DSGVO-Konformitäts-Check: Vollständiges Audit Ihrer Website

Ein schneller Scan zeigt Symptome — ein Konformitäts-Check liefert das vollständige Bild. Für Unternehmen, die DSGVO-Compliance dokumentieren und nachweisen müssen: ein strukturiertes Audit mit Handlungsplan und Nachweisfunktion.

  • 60+ Prüfpunkte
  • Sofort-Report
  • Server in Deutschland 🇩🇪
  • Keine Speicherung Ihrer Daten

Konformitäts-Audit starten

Strukturiertes Website-Audit mit Dokumentation. Ideal für Unternehmen, B2B-Kunden-Nachweise und interne Datenschutz-Reports.

Scan vs. Konformitäts-Check — der Unterschied

Ein DSGVO-Scan ist die schnelle Risiko-Indikation: URL eingeben, 60 Sekunden warten, Fundliste erhalten. Hilfreich, um akute Probleme zu finden — aber unzureichend, wenn Sie als Unternehmen einen Nachweis brauchen, dass Sie systematisch geprüft haben. Genau hier setzt das Konformitäts-Audit an.

Das Konformitäts-Audit unterscheidet sich vom reinen Scan in drei Dimensionen. Erstens in der Tiefe der Dokumentation: Statt nur Verstöße aufzulisten, dokumentiert das Audit alle 60+ Prüfpunkte mit ihrem Ergebnis — bestanden, Hinweis, Verstoß. Diese vollständige Dokumentation ist der entscheidende Unterschied für den Nachweis der Sorgfaltspflicht. Zweitens in der Strukturierung als Bericht: Das Audit ist als PDF-Dokument im behörden-tauglichen Format ausgegeben, mit Titelblatt, Inhaltsverzeichnis, Executive Summary, Detailbefunden und Handlungsempfehlungen. Sie können das Dokument direkt in interne Compliance-Akten übernehmen oder bei B2B-Kunden vorlegen. Drittens in der Nachvollziehbarkeit über Zeit: Mehrere Audits hintereinander zeigen die Trend-Entwicklung Ihrer Konformität — wichtig, wenn Datenschutzbehörden bei Vorfällen die historische Sorgfaltspflicht prüfen.

Was das Konformitäts-Audit umfasst

Das Audit deckt acht Prüfkategorien systematisch ab. Jede Kategorie enthält die einschlägige Rechtsgrundlage, den Prüfumfang und die Bewertungs-Kriterien.

1. Datenverarbeitung & Tracking

Erfassung aller auf der Website ablaufenden Datenverarbeitungs-Prozesse: Welche Daten werden erhoben? Welche Cookies werden gesetzt? Welche externen Server werden kontaktiert? Welche Drittanbieter erhalten Daten und mit welcher Rechtsgrundlage? Diese Erfassung ist die Grundlage für Ihr Verfahrensverzeichnis nach Art. 30 DSGVO.

2. Einwilligungs-Management

Prüfung des Consent-Banners auf TTDSG-Konformität: Werden Cookies erst nach aktivem Klick gesetzt? Ist die Ablehnen-Option gleichwertig? Wird die Entscheidung nachvollziehbar gespeichert? Funktioniert das Zurückziehen der Einwilligung?

3. Rechtliche Pflichtangaben

Datenschutzerklärung — vollständig, aktuell, alle eingesetzten Tools aufgeführt? Impressum nach §5 TMG vollständig? AGB vorhanden, falls erforderlich? Widerrufsrecht-Belehrung bei Online-Shops?

4. Technische und organisatorische Maßnahmen (TOM)

SSL-Verschlüsselung mit aktuellem Zertifikat, HSTS-Header, sichere TLS-Versionen, Schutz vor Common Vulnerabilities (XSS-Header, CSP-Header), Server-Standort, Backup-Hinweise. Art. 32 DSGVO verlangt explizit dokumentierte TOM.

5. Internationaler Datentransfer

Werden Daten in Drittländer ohne Angemessenheits-Beschluss übermittelt? Sind Standardvertragsklauseln (SCC) implementiert? Schrems II-konforme Architektur? Das Audit listet alle Drittland-Aufrufe — Google-Fonts, US-CDNs, Marketing-Tools mit US-Hosting.

6. Datenminimierung & Aufbewahrung

Werden nur erforderliche Daten erhoben? Sind Aufbewahrungsfristen definiert und werden sie technisch durchgesetzt? Cookie-Lebensdauern angemessen?

7. Betroffenenrechte

Ist die Kontaktstelle für Auskunfts-, Lösch- und Berichtigungs-Anfragen nach Art. 15–22 DSGVO erreichbar? Existieren technische Prozesse, um diese Anfragen zu beantworten?

8. Eingebettete Inhalte & Plugins

YouTube, Vimeo, Google Maps, Social Media-Buttons, Newsletter-Tools, Live-Chat — jeder eingebettete Drittanbieter wird einzeln erfasst und auf Konformität geprüft.

Für wen ist das Audit?

Das Konformitäts-Audit adressiert Unternehmen mit dokumentierter Sorgfaltspflicht. Konkret:

  • B2B-Dienstleister, deren Kunden DSGVO-Nachweise verlangen — etwa SaaS-Anbieter, Marketing-Agenturen, IT-Dienstleister, Consultants. Ein aktuelles Audit ist häufig Voraussetzung für Vertrags-Verlängerungen oder neue Kunden-Onboardings.
  • Unternehmen mit Datenschutzbeauftragten (intern oder extern). Der DSB benötigt eine technische Audit-Grundlage, die er in die interne Datenschutz-Dokumentation übernehmen kann. Das Audit liefert diese Grundlage strukturiert.
  • Online-Shops mit relevantem Tracking-Stack — Conversion-Tracking, Personalisierung, Newsletter, Affiliate-Tracking. Je mehr externe Tools im Einsatz sind, desto wichtiger ist die strukturierte Dokumentation der Datenverarbeitung.
  • Behörden, Kommunen, öffentliche Stellen. Hier gelten besonders strenge Rechenschafts-Anforderungen, oft auch Wirtschaftlichkeits-Audits durch übergeordnete Aufsicht.
  • Kritische Branchen — Gesundheits-Plattformen, Finanzdienstleister, Bildungs-Anbieter mit Kinder-Bezug. Hier sind Bußgeld-Risiken besonders hoch und Compliance-Dokumentation Pflicht.
  • Unternehmen vor M&A-Transaktionen. Im Due-Diligence-Prozess wird die DSGVO-Konformität geprüft; ein aktuelles Audit beschleunigt diese Phase erheblich.

Der Audit-Report im Detail

Das Konformitäts-Audit wird als 25- bis 60-seitiges PDF-Dokument geliefert (Umfang abhängig von der Anzahl gefundener Befunde). Die Struktur:

  1. Titelblatt mit Audit-Datum, geprüfter URL, Auftragnehmer-Daten, Auditnummer für Wiedererkennung.
  2. Executive Summary auf einer Seite — Gesamt-Score 0 bis 100, Anzahl gefundener Hoch-/Mittel-/Niedrig-Risiko-Punkte, Top-3-Handlungsempfehlungen für nicht-technische Entscheider.
  3. Methodische Erläuterung — wie der Scan durchgeführt wurde, welche Werkzeuge verwendet wurden, Stichtag der Prüfung.
  4. Detaillierte Befunde nach den acht Prüfkategorien. Pro Befund: Beschreibung des Problems, Rechtsgrundlage (DSGVO/TTDSG-Verweis), Risiko-Einstufung, technische Detail-Daten (Cookie-Namen, Skript-URLs, Aufruf-Reihenfolge), Behebungs-Empfehlung mit Aufwand-Schätzung.
  5. Verfahrensverzeichnis-Vorlage — alle gefundenen Drittanbieter-Aufrufe vorformatiert in einer Tabelle, die Sie direkt in das Verzeichnis nach Art. 30 DSGVO übernehmen können.
  6. Handlungsplan — priorisierte Liste der Korrekturen mit Aufwand-Schätzung (in Stunden) und logischer Reihenfolge der Umsetzung.
  7. Nachweis-Bestätigung auf der letzten Seite — Unterschriften-Feld für Auditor und Auftraggeber, Auditnummer zur eindeutigen Wiedererkennung. Dieser Teil ist behördentauglich gestaltet.

Der Audit-Report ist in deutscher Sprache verfasst und folgt dem üblichen Stil von Datenschutz-Audits. Wer das Dokument an internationale Kunden weitergeben möchte, kann eine englische Übersetzung gegen Aufpreis bestellen.

Handlungsplan & Re-Check

Jedes Audit endet mit einem priorisierten Handlungsplan. Hoch-Priorität-Korrekturen (akute Abmahn-Risiken) sollten innerhalb von 7 Tagen umgesetzt werden, Mittel-Priorität (Behörden-Risiken) innerhalb von 30 Tagen, Niedrig-Priorität (Best-Practice) im nächsten Quartal. Nach Umsetzung führen Sie einen Re-Check durch — entweder selbst über das Tool oder als Teil eines neuen Audit-Reports. Der Re-Check ist im Audit-Tarif (€49) als einmalige Wiederholung inklusive; im Full-Service-Tarif (€299) als finales Bestätigungs-Audit nach Umsetzung.

So nutzen Datenschutzbeauftragte das Audit

Datenschutzbeauftragte — intern oder extern — haben drei Hauptprozesse, in denen der Audit-Report den größten Mehrwert liefert. Erstens beim jährlichen Datenschutz-Bericht an die Geschäftsführung: Statt manueller Kompilierung übernehmen Sie die technischen Befunde direkt aus dem Audit-Bericht. Zweitens bei der Aktualisierung des Verfahrensverzeichnisses: Die mitgelieferte Tabellen-Vorlage enthält alle gefundenen Drittanbieter-Aufrufe vorformatiert, sodass Sie nur noch organisatorische Felder (Verantwortlicher, Rechtsgrundlage, Aufbewahrung) ergänzen. Drittens bei Anfragen von Aufsichtsbehörden: Wenn die Behörde nach Sorgfaltspflicht-Nachweisen fragt, liefern Sie das letzte Audit als technischen Beleg.

Externe Datenschutzbeauftragte, die mehrere Mandanten betreuen, kombinieren das Konformitäts-Audit häufig mit dem Massen-Website-Scanner — alle Mandanten-Sites werden zentral monitort, einzelne Audits werden ad hoc bei Bedarf gezogen.

B2B-Vertragsverlängerung: Compliance-Nachweis als Vertragsbestandteil

Seit 2023 ist es im B2B-Bereich Standard, dass Verträge zwischen Datenverarbeitern und Auftraggebern einen aktuellen DSGVO-Konformitäts-Nachweis verlangen — meist nicht älter als 12 Monate. Wer als SaaS-Anbieter, Marketing-Agentur oder IT-Dienstleister diese Anforderung nicht erfüllen kann, verliert Aufträge oder muss in Notfall-Audits investieren.

Der DSGVO-Konformitäts-Check ist genau auf diesen Use Case zugeschnitten. Sie führen das Audit präventiv durch, dokumentieren das Datum und die geprüfte URL, hängen den PDF-Bericht in das Kunden-Onboarding-Paket. Im Wiederholungs-Zyklus ein zweites Audit, sodass Sie immer einen Bericht vorhalten, der jünger als 6 Monate ist.

Wer in einer Branche mit kritischen Datenverarbeitungen tätig ist — Gesundheits-IT, Finanz-Software, Bildungs-Plattformen — sieht häufig auch Vertrags-Klauseln, die quartalsweise Audits verlangen. In diesem Fall lohnt sich der Enterprise-Tarif mit automatisierten Monats-Audits und Trend-Analyse.

Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO — was bedeutet das konkret?

Art. 5 Abs. 2 DSGVO formuliert die sogenannte Rechenschaftspflicht: "Der Verantwortliche ist für die Einhaltung der [Grundsätze nach Abs. 1] verantwortlich und muss deren Einhaltung nachweisen können." Übersetzt: Es genügt nicht, dass Sie DSGVO-konform sind — Sie müssen es belegen können.

Praktisch heißt das: Wenn eine Aufsichtsbehörde nach einem Vorfall ermittelt, fragt sie nach Dokumentation. Wer keine Dokumentation vorlegen kann, gilt automatisch als nicht-sorgfältig — und das ist ein Bußgeld-erhöhender Faktor nach Art. 83 Abs. 2 DSGVO. Wer hingegen einen aktuellen Audit-Bericht, ein Verfahrensverzeichnis und Schulungsnachweise vorlegen kann, hat die Sorgfaltspflicht erfüllt — auch wenn der Vorfall selbst trotz aller Maßnahmen passiert ist.

Das Konformitäts-Audit ist genau dieser technische Sorgfalts-Nachweis für den Bereich Website und Online-Tools. Es ersetzt nicht die organisatorische Dokumentation (Verfahrensverzeichnis, Auftragsverarbeitungs-Verträge, Schulungs-Protokolle), aber es ist die unverzichtbare technische Komponente eines vollständigen Compliance-Pakets.

Versionierung und Audit-Historie

Im Audit- und Enterprise-Tarif werden alle bisherigen Audit-Berichte einer Domain in einem Versions-Archiv abgelegt. Das ermöglicht zwei wichtige Funktionen: Erstens eine Trend-Analyse über mehrere Audits — Sie sehen auf einen Blick, ob sich der Konformitäts-Score verbessert oder verschlechtert, welche Befunde wiederholt auftreten und welche dauerhaft behoben sind. Zweitens einen historischen Sorgfalts-Nachweis: Wenn eine Behörde nach einem Vorfall die Sorgfaltspflicht der letzten Monate prüft, können Sie die komplette Audit-Historie als Lückenlosen Nachweis vorlegen.

Diese Historie ist DSGVO-konform aufbewahrt — alle Daten in Deutschland gehostet, verschlüsselt in Ruhe und in der Übertragung, granular einstellbare Aufbewahrungs-Fristen. Standardmäßig speichern wir Audit-Berichte 36 Monate; auf Wunsch verkürzen wir die Aufbewahrung oder verlängern sie für regulierte Branchen mit längeren Nachweispflichten.

Konformitäts-Audit starten — Compliance dokumentieren

Kostenloser Erst-Scan. Vollständiger Bericht ab €19. Keine Registrierung nötig.

  • 60+ technische Prüfpunkte (Cookies, Fonts, Tracking, SSL)
  • Sofort-Report mit Risiko-Priorisierung
  • Konkrete Handlungsempfehlungen (Audit-Report)
  • Code-Beispiele zur sofortigen Behebung
  • PDF-Export für interne Dokumentation
  • Re-Scan inklusive nach Korrektur
  • Server in Deutschland — keine Speicherung Ihrer Inhalte

Häufige Fragen

Wofür brauche ich einen DSGVO-Konformitäts-Check als Unternehmen?

Drei Hauptgründe. Erstens die Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO — Sie müssen die Einhaltung nachweisen können, nicht nur behaupten. Ein dokumentiertes Audit liefert genau diesen Nachweis. Zweitens reduzieren Sie das Bußgeld-Risiko: Bei Verstößen wertet die Datenschutzbehörde die nachgewiesene Sorgfaltspflicht als mildernden Faktor (Art. 83 Abs. 2 DSGVO). Drittens sind viele B2B-Kunden mittlerweile verpflichtet, von ihren Dienstleistern einen Compliance-Nachweis zu verlangen — ein aktueller Konformitäts-Check ist häufig Voraussetzung für Vertrags-Verlängerungen.

Wie unterscheidet sich das Audit vom Schnellbericht?

Der Schnellbericht (€19) listet die gefundenen Verstöße auf. Das Konformitäts-Audit ergänzt drei Dinge: eine strukturierte Dokumentation aller Prüfungen (auch der bestandenen — wichtig für den Nachweis, dass Sie geprüft haben), einen priorisierten Handlungsplan mit Aufwand-Schätzung, und ein Nachweis-Dokument im behörden-tauglichen Format. Das Audit ist als PDF-Berichts-Dokument konzipiert, das Sie direkt in die interne Datenschutz-Dokumentation übernehmen oder bei Audits vorlegen können.

Wer sollte das Konformitäts-Audit nutzen?

Primäre Zielgruppe sind Unternehmen mit Rechenschaftspflicht: B2B-Dienstleister, deren Kunden DSGVO-Nachweise verlangen; Unternehmen mit Datenschutzbeauftragten, die ein technisches Audit in die Dokumentation übernehmen müssen; Online-Shops und Marketing-Plattformen mit besonders intensiver Datenverarbeitung. Auch Behörden, Kommunen und öffentliche Stellen nutzen das Audit, weil ihre Rechenschafts-Anforderungen besonders streng sind.

Kann ich das Audit selbst durchführen oder muss ein Datenschutzbeauftragter dabei sein?

Sie können das Audit eigenständig durchführen — das ist genau der Vorteil eines automatisierten Tools. Wenn Sie einen Datenschutzbeauftragten haben, übernimmt dieser die Bewertung der Ergebnisse und die Aufnahme in das Verfahrensverzeichnis. Wenn Sie keinen haben, liefert das Audit eine technische Basis, die Sie an externe Beratung übergeben können. In keinem Fall ersetzt das Audit eine juristische Bewertung — es liefert die technische Faktenbasis.

Wie oft sollte das Konformitäts-Audit wiederholt werden?

Empfehlung: mindestens halbjährlich plus nach jedem größeren Website-Release oder Plugin-Update. Bei besonderen Anlässen — etwa Eintritt in ein neues Markt-Segment, Übernahme eines anderen Unternehmens mit deren Tracking-Stack, Behörden-Anfrage — sollte ein Ad-hoc-Audit erfolgen. Im Enterprise-Tarif ist eine monatliche Wiederholung mit Trend-Analyse enthalten, sodass Verschlechterungen frühzeitig auffallen.

Liefert das Audit auch einen Nachweis nach Art. 30 DSGVO?

Teilweise. Art. 30 DSGVO verlangt ein Verfahrensverzeichnis aller Datenverarbeitungs-Prozesse. Das Konformitäts-Audit liefert die technische Erfassung aller Drittanbieter-Aufrufe, die in dieses Verzeichnis aufzunehmen sind — also Welcher Anbieter erhält welche Daten zu welchem Zweck. Die organisatorischen Aspekte (Verantwortliche, Rechtsgrundlagen, Aufbewahrungsfristen) ergänzen Sie oder Ihr Datenschutzbeauftragter.

Weitere DSGVO-Themen

Pillar: DSGVO Check → Mehrere Websites prüfen — Bulk-Audit → Audit starten →