DSGVO-Audit Ihrer Website: Die 15-Punkte-Checkliste

Ihre Website ist das öffentliche Gesicht Ihres Unternehmens — und der erste Ort, den eine Datenschutzbehörde prüft. Ein systematischer DSGVO-Audit deckt Schwachstellen auf, bevor es zu Beschwerden oder Bußgeldern kommt.

Warum ein Website-Audit?

70% der Beschwerden bei Datenschutzbehörden betreffen Websites
Abmahnwelle: Anwaltskanzleien scannen systematisch nach DSGVO-Verstößen
Google Fonts-Urteil (LG München): 100 EUR Schadensersatz pro Besucher für externe Font-Einbindung
Cookie-Banner: Häufigster Verstoß bei behördlichen Prüfungen

Die 15-Punkte-Checkliste

Block 1: Rechtliche Pflichtinformationen

1. Impressum (§ 5 DDG)

☐ Vollständiger Name / Firmenname mit Rechtsform
☐ Anschrift (kein Postfach)
☐ E-Mail-Adresse UND weitere Kontaktmöglichkeit (Telefon oder Kontaktformular)
☐ Handelsregisternummer und Registergericht
☐ USt-IdNr. (falls vorhanden)
☐ Von jeder Seite mit maximal 2 Klicks erreichbar

2. Datenschutzerklärung (Art. 13/14 DSGVO)

☐ Name und Kontaktdaten des Verantwortlichen
☐ Kontaktdaten des Datenschutzbeauftragten (falls benannt)
☐ Zweck und Rechtsgrundlage jeder Verarbeitung
☐ Berechtigte Interessen (wenn Art. 6 Abs. 1 lit. f als Grundlage)
☐ Empfänger und Kategorien von Empfängern
☐ Drittlandübermittlungen mit Garantien
☐ Speicherdauer / Löschfristen
☐ Betroffenenrechte (Auskunft, Berichtigung, Löschung, Widerspruch)
☐ Beschwerderecht bei der Aufsichtsbehörde
☐ Eigenständige Seite, kein Bestandteil des Impressums

3. Barrierefreiheit der Pflichtinformationen

☐ Impressum und Datenschutz im Footer auf jeder Seite verlinkt
☐ Texte maschinenlesbar (kein eingebettetes Bild)
☐ Aktuelle Version (Datum der letzten Aktualisierung)

Block 2: Cookie-Compliance

4. Cookie-Banner

☐ Wird vor dem Setzen nicht-notwendiger Cookies angezeigt
☐ „Akzeptieren" und „Ablehnen" gleichwertig gestaltet
☐ Granulare Einstellungen (mindestens pro Kategorie)
☐ Kein Dark Pattern (Nudging, versteckte Ablehnung)

5. Technische Cookie-Prüfung

☐ Keine Cookies vor Einwilligung — Browser DevTools prüfen!
☐ Google Analytics, Facebook Pixel etc. laden erst nach Opt-In
☐ Session-Cookies für technisch Notwendiges korrekt konfiguriert
☐ Cookie-Laufzeiten entsprechen den Angaben in der Datenschutzerklärung

6. Consent-Management

☐ Einwilligungen werden protokolliert (Consent-Log)
☐ Widerrufsmöglichkeit jederzeit zugänglich (Footer-Link)
☐ Bei Widerruf werden Cookies tatsächlich gelöscht
☐ Consent-Versioning (bei Änderung: erneute Einwilligung einholen)

Block 3: Formulare und Datenerhebung

7. Kontaktformulare

☐ Nur notwendige Felder als Pflichtfeld
☐ Hinweis auf Datenschutzerklärung (Link, kein Checkbox-Consent nötig)
☐ Verschlüsselte Übertragung (HTTPS)
☐ Keine Weitergabe an Dritte ohne Rechtsgrundlage

8. Newsletter-Anmeldung

☐ Double-Opt-In-Verfahren implementiert
☐ Klare Information über Inhalt und Häufigkeit
☐ Abmeldelink in jeder E-Mail
☐ Einwilligung dokumentiert (Datum, IP, Bestätigungsklick)
☐ Nur E-Mail als Pflichtfeld (Name optional)

9. Bewerbungsformulare

☐ Spezifische Datenschutzhinweise für Bewerber
☐ Angabe der Speicherdauer (max. 6 Monate nach Verfahrensende)
☐ Einwilligung für längere Speicherung (Talent-Pool)

Block 4: Externe Dienste und Drittanbieter

10. Schriften und Bibliotheken

☐ Google Fonts lokal eingebunden (nicht von Google-Servern)
☐ Font Awesome, Bootstrap etc. lokal oder vom eigenen CDN
☐ Keine externen Ressourcen ohne Einwilligung

11. Eingebettete Inhalte

☐ YouTube-Videos: 2-Klick-Lösung oder youtube-nocookie.com
☐ Google Maps: Erst nach Einwilligung laden
☐ Social-Media-Widgets: Shariff oder 2-Klick-Lösung
☐ Keine automatische Verbindung zu Drittservern ohne Consent

12. Analyse und Tracking

☐ Google Analytics: Auftragsverarbeitungsvertrag, IP-Anonymisierung
☐ Alle Tracking-Tools in Cookie-Banner integriert
☐ Server-seitiges Tracking als datenschutzfreundliche Alternative geprüft
☐ Matomo (selbst gehostet) als Alternative evaluiert

Block 5: Technische Sicherheit

13. Verschlüsselung und Zertifikate

☐ HTTPS auf allen Seiten (inkl. HTTP → HTTPS Redirect)
☐ SSL/TLS-Zertifikat gültig und aktuell
☐ HSTS-Header aktiv
☐ Mixed Content ausgeschlossen (keine HTTP-Ressourcen auf HTTPS-Seiten)

14. Sicherheitsheader

☐ Content-Security-Policy (CSP) konfiguriert
☐ X-Content-Type-Options: nosniff
☐ X-Frame-Options: DENY oder SAMEORIGIN
☐ Referrer-Policy: strict-origin-when-cross-origin
☐ Permissions-Policy definiert

15. Zugriffsschutz und Monitoring

☐ Admin-Bereich mit starken Passwörtern und MFA geschützt
☐ CMS und Plugins auf aktuellem Stand
☐ Regelmäßige Backups eingerichtet
☐ Monitoring für Ausfälle und Sicherheitsvorfälle aktiv

Bewertungsmatrix

| Punkte | Bewertung | Handlungsbedarf | |---|---|---| | 13–15 | Gut | Regelmäßig überprüfen | | 10–12 | Ausreichend | Offene Punkte zeitnah schließen | | 7–9 | Mangelhaft | Sofortiger Handlungsbedarf | | < 7 | Kritisch | Umgehend Maßnahmen ergreifen, DSB einschalten |

Automatisierung des Audits

Manuelle Prüfungen sind fehleranfällig und zeitaufwändig. Automatisierte Tools helfen:

Cookie-Scanner: Prüfen, welche Cookies tatsächlich gesetzt werden
Header-Check: Sicherheitsheader automatisch validieren
SSL-Prüfung: Zertifikatsstatus und Konfiguration
Externe Ressourcen: Automatisch erkennen, welche Drittserver kontaktiert werden

Regelmäßigkeit

| Anlass | Empfohlene Frequenz | |---|---| | Vollständiger Audit | Quartalsweise | | Cookie-Check | Nach jeder Website-Änderung | | SSL-Zertifikat prüfen | Monatlich (oder automatisiert) | | Datenschutzerklärung aktualisieren | Bei jeder Änderung der Verarbeitungen | | CMS-Updates | Wöchentlich |

Fazit

Ein systematischer DSGVO-Audit schützt vor Bußgeldern, Abmahnungen und Reputationsschäden. Die 15 Punkte dieser Checkliste decken die häufigsten Problemfelder ab. Führen Sie den Audit quartalsweise durch und dokumentieren Sie die Ergebnisse — Dokumentation ist Ihr bester Schutz bei Behördenanfragen.

Scannen Sie Ihre Website kostenlos mit WarDek — OWASP, NIS2, DSGVO, AI Act Compliance in einem Scan.

DSGVO-Audit Ihrer Website: 15-Punkte-Checkliste