DSGVO-Website-Audit: Schritt-für-Schritt Anleitung mit DevTools

Seit 2024 haben mehrere Landesdatenschutzbehörden ihre Kontrollen auf private Unternehmenswebsites deutlich ausgeweitet. BayLDA, LDI NRW und BlnBDI reagieren auf Beschwerden oft schneller als früher, und noyb reicht in Deutschland systematisch Beschwerden gegen fehlerhafte Cookie-Banner ein. § 25 TDDDG und die DSGVO geben Behörden klare Prüfmaßstäbe. Die häufigsten Beanstandungen betreffen Cookie-Einwilligung und Datenschutzerklärungen.

Dieser Leitfaden führt Sie in sieben Schritten durch die wichtigsten Prüfbereiche. Sie brauchen keine externen Tools, nur Browser-Entwicklertools (F12) und eine Übersicht Ihrer eingesetzten Dienste. Planen Sie zwei bis drei Stunden für eine gründliche Prüfung ein.

Wenn Sie den technischen Teil lieber automatisiert abdecken möchten, prüft unser kostenloser DSGVO-Scanner Cookie-Banner, Tracker-Vorausladen und Sicherheitsheader in unter zwei Minuten.

Vorbereitung

Bevor Sie anfangen, legen Sie sich folgendes bereit:

• Zugang zum CMS Ihrer Website (WordPress, Shopware, TYPO3 o.ä.)
• Eine vollständige Liste aller aktiven Plugins und eingebundenen Dienste
• Browser mit DevTools (Chrome, Firefox oder Edge)
• Eine Tabelle oder ein Dokument, in dem Sie Befunde notieren

Arbeiten Sie immer in einem Inkognito-Fenster. Nur so sehen Sie, was ein echter Erstbesucher sieht. Cookies, Consent-Entscheidungen und Login-Status aus früheren Besuchen verfälschen sonst das Bild.

Schritt 1: Cookie-Audit mit DevTools

Das ist der kritischste Teil des Audits. § 25 TDDDG schreibt vor, dass nicht-notwendige Cookies und Tracking-Skripte erst nach einer ausdrücklichen Einwilligung des Nutzers gesetzt werden dürfen. Behörden prüfen genau das.

Banner-Prüfung

Öffnen Sie Ihre Homepage im Inkognito-Modus. Erscheint der Cookie-Banner, noch bevor Sie irgendetwas angeklickt haben? Prüfen Sie dann zwei Dinge.

Erstens: Gibt es auf der ersten Ebene des Banners sowohl einen "Akzeptieren"- als auch einen "Ablehnen"-Button? Nicht "Einstellungen öffnen" oder "Mehr erfahren", sondern eine direkt anklickbare Ablehnoption. Zweitens: Sind beide Buttons optisch gleichwertig? Ein auffälliger grüner Primärbutton für Akzeptieren und ein grauer Textlink für Ablehnen ist kein gleichwertiges Angebot. Deutsche Behörden und der EuGH haben das in mehreren Entscheidungen klargestellt.

Netzwerkcheck vor der Einwilligung

Öffnen Sie DevTools (F12), wechseln Sie zum Reiter "Netzwerk" und laden Sie Ihre Seite neu. Berühren Sie den Cookie-Banner noch nicht. Suchen Sie in der Anfragenliste nach Verbindungen zu google-analytics.com, googletagmanager.com, facebook.net, hotjar.com oder vergleichbaren Tracking-Diensten.

Werden solche Anfragen gesendet, bevor Sie eine Wahl im Banner getroffen haben, liegt ein Verstoß gegen § 25 TDDDG vor. Das ist der häufigste technische Fehler überhaupt: Der Banner ist vorhanden, aber der Blocking-Mechanismus dahinter funktioniert nicht. Viele günstige Cookie-Plugins zeigen einen Banner an, blockieren die Skripte im Hintergrund aber nicht tatsächlich.

Cookie-Inventar erstellen

Wechseln Sie in DevTools zu "Anwendung" (Chrome) oder "Speicher" (Firefox) und öffnen Sie den Cookie-Bereich. Notieren Sie alle gesetzten Cookies mit Name, Domain und Ablaufdatum. Kategorisieren Sie: technisch notwendig, Analytics, Marketing, sonstiges Tracking. Vergleichen Sie diese Liste dann mit Ihrer Datenschutzerklärung und Ihrem Cookie-Banner. Fehlt eine Cookie-Kategorie in der Erklärung, ist die Erklärung unvollständig.

Schritt 2: Datenschutzerklärung-Review

Öffnen Sie Ihre Datenschutzerklärung und legen Sie eine Tabelle daneben. Für jede der folgenden Anforderungen aus Art. 13 DSGVO markieren Sie: vorhanden, fehlend oder zu vage.

Pflichtangaben nach Art. 13:

Name und vollständige Kontaktdaten des Verantwortlichen. Für jeden Verarbeitungsvorgang eine separate Beschreibung mit Zweck, Rechtsgrundlage und Empfängern. Dabei muss "Analytics" nicht reichen, der Dienst muss namentlich genannt sein (Google Analytics, Plausible, Matomo). Konkrete Speicherfristen für jede Datenkategorie. Alle Betroffenenrechte nach Art. 15 bis 22. Beschwerderecht bei der zuständigen Behörde, mit Name und Kontakt der Behörde. Hinweis auf Drittlandübertragungen, falls vorhanden.

Ein häufiger Fehler bei generierten Texten: Die Erklärung beschreibt Dienste, die seit Monaten nicht mehr genutzt werden, oder nennt aktuelle Tools nicht. Gehen Sie deshalb Ihre Dienstliste aus der Vorbereitung durch und prüfen Sie, ob jeder Dienst in der Erklärung auftaucht.

Schritt 3: Formulare und Newsletter

Inventarisieren Sie jedes Formular auf Ihrer Website: Kontaktformular, Newsletter-Anmeldung, Bestellformular, Registrierung, Terminbuchung.

Kontaktformular:

Gibt es direkt beim Formular einen kurzen Hinweis auf die Verarbeitung und einen Link zur Datenschutzerklärung? Erheben Sie nur, was Sie tatsächlich brauchen? Geboortedatum und Telefonnummer in einem simplen Kontaktformular sind schwer zu begründen und verstoßen gegen das Datenminimierungsprinzip aus Art. 5 Abs. 1 lit. c DSGVO.

Newsletter:

Der BGH hat in der Entscheidung I ZR 7/16 (Planet49, Mai 2020) als nationale Umsetzung des CJEU-Urteils C-673/17 klargestellt: vorausgefüllte Einwilligungskästchen für Newsletter und Marketing sind unzulässig. Die Einwilligung muss durch eine aktive Handlung erteilt werden, kein Häkchen, das der Nutzer erst entfernen muss.

Prüfen Sie drei Punkte:

Sind Newsletter-Checkboxen standardmäßig nicht aktiviert? Ist die Newsletter-Einwilligung von der Bestellabwicklung oder der Kontoerstellung getrennt? Nutzen Sie Double-Opt-In? In Deutschland gilt das als faktische Standardanforderung nach § 7 Abs. 2 Nr. 3 UWG. Ohne Double-Opt-In können Sie bei einer Spam-Beschwerde kaum nachweisen, dass die Einwilligung korrekt erteilt wurde.

Schritt 4: Auftragsverarbeitung und AVV

Listen Sie alle Dienste auf, die in Ihrem Auftrag personenbezogene Daten Ihrer Besucher und Kunden verarbeiten. Für einen typischen Onlineshop sind das mindestens: Hosting-Anbieter, E-Mail-Marketing-Plattform, Web-Analytics-Tool, Zahlungsanbieter, CDN und Backup-Dienst. Dazu kommen je nach Setup: Live-Chat-System, Helpdesk, Bewertungsplattform, Retargeting-Netzwerke.

Für jeden dieser Dienste brauchen Sie einen Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO. Die meisten großen SaaS-Anbieter stellen AVV-Vorlagen im Kundenportal bereit.

Öffnen Sie die Portale Ihrer fünf wichtigsten Anbieter und prüfen Sie: Ist ein AVV hinterlegt oder wurde eine entsprechende Vereinbarung akzeptiert? Haben Sie einen Nachweis dieser Akzeptanz archiviert, etwa als Screenshot, PDF-Download oder Bestätigungs-E-Mail?

Dienste ohne AVV-Angebot sind ein Warnsignal. Sie dürfen keine personenbezogenen Daten in deren Systeme übertragen, bis eine Vereinbarung existiert. Für eine systematische Übersicht aller AVV-Pflichten: DSGVO-Checkliste für Onlineshops.

US-Dienste: Viele Tools (Google, Mailchimp, Stripe, Cloudflare) sind US-Unternehmen. Seit Juli 2023 gilt das EU-US Data Privacy Framework als Angemessenheitsbeschluss. Prüfen Sie für jeden US-Dienst, ob er auf der Zertifizierungsliste unter dataprivacyframework.gov eingetragen ist. Wenn nicht, sind Standardvertragsklauseln (SCC) plus individuelle Schutzmaßnahmen erforderlich.

Schritt 5: Sicherheitsheader und HTTPS

Art. 32 DSGVO verpflichtet Sie zu "dem Risiko angemessenen" technischen Maßnahmen. Drei Basischecks erledigen Sie in wenigen Minuten.

HTTPS und Weiterleitung:

Rufen Sie Ihre Website mit http:// auf. Landen Sie automatisch auf der HTTPS-Version? Öffnen Sie DevTools, Reiter Netzwerk, und prüfen Sie die erste HTTP-Anfrage. Sie sollte einen 301- oder 302-Redirect auf HTTPS liefern. Fehlt diese Weiterleitung, können Besucher über eine unverschlüsselte Verbindung auf Ihre Seite zugreifen.

Sicherheitsheader:

Öffnen Sie DevTools, Reiter Netzwerk, laden Sie Ihre Seite und klicken Sie auf die erste Anfrage. Unter "Antwortheader" prüfen Sie, ob diese Header gesetzt sind:

• Strict-Transport-Security (HSTS): zwingt Browser dauerhaft auf HTTPS
• Content-Security-Policy: reduziert XSS-Risiken
• X-Content-Type-Options: nosniff: verhindert MIME-Sniffing
• Referrer-Policy: kontrolliert welche Referrer-Daten an Dritte übermittelt werden

Fehlende Header bedeuten kein automatisches Bußgeld, aber Behörden werten sie bei einer Gesamtprüfung als Hinweis auf unzureichende technische Maßnahmen.

CMS-Updates:

Wechseln Sie in Ihr CMS-Backend und prüfen Sie, ob Updates für das CMS selbst, für Themes und für Plugins ausstehen. Veraltete WordPress-Plugins sind die häufigste Einstiegspforte bei Hacks auf KMU-Websites, und ein Datenschutzverletzung durch einen bekannten, ungepatchten CVE ist schwer zu verteidigen.

Volkswagen AG zahlte 2022 eine Geldbuße von 1,1 Mio. Euro an den LfDI Niedersachsen, nachdem Daten aus Test-Fahrzeugen unsachgemäß gespeichert und nicht fristgerecht gelöscht worden waren. Unzureichende technisch-organisatorische Maßnahmen kostet, auch wenn der Ausgangspunkt ein Verwaltungsfehler ist.

Schritt 6: Speicherdauer und GoBD

Das Speicherbegrenzungsprinzip aus Art. 5 Abs. 1 lit. e DSGVO verlangt, Daten nur so lange zu halten, wie der Zweck es erfordert. In Deutschland kommen gesetzliche Aufbewahrungspflichten hinzu, die teils längere Speicherung vorschreiben.

Nach § 257 HGB müssen Buchführungsunterlagen und steuerrelevante Belege mindestens zehn Jahre aufbewahrt werden. Allgemeine Geschäftsbriefe müssen sechs Jahre aufbewahrt werden. Die GoBD (Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern) schreibt zusätzlich vor, wie diese Unterlagen archiviert sein müssen.

Für Daten ohne handels- oder steuerrechtlichen Bezug gilt das Gegenteil: So kurz wie möglich. Einfache Kontaktanfragen können nach Erledigung gelöscht werden, typisch drei bis sechs Monate. Server-Logs mit IP-Adressen sollten nicht länger als 90 Tage gespeichert bleiben, sofern kein konkreter Sicherheitsvorfall die weitere Aufbewahrung begründet.

Für Ihren Audit: Prüfen Sie, welche Datenkategorien Sie in welchen Systemen halten und ob es technisch umgesetzte Löschroutinen gibt. Ein Löschkonzept auf Papier ohne technische Implementierung überzeugt Datenschutzbehörden bei einer Prüfung nicht.

Schritt 7: Datenpannen-Verfahren

Haben Sie ein Verfahren für den Fall, dass personenbezogene Daten unbefugt offengelegt, vernichtet oder verändert werden? Art. 33 DSGVO gibt Ihnen 72 Stunden für die Meldung an die zuständige Datenschutzbehörde, wenn die Panne ein Risiko für Betroffene birgt.

Stellen Sie sich vor, morgen früh meldet Ihr Hosting-Anbieter, dass eine Kundendatenbank unverschlüsselt zugänglich war. Wissen Sie, was dann zu tun ist?

Prüfen Sie drei Punkte: Wissen Sie, welche Behörde für Ihr Unternehmen zuständig ist? Die Zuständigkeit folgt dem Bundesland Ihres Unternehmenssitzes. Kennen Sie den Meldeprozess und welche Angaben die Behörde erwartet? Wissen Sie, wer in Ihrem Unternehmen eine Panne feststellen und melden würde?

Der BfDI bietet Informationen zum Meldeverfahren auf seiner Website. Die meisten Landesbehörden haben eigene Online-Meldeformulare. Ein einseitiges internes Notfallmerkblatt reicht für ein KMU als Minimaldokumentation.

Die 72-Stunden-Frist beginnt ab dem Moment, wo Sie von der Panne wissen. Nicht ab dem technischen Vorfall, nicht ab dem Zeitpunkt der Analyse.

Audit-Bericht erstellen

Nach diesen sieben Schritten haben Sie eine Tabelle mit Befunden. Ordnen Sie jeden Punkt einer von drei Kategorien zu:

Sofort angehen (diese Woche): Fehlendes Ablehnen im Cookie-Banner, Tracking-Skripte die vor Einwilligung laden, fehlende oder lückenhafte Datenschutzerklärung, kein HTTPS-Redirect, fehlender Datenschutzhinweis bei Formularen.

Diese Woche planen: Fehlende AVV-Verträge mit Hauptdienstleistern, Newsletter ohne Double-Opt-In, fehlende Sicherheitsheader, ungepatchte CMS-Updates.

Mittelfristig: Speicherdauer-Routinen technisch umsetzen, US-Dienste auf DPF-Zertifizierung prüfen, Datenpannen-Verfahren dokumentieren, Google Analytics konfigurieren oder durch eine datenschutzfreundliche Alternative ersetzen.

Bewahren Sie den Bericht auf. Falls eine Datenschutzbehörde eine Anfrage stellt oder eine Beschwerde eingeht, ist eine dokumentierte Audit-Historie ein konkreter Nachweis dafür, dass Sie sich strukturiert mit Compliance beschäftigen.

Wiederholen Sie den Audit nach jeder wesentlichen Änderung Ihrer Website. Ein neues Plugin, ein neues Formular oder ein neuer Zahlungsanbieter kann jeden dieser Bereiche neu aufwerfen. Ergänzend hilft ein monatlicher automatisierter Scan.

Für einen schnellen ersten technischen Überblick: Kostenloser DSGVO-Scanner. Für eine vollständige Prüfliste aller 35 DSGVO-Pflichtpunkte: DSGVO-Checkliste für Onlineshops.

Dieser Leitfaden ist die deutsche Fassung unseres paneuropäischen GDPR-Website-Audit-Leitfadens.

---

Dieser Artikel ist technische Analyse, kein Rechtsrat. Für Fragen zu Ihrer konkreten Situation wenden Sie sich an eine Datenschutzfachperson.