Sie haben gerade Ihre Website gelauncht. Oder letztes Jahr einen Cookie-Banner eingebaut. Und jetzt fragen Sie sich: Reicht das? Bin ich wirklich DSGVO-konform?
Die ehrliche Antwort: Wahrscheinlich nicht. Ein Cookie-Banner allein ist wie ein Rauchmelder ohne Batterien — er hängt da, tut aber nichts. Die eigentliche Frage ist: Was passiert hinter dem Banner? Werden trotzdem Daten in die USA geschickt? Fehlen Security Headers? Ist Ihr Impressum überhaupt vollständig?
Genau dafür gibt es DSGVO-Scanner. Aber der Markt ist unübersichtlich. Wir haben sechs Tools getestet und verglichen — transparent, mit echten Preisen, ohne Marketing-Sprech.
Bevor wir in den Vergleich einsteigen: Die meisten Unternehmen verwechseln zwei grundlegend verschiedene Tool-Kategorien.
Ein DSGVO-Scanner untersucht Ihre Website und deckt Verstöße auf: Cookies ohne Consent, fehlendes Impressum, unsichere Headers, Tracking-Dienste, E-Mail-Konfiguration. Er liefert einen Bericht mit konkreten Handlungsempfehlungen.
Eine CMP (Consent Management Platform) stellt den Cookie-Banner bereit, kategorisiert Cookies und speichert die Einwilligungen Ihrer Besucher. Sie löst Probleme — aber nur die, die mit Einwilligungen zu tun haben.
Viele Unternehmen installieren eine CMP und denken, sie seien fertig. Aber eine CMP prüft nicht, ob Ihr Impressum vollständig ist, ob Ihre E-Mails per SPF/DKIM/DMARC geschützt sind oder ob Security Headers gesetzt sind. Dafür brauchen Sie einen Scanner.
Wir haben drei reine Scanner und drei CMPs mit Scan-Funktion verglichen:
| Eigenschaft | Hugo Check | PrivacyChecker | wwwschutz | Cookiebot | Usercentrics | Consentmanager |
|---|---|---|---|---|---|---|
| Typ | Scanner | Scanner | Scanner | CMP + Scan | CMP + Scan | CMP + Scan |
| Herkunft | Hamburg, DE | Unklar | Idstein, DE | DK/München | München, DE | SE/Hamburg |
| Kostenlos-Plan | 5 Scans/Mo | 10 Scans/Mo | Nein | 1 Domain, 50 Seiten | Nein (Trial) | 3.000 Views |
| Ab-Preis (Pro) | 29 €/Mo | 15 €/Mo | 12,99 €/Mo | ~16 $/Mo | ~16 $/Mo | 19 €/Mo |
| Cookie-Scan | Ja | Ja | Ja | Ja | Ja | Ja |
| Consent-Banner | Nein | Nein | Nein | Ja | Ja | Ja |
| Security Headers | 6 Checks | Ja | Nein | Nein | Nein | Nein |
| E-Mail (SPF/DKIM/DMARC) | 3 Checks | Ja | Nein | Nein | Nein | Nein |
| Impressum-Prüfung | Ja (KI) | Teilweise | Nein | Nein | Nein | Nein |
| DSE-Analyse | Ja (KI, Pro) | Teilweise | Ja | Nein | Nein | Nein |
| Dark-Pattern-Check | Ja (KI) | Ja (Pro+) | Nein | Nein | Nein | Nein |
| Monitoring | Ja (Pro) | Ja (Pro+) | Nein | Ja (Premium) | Ja | Ja |
| API-Zugang | Ja (Agentur) | Nein | Nein | Nein | Ja (Enterprise) | Nein |
Hugo Check ist unser eigenes Tool — das sagen wir offen. Trotzdem: Wenn wir den Vergleich gescheut hätten, hätten wir diesen Artikel nicht geschrieben.
Was Hugo Check von allen anderen unterscheidet: Es geht über Cookie-Scanning hinaus. 29 technische Checks in vier Kategorien:
Dazu kommen 10 KI-Analysen — von der Cookie-Klassifikation über Dark-Pattern-Erkennung bis zum Abmahn-Risiko-Score. Im Pro-Plan gibt es außerdem CMS-spezifische Fix-Anleitungen: WordPress, Shopify, Jimdo oder was auch immer Sie nutzen.
Preise:
| Plan | Preis | Scans/Monat | Unterseiten | Besonderheit |
|---|---|---|---|---|
| Free | 0 € | 5 | Nur Startseite | 5 KI-Analysen inklusive |
| Pro | 29 €/Mo | 100 | 50 | PDF-Reports, Monitoring, persönliche Beratung |
| Agentur | 99 €/Mo | 500 | 100 | Bulk-Scan, API, White-Label |
E-Mail-Sicherheit ist der blinde Fleck der gesamten Branche. Kein CMP-Anbieter prüft SPF, DKIM oder DMARC. Dabei ist ein fehlender DMARC-Record ein Einfallstor für Phishing im Namen Ihres Unternehmens. Hugo Check und PrivacyChecker sind die einzigen Tools im Vergleich, die das abdecken.
PrivacyChecker (privacychecker.pro) bietet über 50 automatisierte Checks in 12 Audit-Modulen. Das Besondere: Neben den klassischen Datenschutz-Prüfungen testet das Tool auch auf Barrierefreiheit (EAA 2025) und EU-AI-Act-Konformität — Themen, die 2026 zunehmend relevant werden.
Stärken:
Schwächen:
Preis: Free (10 Scans/Mo), Pro ab 15 €/Mo, Einmal-Reports ab 49 €.
Die IT Logic GmbH aus Idstein betreibt wwwschutz.de seit über 35 Jahren in der IT-Branche. Der Ansatz ist radikal pragmatisch: Statt Cookies per Consent-Banner zu verwalten, versucht wwwschutz, Cookies und Tracking komplett zu eliminieren.
Stärken:
Schwächen:
Cookiebot (jetzt Teil von Usercentrics) ist die bekannteste Consent Management Platform für KMU. Das Tool scannt Cookies, stellt einen konfigurierbaren Banner bereit und speichert Einwilligungen nach IAB TCF v2.2.
Stärken:
Schwächen:
Preis: Free (1 Domain/50 Seiten), Premium ab ~16 $/Mo (je nach Seitenanzahl).
Cookiebot rechnet pro Domain ab. Wer 10 Websites betreut, zahlt schnell 300–500 €/Mo. Für Agenturen ist das meist nicht wirtschaftlich. Hugo Check Agentur (99 €/Mo für 500 Scans) oder Consentmanager Volumen-Tarife sind hier günstiger.
Usercentrics ist der große Bruder von Cookiebot. Gleicher Konzern, aber auf Enterprise ausgerichtet: 8,8 Milliarden Consents pro Monat, Web- + App- + Connected-TV-Unterstützung, granulare Geo-Targeting-Regeln.
Stärken:
Schwächen:
Preis: Essential ab ~8 $/Mo (1.500 Sessions), Business ~56 $/Mo (50.000 Sessions).
Consentmanager aus Schweden/Hamburg hat ein Alleinstellungsmerkmal: A/B-Testing für Cookie-Banner. Das Tool testet automatisch verschiedene Banner-Designs und optimiert die Opt-in-Rate. Für Unternehmen, denen die Zustimmungsrate wichtig ist, ist das Gold wert.
Stärken:
Schwächen:
Preis: Free (3.000 Views/Mo), Beginner 19 €/Mo, Standard 49 €/Mo.
Viele unserer Mandanten kommen zu uns, nachdem sie einen Cookie-Banner eingebaut haben — und denken, das Thema Datenschutz sei damit erledigt. Dann scannen wir die Website und finden: Google Fonts werden extern geladen, kein SPF-Record, keine Security Headers, Tracking läuft vor dem Consent. Ein Cookie-Banner löst vielleicht 20 Prozent der Probleme. Den Rest muss man aktiv suchen.
Nils OehmichenDatenschutzberater bei frag.hugo
Die folgenden Prüfpunkte werden von Cookiebot, Usercentrics und Consentmanager nicht abgedeckt — nur von echten Scannern:
| Risiko | Was passiert ohne Prüfung? | Wer prüft das? |
|---|---|---|
| Fehlender SPF/DKIM/DMARC | Phishing-Mails im Namen Ihres Unternehmens, Geschäftsmails im Spam | Hugo Check, PrivacyChecker |
| Fehlende Security Headers | Clickjacking, XSS-Angriffe, Man-in-the-Middle | Hugo Check, PrivacyChecker |
| Unvollständiges Impressum | Abmahnung nach § 5 DDG, 50.000 € Bußgeld | Hugo Check |
| Google Fonts extern | Abmahnung nach LG München (2022), Schadensersatz 100–150 € pro Fall | Hugo Check, PrivacyChecker, wwwschutz |
| Tracking vor Consent | DSGVO-Verstoß, Bußgeld bis 4 % vom Jahresumsatz | Alle Scanner + CMPs |
| DSE unvollständig | Auskunftsersuchen, Beschwerde bei Aufsichtsbehörde | Hugo Check (KI), wwwschutz |
Für ein typisches KMU (1 Website, 100 Unterseiten, Pro-Features):
| Tool | Monatspreis | Jährlich | Typ |
|---|---|---|---|
| Hugo Check Pro | 29 € | 348 € | Scanner |
| PrivacyChecker Pro | 15 € | 180 € | Scanner |
| wwwschutz Volkstarif | 12,99 € | 156 € | Scanner |
| Cookiebot Premium | ~16 $ (~15 €) | ~180 € | CMP |
| Consentmanager Beginner | 19 € | 228 € | CMP |
| Usercentrics Essential | ~8 $ (~7,50 €) | ~90 € | CMP |
Realistische Kombination für ein KMU: Scanner (15–29 €) + CMP (0–19 €) = 15–48 €/Monat. Das ist günstiger als eine einzige Abmahnung wegen externer Google Fonts (100–150 €).
Wie steht Ihre Website da?
29 DSGVO-Checks in 60 Sekunden — kostenlos, ohne Registrierung, nach deutschem Recht.
Jetzt Website kostenlos prüfen →Ein DSGVO-Scanner prüft Ihre Website auf Datenschutz-Verstöße — Cookies, Tracking, fehlende Angaben, unsichere Security Headers. Eine CMP (Consent Management Platform) stellt den Cookie-Banner bereit und verwaltet die Einwilligungen Ihrer Besucher. Sie brauchen oft beides.
Für KMU empfehlen wir Hugo Check (kostenloser Einstieg, 29 Checks inkl. E-Mail-Sicherheit) oder PrivacyChecker (kostenlos, 50+ Checks). Wer zusätzlich einen Cookie-Banner braucht, kombiniert den Scanner mit Cookiebot oder Consentmanager.
Nur eingeschränkt. Cookiebot scannt Cookies und Tracker, prüft aber keine Security Headers, E-Mail-Sicherheit (SPF/DKIM/DMARC), kein Impressum und keine Datenschutzerklärung. Als CMP ist Cookiebot stark — als umfassender Scanner nicht ausreichend.
Die Spanne reicht von kostenlos (Hugo Check Free, PrivacyChecker Free) über 15–29 €/Monat (Pro-Pläne) bis zu mehreren hundert Euro für manuelle Expertenprüfungen. Für die meisten KMU reicht ein Pro-Plan.
Ja. Eine CMP verwaltet Einwilligungen, prüft aber nicht, ob Ihre Website die Regeln tatsächlich einhält. Ein Scanner deckt blinde Flecken auf: Tracking trotz Ablehnung, fehlende Security Headers, unsichere E-Mail-Konfiguration. Unser kostenloser Check zeigt in 60 Sekunden, wo Sie stehen.
Inhaltsverzeichnis
DSFA nach Art. 35 DSGVO: Wann eine Datenschutz-Folgenabschätzung Pflicht ist, die 9 Kriterien der DSK und eine Schritt-für-Schritt-Anleitung für KMU.
WeiterlesenProfiling nach DSGVO: Wann ist Profiling erlaubt, welche Rechte haben Betroffene und wie setzen KMU Kundendatenanalyse rechtskonform um?
WeiterlesenPseudonymisierung vs. Anonymisierung nach DSGVO: Unterschiede, Pflichten und wie Unternehmen personenbezogene Daten rechtskonform verarbeiten.
Weiterlesen Über den Autor
Co-Founder
Jens ist Co-Founder und Geschäftsführer der frag.hugo Informationssicherheit GmbH. Mit über 20 Jahren IT-Erfahrung verbindet er technisches Know-how mit strategischem Denken, um Datenschutz und Compliance für KMU zugänglich zu machen.
Vereinbaren Sie ein unverbindliches Erstgespräch mit unseren Experten. Wir beraten Sie persönlich zu Datenschutz, NIS2 und IT-Sicherheit.
