SAB Security
DEENTRFR

DSGVO & Compliance

DSGVO Website Checkliste — technische Prüfung

Ein praxisnaher, technischer Blick auf den DSGVO-Status Ihrer Website. Wir prüfen, was von außen sichtbar ist: Einwilligungsmechanismen, Datenweitergabe, Security Header und Cookie-Verhalten. Keine Rechtsberatung — eine technische Momentaufnahme mit umsetzbaren Erkenntnissen.

Was wir prüfen

HTTPS & Verschlüsselung

Wird der gesamte Traffic mit TLS 1.3 verschlüsselt? Leitet HTTP auf HTTPS um? Unverschlüsselte Formularübertragungen sind ein DSGVO-Risiko.

Cookie-Verhalten

Welche Cookies werden vor und nach der Einwilligung gesetzt? Werden Drittanbieter-Cookies ohne Opt-in geladen? Wir prüfen die von außen sichtbaren Set-Cookie-Header und JavaScript-Cookies.

Einwilligungsmechanismus

Gibt es einen Consent-Banner? Blockiert er nicht-essenzielle Cookies vor der Einwilligung? Wird die Zustimmung dokumentiert? Wir prüfen, ob der Mechanismus von außen funktioniert.

Datenschutz im Kontaktformular

Wird die Datenschutz-Zustimmung serverseitig geprüft oder nur im Browser? Können Daten ohne Einwilligung per direktem POST übermittelt werden?

Drittanbieter-Ressourcen

Werden Google Fonts, reCAPTCHA, Analyse-Skripte oder CDN-Ressourcen datenschutzkonform eingebunden? Leaken sie Besucher-IPs an Dritte?

Rechtliche Seiten & Transparenz

Sind Datenschutzerklärung, Impressum und Cookie-Richtlinie vorhanden und verlinkt? Gibt es eine security.txt oder einen Weg zur vertraulichen Meldung von Sicherheitslücken?

Was wir nicht tun

Technische externe Prüfung — was ein Besucher oder eine Aufsichtsbehörde sieht

Schriftliche Freigabe vor jeder Prüfung

Praktische, priorisierte Erkenntnisse mit klaren Maßnahmen

Keine Rechtsberatung — wir sind keine Anwälte, wir schreiben keine Datenschutzerklärungen

Kein Zugriff auf Ihren Server, Ihre Datenbank oder interne Systeme

Keine Verarbeitung personenbezogener Daten über das öffentlich Sichtbare hinaus

Kein „DSGVO-zertifiziert"-Versprechen — das kann keine technische Prüfung garantieren

Warum das wichtig ist

DSGVO-Compliance ist kein reiner Rechts-Check — sie hat eine handfeste technische Dimension. Eine Website, die Drittanbieter-Tracker vor der Einwilligung lädt, Formulardaten unverschlüsselt überträgt oder personenbezogene Daten ohne serverseitige Einwilligungsprüfung speichert, ist technisch nicht konform — unabhängig davon, was in der Datenschutzerklärung steht.

Für kleine Unternehmen liegen die häufigsten DSGVO-Risiken im Technischen: ein übersehenes Cookie eines WordPress-Plugins, Google Fonts vom Google-CDN (überträgt Besucher-IPs) oder ein Kontaktformular, das Anfragen ohne Einwilligung annimmt. Unsere Checkliste identifiziert diese Signale, damit Sie sie beheben können, bevor sie zum Problem werden — sei es durch eine Anfrage der Aufsichtsbehörde oder eine Kundenbeschwerde.

Beispielfunde

Datenschutz-Einwilligung nicht serverseitig geprüft Medium

Das Kontaktformular prüft die Datenschutz-Zustimmung nur im Browser (client-seitig). Ein direkter POST-Aufruf ohne Einwilligung wird vom Server akzeptiert. Nach DSGVO muss die Verarbeitung personenbezogener Daten auf einer dokumentierten Einwilligung beruhen — eine rein client-seitige Prüfung ist eine Prozesslücke.

POST /kontakt mit privacy_consent:false → 200 OK (ohne Einwilligung gespeichert)

Drittanbieter-Ressourcen laden vor Consent Low

Google Fonts CSS wird beim ersten Seitenaufruf geladen, bevor eine Cookie-Zustimmung erfolgt. Die Anfrage an fonts.googleapis.com enthält die IP-Adresse und den Referrer-Header des Besuchers — personenbezogene Daten nach DSGVO. Lokales Hosting oder eine Consent-bewusste Ladestrategie behebt dies.

Fehlende oder unvollständige Cookie-Deklaration Low

Die Website setzt Cookies (Session-Cookie, Analyse-Cookie), die nicht in der Datenschutzerklärung oder im Cookie-Banner deklariert sind. Nach DSGVO müssen Nutzer über alle nicht-essentiellen Cookies informiert werden, bevor diese gesetzt werden.

Ablauf

  1. Sie kontaktieren uns mit Ihrer Domain und einer Beschreibung, was Sie prüfen lassen möchten.
  2. Wir vereinbaren den Umfang schriftlich. Fokussiert auf die technischen DSGVO-Aspekte, die Ihnen wichtig sind.
  3. Wir führen die externe Prüfung durch — von Karlsruhe aus, passiv, dokumentiert, nicht-invasiv.
  4. Sie erhalten einen klaren PDF-Bericht mit technischen Funden, Geschäftsauswirkung und priorisierten Maßnahmen.
  5. Ein Nachtest ist enthalten, nachdem Sie die Maßnahmen umgesetzt haben.

Website Security Deep Review — 499 €

Enthält die technische DSGVO-Checkliste plus vollständige Sicherheitsprüfung: HTTPS, Security Header, E-Mail-Authentifizierung, exponierte Dateien, Kontaktformular und mehr. Praktischer Bericht mit klaren Maßnahmen.

Security Review anfragen

Preise · Musterbericht · Arbeitsgrundsätze

Verwandte Themen

Sicherheitscheck für KMU · WordPress Sicherheitscheck · E-Mail-Sicherheit (DMARC/SPF/DKIM) · TLS Zertifikat Prüfung · Website gehackt – Was tun?