Der Scanner · Methodik

Wir prüfen 153 Dinge, die DSB, RTR und Nutzer von Ihrer Website erwarten.

Verteilt auf 7 Compliance-Bereiche. Automatisiert in ±60 Sekunden. Eine Seite gratis, gesamte Website ab €2,50.

Kostenlosen Check starten Beispielbericht ansehen →

Warum das wichtig ist

€2,1 Mrd.
DSGVO-Bußgelder 2024
Europäische Datenschutzbehörden verhängten allein 2024 über 2,1 Milliarden € an Bußgeldern. Die DSB schließt sich der verschärften EDSA-Linie an.
€800–1500
Pro Bild
Abmahnkanzleien wie LSE oder Permission Machine versenden Aufforderungsschreiben auch in Österreich. Vergleiche bis €1.500 pro Foto plus Anwaltskosten.
€80.000
BaFG-Bußgeld pro Verstoß
Seit dem 28. Juni 2025 ist das BaFG (Barrierefreiheitsgesetz) in Kraft. Bußgelder bis zu 80.000 € je Verstoß durch das Sozialministeriumservice.
< 1 Std.
Typischer Fix
Ein einzelner Verstoß kann mehr kosten als Jahre der Prävention. Die meisten Fixes aus unserem Bericht sind in unter einer Stunde umgesetzt.

Die 7 Bereiche im Detail.

Was wir konkret kontrollieren
Herkunfts-Erkennung via Reverse Image Search (TinEye-Index, ±50 Mio. Bilder)
Abgleich mit bekannten Stock-Bibliotheken (Getty, Shutterstock, Adobe Stock)
EXIF- & Metadaten-Analyse auf Lizenzhinweise
Erkennung KI-generierter Bilder (Stable Diffusion, Midjourney Signaturen)
UrhG §87
UrhG §91
OGH 4 Ob 105/17v
Beispiel-Befund
Hoch
Möglicherweise unlizenziertes Foto von Getty Images auf /ueber-uns gefunden.
Das Risiko, wenn Sie es ignorieren
Abmahnungen nach UrhG §§87, 91 plus Anwaltskosten gemäß RATG. Vergleiche €800–€1.500 pro Bild. Bei gewerblicher Nutzung verschärfter Schadenersatz (§87 Abs. 3 UrhG).
Was wir konkret kontrollieren
Cookie-Banner: Vor-Einwilligung erkennen (Script-Auslösung vor „Akzeptieren")
Datenschutzerklärung: Vorhandensein + 13 Pflichtangaben nach Art. 13 DSGVO
Auftragsverarbeiter-Übersicht: Drittanbieter-Skripte identifiziert und gemappt
Drittlandübermittlung: Erkennung von US-/Nicht-EU-Endpunkten (Schrems II)
Betroffenenrechte: Kontaktweg für Auskunfts-/Löschanfragen vorhanden
DSGVO Art. 6, 13, 28
DSG §§30–35
TKG 2021 §165
Beispiel-Befund
Kritisch
Google Analytics lädt vor der Cookie-Einwilligung.
Das Risiko, wenn Sie es ignorieren
Bußgelder der DSB bis zu 20 Mio. € oder 4 % des weltweiten Jahresumsatzes. Die DSB hat 2022 Google Analytics als unzulässig eingestuft (Bescheid D155.027). Bei KMU üblicherweise €5.000–€100.000 pro Verstoß.
Was wir konkret kontrollieren
Alt-Texte bei bedeutungstragenden Bildern (WCAG 1.1.1)
Farbkontrast: Text mindestens 4,5:1, große Schrift 3:1 (WCAG 1.4.3)
Tastaturnavigation: Tab-Reihenfolge, sichtbare Fokus-Zustände
Formularfelder: Labels, Fehlermeldungen, Screenreader-Kompatibilität
Video & Audio: Untertitel, Transkript (WCAG 1.2.x)
PDF-Barrierefreiheit: getaggte Struktur, Leihenfolge (nur Premium)
BaFG §17
BGStG §9
EN 301 549
WCAG 2.2 AA
Beispiel-Befund
Hoch
12 Bilder ohne Alt-Text (WCAG 1.1.1).
Das Risiko, wenn Sie es ignorieren
Das BaFG ist seit 28. Juni 2025 vollziehbar. Das Sozialministeriumservice (SMS) kann Bußgelder bis €80.000 pro Verstoß verhängen und den Vertrieb untersagen. Zusätzlich Schadenersatzansprüche nach BGStG.
Was wir konkret kontrollieren
TLS-Konfiguration: Zertifikatsgültigkeit, Cipher-Suites, Protokollversionen
HTTP Security Header: CSP, HSTS, X-Frame-Options, Referrer-Policy
Bekannte Schwachstellen: jQuery, WordPress, Plugins (CVE-Datenbank-Abgleich)
Mixed Content: HTTP-Ressourcen auf HTTPS-Seiten
Subresource Integrity (SRI) bei externen Skripten
DSGVO Art. 32
NISG 2024
BSI Grundschutz (Anwendung)
Beispiel-Befund
Hoch
Content-Security-Policy Header fehlt.
Das Risiko, wenn Sie es ignorieren
Kein direktes Bußgeld, aber DSGVO Art. 32 und NISG 2024 verpflichten zu „angemessenen technischen Maßnahmen". Ein Datenleck durch bekannte Schwachstelle gilt als erschwerender Umstand bei DSB-Bußgeldbemessung.
Was wir konkret kontrollieren
Impressum nach ECG §5: Name, Anschrift, Kontakt, Firmenbuchnummer, UID
Offenlegung nach Mediengesetz §25: bei Online-Medien zusätzlich Blattlinie/Eigentümer
AGB: vorhanden, abrufbar als PDF, Einbezug bei Vertragsabschluss
Ladungsfähige Anschrift: in Footer oder Kontaktseite vorhanden
Kontaktmöglichkeit: E-Mail oder Formular (ECG §5 Abs. 1 Z 3)
ECG §5
ECG §26
UWG §1
Mediengesetz §25
Beispiel-Befund
Mittel
Impressum fehlt die UID-Nummer (ECG §5 Abs. 1 Z 6).
Das Risiko, wenn Sie es ignorieren
Verwaltungsstrafe nach ECG §26: bis €3.000 pro Verstoß. Wettbewerbsklagen durch Mitbewerber nach UWG §1, mit einstweiligen Verfügungen und Schadenersatz. Verbraucherinformationsbüros mahnen aktiv ab.
Was wir konkret kontrollieren
Double-Opt-in: Bestätigungsmail bei Anmeldung
Abmeldelink: vorhanden und funktional in jeder E-Mail
Einwilligungsdokumentation: Zeitpunkt, IP, Formulartext gespeichert
Spezifische Checkbox für Marketing — nicht vorausgewählt
Versand von eigener Domain (SPF/DKIM aligned)
TKG 2021 §174
DSGVO Art. 7
UWG §7
Beispiel-Befund
Mittel
Newsletter-Formular ohne Double-Opt-in.
Das Risiko, wenn Sie es ignorieren
TKG 2021 §174 verbietet unzulässige elektronische Direktwerbung. Die RTR (Rundfunk und Telekom Regulierungs-GmbH) kann Strafen bis €37.000 pro Verstoß verhängen. Zusätzlich DSGVO-Bußgelder durch die DSB.
Was wir konkret kontrollieren
Button-Beschriftung: „zahlungspflichtig bestellen" (FAGG §8 Abs. 2)
Rücktrittsbelehrung: Muster-Widerrufsformular und 14-Tage-Frist klar erkennbar
Preisangaben: Gesamtpreis inkl. USt und Versand vor Bestellung sichtbar (PrAG)
Lieferzeit: konkret angegeben (keine vagen Angaben wie „rasch")
Gewährleistung & Garantie: rechtlich und kommerziell unterschieden (VRUG 2022)
FAGG §8
FAGG §11
KSchG §32
PrAG
Beispiel-Befund
Hoch
Bestellbutton fehlt „zahlungspflichtig bestellen" (FAGG §8 Abs. 2).
Das Risiko, wenn Sie es ignorieren
Falsch beschrifteter Bestellbutton: der Vertrag kommt nicht zustande (FAGG §8 Abs. 3). Plus Verwaltungsstrafen bis €1.450 nach KSchG §32 für sonstige Verbraucherrechtsverstöße.

Methodik

Wie wir es durchführen — ohne Blackbox.

Unsere Open-Source-Arbeit auf GitHub →

01

Recherche zur geltenden Rechtslage

Wir verfolgen EU-weite Gesetzgebung (DSGVO, EAA, ePrivacy) und die österreichische Ergänzung (DSG, TKG 2021, ECG, BaFG, FAGG). Wenn die DSB oder der OGH eine Regel verschärft oder neue Bußgeld-Leitlinien veröffentlicht werden, wird unsere Checkliste aktualisiert.

02

Automatisierte Validierung

Jede Regel, die sich testen lässt, bekommt eine deterministische Prüfung: ein echter Browser lädt die Seite (Playwright/Chrome), wir lesen DOM, Header, Requests und TLS-Konfiguration. Keine „KI-Magie", wo Code eine ehrliche Antwort geben kann.

03

KI für komplexere Prüfungen

Für Regeln, die kein einfaches Häkchen sind — Vollständigkeit einer Datenschutzerklärung, Dark Patterns im Checkout, Tonalität der Einwilligungs-Copy — nutzen wir eine Kombination der neuesten lokalen und Cloud-Modelle, abgestimmt auf diesen Zweck. Gezielt eingesetzt und immer auf die Quellregel rückführbar.

Möchten Sie wissen, wo Ihre Website steht?

Eine Seite gratis. Keine Registrierung. Ergebnis in 60 Sekunden — mit konkreten Handlungsempfehlungen.

Kostenlosen Check starten →

Wir prüfen 153 Dinge, die DSB, RTR und Nutzer von Ihrer Website erwarten.

Die 7 Bereiche im Detail.

Bildrechte

DSGVO & Datenschutz

Barrierefreiheit

IT-Sicherheit

Rechtliche Seiten

E-Commerce

Wie wir es durchführen — ohne Blackbox.

Recherche zur geltenden Rechtslage

Automatisierte Validierung

KI für komplexere Prüfungen

Möchten Sie wissen, wo Ihre Website steht?

Wir prüfen 153 Dinge, die DSB, RTR und Nutzer von Ihrer Website erwarten.

Die 7 Bereiche im Detail.

Bildrechte

DSGVO & Datenschutz

Barrierefreiheit

IT-Sicherheit

Rechtliche Seiten

Newsletter

E-Commerce

Wie wir es durchführen — ohne Blackbox.

Recherche zur geltenden Rechtslage

Automatisierte Validierung

KI für komplexere Prüfungen

Möchten Sie wissen, wo Ihre Website steht?