung empfiehlt sich zusätzlich eine periodische Prüfung durch einen Datenschutzexperten.
Muss ich als Anwalt einen Datenschutzbeauftragten benennen?
In den meisten Fällen nicht – aber es gibt Ausnahmen. Kanzleien mit weniger als 20 Mitarbeitern, die personenbezogene Daten nicht als Kerntätigkeit verarbeiten, sind von der Pflicht zur Benennung eines Datenschutzbeauftragten grundsätzlich ausgenommen. Ausnahmen gelten, wenn sensible Datenkategorien in großem Umfang verarbeitet werden. Im Zweifelsfall: Anwalt für Datenschutzrecht konsultieren.
Was passiert, wenn ich meinen Cookie-Banner falsch konfiguriert habe?
Abmahnrisiko durch Mitbewerber und potenzielle Bußgelder der Datenschutzbehörde. Mitbewerber und Abmahnkanzleien scannen systematisch nach DSGVO-Verstößen. Ein Cookie-Banner ohne echte Ablehnungsoption oder ein Analytics-Skript, das vor der Einwilligung lädt, ist ein häufig abgemahnter Verstoß. Handeln Sie präventiv – die Korrektur dauert in der Regel nur wenige Stunden.
Fazit
Eine DSGVO-konforme Kanzlei-Website ist kein einmaliges Projekt, sondern ein laufender Prozess: Neue Tools kommen hinzu, Anforderungen ändern sich, Urteile präzisieren die Rechtslage. Der beste Ansatz ist ein solides technisches Fundament, das mit den richtigen Plugins verwaltet werden kann, kombiniert mit einer regelmäßigen Prüfung. Alle weiteren Themen rund um Datenschutz und rechtssicheres Kanzleimarketing finden Sie unter Datenschutz und Compliance für Rechtsanwälte.
Kanzlei-Website technisch und rechtlich sicher machen
OMmatic implementiert ein DSGVO-konformes Consent-Management, optimiert Google Fonts und stellt sicher, dass Ihre WordPress-Website den aktuellen Anforderungen entspricht.