Website auf DSGVO prüfen: Schritt-für-Schritt-Anleitung
Deine Website auf DSGVO-Konformität prüfen: 10 Schritte mit Browser-DevTools, konkrete Anleitungen für jede Prüfung und Vergleich manuell vs. automatisiert.
Eine Website ist kein statisches Produkt. Plugins werden aktualisiert, Drittanbieter ändern ihre Bedingungen, Marketing-Teams binden neue Tools ein, und ein WordPress-Update kann unbemerkt neue Cookies setzen. Was gestern DSGVO-konform war, kann heute ein Bußgeld-Risiko sein.
Die Datenschutzkonferenz (DSK) und die Aufsichtsbehörden der Länder führen regelmäßig anlasslose Prüfungen von Websites durch. Allein 2024 hat die bayerische Datenschutzbehörde über 400 Websites systematisch geprüft. Wer nicht regelmäßig selbst prüft, erfährt von Problemen erst durch ein Schreiben der Behörde — oder eine Abmahnung.
In diesem Artikel zeigen wir dir, wie du deine Website in 10 konkreten Schritten manuell auf DSGVO-Konformität prüfst und warum eine automatisierte Lösung auf Dauer die bessere Wahl ist.
Warum regelmäßige Prüfungen nötig sind
Art. 5 Abs. 2 DSGVO verlangt die Rechenschaftspflicht: Du musst nachweisen können, dass du die DSGVO einhaltst. Ein einmaliger Check reicht nicht — du brauchst einen kontinuierlichen Prozess. Typische Gründe, warum eine Website plötzlich nicht mehr konform ist:
- CMS-Updates aktivieren neue Funktionen oder Tracking-Features
- Plugin-Updates laden plötzlich externe Ressourcen nach (Google Fonts, CDN-Scripts)
- Drittanbieter ändern ihre Datenverarbeitung (neue Sub-Auftragsverarbeiter, geänderte Server-Standorte)
- Marketing bindet neue Tools ein (Chatbots, A/B-Testing, Heatmaps)
- Mitarbeiter ändern Inhalte und fügen YouTube-Videos oder Social-Media-Embeds ein
- SSL-Zertifikate laufen aus oder werden falsch erneuert
Die 10 Schritte der manuellen DSGVO-Prüfung
Schritt 1: SSL/TLS-Verschlüsselung prüfen
Art. 32 DSGVO verlangt angemessene technische Maßnahmen — SSL/TLS-Verschlüsselung ist dabei das absolute Minimum. Seit dem TDDDG (Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz) ist Verschlüsselung für Websites mit Nutzereingaben ausdrücklich vorgeschrieben.
So prüfst du es:
- Rufe deine Website auf und prüfe, ob in der Browser-Adressleiste ein Schloss-Symbol erscheint
- Klicke auf das Schloss und prüfe das Zertifikat: Ist es gültig? Läuft es bald ab?
- Rufe
http://deine-domain.deauf (ohne https) — wirst du automatisch auf HTTPS umgeleitet? - Prüfe alle Subdomains separat (blog.domain.de, shop.domain.de)
Häufige Probleme: Mixed Content (HTTPS-Seite lädt Ressourcen über HTTP), abgelaufene Zertifikate, fehlende Redirects.
Schritt 2: Cookies ohne Consent prüfen
Öffne die Browser-DevTools (F12), lösche alle Cookies und den Cache, und rufe deine Website im Inkognito-Modus auf, ohne dem Cookie-Banner zuzustimmen.
So prüfst du es:
- DevTools > Application > Cookies: Welche Cookies sind bereits gesetzt?
- Technisch notwendige Cookies (Session-ID, CSRF-Token, Spracheinstellung) sind erlaubt
- Alles andere — insbesondere
_ga,_gid,_fbp,_gcl_au— darf nicht gesetzt sein
Rechtsgrundlage: SS 25 Abs. 1 TDDDG verlangt eine Einwilligung für nicht-notwendige Cookies. Das EuGH-Urteil “Planet49” (C-673/17) hat klargestellt, dass Opt-in erforderlich ist.
Schritt 3: Third-Party-Requests analysieren
Drittanbieter-Anfragen übertragen personenbezogene Daten (IP-Adresse) an externe Server — oft in Drittländer. Ohne Consent und ohne AVV ist das ein DSGVO-Verstoß.
So prüfst du es:
- DevTools > Network: Seite komplett laden lassen (ohne Cookie-Consent)
- Filtere nach “Third-party” oder sortiere nach Domain
- Prüfe jede externe Domain: Ist sie notwendig? Gibt es einen AVV? Wo steht der Server?
- Typische Problemfälle: Google Fonts (fonts.googleapis.com), Google Analytics (google-analytics.com), Facebook (connect.facebook.net), YouTube (youtube.com)
Schritt 4: Datenschutzerklärung auf Vollständigkeit prüfen
Die DSE muss gemäß Art. 13 und 14 DSGVO alle Pflichtangaben enthalten. Prüfe systematisch:
| Pflichtangabe | Art. | Vorhanden? |
|---|---|---|
| Name und Kontaktdaten des Verantwortlichen | Art. 13 Abs. 1 lit. a | |
| Kontaktdaten des DSB (wenn vorhanden) | Art. 13 Abs. 1 lit. b | |
| Zwecke und Rechtsgrundlage je Verarbeitung | Art. 13 Abs. 1 lit. c, d | |
| Empfänger oder Kategorien von Empfängern | Art. 13 Abs. 1 lit. e | |
| Übermittlung in Drittländer + Garantien | Art. 13 Abs. 1 lit. f | |
| Speicherdauer oder Kriterien für Dauer | Art. 13 Abs. 2 lit. a | |
| Betroffenenrechte (Auskunft, Berichtigung, Löschung, Widerspruch) | Art. 13 Abs. 2 lit. b-d | |
| Recht auf Beschwerde bei Aufsichtsbehörde | Art. 13 Abs. 2 lit. d | |
| Cookie-Informationen (Zweck, Dauer, Anbieter) | TDDDG + Art. 13 |
Häufige Fehler: Veraltete Anbieter aufgelistet, fehlende Drittlandtransfer-Informationen, keine konkreten Speicherdauern (“so lange wie nötig” reicht nicht).
Schritt 5: Impressum prüfen
Das Impressum ist zwar keine DSGVO-Pflicht, sondern ergibt sich aus SS 5 DDG (Digitale-Dienste-Gesetz). Fehlt es, drohen Abmahnungen — und Behörden prüfen es bei DSGVO-Kontrollen mit.
Pflichtangaben für Unternehmen:
- Vollständiger Name/Firma und Rechtsform
- Vertretungsberechtigte Person(en)
- Postanschrift (kein Postfach)
- E-Mail-Adresse und Telefonnummer
- Handelsregister und Registernummer
- Umsatzsteuer-ID (wenn vorhanden)
- Bei bestimmten Berufen: Kammer, Berufsbezeichnung, Aufsichtsbehörde
Schritt 6: Cookie-Banner testen
Der Cookie-Banner muss mehr als nur informieren — er muss tatsächlich funktionieren.
So prüfst du es:
- Wird ein Banner angezeigt, bevor Tracking startet?
- Gibt es einen gleichwertigen “Ablehnen”-Button (gleiche Größe, gleiche Auffälligkeit)?
- Klicke auf “Ablehnen” — werden Tracking-Cookies trotzdem gesetzt? (DevTools > Application > Cookies prüfen)
- Klicke auf “Akzeptieren” — werden die Consent-Signale korrekt gesetzt? (DevTools > Console:
dataLayerprüfen für GCM v2) - Prüfe den Widerruf: Gibt es einen dauerhaft sichtbaren Link, um die Einwilligung zu ändern?
Schritt 7: Kontaktformulare prüfen
Kontaktformulare verarbeiten personenbezogene Daten. Prüfe:
- Wird nur nach notwendigen Daten gefragt (Datensparsamkeit, Art. 5 Abs. 1 lit. c DSGVO)?
- Ist ein Hinweis auf die DSE vorhanden?
- Werden die Daten verschlüsselt übertragen (HTTPS)?
- Gibt es einen Captcha-Schutz — und wenn ja, welchen? (Google reCAPTCHA ist datenschutzrechtlich problematisch)
Schritt 8: Google Fonts prüfen
Seit dem LG-München-Urteil (Az. 3 O 17493/20) vom Januar 2022 ist klar: Das Einbinden von Google Fonts über die Google-Server ist ohne Einwilligung ein DSGVO-Verstoß. Bei jedem Seitenaufruf wird die IP-Adresse des Nutzers an Google in die USA übertragen.
So prüfst du es:
- DevTools > Network > Filter: “fonts.googleapis.com” oder “fonts.gstatic.com”
- Wenn Treffer angezeigt werden: Die Fonts werden extern geladen — das muss behoben werden
- Lösung: Fonts lokal einbinden (Self-Hosting)
Schritt 9: Social-Media-Embeds prüfen
YouTube-Videos, Instagram-Posts, Twitter-Embeds und Facebook-Like-Buttons laden externe Ressourcen und setzen Cookies — bereits beim Seitenaufruf, nicht erst beim Klick.
So prüfst du es:
- Suche im Quelltext nach iframes mit YouTube, Vimeo, Instagram, Twitter, Facebook
- Prüfe im Network-Tab, ob diese Embeds beim Seitenaufruf Ressourcen laden
- Lösung: 2-Klick-Lösung (erst Platzhalter, dann nach Klick das Embed laden)
Schritt 10: Security Headers prüfen
Security Headers sind laut Art. 32 DSGVO Teil der “geeigneten technischen Maßnahmen”.
So prüfst du es:
- DevTools > Network > Hauptdokument anklicken > Response Headers
- Prüfe, ob folgende Header gesetzt sind:
| Header | Empfohlener Wert |
|---|---|
| Strict-Transport-Security | max-age=31536000; includeSubDomains |
| X-Content-Type-Options | nosniff |
| X-Frame-Options | DENY oder SAMEORIGIN |
| Referrer-Policy | strict-origin-when-cross-origin |
| Permissions-Policy | camera=(), microphone=(), geolocation=() |
| Content-Security-Policy | Individuell konfiguriert |
Vergleich: Manuell vs. automatisiert
| Kriterium | Manuelle Prüfung | Compliso Scanner |
|---|---|---|
| Zeitaufwand pro Prüfung | 45-90 Minuten | 30 Sekunden |
| Technisches Wissen nötig | Hoch (DevTools, HTTP-Header, Cookies) | Keines |
| Anzahl Checks | 10 Schritte, je nach Gründlichkeit | 30 automatisierte Checks |
| Prüffrequenz realistisch | Monatlich bis quartalsweise | Täglich bis wöchentlich |
| Subseiten-Prüfung | Manuell jede Seite einzeln | Automatischer Crawl (bis 500 Seiten) |
| Dokumentation | Manuell protokollieren | Automatischer PDF-Report |
| Neue Probleme erkennen | Nur bei aktiver Prüfung | Automatische Benachrichtigung |
| Kosten | Personalkosten (intern oder externer DSB) | Ab 19 Euro/Monat |
| Reproduzierbarkeit | Abhängig von der Person | Identische Prüfkriterien jedes Mal |
Der manuelle Check hat einen Vorteil: Du verstehst, was du prüfst, und kannst Kontextentscheidungen treffen. Der automatisierte Scan hat den Vorteil, dass er regelmäßig, lückenlos und dokumentiert läuft. Die beste Strategie kombiniert beides: automatisierte wöchentliche Scans plus manuelle Stichproben bei Änderungen.
Wie oft solltest du prüfen?
| Situation | Empfohlene Prüffrequenz |
|---|---|
| Statische Website ohne Tracking | Quartalsweise |
| Website mit Tracking und Cookie-Banner | Wöchentlich |
| Online-Shop mit Zahlungsabwicklung | Wöchentlich |
| Nach jedem CMS-/Plugin-Update | Sofort |
| Nach Einbindung neuer Drittanbieter | Sofort |
| Nach Website-Relaunch | Sofort + wöchentlich für 4 Wochen |
Die Datenschutzbehörden erwarten keinen perfekten Dauerzustand, aber sie erwarten einen Prozess. Art. 24 DSGVO verlangt, dass du die Wirksamkeit deiner Maßnahmen “regelmäßig überprüfst und aktualisierst”.
Praxis-Checkliste
- SSL/TLS aktiv und Redirect von HTTP auf HTTPS eingerichtet
- Keine Tracking-Cookies vor Consent (DevTools-Prüfung im Inkognito-Modus)
- Alle Third-Party-Requests identifiziert und AVVs vorhanden
- Datenschutzerklärung enthält alle Pflichtangaben nach Art. 13 DSGVO
- Impressum vollständig nach SS 5 DDG
- Cookie-Banner mit gleichwertigem Ablehnen-Button
- Kontaktformulare datensparsam und mit DSE-Hinweis
- Google Fonts lokal eingebunden (kein externer Abruf)
- Social-Media-Embeds mit 2-Klick-Lösung oder Consent
- Security Headers konfiguriert
- Prüf-Intervall festgelegt und dokumentiert
Automatisch prüfen mit dem Compliso Scanner
Der Compliso Scanner prüft deine Website in 30 Sekunden auf 30 DSGVO-relevante Kriterien — von SSL über Cookies und Third-Party-Requests bis zu Security Headers und Barrierefreiheit. Du erhältst einen Compliance-Score, eine priorisierte Fehlerliste und bei Bedarf einen PDF-Report für deinen Datenschutzbeauftragten.
Teste den Demo-Scanner jetzt kostenlos und erfahre in Sekunden, wie es um deine Website steht. Oder registriere dich für regelmäßige automatische Scans und lass dich bei neuen Problemen automatisch benachrichtigen.
Deine Website DSGVO-konform machen?
Compliso prüft deine Website automatisch auf Cookies, Tracker, Dark Patterns und Accessibility-Probleme.