DSGVO Website-Audit Checkliste: 12 Prüfbereiche für rechtssichere Websites

Die DSGVO gilt seit 2018 — und trotzdem verstoßen über 70 % der deutschen KMU-Websites gegen mindestens eine Vorschrift. Das Risiko: Abmahnungen, Bußgelder und der Vertrauensverlust bei datenschutz- bewussten Kunden. Diese Checkliste deckt die 12 häufigsten DSGVO-Verstöße auf Websites ab.

Bereich 1: Cookie-Consent und Tracking

Cookie-Banner

Tracking-Dienste

• Google Analytics: Wird erst nach Einwilligung geladen? IP-Anonymisierung konfiguriert? AV-Vertrag (DPA) mit Google abgeschlossen?
• Facebook Pixel / Meta: Datenübermittlung in die USA nur mit SCCs + TIA oder bei expliziter Einwilligung
• Hotjar, Clarity, etc.: Session-Recording erfordert Einwilligung — auch wenn „anonymisiert"

Empfehlung: Cookielose, DSGVO-konforme Alternativen wie Plausible oder Fathom Analytics erfordern keine Einwilligung und liefern dennoch verwertbare Daten.

Bereich 2: Datenschutzerklärung

Typischer Fehler: Die Datenschutzerklärung wurde 2018 erstellt und seitdem nicht aktualisiert — aber die Website nutzt inzwischen Google Maps, YouTube-Embeds, WhatsApp-Buttons und einen Newsletter-Dienst, die nicht erwähnt werden.

Bereich 3: Kontaktformulare und Datenerfassung

• Einwilligung vor Absenden: Checkbox mit Verweis auf Datenschutzerklärung (nicht vorangekreuzt)
• Datenminimierung: Nur Felder abfragen, die für den Zweck erforderlich sind (Art. 5 Abs. 1c). Beispiel: Geburtsdatum für eine Kontaktanfrage ist nicht erforderlich
• SSL/TLS: Formulardaten müssen verschlüsselt übertragen werden. Kein HTTP, nur HTTPS (Art. 32)
• Speicherung: Wo werden Formulardaten gespeichert? Aufbewahrungsfristen definiert?

Bereich 4: Eingebettete Dienste

Die größten Stolperfallen

Bereich 5: Technische Sicherheit

• HTTPS: Gesamte Website über HTTPS erreichbar (Art. 32 DSGVO). HTTP-zu-HTTPS-Weiterleitung konfiguriert?
• Security Headers: HSTS, X-Content-Type-Options, X-Frame-Options, Content-Security-Policy vorhanden?
• Formulardaten: Verschlüsselte Übertragung und sichere Speicherung gewährleistet?
• Backup und Löschung: Können Nutzerdaten auf Anfrage gelöscht werden (Recht auf Löschung, Art. 17)?

Bußgelder: Was tatsächlich verhängt wird

Die deutschen Datenschutzbehörden haben 2024/2025 verstärkt Bußgelder gegen KMU verhängt:

• Cookie-Banner-Verstöße: 5.000–50.000 € (häufigster Grund: fehlende Ablehnmöglichkeit)
• Google Fonts remote: 100–500 € pro Betroffener (Massenabmahnungen durch Kanzleien)
• Fehlende Datenschutzerklärung: 10.000–25.000 €
• Unverschlüsselte Formulare: 5.000–20.000 €

Praxis-Tipp: Die Landesdatenschutzbehörden führen zunehmend automatisierte Scans durch. Websites mit offensichtlichen Verstößen (kein Cookie-Banner, remote Google Fonts, HTTP statt HTTPS) werden proaktiv gefunden.

Nächste Schritte

Ein automatisierter Website-Audit prüft die technisch messbaren DSGVO-Punkte: Cookie-Laden vor Consent, externe Ressourcen, HTTPS-Status, Security Headers und eingebettete Dienste. Die inhaltliche Prüfung (Datenschutzerklärung, Formulare, AV-Verträge) erfordert manuelle Bewertung.

Unser spezialisierter DSGVO Website-Check prüft automatisch die häufigsten Datenschutz-Verstöße auf Ihrer Website — kostenlos und in wenigen Sekunden.